1. Windows 2000 для пользователей


Самоучитель по Windows 2000

Глава 1. Планирование и установка системы

Глава 1. Планирование и установка системы

1. Требования к аппаратным ресурсам

 

Глава 1

Планирование и установка системы

Данная глава содержит информацию о планировании, установке и развертывании ОС Windows 2000, краткие рекомендации по выбору файловых систем, а также сведения о том, как автоматизировать процедуру установки этой операционной системы. Материалы, изложенные здесь, адресованы в основном системным и сетевым администраторам, специалистам из групп технической поддержки и опытным пользователям, которые хотят самостоятельно устанавливать и конфигурировать операционную систему Windows 2000 на своих компьютерах. Кроме того, приведенные в данной главе сведения будут полезны тем новичкам, которые не желают долго оставаться в этом разряде пользователей.


Требования к аппаратным ресурсам

Основная задача, которую необходимо решить перед тем, как приступать к установке Windows 2000, заключается в том, чтобы определить, будет ли оборудование компьютера, на который вы собираетесь произвести установку, работать с данной операционной системой. Принять это принципиальное решение помогают два документа:

Требования к минимальной аппаратной конфигурации
Список совместимых аппаратных средств (Hardware Compatibility List, HCL)

В первую очередь необходимо ознакомиться со списком требований, которые Windows 2000 предъявляет к оборудованию. Состав минимально необходимой аппаратной конфигурации для компьютеров на базе процессоров Intel представлен в табл. 1.1.

Таблица 1.1. Требования к минимальной конфигурации, необходимой для установки Windows 2000

Компонент

Требования

Windows 2000 Professional

Windows 2000 Server

Процессор

Intel Pentium (или Pentium-совместимый) с тактовой частотой 133 МГц или выше. Для многопроцессорных систем обеспечивается поддержка 2 процессоров

Intel Pentium (или Pentium-совместимый) с тактовой частотой 133 МГц или выше. Для многопроцессорных систем обеспечивается поддержка не более 4 процессоров

Монитор

VGA или монитор с более высоким разрешением

VGA или монитор с более высоким разрешением

Клавиатура

Стандартная

Стандартная

Жесткие диски

Жесткий диск объемом 1 Гбайт, с объемом свободного пространства не менее 650 Мбайт

Жесткий диск объемом 2 Гбайт, с объемом свободного пространства не менее 1 Гбайт. При расчете объема свободного дискового пространства, необходимого для установки Windows 2000 Server, следует учитывать объем RAM, установленный на компьютере, добавляя к начальному значению по 100 Мбайт на каждые 64 Мбайт RAM. Помимо этого, необходимый объем свободного пространства может зависеть от устанавливаемых дополнительных компонентов, используемой файловой системы (на разделах FAT обычно требуется на 1 00-200 Мбайт больше) и от метода инсталляции (при установке через сеть требуется дополнительное свободное пространство). Наконец, при выполнении обновления операционной системы будет требоваться дополнительный объем свободного пространства, поскольку при добавлении функциональных возможностей Active Directory существующая база данных учетных записей пользователей может увеличиться в объеме

CD-ROM

Если установка будет производиться только с компакт диска (СО only installation) то необходимо иметь устройство CD ROM или устройство DVD с возможностью загрузки с компакт диска (чтобы иметь возможность запуска программы инсталляции без флоппи дисковода)

Устройство CD ROM (рекомендуется 12 скоростное или более быстрое)

Флоппи дисковод

Для проведения смешанной уста нов к и (установочные дискеты и компакт диск) необходимо иметь 3 5 дюймовый флоппи дисковод высокой плотности (диск А ) Это требование является важным так как на компьютере где в качестве дисковода А используется 5 25 дюймовый дисковод установку Windows 2000 можно произвести только через сеть

Для проведения смешанной установки (установочные диске ты и компакт диск) необходимо иметь 3 5 дюймовый флоппи дисковод высокой плотности (диск А ) Это требование является важным так как на компьютере где в качестве дисковода А используется 5 25 дюймовый дисковод установку Windows 2000 можно произвести только через сеть

Сетевые адаптеры

Для установки через сеть на компьютере необходимо иметь один или несколько сетевых адаптеров позволяющих получить доступ к совместно используемому сетевому каталогу содержащему дистрибутивные файлы

Для установки через сеть на компьютере необходимо иметь один или несколько сетевых адаптером позволяющих получить доступ к совместно используемому сетевому каталогу содержащему дистрибутивные файлы

Память

Минимальный объем RAM необходимый для установки Windows 2000 Professional составляет 32 Мбайт (Рекомендуемый объем составляет 64 Мбайт максимально поддерживаемый - 4 Гбайт)

Минимальный объем RAM необходимый для установки Windows 2000 Server составляет 64 Мбайт (Рекомендуемым объем — 256 Мбайт максимально поддерживаемый— 4 Гбайт)

Мышь или другое координатное устройство

 

 

 

 

Убедившись, что планируемая аппаратная конфигурация соответствует приведенным выше минимальным требованиям, составьте полный перечень всех аппаратных компонентов системы, на которую будет производиться

установка Windows 2000. В этот перечень необходимо включить такие устройства, как сетевые адаптеры, видеоадаптеры, звуковые карты, устройства CD-ROM или DVD, модемы, накопители на магнитных лентах и т. д. Внимательно изучите список совместимых аппаратных средств (Hardware Compatibility List, HCL) и убедитесь, что все компоненты вашей системы присутствуют в этом списке. HCL представляет собой перечень аппаратных устройств, официально тестировавшихся на совместимость с Windows 2000. Этот документ поставляется в комплекте с операционной системой. Следует отметить, что HCL регулярно обновляется и дополняется, и самую свежую его версию или файлы дополнений можно найти на веб-узле компании Microsoft (http://www.microsoft.com/hcl).

Примечание

Разумеется, в ряде случаев можно использовать с Windows 2000 и такие устройства, которые не перечислены в HCL (за счет того, что эти устройства могут эмулировать другие модели, присутствующие в этом списке и ставшие стандартом). Таким образом, если имеющееся в вашем распоряжении устройство не упомянуто в HCL, проверьте, эмулирует ли оно другое аналогичное устройство, указанное в HCL. Если такая возможность отсутствует, проконсультируйтесь со специалистами фирмы, оказывающей вам техническую поддержку, относительно приобретения нового устройства.

 

2. Подготовка процесса инсталляции

 

Подготовка процесса инсталляции

Если, приступив к установке Windows 2000 и выполнив большую часть работы, вы вдруг обнаружите, что все усилия были предприняты зря, так как одно из решений, принятых на начальных этапах, было неправильным, то это, разумеется, не приведет вас в восторг (будьте особо внимательны, если у вас установлена система Windows NT 4,0! См. ниже раздел "Организация систем с двойной загрузкой"). По этой причине не следует пренебрегать изучением излагаемого в этом разделе предварительного материала, который не только даст вам возможность предвидеть последствия того или иного решения, но и поможет лучше понять ход процесса инсталляции. Приняв решение об установке Windows 2000, необходимо в первую очередь определить, соответствует ли аппаратная конфигурация компьютера минимальным требованиям операционной системы Windows 2000, и определить способ установки.

Последующие несколько разделов полностью посвящены планированию и подготовке инсталляции Windows 2000. Для подготовки необходимо выполнить все предварительные шаги, а затем выбрать подходящую схему установки. Такой подход позволит собрать достаточное количество информации, необходимой для проведения установки, и позволит быстро выполнить все требуемые для этого процедуры.

Усвоение изложенного в этой главе материала не представит никакой трудности для тех, кто хотя бы раз выполнил самостоятельную установку одной из предыдущих версий Windows NT. Если вы новичок — бояться также не следует {даже несмотря на широко известный закон Мэрфи, гласящий: "Все сложнее, чем кажется"). Однако не следует и расслабляться (тут можно еще раз сослаться на только что упомянутый закон Мэрфи) — в процессе установки можно столкнуться с достаточно сложными проблемами, которые не сразу решит даже опытный профессионал. В рамках одной главы довольно тяжело упомянуть обо всех сложностях, которые могут встретиться при установке, однако здесь будут рассмотрены наиболее распространенные из них, а также отмечены часто встречающиеся ошибки.

 

3. Информация, необходимая для установки

 

Информация, необходимая для установки

Определив аппаратную конфигурацию компьютера, необходимо подготовить компьютер к инсталляции. Шаги, которые следует выполнить для этой цели, перечислены ниже:

 

  • Документируйте всю информацию о компьютере.

Тщательно зарегистрируйте всю информацию о компьютере, на который производится установка (желательно занести для этой цели специальный журнал и документировать в нем все изменения, вносимые в аппаратную и программную конфигурации компьютера). На данном этапе минимально необходимые сведения, которые требуется записать, перечислены в табл. 1.2.

Таблица 1.2. Сведения о компьютере, минимально необходимые для регистрации перед установкой Windows 2000

Предыдущая операционная система:

(если имеется)

Сетевое имя данного компьютера:

(если он подключен к сети)

Имя рабочей группы или домена:

(если компьютер включен в сеть)

Параметры TCP/IP:

IP-адрес Адрес DNS-сервера (при отсутствии сервера DHCP)

 

Предупреждение

Многие пользователи так торопятся установить новую операционную систему и попробовать ее в действии, что пренебрегают приведенной выше рекомендацией, а зря. Например, если в локальной сети, к которой подключен компьютер такого пользователя, не применяется служба DHCP, в задачи которой входит динамическое назначение IP-адресов, и пользователь не удосужился записать свой IP-адрес, а потом его забыл, он будет долго выяснять, какой же адрес он может назначить своему компьютеру (особенно если сетевого администратора рядом не окажется). Если используется служба DNS. настоятельно рекомендуется записать параметры, установленные на вкладке DNS окна Дополнительные параметры TCP/IP (Advanced TCP/IP Settings). Если вы их забудете, то при работе с сетью TCP/IP у вас возникнут проблемы (например, при подключении к домену, с доставкой электронной почты и при работе с групповыми приложениями, использующими TCP/IP).

Выполните полное резервное копирование всех своих данных (для этой цели можно применить программу Microsoft NTBackup, встроенную в состав операционных систем семейства Windows или специализированное программное обеспечение сторонних фирм).
Предупреждение

Печально, но факт: огромное количество пользователей резервным копированием пренебрегают. Еще печальнее то, что спохватываются они только после того, как данные уже потеряны, причем, скорее всего, безвозвратно. Нередко у пользователей возникают проблемы после преобразования дисков с файловой системой NTFS d в NTFS 5.0. Не будьте злейшим врагом самому себе— выполните резервное копирование, а затем убедитесь, что оно было выполнено успешно.

Временно удалите все антивирусное программное обеспечение, а также сетевые сервисы и клиентское программное обеспечение третьих фирм. Перед запуском программы установки Windows 2000 следует остановить все сканирующие антивирусные программы, а также сетевые сервисы и клиентское программное обеспечение третьих фирм.
Если на компьютере используется зеркальное копирование дисков, отключите существующие зеркальные диски.
Отключите источники бесперебойного питания (UPS).
Убедитесь в том, что можете получить доступ к дистрибутивным файлам

Windows 2000 (особенно при инсталляции через сеть).

Выберите подходящий способ установки (возможные методы инсталляции были перечислены в предыдущем разделе этой главы, а их подробное описание и пошаговые инструкции по использованию каждого из них будут приведены далее).

 

4. Общее описание установки Windows 2000

 

Общее описание установки Windows 2000

Основные шаги, выполняемые в процессе установки операционной системы

Windows 2000, перечислены и кратко описаны ниже:

1. Чтобы начать установку Windows 2000, программа установки (Setup) в первую очередь должна загрузить саму операционную систему. Для этого следует загрузить компьютер с дистрибутивного компакт-диска или установочных загрузочных дискет.

Примечание

Если на компьютере уже установлена одна из операционных систем Microsoft, можно запустить команду winnt (если компьютер работает под управлением MS-DOS) или команду winnt32 (если компьютер работает под управлением Windows Эх или одной из предыдущих версий Windows NT) из каталога \I386 (для компьютеров на базе процессоров Intel и совместимых). В данном разделе основное внимание уделено процессу установки, при котором загрузка компьютера производится с компакт-диска или установочных дискет. Программы Winnt и Winnt32 будут подробно рассмотрены далее в этой главе.

 

2. Первый этап установки удивительным образом напоминает старинную программу DOS, которая начинала установку операционной системы еще с первых версий Windows NT. Интерфейс этой программы чрезвычайно прост: чтобы выделить нужную опцию из списка предлагаемых программой установки, пользуйтесь клавишами перемещения курсора; для выбора нужной опции используется клавиша <Enter>, а для завершения работы программы установки без каких-либо действий — клавиша <F3>.
3. Программа установки предложит вам указать точный путь к дистрибутивным файлам Windows 2000. Если этот путь указан правильно, и на жестком диске имеется достаточный объем свободного пространства, то программа установки скопирует часть дистрибутивных файлов на локальный диск. Причина этого заключается в том, что Windows 2000, как и Windows NT 4.0, требует наличия этих файлов на локальном диске перед перезагрузкой, поскольку при переходе к следующим этапам установки существует возможность "потерять" путь к папке \j386 вследствие изменения буквенных обозначений дисков.
4. После того как копирование файлов будет завершено, программа установки выведет сообщение о завершении этапа установки в режиме MS-DOS и предложит перезагрузить компьютер. Чтобы выполнить перезагрузку, нажмите клавишу <Enter>, но перед этим не забудьте извлечь дискету из дисковода (или компакт-диск из устройства CD-ROM, если оно является загрузочным).
5. После перезагрузки система загружается уже под управлением Windows 2000, которая принимает управление и выполняет распознавание установленных на компьютере аппаратных средств. На экране при этом появляется сообщение:

Программа установки проверяет конфигурацию оборудования...

Последующие экраны, выводимые программой установки, чрезвычайно сильно напоминают текстовый режим MS-DOS. Однако пусть это внешнее сходство не вводит вас в заблуждение, поскольку данная часть процесса установки, в отличие от предыдущей, уже выполняется под управлением ядра Windows 2000, хотя и в текстовом режиме.

6. Программа установки отображает на экране лицензионное соглашение (License Agreement), которое пользователь должен прочесть. В случае несогласия с условиями лицензионного соглашения пользователь может нажать клавишу <Esc>, и программа установки завершит работу без инсталляции Windows 2000. Переход к следующему экрану выполняется при нажатии клавиши <F8>.
7. Далее программа установки выполняет поиск уже существующих на компьютере инсталляций Windows 2000. Если такие версии будут обнаружены, программа установки предложит пользователю следующие варианты действий: восстановить существующую инсталляцию (если она повреждена), выполнить новую инсталляцию или завершить работу без установки Windows 2000. Сразу же заметим, что варианты использования программы установки для восстановления поврежденной системы подробно рассмотрены в главе 8.
8. Если установленные версии Windows 2000 на компьютере не обнаружены, или пользователь выбрал опцию новой инсталляции, то программа установки отобразит список разделов, уже существующих на жестком диске. Пользователю будет предложено выбрать раздел для инсталляции из числа уже существующих, удалить один из существующих разделов, чтобы создать новые разделы на основе освободившегося пространства, или (при наличии достаточного объема свободного пространства, не принадлежащего ни одному разделу) создать новый раздел. Если выбран один из существующих разделов, программа установки предложит на выбор пользователя следующие варианты:
  • отформатировать раздел с использованием файловой системы FAT
  • отформатировать раздел с использованием файловой системы NTFS
  • преобразовать существующую файловую систему к формату NTFS
  • оставить существующую файловую систему без изменений
9. Вновь создаваемые разделы подлежат обязательному форматированию, и в этом случае пользователь имеет возможность выбора файловой системы. Если выбрана опция преобразования раздела к формату NTFS, то фактическое преобразование будет выполнено при следующей перезагрузке системы. Необходимо отметить, что конфигурированию разделов на жестком диске следует уделить внимание заранее. Подробную информацию по данному вопросу можно найти в следующем разделе этой главы.
10. Далее программа установки выполняет проверку имеющихся в системе дисков, что, как правило, не занимает много времени. По завершении проверки дисков программа установки копирует на жесткий диск остальные файлы, которые потребуются для завершающей, графической фазы инсталляции. Этот этап достаточно продолжителен. Копирование файлов производится выборочно, в соответствии с данными, полученными при распознавании аппаратных средств компьютера. По завершении копирования конфигурация инициализируется и компьютер перезагружается.
11. После перезагрузки компьютера начинается графическая фаза инсталляции (GUI phase). Обратите внимание, что на данном этапе вы уже имеете установленную, но еще не сконфигурированную копию Windows 2000. Графическая фаза инсталляции завершает этот процесс, после чего на компьютере будет установлена полнофункциональная версия операционной системы. Компьютер загружается под управлением Windows 2000 (последовательность загрузки и все происходящие при этом процессы подробно рассмотрены в главе 2), и начинается работа программы с графическим интерфейсом Мастера установки Windows 2000 (Windows 2000 Setup Wizard) (рис. 1.1). Работа мастера установки продолжается довольно долго. Пользователю предлагается подождать, пока выполняется установка и конфигурирование устройств (следует обратить внимание читателя на тот факт, что благодаря улучшенной поддержке стандарта Plug and Play процедура инсталляции Windows 2000 существенно упростилась по сравнению с предыдущими версиями, и такая операция, как установка и конфигурирование устройств, теперь происходит в автоматическом режиме). Мастер установки Windows 2000 предпринимает попытки распознать все аппаратные компоненты, имеющиеся на компьютере, включая СОМ-порты, последовательные порты, джойстик, клавиатуру, мышь, и т. д.
Рис. 1.1. Начальное окно Мастера установки Windows 2000
12. По завершении процесса обнаружения устройств начнется интерактивная часть графической фазы инсталляции. На экране появится диалоговое окно Язык и стандарты (Regional Settings), в котором пользователю предоставляется возможность установки локальных параметров, поддержки дополнительных языков и раскладки клавиатуры. Подробная информация о многоязычной поддержке в Windows 2000 приведена в главе 5.
13. Далее программа установки предложит пользователю идентифицировать свою копию программного обеспечения Windows 2000, выведя диалоговое окно Настройка принадлежности программ (Personalize Software), в котором пользователь должен заполнить поля Имя (Name) (обязательно) и Организации (Organization) (по желанию), указав в них свое имя и организацию, в которой он работает. Информация, введенная в этом окне, будет затем предоставляться операционной системой запрашивающим ее прикладным программам.
14. Если устанавливается Windows 2000 Server, необходимо задать режим лицензирования: "на сервер" (по умолчанию допускается 5 одновременных подключений) или "на рабочее место".
15. Затем пользователю предлагается указать ими компьютера, а также ввести и подтвердить пароль администратора. Обратите внимание, эта часть является едва ли не самой важной во всей графической фазе инсталляции. Особенное внимание ей следует уделить в том случае, если вы собираетесь использовать этот компьютер для выхода в Интернет. Пользователь Администратор (Administrator) имеет доступ ко всем возможностям и функциям операционной системы, поэтому постарайтесь ввести не слишком простой и очевидный пароль (и, разумеется, не следует его забывать). Помимо этого, Microsoft не рекомендует пользователям выполнять повседневную работу, будучи зарегистрированными в системе от имени администратора, поскольку это создает брешь в системе безопасности. Кроме пароля администратора, вам будет предложено ввести имя для данного компьютера (и в качестве образца будет предложено имя, случайным образом сгенерированное на основе ранее введенных вами данных). Можно согласиться с предложенным вариантом или ввести собственный (тем более что впоследствии компьютер можно переименовать).
16. При установке Windows 2000 Server в окне Компоненты Windows 2000 можно выбрать множество компонентов, устанавливаемых на сервер: Media Services, службы терминалов, сетевые службы (DNS, DHCP, WINS и другие) и т. д.

Примечание

При установке Windows 2000 Professional существует одна особенность: программа установки не предоставляет возможности выбора стандартных и не обязательных компонентов системы (игры, мультимедиа и т. д.), а устанавливает их все. Хотя возможность выбора имеется при установке Windows NT 4.0, Windows 95, Windows 98 (включая Windows 98 Second Edition) и Windows 2000 Server!

17. Далее появляется окно Дата и время (Date and Time), в котором можно уточнить дату, время и параметры часового пояса (местного времени). Информацию о дате и времени система получает от системной BIOS, поэтому, как правило, эти данные точны.
18. Наконец, когда все эти параметры будут указаны, начинается установка сетевых служб, которая по сравнению с предыдущими версиями Windows NT существенно упрощена. Пользователю на выбор предлагаются два варианта установки сети: Типичные параметры (Typical) и Особые параметры (Custom). В случае типичных параметров мастер устанавливает Клиента для сетей Microsoft (Client for Microsoft Networks), Службу доступа к файлам и принтерам сетей Microsoft (опция File and Printer Sharing), и Протокол Интернета (TCP/IP) (опция Internet Protocol) со стандартными параметрами настройки (при которых IP-адрес и другие параметры задает сервер DHCP). В случае, если выбраны особые параметры, пользователь имеет возможность выбрать устанавливаемые сетевые службы и протоколы, и задать их параметры.

Предупреждение

Для будущего контроллера домена необходимо задавать статические параметры TCP/IP, поэтому лучше это сделать сразу, на этапе инсталляции системы.

 

19. По окончании установки сетевых параметров необходимо указать, будет ли устанавливаемый компьютер принадлежать к рабочей группе или домену. В Windows 2000 концепция доменов была существенно расширена по сравнению с Windows NT 4.0, и информацию об основных концепциях доменной структуры, проектировании и администрировании доменов можно найти в главах 23—25 этой книги. На данном этапе ограничимся той же не слишком информативной рекомендацией, которая давалась и для установки Windows NT 4.0: если вы затрудняетесь в выборе, выберите рабочую группу, а если ваш компьютер подключен к локальной сети предприятия — обратитесь к системному администратору. Если устанавливаемый сервер будет контроллером домена, то принадлежность сервера не имеет значения.
20. На этом интерактивная часть графической фазы установки завершается. Мастер установки Windows 2000 начинает копирование файлов и выполнение "завершающих операций". Эти заключительные операции состоят в установке компонентов меню Пуск (Start), регистрации установленных компонентов операционной системы, сохранении установленных параметров настройки и удалении временных файлов, созданных в процессе инсталляции. Процедура довольно продолжительная, протекает она в автоматическом режиме, не требующем никакого вмешательства, и полчаса или минут 40 свободного времени вам обеспечено.
21. После этого шага мастер установки предложит извлечь компакт-диск из устройства CD-ROM и нажать кнопку Готово (Finish), чтобы перезагрузить систему. Можно поздравить себя с успешным завершением процедуры инсталляции и перезагрузиться.
22. Тем не менее это еще не все. По завершении инсталляции запустится программа Настройка сервера (Configure Your Server), которая появится после того, как вы зарегистрируетесь в системе от имени пользователя Администратор. Данная программа будет доступна в любой момент через меню Пуск (программная группа Администрирование). (Процесс конфигурирования различных служб Windows 2000 Server рассматривается в других главах книги.) При первой загрузке Windows 2000 Professional пользователи должны выполнить еще один дополнительный шаг, который не повторится больше никогда: запустится Мастер сетевой идентификации (Network Identification Wizard), который предоставляет пользователю возможность создать новую учетную запись пользователя, отличную от учетной записи Администратор. Эта программа предлагает на выбор две опции, которые заслуживают отдельного рассмотрения (рис. 1.2). Первая из них — Требовать ввод имени пользователя и пароля (Users must enter a user name and password to use this computer) — устанавливает точно такое же положение вещей, какое существовало в Windows NT 4.0: после первой перезагрузки вам потребуется зарегистрироваться в системе как Администратор, вручную создать еще одну или несколько учетных записей пользователей. После этого можно регистрироваться в системе от имени одного из этих пользователей и начинать конфигурировать систему и устанавливать приложения. Именно эту опцию и рекомендуется выбирать, так как вторая — Всегда использовать следующее имя пользователя (она предлагается по умолчанию, и соглашаться с ней, честное слово, не стоит) — настраивает систему на автоматическую регистрацию одного из пользователей (причем, если во время инсталляции была выбрана опция присоединения к домену, то из раскрывающегося списка можно будет выбрать имя одного из пользователей домена и ввести пароль, а если компьютер принадлежит к рабочей группе, то ваш выбор ограничится пользователем Администратор и пользователем с именем, составленным на основе информации, которую вы ввели во время инсталляции). Что бы вы ни выбрали (этого пользователя или Администратора), с точки зрения безопасности это будет просто скверно (хотя вполне допустимо для домашнего компьютера, на котором работает только один человек). Выбирайте первую опцию, и регистрируйтесь в системе каждый раз при ее загрузке, как это было в Windows NT 4.0. Разумеется, как только вы выберете первую опцию, система сразу же предложит вам зарегистрироваться. В ходе выполнения процедуры регистрации в системе для пользователя Администратор будет создан пользовательский профиль. На этом процедура инсталляции будет завершена.
Рис. 1.2. Окно Мастера сетевой идентификации (Network Identification Wizard)

В ходе инсталляции операционной системы Windows 2000 пользователю,

выполняющему установку, требуется принимать следующие решения:

Решения, связанные с конфигурированием разделов на жестком диске
Выбор файловой системы

Эти темы подробно обсуждаются далее.

 

1-1.jpg

Изображение: 

1.2.gif

Изображение: 

5. Конфигурирование разделов на жестком диске

 

Конфигурирование разделов на жестком диске

В процессе инсталляции Windows 2000 программа установки предлагает пользователю выбрать раздел жесткого диска для установки системы. Создавать разделы на жестком листке можно следующими способами:

Если на компьютере уже установлена предыдущая версия Windows NT (например. Windows NT 4.0), то разделы на жестком диске можно создать с помощью утилиты Disk Administrator (для ее вызова следует в меню Start выбрать команду Programs | Administrative Tools (Common) | Disk Administrator).
Если на компьютере нет ни одной установленной операционной системы, но в вашем распоряжении имеется загрузочная дискета MS-DOS, на

которой содержится программа fdisk, то разделы на жестком диске можно создать с помощью этой программы.

Наконец, программа установки Windows 2000 отображает на экране опцию, позволяющую создать раздел для системы (при условии, что на диске имеется свободное пространство).

Когда на жестком диске создается первый (основной) раздел, программа, используемая для этой цели, создает главную загрузочную запись {Master Boot Record, MBR) и записывает ее в первый сектор на жестком диске (цилиндр 0, головка 0, сектор I). Главная загрузочная запись содержит таблицу разделов (Partition Table), в которой хранится информация обо всех разделах, определенных на диске. При внесении изменений в разделы, существующие на жестком диске (например, при их создании, удалении или форматировании), программа, используемая для этой цели, вносит изменения в таблицу разделов.

Главная загрузочная запись содержит таблицу разделов диска и небольшой объем исполняемого кода. На компьютерах на базе процессоров Intel исполняемый код читает таблицу разделов и определяет системный раздел, находит его начало и загружает в память загрузочный сектор раздела (Partition Boot Sector). Главная загрузочная запись обычно не зависит от операционной системы (например, на платформах Intel она используется для запуска любой из операционных систем). Что касается загрузочного сектора раздела, то он зависит как от операционной системы, так и от применяемой на данном томе файловой системы.

Предупреждение

Существует большое количество вирусов, поражающих главную загрузочную запись, которая является одной из самых важных структур данных, имеющихся на диске. Поскольку код, содержащийся в главной загрузочной записи, исполняется до запуска какой бы то ни было операционной системы, в случае повреждения главной загрузочной записи загрузка компьютера с жесткого диска становится невозможной. В составе программного продукта Windows NT Resource Кit имеется утилита Disksave, позволяющая создавать резервные копии главной загрузочной записи в виде двоичных файлов и при необходимости выполнять восстановление главной загрузочной записи по этим резервным копиям. Можно также воспользоваться консолью восстановления Windows 2000 (Recovery Console).

Планированию разделов на жестком диске следует уделить особенно пристальное внимание, если вашей целью является создание системы с двойной загрузкой, где кроме Windows 2000 требуется загружать еще одну или несколько операционных систем. Microsoft настоятельно рекомендует устанавливать Windows 2000 в отдельный раздел жесткого диска. Установка Windows 2000 в один раздел с другой операционной системой принципиально возможна, но делать это не рекомендуется.

Раздел жесткого диска, на который выполняется установка файлов Windows 2000, должен располагаться на несъемном жестком диске. В этом разделе необходимо иметь объем свободного пространства, достаточный для размещения всех файлов. В системных требованиях, приведенных ранее в этой главе, указаны требования к дисковому пространству, которым необходимо располагать для того, чтобы установка операционной системы Windows 2000 прошла успешно.

Системным разделом (system partition) называется раздел жесткого лиска, на котором располагаются файлы, необходимые для загрузки и инициализации Windows 2000. В качестве системного раздела может использоваться только основной раздел.

Примечание

Некоторые программы, в том числе программа fdisk из состава MS-DOS, программа Windows NT 4.0 Disk Administrator и оснастка Управление дисками (Disk Management) e Windows 2000 используют для обозначения системного раздела термин "активный раздел" (active partition). В то же время повсеместно в литературе (в том числе и в сопроводительной документации к программному продукту Resource Kit) основной раздел, который содержит зависящие от аппаратной платформы файлы, необходимые для загрузки операционной системы, называется системным разделом (system partition). Разумеется, при этом очень часто возникает путаница. Какой из этих терминов будете применять вы, является вопросом личных предпочтений — лишь бы вы хорошо понимали смысл этого термина, а именно: системным (активным) разделом является тот раздел, л юбая программа, выполняющая установку системного раздела с помощью команд типа Mark Partition Active, просто устанавливает поле Boot Indicator для основного раздела, помечаемого активным, и сбрасывает это поле для раздела, помечено то как активный ранее. То же самое делает и программа установки Windows 2000 — она помечает активным раздел, в который копируются загрузчик и другие файлы, необходимые для запуска операционной системы.

Последовательность событий, происходящих при запуске, будет подробно рассматриваться в главе 2. Загрузочный раздел (boot partition) — это раздел, который содержит системные файлы Windows 2000 (имеется в виду папка %SystemRoot%), и этот раздел может как совпадать, так и не совпадать с системным.

Если вы устанавливаете новую копию Windows 2000 в разделе, входящем в состав зеркального набора, перед запуском программы установки зеркальные диски необходимо отключить. После установки Windows 2000 зеркальный набор дисков можно будет создать заново.

Предупреждение

Если жесткий диск содержит чередующиеся наборы (stripe set), наборы томов (volume set) или зеркальные наборы (mirror set), то все эти элементы появляются на экране программы установки, помеченные строкой Windows NT Fault Tolerance (хотя наборы томов по сути и не являются отказоустойчивыми!). Соблюдайте осторожность— ни один из таких элементов удалять нельзя. Кроме того, не удаляйте разделы, на которых находятся данные, которые могут потребоваться впоследствии — когда данные потребуются, вы уже не сможете их восстановить.

Предупреждение

Windows 2000 не поддерживает программ сжатия DriveSpace и DoubleSpace. Программа установки проверит, имеется ли на несжатых дисках достаточный объем свободного пространства, позволяющий провести инсталляцию, и только после этого начнет процедуру установки. Сжатый том останется на жестком диске, но программа не сможет смонтировать его. Данные и файлы, находящиеся на сжатом томе, будут доступны только в том случае, если компьютер загружается под управлением предыдущей операционной системы. Если активный загрузочный раздел преобразован в формат NTFS. то будет утрачена возможность загрузки предыдущей операционной системы, и сжатые тома будут недоступны. Таким образом, если требуется выполнить обновление версии Windows 95 до Windows 2000. необходимо предварительно осуществить декомпрессию всех томов, сжатых при помощи DriveSpace или DoubleSpace.

Примечание

Winnt.exe и Winnt32.exe представляют собой исполняемые инсталляционные файлы. Они выведут сообщение об ошибке, если ни на одном диске не окажется достаточного объема свободного пространства или если диск, указанный при помощи ключей /t или /tempdrive, не имеет достаточного объема свободного пространства. В случае, если происходит такая ошибка, необходимо освободить на одном из дисков объем пространства, достаточный для проведения инсталляции, и повторно запустить программы Winnt или Wmnt32.

 

6. Выбор файловой системы

 

Выбор файловой системы

Данный раздел содержит некоторые общие рекомендации относительно выбора файловых систем: FAT, FAT32 или NTFS. Подробно свойства этих систем рассматриваются в главе 7 (рекомендуется предварительно ознакомиться с этой главой, если вы не уверены в своем выборе). На компьютере, работающем под управлением Windows 2000, можно использовать любую из этих файловых систем (хотя для серверной платформы всегда предпочтительнее выбирать NTFS). Кроме того, эти файловые системы можно использовать и совместно. На выбор файловой системы оказывают влияние следующие факторы:

Цель, для которой предполагается использовать компьютер (сервер или

рабочая станция)

Количество жестких дисков и их объем а Требования к безопасности
Необходимость использования дополнительных возможностей NTFS 5.0

NTFS no сравнению с FAT предоставляет целый ряд преимуществ, которые будут описаны далее в этой главе. Однако, если вы в дополнение к Windows 2000 намерены использовать еще одну операционную систему, помните, что доступ к файлам, расположенным в разделах NTFS, можно будет получить только через Windows 2000. Поэтому для системного и загрузочного разделов другой операционной системы необходимо использовать иную файловую систему (иначе эта операционная система просто не сможет загрузиться).

 

7. FAT

 

FAT

Файловую систему FAT, вследствие больших накладных расходов, не рекомендуется использовать для томов, размер которых превышает 511 Мбайт. Файловая система FAT предоставляет следующие преимущества:

Файловая система FAT может использоваться не только с Windows NT/2000, но и с другими операционными системами, включая Windows 9x, Windows for Workgroups, MS-DOS и OS/2.
Использование файловой системы FAT является лучшим выбором для томов небольшого размера, так как в этом случае накладные расходы минимальны. На томах, размер которых не превышает 500 Мбайт, она работает очень хорошо. Однако на больших томах (1 Гбайт и более) FAT становится крайне неэффективной.
Для томов, размер которых находится в пределах 400—500 Мбайт, FAT является предпочтительным выбором по сравнению с NTFS, поскольку лишена накладных расходов NTFS, связанных с дисковым пространством: при форматировании тома для использования файловой системы NTFS создается целый ряд системных файлов и файл журнала транзакций, которые потребляют некоторый процент дискового пространства (и для небольших томов этот процент значителен).

 

8. FAT32

 

FAT32

32-разрядная файловая система FAT32 была введена с выпуском Windows 95 OSR2, и ее поддержка обеспечивается в Windows 98. Она обеспечивает оптимальный доступ к жестким дискам, повышая скорость и производительность всех операций ввода/вывода. FAT32 представляет собой усовершенствованную версию файловой системы FAT, предназначенную для использования на томах, объем которых превышает 2 Гбайт. Windows 2000 продолжает поддерживать файловую систему FAT, а также добавляет дополнительную поддержку для FAT32.

Возможности файловой системы FAT32 намного превышают возможности файловой системы FAT16. Так, эта файловая система поддерживает жесткие диски, размер которых может достигать теоретического предела 2 терабайта.

В дополнение к этому, FAT32 уменьшает размер кластера на больших дисках, снижая таким образом объем неиспользуемого пространства. Например, при использовании FAT16 на жестком диске размером 2 Гбайт, размер кластера будет составлять 32 Кбайт. Если этот же диск отформатировать с использованием FAT32, то размер кластера будет составлять только 4 Кбайт, Все утилиты Microsoft, предназначенные для работы с дисками (Formal. FDISK, Defrag и ScanDisk), были переработаны для обеспечения поддержки FAT32. Кроме того, Microsoft проводит большую работу по поддержке ведущих фирм-производителей драйверов устройств и утилит для работы с диском, чтобы помочь и в обеспечении поддержки FAT32 в их продуктах. Итак, файловая система FAT32 обеспечивает следующие преимущества по сравнению с прежними реализациями файловой системы FAT:

Обеспечивается поддержка дисков размером до 2 терабайт.
Более эффективно используется дисковое пространство. За счет того, что FAT32 использует более мелкие кластеры (так, для дисков размером до 8 Гбайт используются кластеры размером по 4 Кбайт), что позволяет повысить эффективность использования дискового пространства на 10—15% по сравнению с FAT, а также снизить требования к ресурсам, необходимым для работы компьютера.
Обеспечивается большая надежность. FAT32 обладает возможностью перемещения корневого каталога и использования резервной копии FAT вместо стандартной копии по умолчанию. В дополнение, загрузочная запись на дисках FAT32 была расширена, и включает в свой состав резервные копии наиболее важных структур данных. Это означает, что диски FAT32 менее чувствительны к одиночным сбоям, нежели тома FAT.
Более быстрая загрузка программ. Благодаря тому, что FAT32 имеет меньшие размеры кластеров, приложения и необходимые для их загрузки файлы могут быть оптимальным образом размещены на диске.

Примечание

Windows 2000 поддерживает том FAT32. имеющие любой объем и созданные версиями Windows Эх. Однако система будет форматировать тома FAT32 только в том случае, если их объем не превышает 32 Гбайт. Причиной этого ограничения являются ограничения по памяти, присущие таким утилитам восстановления, как Autochk. Вследствие этого ограничения Microsoft рекомендует форматировать тома, размер которых превышает 32 Гбайт, с помощью файловой системы NTFS.

 

9. Преимущества NTFS

 

Преимущества NTFS

Файловая система Windows NT (NTFS) обеспечивает такое сочетание производительности, надежности и эффективности, которое невозможно предоставить с помощью любой из реализаций файловой системы FAT (как FAT16,

так и FAT32). Основными целями разработки NTFS являлись обеспечение скоростного выполнения стандартных операций над файлами (включая чтение, запись, поиск) и предоставления дополнительных возможностей, включая восстановление поврежденной файловой системы на чрезвычайно больших дисках. Кроме того, NTFS обладает механизмами зашиты данных, необходимыми на файловых серверах и высокопроизводительных компьютерах в корпоративных средах. Файловая система NTFS поддерживает контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности жизненно важных конфиденциальных данных. Общие папки на компьютере с Windows 2000 имеют назначенные им права доступа, папки и файлы NTFS могут иметь назначенные им права доступа вне зависимости от того, являются они разделяемыми или нет. NTFS — единственная файловая система в Windows 2000, которая позволяет назначать права доступа к отдельным файлам. Однако, если файл будет скопирован из раздела или тома NTFS в раздел или том FAT, все права доступа и другие уникальные атрибуты, присущие файловой системе NTFS, будут потеряны.

Файловая система NTFS является простой и одновременно — чрезвычайно мощной. Практически все объекты, которые имеются на томе, представляют собой файлы, а все, что имеется в файле, представляет собой атрибуты, включая атрибуты данных, атрибуты системы безопасности, атрибуты имени файла. Каждый занятый сектор на томе NTFS принадлежит какому-нибудь файлу. Частью файла являются даже метаданные файловой системы (информация, которая представляет собой описание самой файловой системы). В системах Windows 2000 используется NTFS версии 5.0, на базе которой реализованы новые функциональные возможности: квоты диска, шифрование файлов и каталогов (EFS) и т. д. Эта файловая система не является совместимой с предыдущими версиями Windows NT, поэтому если загрузить более раннюю версию операционной системы, то разделы NTFS 5.0 будут недоступны (для Windows NT 4.0 нужно ставить Service Pack 4). При установке Windows 2000 на уже существующий том с предыдущими версиями NTFS произойдет автоматическая конвертация до NTFS 5.0; возможна также конвертация и других томов NTFS.

Некоторые из возможностей, обеспечиваемых на сегодняшний день только файловой системой NTFS, перечислены ниже:

NTFS обеспечивает широкий диапазон разрешений, в отличие от FAT, что дает возможность индивидуальной установки разрешений для конкретных файлов и каталогов. Это позволяет указать, какие пользователи и группы имеют доступ к файлу или папке и указать тип доступа.
Встроенные средства восстановления данных; поэтому ситуации, когда пользователь должен запускать на томе NTFS программу восстановления

диска, достаточно редки. Даже в случае краха системы NTFS имеет возможность автоматически восстановить непротиворечивость файловой системы, используя журнал транзакций и информацию контрольных точек.

Реализованная в виде В-деревьев структура папок файловой системы NTFS позволяет существенно ускорить доступ к файлам в папках большого объема по сравнению со скоростью доступа к папкам такого же объема на томах FAT.
NTFS позволяет осуществлять сжатие отдельных папок и файлов, можно читать сжатые файлы и писать в них без необходимости вызова программы, производящей декомпрессию.

 

10. Рекомендации по использованию файловых систем

 

Рекомендации по использованию файловых систем

При установке Windows 2000 пользователю предлагается выбрать файловую систему для раздела, в который будет ставиться система. Принимая это решение, следует учитывать приведенные ниже рекомендации:

Опцию FAT следует выбирать, если объем выбранного раздела жесткого диска не превышает 2 Гбайт, и при этом требуется обеспечить возможности доступа к файлам на этом разделе при загрузке компьютера под управлением таких операционных систем, как MS-DOS, Windows 3x, Windows 95, и OS/2.
Опцию FAT следует использовать и в том случае, когда необходимо обеспечить двойную загрузку компьютера с использованием Windows 2000 и таких операционных систем, как Windows 95 версии OSR2 или Windows 98, и при этом размер диска превышает 2 Гбайт. В этом случае диск будет отформатирован с использованием файловой системы FAT32.
Опцию NTFS следует выбирать, если требуется в полной мере воспользоваться преимуществами, предоставляемыми системой безопасности Windows 2000 и файловой системы NTFS. В этом случае программа установки отформатирует жесткий диск с использованием файловой системы NTFS 5.0.

Примечание

Выполнить преобразование файловой системы из формата FAT в формат NTFS можно в любое время после загрузки с помощью утилиты convert. Однако если требуется выполнить обратное преобразование (раздел NTFS преобразовать в раздел FAT), то необходимо выполнить резервное копирование всех файлов, отформатировать раздел заново (в результате чего все файлы будут уничтожены) и восстановить нужные файлы по резервной копии.

В процессе запуска Windows 2000 на компьютерах х86 система выполняет поиск некоторых файлов, которые находятся в корневом каталоге жесткого диска, содержащего системный раздел. Этот раздел может быть отформатирован и как FAT, и как NTFS. Его размер должен быть достаточным для того, чтобы разместить все нужные файлы, доступ к которым необходим при использовании конкретной файловой системы.

Примечание

Системный раздел содержит загрузочный сектор раздела (Partition Boot Sector) и другие файлы, необходимые для загрузки операционной системы, например, NTLDR (для компьютеров х86) или OSLOADER (для компьютеров на базе RISC-процессоров). В загрузочном разделе должна находиться папка с файлами операционной системы. Загрузочный и системный разделы могут как совпадать.

 

11. Способы установки Windows 2000

 

Способы установки Windows 2000

Система Windows 2000 поставляется на компакт-диске, и компания Microsoft предлагает множество вариантов инсталляции, из которых пользователь может выбрать наиболее подходящий. В целом, способы установки Windows 2000 можно классифицировать следующим образом:

По типу используемого носителя дистрибутивных файлов

Здесь можно выделить следующие варианты:

  • установка с использованием только дистрибутивного компакт-диска
  • установка с использованием дистрибутивного диска и четырех инсталляционных дискет
  • установка с локального жесткого диска
  • установка через сеть (как с использованием установочных дискет, так

    и без их использования)

В каком случае можно выполнить инсталляцию файлов Windows 2000 с использованием только дистрибутивного компакт-диска (не используя инсталляционные дискеты и не прибегая к копированию файлов на жесткий диск)? Это возможно, если компьютер снабжен загрузочным устройством CD-ROM (так называемым EI Torito-совместимым CD-ROM). Но как же определить, является ли устройство CD-ROM, установленное на компьютере, загрузочным? Простейшим методом является попытка загрузить компьютер с компакт-диска. Чтобы сделать это, вставьте дистрибутивный компакт-диск Windows 2000 в устройство CD-ROM, затем остановите операционную систему и выключите компьютер. После этого включите компьютер, и если программа установки Windows 2000 запускается автоматически, то устройство CD-ROM является загрузочным. В этом случае процедуру установки можно продолжать, следуя инструкциям, появляющимся на экране. Если же загрузка с компакт-диска не начинается, то ваше устройство CD-ROM не является загрузочным. В этом случае извлеките из устройства компакт-диск, а затем запустите процедуру установки с использованием загрузочной установочной дискеты.

По отношению к существующей системе

На выбор пользователей предоставляются следующие варианты:

  • создание новой инсталляции Windows 2000
  • обновление существующей операционной системы до Windows 2000
  • организация системы с двойной загрузкой

Перед запуском процедуры установки необходимо определить, требуется ли осуществить обновление существующей операционной системы или '' выполнить новую инсталляцию. Обновлением (upgrading) называется установка Windows 2000 в текущий каталог Windows. Установка Windows 2000 в любую другую папку представляет собой новую инсталляцию. При обновлении операционной системы сохраняется большинство системных параметров настройки, а также большинство уже установленных в системе приложений. Обновление до Windows 2000 допускает любая из предыдущих версий Windows NT (3.51, 4.0).

Если на компьютере не установлена ни одна операционная система, или же на нем установлена операционная система, отличная от Windows, то установка Windows 2000 возможна, но при этом необходимо выполнять новую инсталляцию, а не обновление. Кроме того, опцию новой инсталляции следует выбирать в тех случаях, когда требуется получить систему с двойной загрузкой (более подробная информация по данному вопросу будет приведена далее в этой главе).

По режиму установки

Установка может быть:

  • ручная (требующая вмешательства пользователя и ответов на запросы системы)
  • полуавтоматическая (с минимальным вмешательством со стороны пользователя)
  • полностью автоматическая

Итак, существует большое количество способов установки Windows 2000. Каждый из них имеет свои преимущества и недостатки, поэтому ваша задача заключается в том, чтобы определить, какой из способов будет для вас предпочтительным. Например, если операционную систему требуется установить только на одном компьютере, то метод установки с компакт-диска практически наверняка окажется самым быстрым. С другой стороны, если установку требуется произвести на нескольких компьютерах, то более удобным будет метод инсталляции через сеть (хотя, если все инсталляции выполняются одновременно, а сервер сильно перегружен, эта

операция может занять много времени). Если же вам требуется выполнить установку Windows 2000 на большом количестве компьютеров в сжатые сроки, то, возможно, стоит подумать об использовании способа автоматической инсталляции. Наконец, в некоторых случаях выбираемый способ установки диктуется аппаратной конфигурацией устанавливаемого компьютера, который может удовлетворять минимальной аппаратной конфигурации, но не иметь устройства, необходимого для проведения того или иного способа инсталляции (например, сетевого адаптера).

 

12. Обычная установка Windows 2000

 

Обычная установка Windows 2000

Итак, все подготовительные операции выполнены, и вы готовы приступить к установке Windows 2000. На основании материалов, которые можно найти в электронных конференциях, можно сделать примерно следующий вывод: у одних пользователей установка Windows 2000 занимает около часа, в то время, как другие могут возиться с этой процедурой целый день (причем иногда даже не один). Почему это происходит? Чаще всего сложности, с которыми такие пользователи сталкиваются в процессе установки, являются результатом недостаточного планирования и отсутствия всякой подготовки. Поэтому, если вы не собрали минимального объема информации, необходимого дня успешной установки, вернитесь к предыдущим разделам этой главы, прочтите их и выполните все нужные подготовительные операции. В данном разделе подробно описана процедура инсталляции Windows 2000. Помимо этого, в нем обсуждается использование отладочной версии NTDETECT.COM — программы, выполняющей обнаружение аппаратных средств компьютера.

 

13. Запуск программы установки

 

Запуск программы установки

Как уже упоминалось в этой главе, процедуры запуска программы установки могут различаться, в зависимости от следующих факторов:

Способа доступа к инсталляционным файлам (с загрузочной установочной дискеты, с компакт-диска или через сеть).
Метода инсталляции, который может заключаться в обновлении версии для одной из предыдущих версий Windows или в выполнении новой инсталляции.
В случае обновления версии — от обновляемой операционной системы (Windows 3.jc, Windows 9:t или Windows NT).

Примечание

Программа Wlnnt.exe, используемая для запуска программы установки на компьютерах Windows 3.x, не появляется в окне File Manager, несмотря на то. что она присутствует на компакт-диске. Чтобы запустить программу установки на компьютере Windows 3.x, следует перейти в режим командной строки MS-DOS, перейти в каталог D:\I386 (где D: — буквенное обозначение привода CD-ROM), и ввести команду Winnt. или же выбрать команду Run меню File, а затем ввести путь к исполняемому файлу (например: d: \i386\Winnt. ехе).

Далее будут описаны шаги, которые требуется предпринять для запуска программы установки при использовании каждого из способов инсталляции.

 

14. Запуск программы установки с загрузочного компакт-диска

 

Запуск программы установки с загрузочного компакт-диска

Если в вашем распоряжении имеется дистрибутивный компакт-диск Windows 2000, и компьютер оснащен загрузочным (Е1 Torito-совместимым) устройством CD-ROM, то установку Windows 2000 можно выполнить непосредственно с компакт-диска, не прибегая к использованию установочных дискет.

 

15. Запуск программы установки с помощью загрузочных установочных дискет

 

Запуск программы установки с помощью загрузочных установочных дискет

Загрузочные установочные дискеты требуются, если установка Windows 2000 производится в первый раз на компьютер х86, не поддерживающий формат загрузочного компакт-диска Е! Torito. Эти дискеты требуются также в тех случаях, когда необходимо выполнить запуск операционной системы Windows 2000, которая не может быть загружена обычным образом вследствие системной ошибки.

Если загрузочных установочных дискет у вас нет, их можно создать следующим образом (предварительно загрузившись в любой операционной системе — так, чтобы имелся доступ к устройству CD-ROM):

1. Приготовьте четыре отформатированных пустых дискеты емкостью 1,44 Мбайт, и вставьте одну из них в дисковод.
2. Компакт-диск с дистрибутивным комплектом Windows 2000 вставьте в устройство CD-ROM.
3. На компакт-диске перейдите в каталог \Bootdisk и запустите команду makeboot.exe (в MS-DOS) ИЛИ makebt32.exe (в Windows 9* ИЛИ Windows NT/2000).
4. Следуйте инструкциям, появляющимся на экране.

Чтобы запустить программу установки с использованием установочных загрузочных дискет, проделайте следующее:

1. Выключите компьютер, вставьте в флоппи-дисковод дискету, помеченную как Установочный диск I Windows 2000 (Windows 2000 Setup Boot Disk).
2. Включите компьютер.

Программа установки запустится автоматически. Следуйте инструкциям, появляющимся на экране.

 

16. Программы WINNT и WINNT32

 

Программы WINNT и WINNT32

Два метода запуска процедуры установки Windows 2000, описанные в предыдущих разделах, могут использоваться как в случае, когда на компьютере уже имеется операционная система, так и в случае, когда ни одна операционная система еще не установлена.

Однако, если на компьютере уже имеется операционная система, можно воспользоваться ее средствами для запуска программы установки Windows 2000 с компакт-диска без использования установочных дискет или через сеть. В этом случае процедура установки выполняется с помощью утилит WINNT и WINNT32- Используемый тип утилиты (WINNT или WINNT32) определяется той операционной системой, под управлением которой работает компьютер на момент запуска инсталляции Windows 2000.

WINNT.EXE представляет собой 16-разрядную версию программы установки, которая может использоваться для запуска инсталляции Windows 2000 с компакт-диска или через сеть, если компьютер работает под управлением MS-DOS. Эта утилита не может использоваться, если компьютер работает под управлением Windows 9x или любой из версий Windows NT.
WINNT32.EXE — это 32-разрядная версия программы установки, которая может использоваться для инсталляции или обновления версии под управлением Windows 9x или любой из версий Windows NT. Явное преимущество этой программы по сравнению с 16-разрядной версией заключается в том, что она работает быстрее, имеет интуитивно понятный графический интерфейс, и, помимо этого, во время ее работы можно продолжать работу с другими программами.

Программа WINNT имеет следующие параметры:

winnt [/s{:исходный_путь]] [/t[:рабочий_диск]] [/u[:файл_ответов)] [/ udf :id[,UDF_файл]] [/r:папка] [/rх:папка] [/e:команда] [/а]

Назначение параметров рассматривается ниже:

/ s [:исходаый_путь] — указывает путь к дистрибутивным файлам Windows 2000. При использовании этого ключа необходимо указывать полный путь к дистрибутивной папке в форме х:\[путь] или \\сервер \общий_ресурс[\путь].

/ t [:раоочий_диск] — указывает диск, на который будут копироваться временные файлы. Если диск не указан, то программа установки по умолчанию выберет диск, на котором имеется наибольший объем свободного пространства.

/ u [:файл_ответоа] — используется при автоматической инсталляции для указания файла ответов (answer_file). Также следует указать ключ / s . / udf :id[,UDF_файл] — указывает идентификатор (id), определяющий значения в UDF-файле (см. описание ниже), используемые для модификации файла ответов.

/ r :папка — указывает необязательную папку для установки, эта папка остается после процедуры установки.

/ :папка— указывает необязательную папку для копирования, эта папка впоследствии удаляется.

/ e :команда — указывает команду, которая должна быть выполнена при завершении графической стадии инсталляции.

/ а активизировать специальные опции для людей с ограниченными физическими возможностями (accessibility options). Программа WINNT32 имеет следующие параметры:

winnt32 [/ s :исходный_путь] [/ tempdrive :илеграбочий_диск] l/ unattend [число] [:файл_ответов]] [/ copydir :папка] [/ соруsource :папка] [/ cmd : команда] [/ debug [уровень]:[имя_файла]] [/ udf :id[, UDF_файл]] [/ syspart :имя_диска][ /checkupgradeonly ][/ cmdcons ][/ m : папка] [/ makelocalsource ][/ noreboot ]

где

/ s : исходный_путь — указывает местоположение файлов Windows 2000. Если требуется одновременно выполнять копирование через сеть с нескольких серверов, следует указать несколько путей с параметром /а. / tempdrive :paбочий_диск — указывает программе установки на необходимость размешать временные файлы на указанном диске и устанавливать Windows 2000 на этом диске.

/ unattend — выполняет обновление предыдущей версии Windows NT в автоматическом режиме. Все пользовательские параметры настройки берутся из предыдущей инсталляции, поэтому в процессе установки вмешательство пользователя не требуется.

/ unattend [число]: [файл__ответов] — выполняет новую инсталляцию в автоматическом режиме. Параметр число указывает количество секунд, через которое программа установки выполняет перезагрузку после завершения копирования файлов. Параметр файл ответов указывает имя файла, который содержит информацию, получаемую от пользователя.

/ copydir :папка — создает дополнительную папку в пределах папки, в которую устанавливаются файлы Windows 2000.

/ copysource :лапка — временно создает дополнительную папку в пределах папки, в которую устанавливаются файлы Windows 2000. Созданная папка

будет использоваться в процессе инсталляции, но, в отличие от папок, созданных с помощью опции / copydir , папки, созданные с помощью опции / copysource , будут удалены по завершении установки.

/ cmd : команда — указывает программе установки на необходимость запуска команды, указанной параметром команда, перед началом завершающей стадии установки (после второй перезагрузки компьютера, но до завершения работы программы установки).

/ debug [ypoвень]: [имя_файла] — создает отладочный журнал с указанным уровнем. Имя файла журнала по умолчанию — C:\Winnt32.log, а уровень отладочной информации равен 2 (предупреждение — warning).

/ udf :id[,UDF_фaйл] — указывает идентификатор (id), который программа установки использует для указания метода, с помощью которого файл базы данных уникальности (Uniqueness Database File, UDF) модифицирует файл ответов. UDF имеет приоритет перед файлом ответов, и данный идентификатор указывает, какие значения из файла UDF требуется использовать, / syspart :имя_диска — дает программе установки указание скопировать файлы, необходимые для начала установки, на жесткий диск и пометить этот диск как активный. Диск после этого извлекается и устанавливается на другой компьютер. При включении этого компьютера программа установки запускается автоматически, и начинается следующий этап установки. С этим параметром необходимо использовать параметр / tampdrive .

/ checkupgradeonly — не устанавливает Windows 2000, а только проверяет компьютер на возможность обновления операционной системы до Windows 2000. Результатом работы Winnt32 с этой опцией является файл отчета (в Windows 9л отчет сохраняется в файле Upgrade.txt в папке Windows, а в Windows NT этот файл называется Winnt32.log).

/ cmdcons — может использоваться только после инсталляции Windows 2000. Добавляет консоль восстановления (Recovery Console) в состав меню загрузки Windows 2000. Более подробно будет описана в главе 8.

/ m :папка — указывает программе установки на необходимость копирования файлов из альтернативной папки.

/ makelocasource указывает программе установки на необходимость скопировать все дистрибутивные файлы на локальный жесткий диск.

/ noreboot — указывает программе установки не перезагружать компьютер после завершения копирования файлов.

Зная синтаксис команд WINNT и WINNT32, вы с легкостью сможете запустить программу инсталляции Windows 2000. Дистрибутивные файлы при этом могут находиться на компакт-диске, их можно скопировать на локальный жесткий диск или в общий сетевой каталог.

 

17. Запуск программы установки через сеть

 

Запуск программы установки через сеть

Если дистрибутивные файлы Windows 2000 находятся на предоставленном в общее использование сетевом диске, то программу установки можно запустить через сеть. Чтобы запустить программу установки через сеть:

1. Используя средства существующей операционной системы или с помощью загрузочного диска сетевого клиента Microsoft, установите соединение с сетевым каталогом, в котором располагаются дистрибутивные файлы.
2. Если на текущий момент компьютер работает под управлением таких операционных систем, как Windows 9л: или Windows NT предыдущих версий, введите в командной строке команду winnt32. Если компьютер работает под управлением одной из следующих операционных систем: MS-DOS, Windows 3.1 или Windows for Workgroups, дайте в командной строке команду winnt.

Продолжайте процедуру установки, следуя инструкциям, появляющимся на экране.

 

18. Обновление существующих систем

 

Обновление существующих систем

При обновлении (upgrade) операционных систем Windows установка автоматически производится в тот же каталог, в котором находится существующая операционная система. При этом программу установки необходимо запускать под управлением обновляемой операционной системы. Иными словами, нельзя выполнить обновление Windows NT 4.0, используя загрузочные инсталляционные дискеты.

Ваше решение о том, производить ли установку в папку, предложенную программой установки (обновление), или указать для установки новую папку (новая инсталляция), должно основываться на следующих факторах:

Требуется ли вам, чтобы программа установки перенесла в новую систему параметры настройки реестра, существовавшие в предыдущей операционной системе? (Параметры реестра управляют системными настройками, конфигурацией системы и приложений.) Если такая необходимость существует, следует выбрать опцию обновления (upgrade), при которой установка будет произведена в текущую папку Windows.
Нужна ли вам возможность выбора операционной системы при загрузке компьютера (конфигурация с двойной загрузкой)? Если такая возможность вам нужна, следует указать отдельную новую папку (новая инсталляция). В этом случае переноса приложений в новую систему не произойдет, и все приложения, которые использовались в прежней системе и должны использоваться в новой, будут требовать повторной инсталляции.

 

19. Обновление версий Windows до Windows 2000

 

Обновление версий Windows до Windows 2000

Windows 2000 Professional призвана заменить Windows 9x в качестве стандартной операционной системы для настольных и портативных компьютеров. До Windows 2000 Professional можно обновить следующие операционные системы:

Windows NT Workstation 4.0
Windows NT Workstation 3.51
Windows 98 (98 SE)
Windows 95

До Windows 2000 Server можно обновить следующие операционные системы:

Windows NT Server 4.0
Windows NT Server 4.0 Terminal Server
Windows NT Server 3.51

Примечание

Системы Windows NT 4.0 будут предоставлять самый простой вариант обновления до Windows 2000, поскольку, несмотря на значительное количество нововведений, появившихся в новой версии, эти две системы имеют много общего, в том числе: очень похожие базы данных реестра, одну и ту же архитектуру файловой системы и папок, одинаковую архитектуру системы безопасности, архитектуру ядра операционной системы и модель драйверов устройств. Следует также отметить, что многие знания, полученные в процессе работы с Windows NT 4.0, пригодятся и в процессе работы с Windows 2000 (однако отличия доменных моделей будут существенными! См. главы 23—25).

Сам по себе процесс обновления является в высокой степени автоматизированным, и в большинстве случаев будет протекать без проблем. Однако важно отметить, что для обеспечения гладкого перехода в среде крупного предприятия следует все же провести некоторую подготовительную работу.

Перед тем как осуществлять массовый переход пользователей с Windows NT:

Протестируйте все приложения, необходимые для нормальной работы предприятия и убедитесь, что они хорошо работают под управлением Windows 2000.
Убедитесь, что для всех аппаратных устройств имеются драйверы, работающие в Windows 2000. Список драйверов устройств можно найти по адресу http://www.niicrosoft.com/winditws/winlogo,
Запустите программу установки, которая выполнит перенос максимального количества информации из реестра Windows NT в реестр Windows 2000.

Поскольку Windows NT 4.0 и Windows 2000 имеют немало общего, многие приложения, работающие под управлением Windows NT 4.0, будут работать без модификации и под управлением Windows 2000. Сам процесс обновления очень прост, автоматизирован и практически не требует никакой дополнительной подготовки, за исключением лабораторного тестирования приложений, играющих важную роль для повседневной работы предприятия или организации.

Примечание

Однако между Windows NT 4.0 и Windows 2000 существует и ряд различий. В качестве примерз можно привести антивирусное программное обеспечение, которое при переходе потребуется обновить вследствие различий в использовании фильтров файловой системы (различия объясняются модификациями, внесенными в реализацию NTFS). Для сетевых приложений сторонних фирм может потребоваться обновление сетевых компонентов (например, стеков TCP/IP).

 

20. Организация систем с двойной загрузкой

 

Организация систем с двойной загрузкой

Если требуется создать систему с двойной загрузкой, в которой компьютер, в дополнение к Windows 2000, можно загрузить под управлением другой операционной системы (например, MS-DOS или Windows 9x), рекомендуется при установке соблюдать следующие предосторожности: П Если требуется создать конфигурацию с двойной загрузкой, при которой компьютер может работать под управлением MS-DOS и Windows 2000, необходимо сначала установить операционную систему MS-DOS. Причина этого заключается в том, что если устанавливать MS-DOS после Windows 2000, загрузочный сектор жесткого диска может быть переписан, что сделает невозможной загрузку Windows 2000. Для восстановления возможности загрузки Windows 2000 потребуется воспользоваться диском аварийного восстановления (Emergency Repair Disk, ERD) или консолью восстановления (Recovery Console). Подробную информацию по данному вопросу можно найти в главе 8.

Если создается система с двойной загрузкой, и при этом в качестве второй операционной системы будет использоваться MS-DOS, убедитесь в том, что системный раздел (диск С:) отформатирован как FAT (если в качестве второй операционной системы будут применяться Windows 95 OSR2 или Windows 98, то системный раздел может быть отформатирован для использования FAT32). Файлы Windows 2000 можно установить на любой несжатый раздел, на котором имеется достаточный объем свободного пространства.
Системы Windows 95 OSR2 и Windows 98 можно устанавливать и после Windows 2000, однако для перестраховка рекомендуем сохранять master

boot sector и загрузочный сектор (boot sector) (для этого можно воспользоваться утилитой disksave из Windows NT Resource Kit). Восстановить загрузочный сектор можно также при помощи консоли восстановления или лиска аварийного восстановления (см. главу 8).

Чтобы использовать преимущества NTFS и одновременно с этим сохранить возможность использования другой операционной системы, необходимо иметь не менее двух разделов на жестком диске. Диск С: следует отформатировать с использованием файловой системы, поддерживаемой как Windows 2000, так и другой операционной системой — например, наиболее распространенным вариантом является форматирование этого раздела с применением файловой системы FAT. Другой раздел жесткого диска следует отформатировать для файловой системы NTFS.

Предупреждение

Особенно осторожными при установке Windows 2000 должны быть владельцы систем Windows NT 4.0, которые как минимум должны иметь установленный пакет SP4 (более ранние версии вообще не будут работать после установки Windows 2000). При инсталляции систем Windows 2000 выполняется автоматическая конвертация всех ранее созданных локальных разделов NTFS в NTFS 5.0. и эта операция необратима. После этого нельзя уже будет переустанавливать старую систему Windows 4.0 (поскольку изначально она не может работать с томами NTFS 5.0). Кроме того, "старая" утилита chkdsk не работает с томами NTFS 5.0, и их проверку можно будет выполнять только из Windows 2000, могут быть и дополнительные "последствия" такого преобразования. Поэтому категорически не рекомендуется делать экспериментальные установки Windows 2000 на рабочих машинах, поскольку их эксплуатация будет заметно осложняться!

Предупреждение

Попытка установки Windows 2000 на сжатый том, созданный при помощи любой утилиты сжатия, отличной от сжатия NTFS. неизбежно закончится неудачей.

Примечание

Принципы создания систем с двойной загрузкой применимы и к процессу конфигурирования системы с множественной загрузкой— т.е. такой системы, в которой операционных систем может быть 3, 4 и бопее. Например, на компьютер можно одновременно установить (нужно лишь использовать разные разделы) Windows 9x, Windows NT 4.0 (Workstation и/ипи Server). UNIX (Linux). Windows 2000 ( и/или Server) и т. д. При этом системы будут работать практически 'не видя" друг друга. "Соседство" одних систем обеспечить легче, для других сочетаний задача обеспечения одновременного существования нескольких систем может оказаться сложнее, но все равно разрешимой. Впрочем, такие нестандартные конфигурации могут понадобиться не обычным пользователям, а администраторам и разработчикам, которые — без сомнений! — справятся с подобной проблемой.

 

21. Автоматическая установка системы

 

Автома тическая установка системы

Компания Microsoft уделяет самое пристальное внимание стратегии и принципам развертывания своих операционных систем в организациях и на предприятиях. Автоматизация процесса инсталляции играет ключевую роль в снижении затрат на переход к использованию новой операционной системы. Метод автоматизации процесса установки будет зависеть от существующей инфраструктуры сети, количества и разнообразия конфигураций компьютеров, для которых будет выполняться обновление операционной системы, расписания процесса развертывания и других факторов. Основываясь на этих критериях, вы сможете легко и быстро осуществить развертывание Windows 2000. Для этого имеются следующие факультативные возможности:

Группа утилит, называемая Windows 2000 Deployment Tools, в число которой входят такие средства, как Windows 2000 Setup Manager (Setupnigr.exe), SysPrep.exe, и файл руководства Unattended Setup Parameters Guide (Unattend.doc). С помощью этих средств в случае необходимости можно выполнить автоматическую (unattended) установку Windows 2000 на большом количестве компьютеров. Средства развертывания и сопроводительная документация входят в состав Windows 2000 Resource Kit.
Специализированное программное обеспечение по управлению системами (пример — Microsoft Systems Management Server). Специализированное программное обеспечение по управлению системами позволяет запускать процедуру инсталляции с сервера и проводить весь процесс централизованно, даже не подходя к клиентским компьютерам. За счет этого небольшая группа администраторов сможет справиться с установкой Windows 2000 на большом количестве компьютеров в масштабах корпорации за сравнительно короткий промежуток времени. Кроме того, при использовании этого метода требуется минимум усилий от конечных пользователей, что позволит им не отвлекаться от своей основной работы. Наконец, освобождение от инсталляции новой операционной системы конечных пользователей ограничивает количество потенциальных ошибок инсталляции.

 

22. Файл ответов для автоматической инсталляции Windows 2000

 

Файл ответов для автоматической инсталляции Windows 2000

Файл ответов позволяет указать предопределенные ответы на вопросы, задаваемые в процессе инсталляции Windows 2000. Если один и тот же процесс требуется повторить не один раз, то такое решение является удачным. Если вы хотите использовать этот метод, приступайте к планированию автоматических инсталляций еще на этапе определения предпочтительной клиентской конфигурации. В процессе тестирования и определения эталонной конфигурации тщательно документируйте каждую особенность и каждую

модификацию. Это позволит впоследствии установить автоматический выбор соответствующих опций в ходе инсталляции.

Сразу же следует отметить, что файл ответов представляет собой текстовый файл, организованный по разделам. Файл ответов можно редактировать с помощью любого текстового редактора.

Файлы ответов создаются с помощью утилиты Setup Manager (Setupmgr.exe). Автоматическую инсталляцию Windows 2000 с помощью файла ответов можно выполнить, используя одну из следующих команд:

Winnt32 / unattend [число]:[файл_ответов]

Winnt / u [:файл_огаетов]

Здесь параметр файл_ответов указывает имя файла ответов, созданного с помощью Setup Manager. Обратите внимание, что автоматическая инсталляция происходит без использования установочных загрузочных дискет. Утилита Setup Manager может использоваться как для создания нового файла ответов, так и для редактирования существующего. Созданный файл ответов может использоваться в качестве шаблона для инсталляции операционной системы на группе компьютеров с похожей конфигурацией.

Чтобы создать новый файл ответов, проделайте следующее:

1. Установите на компьютере Windows 2000 Resource Kit — утилита Setup Manager будет инсталлирована вместе с ним.
2. В меню Пуск (Start) выберите команду Выполнить (Run) и введите в поле Команду setupmgr .
3. На экране появится приветственное окно мастера Windows 2000 Setup Manager Wizard. Следуя пошаговым инструкциям этого мастера, любой пользователь (даже неопытный) легко может выполнить нужную ему задачу.

Созданный файл ответов может использоваться в дальнейшем для автоматической инсталляции, командой SysPrep или службами удаленной установки (Remote Installation Services, RIS).

Необходимо заранее предусмотреть, как процедура инсталляции будет запускаться на каждом из намеченных для обновления операционной системы компьютеров, а также убедиться в том, что клиентские компьютеры сконфигурированы таким образом, чтобы поддерживать этот процесс. В крупных организациях, насчитывающих более 50 компьютеров, личное присутствие администратора на всех рабочих местах для инсталляции и конфигурирования клиентских компьютеров будет по меньшей мере неэффективно и дорого. Специализированное программное обеспечение типа Microsoft Systems Management Server, позволяющее автоматизировать этот процесс, дает возможность экономить деньги и рабочее время сотрудников, одновременно повышая производительность.

 

Глава 2. Загрузка операционной системы

Глава 2. Загрузка операционной системы

1. Запуск систем Windows 2000

 

Глава 2

Загрузка операционной системы

Пользователю, который "включил компьютер, но ничего не работает", обычно не до смеха, особенно если он не может самостоятельно выяснить, что случилось, и устранить неполадку. Посмотрим на вещи реально: поскольку проблемы с загрузкой возможны при работе с любой операционной системой, то и Windows 2000 не является исключением из общего правила. Несмотря на изменение названия (Windows 2000 вместо Windows NT 5.0), эта операционная система базируется на технологии NT (этот факт отражен в заставке, появляющейся при запуске систем). Именно по этой причине в процессе загрузки Windows 2000 могут возникать некоторые проблемы, с которыми сталкивались ранее пользователи операционных систем Windows NT. Тем не менее стоит порадовать пользователей и хорошими новостями: система действительно стала надежнее, стабильнее, и, кроме того, в ее состав добавлены новые средства устранения как проблем с загрузкой, так и других неполадок.

Грамотный пользователь не должен пугаться, услышав слова "boot-сектор", "главная загрузочная запись", "POST" и т. п. Чтобы по возможности быстро и с минимальными потерями выйти из ситуации, при которой возникают проблемы с загрузкой Windows 2000, необходимо знать, как происходит процесс загрузки, от момента включения компьютера и до регистрации пользователя в системе.

 

Запуск систем Windows 2000

Процессы, происходящие при успешном запуске компьютер; под управлением Windows 2000, перечислены ниже:

Самотестирование при включении (Power-On Self-Test, POST)
Инициализация при запуске (Initial startup process)
Работа загрузчика (Boot loader process)
  • Выбор операционной системы (при наличии нескольких систем)
  • Опознавание аппаратных средств
  • Выбор конфигурации
Загрузка ядра
  • Инициализация ядра
Регистрация пользователя

Процесс запуска начинается, когда пользователь выполняет одно из следующих действий:

Включает компьютер (который ранее был выключен)
Выполняет перезагрузку компьютера, выбрав опцию Завершение работы (Shutdown) в диалоговом окне Вход в Windows (Enter Password) или опцию Перезагрузка (Restart) в диалоговом окне Завершение работы Windows (Shut Down Windows)

К моменту регистрации пользователя в системе компьютер уже завершает загрузку Windows 2000 и большую часть процесса инициализации. Однако полностью все процессы будут завершены только после успешной регистрации пользователя в системе.

 

2. Условия успешной загрузки Windows 2000

 

Условия успешной загрузки Windows 2000

Чтобы система Windows 2000 начала загружаться, необходимо соблюдение следующих условий:

Корректная инициализация аппаратных средств компьютера
Наличие всех файлов, необходимых для загрузки системы

 

3. Самотестирование при включении

 

Самотестирование при включении

При включении питания или перезагрузке компьютер проходит стадию самотестирования (bootstrapping) аппаратных средств при включении питания (так называемую процедуру POST, Power-On Self-Test). В это время компьютер работает под управлением базовой системы ввода/вывода (Basic Input/Output System, BIOS). При возникновении проблем с аппаратными средствами или настройками уже на стадии POST, компьютер сигнализирует об этом серией звуковых сигналов. На этот случай следует иметь под рукой сопроводительную документацию, полученную от поставщика в комплекте с вашим компьютером.

 

4. Файлы, необходимые для запуска системы

 

Файлы, необходимые для запуска системы

Успешное завершение процедуры POST свидетельствует о корректной инициализации аппаратных средств компьютера. Теперь для запуска операционной системы требуется присутствие всех нужных файлов. Процедура запуска системы закончится неудачей, если хотя бы один из файлов, необходимых для ее загрузки, не будет найден или окажется поврежденным.

Файлы, необходимые для успешного запуска Windows 2000, перечислены в табл. 2.1.

Таблица 2.1. Файлы, необходимые для запуска Windows 2000

Файлы Местоположение
NTLDR Корневой каталог загрузочного диска
Boot.ini Корневой каталог загрузочного диска
Bootsect.dos (только в системах с двойной загрузкой, где в качестве альтернативной операционной системы используются MS-DOS, Windows 3.1x или Windows 9 x, этот файл необходим для загрузки альтернативной ОС) Корневой каталог загрузочного диска
Ntdetect.com Корневой каталог загрузочного диска
Ntbootdd.sys (только для SCSI) Корневой каталог загрузочного диска
Ntoskrnl.exe %SystemfloofS6\System32
Hal.dll %Systemfloof%\System32
Раздел реестра SYSTEM %SysfemffoomSystem32\Config
Драйверы устройств %Systemfloof%\System32\Drivers

Примечание

Для построения мультизагрузочной системы, где в качестве альтернативных ОС используются UNIX и Linux, можно скопировать загрузочный сектор раздела, в котором установлена эта операционная система, в файл в системном разделе NT/2000 и назвать этот файл, например, c:\bootsect.lnx или c:\bootsect.bsd (по аналогии с c:\bootsect.dos), а затем отредактировать файл boot.ini, добавив в раздел [operating systems] строки типа

С:\BOOTSECT.LNX="Linux"

С:\BOOTSECT.BSD="FreeBSD"

 

5. Инициализация при запуске

 

Инициализация при запуске

После успешного завершения процедуры POST начинается процесс инициализации при запуске: на компьютерах х86 системная BIOS ищет и загружает в память загрузочный сектор (boot sector), инструкции которого затем загружают в файл NTLDR.

После завершения тестов POST на компьютере х86 системная BIOS пытается обнаружить загрузочный диск. Порядок поиска загрузочного диска (флоппи-дисководы, жесткие IDE- и SCSI-диски, устройства CD-ROM) задается BIOS. Современные BIOS позволяют пользователю переконфигурировать этот порядок, называемый последовательностью загрузки (boot sequence). Подробную информацию о редактировании последовательности загрузки можно найти в сопроводительной документации к вашему компьютеру. Если при этом дисковод А: включен в последовательность загрузки первым, и в нем находится дискета, BIOS попытается использовать эту дискету в качестве загрузочной. Если дискеты в дисководе нет, BIOS проверяет первый жесткий диск, который к этому времени уже инициализировался. Для запуска огромное значение имеет первый сектор жесткого диска, который содержит главную загрузочную запись (Master Boot Record, MBR) и таблицу разделов (partition table).

Системная BIOS считывает главную загрузочную запись и загружает ее в память, а затем передает ей управление. Код, содержащийся в главной загрузочной записи, сканирует таблицу разделов в поисках системного раздела. Найдя системный раздел, MBR загружает в память его нулевой сектор и исполняет код, содержащийся в этом секторе. Сектор 0 на системном разделе, так называемый загрузочный сектор раздела (partition boot sector), содержит загрузочный код операционной системы. Этот код и осуществляет запуск операционной системы по способу, определенному данной операционной системой.

Примечание

Чтобы успешно выполнить загрузку Windows 2000 с дискеты, нужно, чтобы ее первым сектором был загрузочный сектор раздела. Кроме того, на этой дискете должны присутствовать все файлы, необходимые для загрузки Windows 2000. Более подробную информацию об изготовлении загрузочных дискет можно найти в главе 8, посвященной подготовке и проведению восстановительных работ.


Если на первом жестком диске нет системного раздела, главная загрузочная запись отобразит одно из следующих сообщений об ошибках:

invalid partition table (Неверная таблица разделов)
Error loading operating system (Ошибка загрузки операционной системы)
Missing operating system (Отсутствует операционная система)

Процедура идентификации и изменения системного раздела также описана в главе 8.

Как правило, главная загрузочная запись не зависит от конкретной операционной системы. Например, на компьютерах х86 одна и та же главная загрузочная запись служит для запуска Windows NT/2000, Windows 9x, а также комбинации MS-DOS/Windows 3.1*. Что касается загрузочного сектора раздела, то он зависит как от операционной системы, так и от используемой файловой системы. На компьютерах х86 загрузочный сектор раздела системы Windows 2000 отвечает за выполнение следующих действий:

Распознавание используемой файловой системы и ее применение для поиска загрузчика операционной системы (NTLDR) в корневом каталоге системного раздела. В томах FAT структура данных, называемая загрузочным сектором раздела, действительно имеет длину в 1 сектор физической разметки диска. В томах FAT32 эта структура занимает уже 2 сектора физической разметки диска, поскольку загрузочный код занимает более 512 байт. В томах NTFS загрузочный сектор раздела может занимать до 16 секторов, причем дополнительные секторы могут содержать код файловой системы, необходимой для поиска NTLDR.
Нахождение загрузчика операционной системы NTLDR и его загрузка в память.
Начало исполнения кода самозагрузки.

На компьютерах х86 системный раздел должен находиться на первом физическом жестком диске. Загрузочный раздел (который содержит системные файлы операционной системы Windows NT/2000) может совпадать с системным разделом, но может находиться и в другом разделе того же жесткого диска или даже на другом жестком диске.

Если первый жесткий диск не содержит системного раздела, который должен использоваться для запуска компьютера, необходимо отключить этот диск, чтобы BIOS могла получить доступ к нужному жесткому диску, с которого будет запускаться операционная система.

Подробная информация о том, почему в ряде случаев можно попытаться использовать для запуска компьютера другой диск, приведена в главе 8, посвященной подготовке и проведению восстановительных процедур.

Если в дисководе А: имеется дискета, BIOS загрузит в память первый сектор этой дискеты. Если дискета является системной, то ее первый сектор представляет собой загрузочный сектор раздела (Partition Boot Sector). Если дискета не является загрузочной и отформатирована под управлением MS-DOS или Windows 9x, то вы увидите на экране следующее сообщение об ошибке:

Non-System disk or disk error

Replace and press any key when ready

Если же дискета не загрузочная и отформатирована в Windows NT/2000, то сообщение будет таким:

Ntldr is missing

Press any key to restart

 

6. Работа загрузчика

 

Работа загрузчика

Загрузчик (boot loader) позволяет выбрать операционную систему, которую требуется запустить, и загружает файлы операционной системы из загрузочного раздела. В системах на базе процессоров х86 и системах на базе RISC-процессоров загрузчик работает по-разному. Общие задачи, выполняемые на данном этапе, сводятся к установке 32-разрядной модели памяти с прямой адресацией (flat addressing), сбору данных об аппаратной конфигурации, построению ее описания в памяти и передаче указателя на это описание в блок загрузчика. После этого NTLDR (для платформ х86) или OSLOADER (для платформ RISC) загружает образ ядра, HAL и драйверы для устройств и файловой системы тома, с которого производится загрузка системы. Помимо всего прочего, на данном этапе производится также и загрузка некоторых драйверов, для которых равен нулю параметр реестра Start, расположенный в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ ServiceName

Здесь ServiceName представляет собой имя сервиса, например:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi

Примечание

Важность системного реестра невозможно переоценить, т. к. уже на данном этапе (работа загрузчика) он становится необходимым для загрузки системы. Если раздел (hive) System, необходимый в том числе и для загрузки драйверов, не будет обнаружен (или окажется поврежденным), то на экране появится примерно такое сообщение об ошибке:

Не удается запустить Windows 2000 из-за испорченного или отсутствующего файла:

\WINNT\SYSTEM32\CONFIG\SYSTEM

Можно попробовать восстановить этот файл, запустив программу установки Windows 2000 с оригинальной установочной дискеты или CD-ROM. Выберите 'r' в первом диалоговом экране для запуска процедуры восстановления.

Подробную информацию о системном реестре, а также процедурах его резервного копирования и восстановления можно найти в главе 14 данной книги. Здесь же следует отметить, что раздел System в работающей системе пользователи видят в составе дерева HKEY_LOCAL_MACHINE. Этот раздел определяет порядок загрузки всех драйверов системы, и доступ к нему получают как загрузчики операционной системы (NTLDR или OSLOADER), так и Диспетчер ввода/вывода.

 

7. Функции загрузчика NTLDR

 

Функции загрузчика NTLDR

NTLDR управляет процессами выбора операционной системы и распознавания аппаратных средств перед инициализацией ядра Windows 2000. Загрузчик NTLDR должен находиться в корневом каталоге системного диска. Помимо этого в системном разделе должны присутствовать файлы, перечисленные в табл. 2.1.

Когда NTLDR начинает работу, он очищает экран и выполняет следующие действия:

Переключает процессор в режим использования 32-разрядной модели памяти с прямой адресацией. Компьютеры х86 при запуске стартуют в реальном режиме, подобном режиму, в котором стартуют процессоры 8088 и 8086. Поскольку NTLDR представляет собой 32-разрядную программу, для того чтобы загрузчик смог начать выполнять какие бы то ни было действия, процессор необходимо переключить в защищенный режим.
Запускает соответствующую минифайловую систему. Код, предназначенный для доступа к файлам на томах FAT и NTFS, встроен в NTFS. Этот код позволяет загрузчику читать файлы, получать доступ к ним и выполнять их копирование.
Читает расположенный в корневом каталоге системного диска файл Boot.ini и отображает на экране соответствующее меню для выбора загружаемой операционной системы. Экран, выводимый на данном этапе загрузки, называется экраном загрузчика (boot loader screen). Если компьютер сконфигурирован для загрузки нескольких систем, и пользователь выбирает операционную систему, отличную от Windows NT/2000, то NTLDR загружает в память файл Bootsect.dos и передает ему управление. Другая операционная система стартует как обычно, поскольку файл Bootsectdos содержит копию загрузочного сектора раздела, который находился на основном разделе или логическом диске до инсталляции Windows NT/2000.
Если выбрана одна из версий Windows NT/2000, то выполняется Ntdetect.com, чтобы собрать информацию о физических устройствах, подключенных на данный момент к компьютеру.
Загружает и запускает ядро операционной системы Ntoskrnl.exe и передает ему информацию, собранную программой Ntdetect.com.

 

8. Выбор запускаемой операционной системы

 

Выбор запускаемой операционной системы

Загрузчик операционной системы отображает на экране меню, в котором можно выбрать запускаемую операционную систему. Вид этого экрана зависит от информации, которая содержится в файле Boot.ini. Например, там можно увидеть следующее:

Выверите операционную систему для запуска:

Microsoft Windows 2000 Professional RUS

Microsoft Windows 2000 Server

Microsoft Windows 98

Используйте клавиши ­ и Ї для выделения нужной строки. Нажмите клавишу ENTER для подтверждения выбора. Выделенная система будет автоматически запущена через: 29

Для выбора особых вариантов загрузки Windows 2000 нажмите F8.

Выбор операционной системы, которую требуется запустить, ничем не отличается от аналогичного процесса при работе с другими версиями Windows NT (например, 3.51 и 4.0). Операционная система, указанная в приведенном списке первой, выбирается по умолчанию, и изначально курсор установлен на этой строке. Чтобы выбрать для запуска другую операционную систему, воспользуйтесь клавишами перемещения курсора (<­ > и <Ї >), выделите нужную операционную систему и нажмите клавишу <Enter>.

Если вы не выберете ни один из пунктов меню к тому моменту, когда счетчик, указанный в строке:

Выделенная система будет автоматически запущена через: 29

достигнет нуля, NTLDR загрузит операционную систему, указанную в файле Boot.ini по умолчанию. Программа установки Windows 2000 задает в качестве параметра по умолчанию копию последней инсталлированной копии Windows 2000. файл Boot.ini можно отредактировать, указав в качестве загружаемой по умолчанию операционной системы любую из установленных, отличную от последней инсталлированной версии Windows 2000. Подробную информацию о содержимом файла Boot.ini и методах его редактирования см. далее в этой главе.

 

9. Опции отладочного меню при загрузке Windows 2000

 

Опции отладочного меню при загрузке Windows 2000

Любой пользователь, имеющий хотя бы небольшой опыт работы с предыдущими версиями Windows NT, сразу же заметит одно небольшое, но существенное отличие экрана загрузчика Windows 2000 от экрана загрузчика Windows NT 4.0. Это — следующая строка, расположенная в нижней части экрана:

Для выбора особых вариантов загрузки Windows 2000 нажмите F8.

Аналогичная клавиша — <F8> — имелась в системах Windows ,95/9^ Если 5 загрузка Windows 2000 завершается неудачей, возможно, вам помогут опции отладочного меню, выводимого по нажатию клавиши <F8>.

Итак, если при появлении меню загрузки Windows 2000 нажать клавишу <F8>, то на экране появится меню следующего содержания:

Меню дополнительных вариантов загрузки Windows 2000

Выберите одну из следующих возможностей:

Безопасный режим

Безопасный режим с загрузкой сетевых драйверов

Безопасный режим с поддержкой командной строки

Включить протоколирование загрузки

Включить режим VGA

Загрузка последней удачной конфигурации

Восстановление службы каталогов <только на контроллере домена Windows 2000>

Режим отладки

Обычная загрузка

Возврат к выбору операционной системы

Используйте клавиши ­ и Ї для выделения нужной строки. Нажмите клавишу ENTER для подтверждения выбора.

Это меню будет оставаться на экране до выбора одной из опций. При загрузке в безопасном режиме (safe mode) Windows 2000 использует стандартные параметры настройки (монитор VGA, без сетевых средств, с минимальным количеством драйверов — фактически, запускаются только драйверы, необходимые для загрузки Windows). Например, если после инсталляции нового программного обеспечения Windows 2000 перестала запускаться, то вполне возможно, что загрузка в безопасном режиме позволит выполнить запуск операционной системы с минимальным количеством сервисов и драйверов. После загрузки вы сможете изменить параметры настройки компьютера, не позволяющие выполнить корректную загрузку Windows 2000, или удалить программное обеспечение, вызвавшее эти проблемы.

Ниже кратко описаны опции дополнительного меню загрузки:

Безопасный режим (Safe Mode)

Если пользователь выбирает эту опцию, то при запуске Windows 2000 загружаются только базовые файлы и драйверы, абсолютно необходимые для работы Windows (стандартные драйверы мыши и клавиатуры, накопителей, базовый драйвер видеоадаптера VGA и минимальный объем стандартных системных сервисов). Если Windows 2000 невозможно загрузить даже с использованием этого режима, то вероятнее всего, потребуется процедура восстановления поврежденной системы. Подробная информация по данному вопросу и пошаговые инструкции по проведению процедуры восстановления приведены в главе 8.

Безопасный режим с загрузкой сетевых драйверов (Safe Mode with Networking)

Если выбрана данная опция, то Windows 2000 загружается с использованием только базовых файлов и драйверов (как и в случае с выбором предыдущей опции), но в дополнение делается попытка запуска сетевых служб и восстановления сетевых соединений.

Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt)

Выбор этой опции приводит к попытке запуска Windows 2000 с использованием только базовых файлов и драйверов, и вместо графического интерфейса Windows отображает на экране командную строку.

Включить протоколирование загрузки (Enable Boot Logging)

При выборе этой опции Windows 2000 будет записывать протокол загрузки в файл %SystemRoot9S\Ntbtlog.t\t. Действие этой опции аналогично включению параметра /bootlog в файле Boot.ini (см. табл. 2.3).

Включить режим VGA (Enable VGA Mode)

После выбора данной опции компьютер загружается с использованием стандартного драйвера VGA. Аналогичный результат дает применение параметра /basevideo в файле Boot.ini (см. табл. 2.3).

Загрузка последней удачной конфигурации (LastKnownGood Configuration)

Такая опция существовала и в Windows NT 4.0. При ее выборе Windows 2000 запускается с использованием информации реестра, сохраненной после того, как система в последний раз была успешно загружена. Следует сразу же отметить, что эта опция позволяет исправить только ошибки конфигурирования системы, да и то не всегда. Использовать ее рекомендуется лишь в тех случаях, когда точно известно о допущенной конфигурационной ошибке. Проблемы, вызванные отсутствием или повреждением системных файлов или драйверов, использование этой опции исправить не поможет. Помимо этого, следует помнить, что все изменения, внесенные после последнего успешного запуска Windows 2000, в случае применения этой опции будут потеряны.

Восстановление службы каталогов <только на контроллерах домена Windows 2000> (Directory Services Restore Mode (Windows 2000 domain controllers only))

Как следует из ее названия, данная опция предназначена для восстановления службы каталога.

Режим отАадки (Pebugging Mode)

Эта опция запускает Windows 2000 и устанавливает отладочный режим, при котором отладочная информация пересылается по последовательному кабелю на другой компьютер.

 

10. Распознавание аппаратных средств

 

Распознавание аппаратных средств

Если в меню загрузчика выбрана одна из версий Windows NT/2000 (или начала загружаться система по умолчанию, когда истек срок действия таймера), то NTLDR вызывает Ntdetect.com, чтобы собрать информацию о физических устройствах, подключенных на данный момент к компьютеру. Ntdetect.com возвращает полученную информацию загрузчику NTLDR.

 

11. Выбор конфигурации (аппаратного профиля)

 

Выбор конфигурации (аппаратного профиля)

Если для загрузки выбрана операционная система Windows 2000, и в ней имеется только один профиль аппаратной конфигурации, то после того, как загрузчик получит информацию об аппаратных средствах компьютера, он продолжит процедуру загрузки, запустив ядро операционной системы Ntoskrnl.exe и передав ему информацию, собранную программой Ntdetect.com.

Если в Windows 2000 создано несколько профилей аппаратной конфигурации, то на экране появится следующая информация:

Меню выбора конфигурации оборудования

Данное меню позволяет выбрать конфигурацию оборудования,

которая будет использоваться при запуске Windows 2000.

Если система не запускается, то можно переключиться на использование предыдущей конфигурации системы, и тем самым обойти проблемы запуска. ВНИМАНИЕ: Изменения конфигурации системы, внесенные после последнего удачного запуска, будут потеряны.

Profile 1

Profile 2

Используйте клавиши со стрелкой для перемещения выделенной строки выбора нужного элемента, а затем нажмите клавишу ENTER. Для переключения на последнюю удачную конфигурацию нажмите клавишу ' L'.

Для выхода из этого меню и перезагрузки компьютера нажмите клавишу F3.

Выделенная конфигурация будет автоматически запущена через: 28 сек.

После этого загрузчик в течение нескольких секунд ожидает, давая пользователю возможность выбрать один из существующих профилей аппаратной конфигурации или одну из перечисленных опций (клавишей <L> или <F3>).

Первый аппаратный профиль выделен курсором. Чтобы использовать для загрузки другой аппаратный профиль, клавишами со стрелками переместите курсор к нужной опции и нажмите клавишу <Enter>.

Кроме того, пользователю предоставляется возможность выбора между конфигурацией по умолчанию и последней удачной конфигурацией.

Как правило, если не выбрана последняя удачная конфигурация, Windows 2000 загружает конфигурацию по умолчанию. При загрузке конфигурации по умолчанию загрузчик использует информацию реестра, сохраненную Windows 2000 при последней остановке системы.

Если вы выберете последнюю удачную конфигурацию, нажав сначала клавишу <L>, а затем — клавишу <Enter>, то загрузчик для конфигурирования опций запуска будет использовать информацию реестра, сохраненную в разделе HKEY_LOCAL_MACHINE\SYSTEM\Select после того, как система в последний раз была успешно загружена.

Более подробную информацию об управляющих опциях, последней удачной конфигурации (LastKnownGood) и конфигурации по умолчанию (Default) можно найти далее в этой главе.

 

12. Загрузка ядра

 

Загрузка ядра

Получив информацию об аппаратных средствах компьютера и выбранном аппаратном профиле, загрузчик запускает ядро операционной системы Ntoskrnl.exe и передает ему информацию, собранную программой Ntdetect.com.

Информация о выбранном аппаратном профиле передается загрузчику, когда пользователь нажимает клавишу <Enter> в меню выбора конфигурации оборудования (Hardware Profile/Configuration Recovery). Помимо этого загрузчик может сделать выбор автоматически по истечении указанного интервала времени (или в случае, если в системе существует только один аппаратный профиль).

О начале фазы загрузки ядра Windows 2000 сигнализируют появляющиеся на экране точки, которые служат индикатором степени завершенности загрузки в память ядра Windows 2000 (Ntoskrnl.exe) и слоя (уровня) аппаратных абстракций (hal.dll). На данном этапе эти модули еще не инициализированы. Далее загрузчик просматривает реестр, извлекает информацию о заданных по умолчанию или определенных пользователем размерах невыгружаемого (резидентного) пула памяти (nonpaged pool) и реестра (registry quota) и загружает раздел HKEY_LOCAL_MACHINE\SYSTEM из файла %SystemKoof% \System32\Config\System.

На данном этапе загрузчик активизирует API для работы с реестром и создает набор управляющих параметров (control set), который будет использоваться для инициализации компьютера. Эти задачи являются подготовительными для загрузки драйверов. Значение, заданное в разделе HKEY_ LOCAL_MACHINE\SYSTEM\Select (рис. 2.1), определяет, какой набор управляющих параметров из перечисленных в разделе HKEY_LOCAL_ MACHINE\SYSTEM должен использоваться при загрузке.

Рис. 2.1. Раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\Select


По умолчанию загрузчик использует набор управляющих параметров, определяемый значением "Default". Если пользователь выбрал последнюю удачную конфигурацию, то загрузчик использует набор управляющих параметров, определяемых значением LastKnownGood. На основании сделанного пользователем выбора и значения раздела Select загрузчик определяет, какой из наборов управляющих параметров (ControlSetOOx) будет использоваться. После этого загрузчик устанавливает значение Current раздела Select (рис. 2.1) на номер набора управляющих параметров, который он будет использовать.

Далее загрузчик сканирует все сервисы (службы), определенные разделом реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services и ищет драйверы устройств, для которых параметр Start равен 0x0 (такое значение указывает на то, что драйверы должны быть загружены, но не инициализированы). Как правило, драйверы с такими значениями представляют собой низкоуровневые драйверы устройств, например, драйверы дисков. Значение Group для каждого драйвера устройства определяет порядок, в котором загрузчик должен его загружать. Раздел HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\ServiceG roupOrder реестра определяет порядок загрузки.

К моменту завершения этой фазы все базовые драйверы загружены и активны, за исключением случаев, когда один из критически важных драйверов не инициализировался, вследствие чего началась перезагрузка системы.

 

2.1.gif

Изображение: 

13. Инициализация ядра

 

Инициализация ядра

В системах Windows 2000 об инициализации ядра сигнализирует появление графической заставки. Это — чисто "косметическое" отличие от Windows NT 4.0, которое не меняет принципов загрузки Windows 2000 по сравнению с предыдущей версией системы.

Хотите убедиться в справедливости сказанного? Нет ничего проще. Добавив параметр /sos в строку файла Boot.ini, управляющую содержимым меню загрузчика и режимом загрузки операционной системы, перезагрузите компьютер. Использование этой опции позволяет пользователю видеть всю последовательность загрузки драйверов. На фоне красивой графической заставки, сигнализирующей о начале инициализации ядра, вы увидите нечто похожее на приведенное ниже сообщение:

Microsoft ® Windows 2000 Server (TM) (Build 2195)

1 System Processor (64 MB Memory)

Ядро создает раздел HKEY_LOCAL_MACHINE\HARDWARE, используя информацию, полученную от загрузчика. Раздел HKEY_LOCAL_MACHINE \HARDWARE содержит данные об аппаратных средствах, распознавание которых осуществляется каждый раз при запуске системы. В состав этих данных входит информация об аппаратных компонентах на системной плате и о прерываниях, используемых конкретными аппаратными устройствами.

Ядро создает набор опций управления Clone, копируя в него опции управления из набора CurrentControlSet. Набор опций управления Clone никогда не модифицируется, так как он должен представлять собой полностью идентичную копию данных, которые использовались для конфигурирования компьютера и не должны отражать изменений, внесенных в ходе процесса запуска.

На стадии инициализации ядро выполняет следующие операции:

Инициализирует низкоуровневые драйверы устройств, загруженные на предыдущей стадии
Загружает и инициализирует остальные драйверы устройств
Запускает программы, например Chkdsk, которые должны отработать прежде, чем будут загружены какие-либо сервисы
Загружает и инициализирует сервисы
Создает файл подкачки pagefile.sys
Запускает подсистемы, необходимые для работы Windows 2000

 

14. Загрузка и инициализация драйверов устройств

 

Загрузка и инициализация драйверов устройств

Теперь ядро инициализирует низкоуровневые драйверы устройств, которые были загружены на стадии загрузки ядра. В случае ошибки при инициализации одного из драйверов система предпринимает корректирующее действие, основываясь на данных, определенных параметром реестра HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\ DriverName \ErrorControl.

Далее Ntoskrnl.exe сканирует реестр, на этот раз — в поисках драйверов устройств, для которых значение раздела HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\ DriverName \Start установлено в 0x01. Это всегда так: значение Group для каждого драйвера устройства определяет порядок в котором производится их загрузка. Раздел реестра HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\ServiceGroupOrder определяет порядок загрузки.

В отличие от фазы загрузки ядра, драйверы устройств, для которых значение Start установлено на 0x01, загружаются не за счет вызовов BIOS или программ ПЗУ, а с помощью драйверов устройств., загруженных на стадии загрузки ядра и только что инициализированных на этой стадии. Обработка ошибок в процессе инициализации этой группы драйверов устройств также основывается на значении параметра ErrorControl для соответствующих драйверов устройств.

 

15. Загрузка сервисов

 

Загрузка сервисов

Диспетчер сеансов (Smss.exe) запускает высокоуровневые подсистемы и сервисы (службы) Windows 2000. Информация, предназначенная для Диспетчеpa сеансов, находится в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\SessionManager. Диспетчер сеансов исполняет инструкции, которые содержатся в следующих элементах реестра:

Параметр BootExecute
Раздел Memory Management
Раздел DOS Devices
Раздел Subsystems

 

16. Параметр BootExeculc

 

Параметр BootExecute

Параметр BootExecute реестра содержит одну или несколько команд, которые Диспетчер сеансов выполняет перед загрузкой сервисов. Значением по умолчанию для этого элемента является Autochk.exe, т. е. версия Chkdsk.exe для Windows 2000. Приведенный ниже пример показывает установку этого значения, задаваемую по умолчанию:

BootExecute: REG_MULTI_SZ: autochk autochk*

Диспетчер сеансов может запустить несколько программ. Приведенный ниже пример показывает запуск утилиты Convert, которая при следующем запуске системы преобразует том X: из формата FAT в формат NTFS:

BootExeeute: REG_MULTI_SZ: autochk autochk* autoconv \DosDevices\x: /FS:ntfs

После того как Диспетчер сеансов выполнит все указанные команды, ядро осуществит загрузку остальных разделов реестра из %.SystemRoot%\System32 \Config.

 

17. Раздел Memory Management

 

Раздел Memory Management

В следующий момент Диспетчер сеансов инициирует информацию о файле подкачки, необходимую Диспетчеру виртуальной памяти. Конфигурационная информация располагается в следующих значимых элементах:

PagedPoolSize: REG_DWORD 0

NonPagedPoosSize: REG_DWORD 0

PagingFiles: REG_MULTI_SZ; c:\pagefile.sys 32

 

18. Раздел DOS Devices

 

Раздел DOS Devices

Затем Диспетчер сеансов создает символические ссылки. Эти ссылки связывают определенные классы команд с соответствующими компонентами файловой системы. Конфигурационная информация для перечисленных ниже устройств DOS содержится в следующих значимых элементах реестра:

PRN: REG_SZ:\DosDevices\LPTl

AUX: REG_SZ:\DosDevices\COMl

NUL: REG_SZ:\Device\NulI

UNC: REG_SZ:\Device\Mup

PIPE:\REG_SZ:\Device\NamedPipe

MAILSLOT:\REG_SZ\Device\MailSlot

 

19. Раздел Subsystems

 

Раздел Subsystems

Поскольку архитектура подсистем базируется на сообщениях, необходимо запустить подсистему Windows (Win32). Эта подсистема управляет всем вводом/выводом и доступом к дисплею; ее процесс называется Csrss. Подсистема Win32 запускает процесс WinLogon, который в свою очередь запускает несколько других важных подсистем.

Конфигурационная информация для необходимых подсистем определяется, значением элемента Required в разделе реестра HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems.

 

20. Регистрация пользователя в системе

 

Регистрация пользователя в системе

Подсистема Win32 автоматически запускает процесс WinLogon.exe, который, в свою очередь, запускает процесс Локального администратора безопасности (Local Security Administration, Lsass.exe). После завершения инициализации ядра необходимо произвести регистрацию пользователя в системе. Процедура регистрации может быть произведена автоматически на основании информации, хранящейся в реестре, или вручную. При ручной регистрации пользователя на экране появляется диалоговое окно с приветствием и текстом "Нажмите Ctrl+Alt+Delete". В любом случае, к этому моменту Windows 2000 может еще продолжать инициализацию сетевых драйверов, однако пользователю уже разрешается зарегистрироваться в системе.

На данном этапе Диспетчер служб выполняет загрузку автоматически стартующих сервисов, для которых значение Start, расположенное в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ DriverName , установлено равным 0x2. На этом этапе сервисы загружаются с учетом установленных для них зависимостей, поскольку их загрузка осуществляется параллельно. Зависимости описываются значимыми элементами DependOnGroup и DependOnService, расположенными в разделе реестра HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\ DriverName .

Примечание

Загрузка Windows 2000 не считается успешной до тех пор, пока в системе не зарегистрируется пользователь. После этого набор управляющих опций Clone копируется в LastKnownGood.

 

21. Загрузка остальных сервисов и драйверов

 

Загрузка остальных сервисов и драйверов

Как уже говорилось, к моменту регистрации пользователя в системе все еще могут продолжаться загрузка и инициализация некоторых сервисов и драйверов. В нескольких следующих разделах более подробно рассмотрены указанные здесь важные сведения:

Наборы управляющих параметров в реестре, которые содержат системную конфигурационную информацию, используемую в процессе загрузки. Хорошее понимание этого материала необходимо для грамотного использования конфигурации LastKnownGood.
Порядок запуска сервисов и драйверов, задаваемый через реестр (в частности, значимые элементы Start и Error Control, первый из которых задает порядок запуска сервиса или драйвера, а второй — стандартное поведение системы в случае невозможности его запуска или корректной инициализации).

 

22. Наборы управляющих параметров в реестре

 

Наборы управляющих параметров в реестре

Набор управляющих параметров (control set) содержит системную конфигурационную информацию, включая сведения о загружаемых драйверах устройств и запускаемых сервисах. Наборы управляющих параметров хранятся в реестре в виде подразделов раздела HKEY_LOCAL_MACHINE\SYSTEM. В системе может существовать несколько наборов управляющих параметров, количество которых зависит от того, насколько часто выполняется модификация настройки системы или как часто в ней возникают проблемы. Типичная инсталляция Windows 2000 содержит следующие наборы управляющих параметров:

Clone (редакторами реестра не отображается)
ControlSet001
ControlSet002
ControlSet003
CurrentControlSet

Раздел CurrentControlSet представляет собой указатель на один из разделов ControlSet00x. Набор управляющих параметров Clone представляет собой точную копию (клон) набора управляющих параметров, использованного для запуска и инициализации компьютера (Default или LastKnownGood), и создается процессом инициализации ядра при каждом запуске компьютера. После того как в системе успешно зарегистрируется хотя бы один пользователь, набор управляющих параметров Clone станет недоступным.

Для понимания методов и целей использования этих наборов управляющих параметров необходимо ознакомиться с разделом реестра HKEY_LOCAL_ MACHINE\SYSTEM\Select, который содержит следующие параметры:

Current
Default
Failed
LastKnownGood

Каждый из этих параметров содержит данные типа REG_DWORD, которые относятся к конкретному набору управляющих параметров. Например, если значение Current установлено равным 0x1, то параметр CurrentControlSet указывает на ControlSet00l. Аналогично, если значение LastKnownGood установлено равным 0x2, то параметр LastKnownGood указывает на набор управляющих параметров ControlSet002. Значение Default обычно совпадает со значением Current. Параметр Failed ссылается на набор управляющих параметров, на который указывал параметр Default в тот момент, когда пользователь последний раз выполнял загрузку компьютера с использованием набора управляющих параметров LastKnownGood.

Ранее в данной главе в разделе, посвященном выбору конфигурации, была описана инициализация Windows 2000 с использованием конфигураций Default и LastKnownGood. При выборе конфигурации по умолчанию (Default) ядро использует значение Default для определения набора опций управления, который должен применяться для инициализации компьютера.

Ядро пытается использовать конфигурацию LastKnownGood только в двух ситуациях:

При восстановлении системы после серьезной ошибки загрузки одного из жизненно важных для работы системы драйверов устройств. Более подробная информация по данному вопросу будет приведена далее в этой главе.
Когда пользователь выбирает последнюю удачную конфигурацию в меню выбора конфигурации оборудования.

Запуск системы с использованием набора управляющих параметров LastKnownGood предоставляет способ восстановления после таких ошибок, как:

Проблемы, вызванные драйвером устройства, добавленного в систему после последней успешной загрузки.
Проблемы с загрузкой системы, вызванные ошибками пользователя при модификации значений реестра.

Опция LastKnownGood полезна только в случаях с конфигурационными ошибками. Она не решает проблем, вызванных поврежденными или отсутствующими файлами или драйверами устройств.

Предупреждение

Если при загрузке выбрана опция LastKnownGood, то все конфигурационные изменения, внесенные с момента последней загрузки системы, будут потеряны.


Сразу же после того как пользователь зарегистрируется в системе, любые Изменения, вносимые в конфигурацию системы через панель управления, отражаются только в наборе управляющих параметров CurrentControlSet. Поэтому если по той или иной причине необходимо вносить изменения в набор управляющих параметров, CurrentControlSet является единственным набором управляющих параметров, который имеет смысл редактировать.

Если вы не уверены, где конкретно в управляющем наборе CurrentControlSet находится тот или иной раздел, требующий настройки, можно воспользоваться командой поиска (например, в редакторе Regedt32 имеется команда Найти раздел (Find Key) в меню Вид (View)).

 

23. Параметр Start

 

Параметр Start

В каждом из подразделов Services, содержащихся в разделе HKEY_LOCAL_ MAСHINE\SYSTEM\<control set> \ Services \DriverName, содержится параметр Start, определяющий порядок запуска драйвера или сервиса. Он может иметь следующие значения:

Boot (0x0, загрузка). Загрузка драйвера или сервиса осуществляется загрузчиком операционной системы (NTLDR или OSLOADER) перед инициализацией ядра. В качестве примера драйверов с таким режимом загрузки можно привести драйверы дисков.
System (0x1, система). Загрузка осуществляется подсистемой ввода/вывода во время инициализации ядра. В качестве примера драйверов, использующих этот тип значения, можно назвать драйверы мыши.
Auto load (0x2, автомат). Драйвер (сервис) загружается Диспетчером служб (Service Control Manager). Так загружаются сервисы, которые должны стартовать автоматически при любых обстоятельствах запуска системы, вне зависимости от типа сервиса. В качестве примера можно привести драйверы устройств, работающих через параллельный порт. Одним из сервисов, использующих это значение, является сервис Alerter.
Load on Demand, Manual (0x3, вручную). Драйвер (сервис) загружается Диспетчером служб только в случае получения явной инструкции на загрузку. Сервисы этого типа доступны всегда, но загружаются только когда пользователь запускает их (например, используя оснастку Службы (Services)).
Disabled (0x4, запрет). Драйвер (сервис) не загружается. Windows 2000 устанавливает в этот режим драйверы устройств в случае невозможности их загрузки Диспетчером служб (например, в случае, когда не установлены соответствующие аппаратные средства). Если параметр имеет это зна-I чение, Диспетчер служб не загружает соответствующий драйвер или сервис. Единственным исключением являются драйверы файловых систем, I которые загружаются, даже если для них установлено значение Start = 0x4.

 

24. Параметр ErrorConlrol

 

Параметр ErrorControl

Ниже перечислены все возможные значения, которые может принимать параметр ErrorControl, находящийся в разделе реестра HKEY_LOCAL_ MACHINE\SYSTEM\< control set>\ Services \DriverName:

Ignore (0x0). Если при загрузке или инициализации драйвера устройства происходит ошибка, процедура запуска продолжается без вывода сообщения об ошибке.
Normal (0x1). Если при загрузке или инициализации драйвера устройства происходит ошибка, процедура запуска продолжается после вывода сообщения об ошибке. Параметры ErrorControl для большинства драйверов устройств устанавливаются равными этому значению.
Severe (0x2). Когда ядро обнаруживает ошибку загрузки или инициализации этого драйвера или сервиса, происходит переключение на набор управляющих опций LastKnownGood. После этого процесс запуска стартует с начала. Если набор управляющих параметров LastKnownGood уже используется, процедура запуска продолжается, а ошибка игнорируется.
Critical (0x3). Используется та же процедура, что и при значении Severe, с тем исключением, что если переключение на набор управляющих опций уже произошло, но ошибка не ликвидирована, процесс загрузки останавливается, и выводится сообщение о сбое.

 

25. Файл Boot.ini

 

Файл Boot.ini

При инсталляции Windows 2000 на компьютерах х86 программа инсталляции помещает в корневой каталог системного раздела файл Boot.ini. NTLDR использует информацию из этого файла для отображения экрана, позволяющего пользователю выбирать операционную систему для загрузки.

Пример файла Boot.ini приведен ниже:

[boot loader]

timeout=30

default=multi(0)disk(O)rdisk(O)partition(1)\WINNT

[operating systems]

multi(0)disk(0)rdisk(O)partition(1)\WINNT="Microsoft Windows 2000 Professional RUS" /fastdetect /sos

multi(0)disk(0)rdisk(0)partition(2)\WINNT="Microsoft Windows 2000 Server with AD" /fastdetect

multi(0)disk(0)rdisk(l)partition(4)\WINNT="Microsoft Windows 2000 Server RUS with AD" /fastdetect

Файл Boot.ini состоит из разделов [boot loader] И [operating systems], опиасанных ниже.

 

26. Раздел [boot loaderl]

 

Раздел [boot loader]

Параметры, содержащиеся в этом разделе, описаны в табл. 2.2.

Таблица 2.3. Параметры раздела (boot loader)

Параметр Описание
timeout Количество секунд, имеющееся в распоряжении пользователя для того, чтобы выбрать загружаемую операционную систему в меню загрузки, отображенном на экране. Если по истечении этого срока выбор операционной системы не сделан, NTLDR начнет загрузку операционной системы по умолчанию. Если значение параметра timeout равно 0, загрузчик сразу же начинает загрузку операционной системы по умолчанию, не позволяя пользователю сделать выбор. Если значение этого параметра установить на -1, то загрузчик будет ожидать выбора пользователя неограниченно долго. Значение -1 не воспринимается как допустимое в группе параметров System в Control Panel, где задается значение timeout, поэтому для того чтобы установить параметр timeout в -1, вы должны вручную отредактировать файл Boot.ini
default Путь к операционной системе, загружаемой по умолчанию

 

27. Раздел [operating systems]

 

Раздел [operating systems]

Этот раздел содержит список доступных для загрузки операционных систем. Каждая запись указывает путь к загрузочному разделу операционной системы, строку для отображения на экране в процессе загрузки и необязательные параметры. ,

Файл Bootini поддерживает загрузку множества версий операционной системы Windows 2000, а также запуск других операционных систем. В число альтернативных операционных систем, которые можно указать для загрузки в файле Boot.ini, входят Windows 9x, MS-DOS, а также OS/2, Linux и UNIX. Более подробную информацию об организации систем с двойной или тройной загрузкой можно найти в главе 1.

 

28. Использование параметров в файле Boot.ini

 

Использование параметров в файле Boot.ini

Записи в разделе [operating systems] файла Boot.ini допускают использование ряда параметров (табл. 2.3). В этих параметрах строчные и заглавные буквы не различаются. Параметры, впервые появившиеся в Windows 2000, помечены символом звездочки (*).

Информацию об отладчике можно найти в главе 15.

Таблица 2.3. Параметры, используемые в разделе [operating systems] файла Boot.ini

Параметр Описание
/BASEVIDEO Компьютер загружается с использованием стандартного драйвера VGA. Если вы инсталлируете новый драйвер видеоадаптера, но он работает некорректно, выбор режима загрузки Windows 2000 с этим параметром позволит загрузить компьютер и заменить драйвер
/BAUDRATE Указывает скорость в бодах, которая будет использоваться для отладки. Если вы не установите скорость в бодах, то по умолчанию будет принята скорость 9600 (если к компьютеру подключен модем), и 19200— для нуль-модемного кабеля. Параметр оказывает побочный эффект, устанавливая также параметр /debug вне зависимости от того, используете вы /debug или нет
/BOOTLOG* Если указан этот параметр, то Windows 2000 будет записывать протокол загрузки в файл %Systemfitoof%\Ntbttog.txt. Этот файл указывает, какие драйверы были загружены, и какие остались незагруженными
/CRASHDEBUG Отладчик загружается при запуске Windows 2000, но остается в неактивном состоянии до тех пор, пока не произойдет ошибка ядра. Этот режим особенно полезен, если в процессе вашей работы имеют место редкие непредсказуемые ошибки ядра
/DEBUG Отладчик загружается при запуске Windows 2000 и может активизироваться в любой момент хостом отладчика, подключенным к компьютеру. Этот режим рекомендуется использовать при отладке регулярно возникающих проблем
/DEBUGPORT=COMx Указывает СОМ-порт для использования при отладке, где х — номер коммуникационного порта, который вы собираетесь использовать. Как и параметр /baudrate, этот параметр принудительно переводит компьютер в отладочный режим
/FASTDETECT* Новый параметр, появившийся в Windows 2000. Если на компьютере установлены ОС Windows NT 4.0 и Windows 2000, то в процессе загрузки обеих операционных систем будет использоваться версия Ntdetect.com из состава Windows 2000. На этапе распознавания аппаратных средств в Windows 2000 некоторые устройства распознаются драйверами Plug and Play, в то время как Windows NT 4.0, вследствие ограниченности поддержки Plug and Play, выполняет распознавание только с помощью Ntdetect. Если параметр /FSTDETECT указан, то Ntdetect не пытается распознавать такие устройства. Если нет, то Ntdetect будет выполнять энумерацию аппаратных средств в полном объеме. Таким образом, если вы имеете систему с двойной загрузкой, где на одном компьютере установлены Windows NT 4.0 и Windows 2000, этот переключатель должен быть установлен для строк файла Boot.ini, запускающих Windows 2000, и пропущен для строк, осуществляющих запуск Windows NT 4.O.
/МАХМЕМ Определяет максимальный объем памяти (RAM), доступный для использования Windows 2000. Этот параметр полезен, если вы подозреваете повреждение чипа памяти
/NODEBUG При использовании этого параметра отладочная информация на экран не выводится
/NOGUIBOOT* Новый параметр Windows 2000. Если он указан, то драйвер VGA, выполняющий вывод графической заставки в процессе загрузки Windows 2000, не инициализируется. Поскольку этот драйвер используется не только для отображения графической заставки, но и для отображения "синего экрана" (BSOD, Blue Screen of Death), то его блокировка приведет также к блокировке этой диагностической возможности
/NOSERIALMICE= [COMx,y,z, . . .] Блокирует определение последовательной мыши на указанных СОМ-портах. Этот режим рекомендуется использовать, если вы имеете другой компонент (не мышь), подключенный к последовательному порту в процессе запуска. Если использовать параметр /NOSERIALMICE без указания СОМ-порта, то определение последовательной мыши будет блокировано для всех СОМ-портов
/SAFEBOOT* Новый параметр, появившийся в Windows 2000. Стоит отметить, что практически никогда нет необходимости устанавливать его вручную, т. к. при нажатии клавиши <F8> загрузчик (NTLDR) автоматически использует его для выполнения загрузки в безопасном режиме (safe boot). Чтобы задать одну из опций безопасного режима загрузки, укажите двоеточие после этого параметра и задайте один из трех дополнительных переключателей: MINIMAL (опция Safe Mode), NETWORK (опция Safe Mode with Network) или DSREPAIR (опция Directory Service Repair). Как уже упоминалось в разделе "Опции отладочного меню при загрузке Windows 2000", загрузка в безопасном режиме представляет собой режим загрузки, при котором Windows 2000 загружает только драйверы и сервисы, перечисленные поименно в разделах реестра Minimal и/или Network, расположенных в разделе HKLM\System \CurrentControlSet\Control\SafeBoot. Опция DSREPAIR применима только для Windows 2000 Server. Ее использование приводит к загрузке Windows 2000 Server в режиме восстановления Active Directpry с носителя резервной копии (разумеется, резервная копия должна быть изготовлена заблаговременно). Параметр /SAFEBOOT имеет еще одну дополнительную опцию— ALTERNATESHELL. Если вы укажете эту опцию, то в качестве графической оболочки Windows 2000 будет использовать программу, которая указана в составе раздела HKLM \System\CurrentControlSet\SafeBoot\AltemateShell как альтернативная графическая оболочка. По умолчанию используется стандартная графическая оболочка — Проводник (Explorer)
/SOS При использовании этого параметра на экране отображаются имена всех загружаемых драйверов. Данный параметр рекомендуется использовать, если Windows 2000 не стартует, и вы подозреваете отсутствие какого-либо драйвера. Более подробную информацию можно найти в главе 1 5

 

29. Редактирование файла Boot.ini

 

Редактирование файла Boot.ini

Программа установки Windows 2000 помещает в корневой каталог системного раздела файл Boot.ini, формат и опции которого были рассмотрены в предыдущих разделах. Как и в Windows NT 4.0, этот файл получает атрибуты "только чтение" (Read Only), "системный" (System) и "скрытый" (Hidden). Однако в Windows 2000 появилось новое понятие — защищаемые файлы операционной системы (protected operating system files), которые иногда называются "суперскрытыми" (super hidden). К ним относятся все файлы, необходимые для запуска операционной системы. По этой причине ни один пользователь, даже администратор, раскрыв после инсталляции системы корневой каталог системного раздела с помощью Проводника, не увидит ни файла NTLDR, ни файла Ntdetect.com, ни файла Boot.ini.

 

30. "Суперскрытые файлы"

 

"Суперскрытые файлы"

В системе Windows 2000 имеется два уровня защиты файлов от просмотра. Если файл имеет атрибут hidden, то он не будет виден в Проводнике (при выбранном по умолчанию переключателе Не показывать скрытые файлы и папки ). Если файл имеет еще и атрибут system, то этот файл будет виден, только когда на вкладке Вид снят флажок Скрывать защищенные системные файлы. Получается, что комбинация атрибутов sh переводит файл как бы в специальную категорию. Поэтому не следует искать какой-то специальный атрибут super hidden.

Для того чтобы администратор мог просматривать "суперскрытые" файлы с помощью Проводника, нужно выбрать на панели управления значок Свойства папки (Folder Options), перейти на вкладку Вид (View), затем в поле Дополнительная настройка (Advanced Settings) установить переключатель

Показывать скрытые файлы и папки (Show hidden files and folders) и снять флажок Скрывать защищенные системные файлы (рекомендуется) (Hide protected operating system files (Recommended).

Примечание

Чтобы добиться желаемого результата, мало проделать описанную выше операцию, необходимо иметь права администратора. Пользователи, не имеющие административных прав, не смогут просматривать защищаемые файлы операционной системы при помощи Проводника, даже сняв флажок Скрывать защищенные системные файлы . Вернувшись в окно Свойства папки, такой пользователь увидит, что этот флажок снова установлен, и изменить эту ситуацию обычным методом нельзя.


Однако в распоряжении пользователей остается командная строка, из которой, с помощью команды dir /а можно просмотреть список всех файлов, какие бы атрибуты они ни имели.

 

31. Изменение параметров загрузки с помощью панели управления

 

Изменение параметров загрузки с помощью панели управления

Простейший и наиболее безопасный метод изменения файла Boot.ini — использовать значок Система (System) на панели управления. В окне свойств системы перейдите на вкладку Дополнительно (Advanced) и нажмите кнопку Загрузка и восстановление (Startup and Recovery). Раскроется окно Загрузка и восстановление (рис. 2.2). Здесь вы сможете указать операционную систему, запускаемую по умолчанию, и временной интервал, в течение которого на экране будет оставаться меню загрузки, позволяющее пользователю выбрать операционную систему, отличную от указанной по умолчанию.

Рис. 2.2. Окно Загрузка и восстановление (Startup and Recovery) предоставляет простейший и наиболее безопасный метод изменения файла Boot.ini

Несмотря на простоту и удобство, этот метод весьма ограничен и не предоставляет широких возможностей по редактированию файла .Boot.ini. Именно поэтому опытные пользователи предпочитают редактировать этот файл с помощью текстовых редакторов.

 

2.2.gif

Изображение: 

32. Ручное редактирование файла Boot.ini

 

Ручное редактирование файла Boot.ini

Прежде чем открывать файл Boot.ini для ручного редактирования, снимите атрибут "только для чтения" (Read Only), чтобы внесенные изменения можно было сохранить (файл перестанет быть и "суперскрытым").

Из командной строки это можно сделать следующей командой:

attrib -r boot.ini

Если вы измените путь к загрузочному разделу Windows 2000, отредактируйте как путь по умолчанию, так и записи в разделе [operating systems].

 

 

33. Диагностика проблем, возникающих на этапе загрузки

 

Диагностика проблем, возникающих на этапе загрузки

Здесь обсуждаются действия, которые можно предпринять для выяснения причин, не препятствующих загрузке системы Windows 2000. Далее будут кратко рассмотрены ситуации, когда компьютер "зависает" или отображает сообщение об ошибке прежде, чем пользователь получает возможность зарегистрироваться в системе. Помимо этого будут перечислены возможные причины возникновения проблем с диском и пути устранения этих неполадок. Существует целый ряд причин, по которым компьютер не может успешно выполнить загрузку. Первый шаг в их выявлении — определение времени возникновения проблемы. Например, если на компьютерах х86 проблема возникает до появления экрана загрузчика, то причиной ее возникновения может быть как аппаратный сбой, так и повреждение главной загрузочной записи, таблицы разделов или загрузочного сектора раздела.

К таким повреждениям может привести ряд факторов. Например, на компьютерах х86 прерывание BIOS INT 13 часто используется вирусами для самоинсталляции. Windows 2000 перехватывает прерывания INT 13, но только в том случае, когда она уже загрузилась. Если компьютер загрузить с помощью системной дискеты MS-DOS, а также в том случае, когда система с двойной загрузкой загружается под управлением MS-DOS, Windows NT/2000 не может защитить себя от такой угрозы. В Microsoft Knowledge Base есть ряд статей с рекомендациями по защите компьютера от вирусов и описанием методов восстановления системы, поврежденной вирусами.

Если проблема возникает уже после появления меню загрузчика и выбора в нем Windows 2000, то причина может быть в том, что файлы, необходимые для загрузки операционной системы, отсутствуют или повреждены.

В случае инсталляции новых физических устройств или новых драйверов причиной проблем с загрузкой системы могут быть изменение конфигурации системы и ее несовместимость с этими устройствами или драйверами.

 

34. Проблемы, возникающие до появления экрана загрузчика

 

Проблемы, возникающие до появления экрана загрузчика

Здесь описаны проблемы, которые могут возникнуть на этапе между включением компьютера и появлением экрана загрузчика. Их симптомы:

Сразу после завершения фазы самотестирования (POST) компьютер "зависает"
Экран загрузчика не появляется
На экране появляются сообщения об ошибках следующего типа:
  • Missing operating system (Отсутствует операционная система)
  • A disk read error occurred (Ошибка чтения диска)
  • Insert a system diskette and restart the system (Вставьте системную дискету и перезагрузите систему)
  • Invalid partition table (Неверная таблица разделов)
  • Hard Disk Error (Ошибка жесткого диска)
  • Hard Disk Absent/Failed (Жесткий диск отсутствует/отказал)

Вполне возможно, что в этой ситуации запустить компьютер вообще не удастся. Если все основные разделы отформатированы для использования файловой системы NTFS, то применение утилит MS-DOS не поможет. Если у вас под рукой есть загрузочная дискета Windows 2000, изготовленная в соответствии с рекомендациями, данными в главе 8, попробуйте воспользоваться этой дискетой. Если вы не можете запустить компьютер с помощью загрузочной дискеты Windows 2000, и восстановление системы с помощью диска аварийного восстановления не помогло решить проблему, попробуйте снять жесткий диск и установить его вторым диском на другом компьютере Windows 2000. После этого вы сможете работать с этим диском, используя утилиты Windows 2000.



Предупреждение

Перемещать диски с компьютера на компьютер не рекомендуется, поскольку при этом могут возникнуть проблемы с различием аппаратных конфигураций. Однако если два компьютера идентичны, то вы сможете обнаружить и, возможно, решить проблему.


Описанные выше проблемы могут возникнуть по одной из следующих причин:

Отсутствие системного раздела на первом жестком диске
Повреждена главная загрузочная запись
Поврежден загрузочный сектор раздела
Испортилась микросхема CMOS (или разрядилась ее батарея)
Аппаратный сбой



Примечание

Если по каким-то причинам на диске отсутствует файл Boot.ini, но какая-то система (при наличии нескольких систем) инсталлирована в каталог по умолчанию, т. е. C:\Winnt, загрузка этой системы все-таки произойдет.

 

35. Устранение проблем с системным разделом

 

Устранение проблем с системным разделом

Когда на компьютерах х86 выполняется загрузка с жесткого диска, системный код BIOS определяет загрузочный диск (обычно, диск 0) и считывает главную загрузочную запись. Код, содержащийся в главной загрузочной записи, ищет системный раздел на жестком диске. Если он не может найти системный раздел или Windows 2000 не может стартовать из этого раздела, процесс запуска останавливается. Появление сообщения об ошибке типа "Error loading operating system" указывает, что код главной загрузочной записи нашел системный раздел, но не может запустить операционную систему.

Возможно, что на жестком диске, с которого вы пытаетесь загрузить операционную систему, вообще нет системного раздела. Кроме того, не исключена ситуация, когда в качестве системного указан другой раздел.

Примечание

Системный раздел — это основной раздел на загрузочном диске (как правило, диск 0). индикатор загрузки которого (Boot Indicator) установлен в значение 0x80. Этот раздел содержит файлы, необходимые для загрузки Windows 2000 (такие, как NTLDR, Ntdetect.com и Bopt.ini).

Утилита Fdisk показывает системный раздел как активный (active partition).

В качестве системного раздела может использоваться только основной раздел. Логический диск в дополнительном разделе для этой цели использовать нельзя. Установить новый системный раздел можно с помощью оснастки Управление дисками (Disk Management) в Windows 2000, программы Windows NT 4.0 Disk Administrator или с помощью программы MS-DOS Fdisk. Все эти программы устанавливают поле Boot Indicator для раздела, который устанавливается как системный, и сбрасывают это поле для раздела, который был системным ранее.

Примечание

Установленное поле Boot Indicator в таблице разделов означает, что данный раздел является системным (рис. 2.3 и 2.4, снятые при просмотре таблицы разделов при помощи утилиты DiskProbe, входящей в состав Windows 2000 Support Tools).



Рис. 2.3. Если раздел не является системным, то поле Boot Indicator не установлено (на рисунке поле Boot Indicator имеет значение NO_SYSTEM)



Рис. 2.4. Если раздел является системным, то поле Boot Indicator установлено (на рисунке поле Boot Indicator имеет значение SYSTEM)

Если загрузку операционной системы невозможно выполнить вследствие отсутствия или неправильной установки системного раздела, воспользуйтесь утилитой MS-DOS Fdisk.

 

2.3.jpg

Изображение: 

2.4.jpg

Изображение: 

36. Устранение проблем с главной загрузочной записью

 

Устранение проблем с главной загрузочной записью

Здесь описаны проблемы с главной загрузочной записью. Функции кода главной загрузочной записи:

Считывание таблицы разделов, расположенной в том же секторе
Определение местоположения загрузочного сектора раздела
Загрузка и выполнение кода, расположенного в загрузочном секторе раздела

Если код главной загрузочной записи оказывается не в состоянии выполнить эти задачи, отображается одно из следующих сообщений об ошибках:

Missing operating system (Отсутствует операционная система)
Invalid partition table (Неверная таблица разделов)

Для восстановления поврежденной главной загрузочной записи можно воспользоваться командной консолью восстановления Windows 2000 (Recovery Console), которая позволяет выполнять многие административные задачи и восстановительные операции. Запускать консоль восстановления можно из программы установки Windows 2000 или включить ее в качестве одной из опций в меню загрузки. Более подробную информацию об установке и использовании консоли восстановления можно найти в главе 8, здесь же отметим, что в число задач, которые можно выполнить с ее помощью, входит и восстановление поврежденной главной загрузочной записи

 

37. Устранение проблем с загрузочным сектором раздела

 

Устранение проблем с загрузочным сектором раздела

Существует несколько известных вирусов, способных вызывать проблемы с загрузочным сектором раздела даже тогда, когда том отформатирован для использования файловой системы NTFS. Заражение может произойти при запуске программы MS-DOS с дискеты или при запуске MS-DOS на компьютере с двойной загрузкой. Windows 2000 не может защититься от заражения, если она не запущена.

В ряде случаев повреждение загрузочного сектора раздела может привести к генерации следующей ошибки типа "синий экран": STOP 0x00000078 INACCESSIBLE_BOOT_DEVICE. Еще одним симптомом проблем с загрузочным сектором раздела является "зависание" компьютера в процессе загрузки без отображения каких-либо сообщений, при этом экран остается черным.

Даже при условии отсутствия очевидных грубых повреждений загрузочный сектор раздела может работать неправильно. Убедиться в этом можно cледующим образом. Попробуйте переименовать файл NTLDR и запустить Windows 2000 с этого жесткого диска (это можно сделать, загрузив систему с дискеты Windows 2000).

Если загрузочный сектор раздела в норме, а причина неудачи — поврежденный файл загрузчика NTLDR, то в основном разделе NTFS вы увидите следующее сообщение об ошибке:

Couldn't find NTLDR

В основном разделе FAT вы увидите сообщение об ошибке:

A kernel file is missing from the disk

Информацию о замене NTLDR можно найти в главе 8.

Если, заменив имя NTLDR, вы таких сообщений об ошибках не получите, это будет говорить о том, что причина кроется в повреждении загрузочного сектора раздела. Информацию о замене поврежденных загрузочных секторов разделов можно найти в главе 8. Не забудьте переименовать файл загрузчика обратно в NTLDR, чтобы загрузочный сектор раздела мог его найти.

Как правило, файл NTLDR по умолчанию имеет атрибуты скрытый, системный и только чтение. Поскольку запустить Windows 2000 при испорченном загрузочном секторе в загрузочном разделе невозможно, можно запустить MS-DOS с загрузочной дискеты MS-DOS. Загрузив MS-DOS, можно изменить атрибуты файла (только на диске с FAT!). Для этой цели необходимо в командной строке MS-DOS (см. также описание консоли восстановления в главе 8) ввести следующую команду:

attrib -a -h -r ntldr

 

38. Проблемы CMOS

 

Проблемы CMOS

Как правило, CMOS хранит следующую информацию:

Дата и время
Тип дисковода для гибких дискет
Тип видеоадаптера
Тип жесткого диска (дисков)
Объем установленной памяти

Каждый производитель BIOS принимает решение о стандартных конфигурациях, а также задает параметры, которые пользователь может устанавливать самостоятельно. Доступ к программе конфигурирования CMOS можно получить через специальную утилиту или путем нажатия последовательности клавиш в процессе загрузки компьютера (эти опции зависят от поставщика). Информацию, содержащуюся в CMOS, необходимо записывать (или распечатать, если программа Setup позволяет это делать).

Компьютер использует контрольные суммы CMOS, чтобы определить, не изменялись ли значения CMOS иначе, чем через программу Setup. Если контрольная сумма окажется неверной, компьютер не загрузится.

Если информация CMOS корректно сконфигурирована, то возможные проблемы CMOS могут быть вызваны следующими причинами:

Слабая батарея (это бывает, если компьютер долго не включали)
CMOS и батарея не соединены, соединены некачественно или неправильно
Микросхема CMOS повреждена разрядом статического электричества

Все эти проблемы могут вызвать обнуление CMOS или иное повреждение информации, что может не позволить загрузить компьютер.

 

39. Аппаратные проблемы

 

Аппаратные проблемы

Если устройство не инициализируется во время самотестирований при загрузке (POST), то возможны проблемы с доступом к этому устройству. Если устройство было добавлено или модифицировано при предыдущем запуске системы, то проблема может быть вызвана новой конфигурацией системы.

Если вы вносили изменения в конфигурацию дисковой подсистемы, необходимо обратить внимание на следующее:

Правильность установки терминаторов на SCSI-шлейфах
BIOS активизирована только на первом контроллере SCSI (если вообще активизирована)
Отсутствие конфликтов по IRQ

Если вы не вносили никаких изменений, проверьте следующее:

Правильность установки карт контроллеров
Правильность подключения всех кабелей
Питание подается на все диски

 

40. Проблемы, возникающие после запуска загрузчика

 

Проблемы, воз никающие после запуска загрузчика

Здесь описаны проблемы, возникающие после запуска загрузчика операционной системы, но до регистрации в системе пользователя. Эта фаза процесса запуска начинается, когда на черном экране появляется строка точек.

 

41. Использование отладочной версии Ntdetect

 

Использование отладочной версии Ntdetect

На компьютерах х86 Ntdetect осуществляет распознавание установленных аппаратных компонентов.

Windows 2000 Resource Kit содержит отладочную (checked) версию Ntdetect.com, которая называется Ntdetect.chk. Если Ntdetect.com не может обнаружить все аппаратные устройства, которые он, по вашему мнению, должен находить, вы можете использовать отладочную версию, которая поможет локализовать проблему.

Отладочная версия устанавливается с помощью файла Installd.cmd, который выполняет следующие действия:

переименовывает стандартный Ntdetect.com
копирует Ntdetect.chk в Ntdetect.com

После выполнения этих операций нужно перезагрузить компьютер. При запуске системы с отладочной версией Ntdetect на экране будет появляться информация обо всех обнаруживаемых аппаратных средствах. Ниже приведен типичный пример этого вывода на экран:

Detecting System Component ...

Reading BIOS Date ...

Done Reading BIOS Date (1/20/94)

Detecting Bus/Adapter Component ...

Collecting Disk Geometry ...

Detecting Keyboard Component ...

Когда Ntdetect завершит вывод информации на экран, нажмите клавишу <Enter> для продолжения. Ntdetect отобразит информацию об узлах дерева аппаратных устройств. Для завершения вывода каждого информационного экрана необходимо нажимать клавишу <Enter>.

Когда необходимость в использовании отладочной версии Ntdetect отпадет, выполните команду installd /not.

 

42. Параметр /maxmem

 

Параметр /тахтет

Для компьютеров на базе процессоров х86 параметр /maxmem в файле Boot.ini позволяет указать максимальный объем ОЗУ, который Windows 2000 может использовать. С помощью этого параметра можно выявлять ошибки четности в памяти, несовместимость скоростей доступа модулей SIMM и другие аппаратные проблемы, связанные с памятью.

Не следует указывать для этого параметра более низкое значение, чем указано в требованиях к минимальной аппаратной конфигурации (32 Мбайт для Windows 2000 Professional и 64 Мбайт для Windows 2000 Server). Этот параметр добавляется в конец пути ARC, указываемого в разделе [operating systems] файла Boot.ini. Приведенный ниже пример показывает, как ограничить память, используемую Windows 2000 Server, первыми 64 Мбайт RAM:

multi(0) disk(0) rdisk(0) partition(1)\winnt="Windows 2000 Server" /maxmem=64

 

43. Параметр /sos

 

Параметр /sos

В файл Boot.ini можно добавить параметр /sos. Установка этого параметра заставит NTLDR отображать на экране имена ядра (Ntoskrnl.exe) и драйверов по мере их загрузки. Попробуйте использовать данный параметр, если Windows 2000 не запускается, и вы считаете, что причина заключается в отсутствующем или поврежденном драйвере.

 

44. Недоступно загрузочное устройство: STOP 0x00000078

 

Недоступно загрузочное устройство: STOP 0x00000078

Сообщение STOP указывает, что Windows 2000 не может получить доступ к загрузочному сектору раздела или может, но не находит там необходимую информацию. Чаще всего причиной возникновения такой ошибки является заражение вирусами.

Испорченный загрузочный сектор раздела также может вызвать ошибку STOP, но это зависит от того, какая из его областей повреждена. Эта проблема похожа на заражение вирусом, однако в данном случае причиной повреждения может являться дефектный диск или контроллер, а в ряде случаев — ошибка в программном обеспечении, которое своими неправильными действиями нанесло повреждение загрузочному сектору раздела.

 

45. Источники дополнительной информации

 

Источники дополнительной информации

Существуют дополнительные источники информации, которые могут существенно помочь при устранении проблем с загрузкой системы и неполадок в работе дисков:

Глава 8 этой книги полностью посвящена подготовке и проведению восстановительных процедур.
Глава 14 данной книги содержит обзорную информацию о реестре Windows 2000 и его использовании в целях диагностики и устранения неполадок в работе.
Встроенная справочная система Windows 2000 дает сведения по диагностике неполадок и их устранению.
Microsoft Knowledge Base содержит большой объем информации, подготовленной сертифицированными специалистами по поддержке продуктов Microsoft. База данных Knowledge Base доступна из следующих источников:

 

Глава 3. Поддержка оборудования

Глава 3. Поддержка оборудования

1. Поддержка Plug and Play

 

Глава 3

Поддержка оборудования

По сравнению с предыдущими версиями Windows NT операционная система Windows 2000 предоставляет повышенную надежность и снижает возможное время простоя. Усовершенствования стали возможными за счет расширения диапазона поддерживаемых аппаратных средств и обеспечения полноценной поддержки технологии Plug and Play. Реализация всех этих новых функций является частью инициативы нулевого администрирования Microsoft (ZAW). Например, в отличие от Windows NT 4.0, Windows 2000 позволяют пользователям вносить разнообразные изменения в конфигурацию компьютера без необходимости его перезагрузки. Снижение частоты необходимых перезагрузок — одно из наиболее значимых преимуществ Windows 2000, т. к. это упрощает обслуживание и повышает доступность и качество предоставляемого сервиса при одновременном снижении затрат.

Windows 2000 существенно упрощает как установку операционной системы, так и процедуры установки нового оборудования. Фактически большинство новых устройств могут быть подключены динамически, т. е. без перезагрузки компьютера. Существенно расширен и перечень поддерживаемых аппаратных средств — теперь в HCL включены сотни новых принтеров, модемов, устройств с автоподачей для CD-ROM, стримеров, накопителей на магнитооптических дисках и других устройств. Все это было достигнуто за счет включения в Windows 2000 поддержки Plug and Play, а также средств управления электропитанием и энергосбережением.

 

Поддержка Plug and Play

В Windows 2000 теперь в полном объеме реализована технология Plug and Play — набор стандартов аппаратной и программной поддержки, позволяющей компьютерной системе распознавать и адаптировать изменения аппаратной конфигурации без вмешательства пользователя и без необходимости перезагрузки компьютера. Новые средства операционной системы, выполняющие задачи по управлению аппаратными средствами, — Мастер оборудования (Hardware Wizard) и Диспетчер устройств (Device Manager) — существенно упрощают установку новых устройств, таких как устройства CD-ROM, сетевые адаптеры, жесткие диски и т. д.

В отличие от Windows NT 4.0, Windows 2000 существенно сокращает количество ситуаций, в которых после внесения конфигурационных изменений требуется выполнять перезагрузку компьютера. Ниже перечислены ситуации, в которых при работе с прежними версиями требовалась перезагрузка компьютера, а новая версия позволяет обойтись без перезагрузки:

Изменение сетевой конфигурации, например, модификация IP-адресов, добавление или удаление сетевых протоколов.
Добавление или удаление периферийных устройств, включая аудио- и видеоадаптеры и их драйверы.
Добавление, удаление и переконфигурирование многих периферийных устройств, включая жесткие диски, сетевые адаптеры и устройства CD-ROM.

 

2. Установка нового устройства

 

Установка нового устройства

Что происходит с системой при установке в ней нового устройства? Если у вас есть хотя бы небольшой предварительный опыт работы с более ранними версиями Windows NT, вам известно, что практически вся информация об аппаратных средствах компьютера и установленном на нем программном обеспечении хранится в системном реестре.

Даже если Windows 2000 встречает новое устройство, на текущий момент не занесенное в реестр, и система не имеет сведений о том, как работать с таким устройством, она все равно предоставляет пользователю максимальную помощь по его установке и настройке. Если устройство удовлетворяет стандарту Plug and Play, то на экране появляется диалоговое окно е сообщением операционной системы о том, что на компьютере обнаружено новое устройство и для него устанавливается драйвер (рис. 3.1). При этом вы можете попытаться выполнить автоматическое конфигурирование устройства с помощью Windows 2000, либо сконфигурировать его вручную.

Рис. 3.1. Окно Поиск нового оборудования (Found New Hardware)


В отличие от устройств Plug and Play, устройства, разработанные до выпуска Windows 95, имеют фиксированные параметры настройки. В этом случае задачи по установке и конфигурированию нового устройства несколько усложняются, но действует одна общая рекомендация — прежде чем пытаться вносить изменения непосредственно в реестр, попробуйте добиться нужного результата с помощью мастера оборудования. В Windows 2000 мастер оборудования имеет новые функциональные возможности и улучшенный интерфейс. Для установки нового устройства:

1. На панели управления выберите значок Установка оборудования (Add/Remove Hardware). Мастер оборудования можно вызвать и другим способом: раскройте панель управления, выполните двойной щелчок на значке Система (System), в раскрывшемся окне Свойства системы (System Properties) перейдите на вкладку Оборудование (Hardware) и нажмите кнопку Мастер оборудования (Hardware Wizard). При использовании любого из описанных методов на экране появится окно Мастер установки оборудования (Add/Remove Hardware Wizard). Нажмите в этом окне кнопку Далее (Next).
2. В следующем окне пользователю предлагается выбрать задачу по работе с аппаратными средствами. Помимо установки новых устройств, мастер оборудования позволяет решать следующие задачи:
  • Просмотр свойств аппаратных устройств и индивидуальная настройка их параметров, а также устранение неполадок в их работе
  • Динамическое отключение аппаратных устройств и удаление устройств и их драйверов из системы

Выберите опцию Добавить/провести диагностику устройства (Add/Trouble-shoot a device) (рис. 3.2) и нажмите кнопку Далее.

Рис. 3.2. Добавление нового оборудования с помощью мастера оборудования Windows 2000

3. В отличие от предыдущих версий Winodws NT, Windows 2000 обеспечивает полноценную поддержку Plug and Play. Как правило, новое устройство Plug and Play будет обнаружено и автоматически сконфигурировано мастером оборудования, поэтому обычно задачи пользователя по конфигурированию аппаратных средств компьютера на этом заканчиваются. Только в наихудшем варианте, когда новое устройство не является устройством Plug and Play, появляется окно, показанное на рис. 3.3. В этом окне имеется список Устройства (Devices), в котором перечислены все устройства, на текущий момент установленные в системе. Если в работе одного из этих устройств имеются неполадки, выделите нужное устройство в списке и нажмите кнопку Далее. Для установки нового устройства выберите в списке Устройства опцию Добавление нового устройства (Add a new device) и нажмите кнопку Далее.
Рис. 3.3. Установка устройства, не поддерживающего Plug and Play, с помощью мастера оборудования

4. На экране появится окно, показанное на рис. 3.4. В этом окне рекомендуется согласиться с предложенной по умолчанию опцией Да, провести поиск нового оборудования (Yes, search for new hardware), при которой операционная система попытается обнаружить новое устройство. Нажмите кнопку Далее, и система начнет процедуру обнаружения новых аппаратных средств. Обычно в процессе поиска система обнаруживает все установленные устройства. Если новое устройство не было обнаружено, проверьте, корректно ли оно установлено. Нужно отметить, что даже в этом случае вариант ручной установки устройств с помощью опции Нет, выбрать оборудование из списка (No, I want to select the hardware from a list) предпочтительнее, чем редактирование реестра вручную.
5. Как уже говорилось, мастер оборудования обнаружит все поддерживаемые и правильно установленные устройства, даже если они не поддерживают стандарт Plug and Play. Если на данном этапе возникли затруднения, то в первую очередь убедитесь в том, что устройство включено в список совместимых аппаратных средств (HCL) операционной системы Windows 2000, а затем проверьте, правильно ли оно подключено к компьютеру и не используется ли другой программой. После того как на экране появится список обнаруженных устройств, завершите процедуру установки, следуя инструкциям мастера.
Рис. 3.4. Windows 2000 предлагает режим установки устройства, не поддерживающего Plug and Play


Установка и конфигурирование аппаратных устройств при помощи мастера оборудования гораздо безопаснее непосредственного редактирования реестра, поскольку исключает риск утраты совместимости или возникновения-других проблем. Но время от времени при добавлении новых устройств или изменении параметров уже установленных устройств может понадобиться непосредственное редактирование реестра.

Для многих пользователей представляет значительный интерес изменение настройки выделяемых устройству ресурсов. Вы уже знаете, что диспетчер конфигурации управляет этими параметрами автоматически при инсталляции нового устройства и загрузке Windows. Однако иногда требуется ручная настройка, например, при аппаратном конфликте, который не может быть разрешен диспетчером конфигурации и реестром. Предположим, что конфликтуют настройки IRQ и DMA для двух устройств. В этом случае для редактирования параметров в реестре вы также можете использовать диспетчер устройств.

 

3.1.gif

Изображение: 

3.2.gif

Изображение: 

3.3.gif

Изображение: 

3.4.gif

Изображение: 

3. Реализация Plug and Play в Windows 2000

 

Реализация Plug and Play в Windows 2000

Операционная система Windows 2000 включает в свой состав усовершенствования, которые не просто упрощают управление устройствами для конечных пользователей, но и значительно облегчают задачи разработчиков драйверов устройств. В число этих усовершенствований входят поддержка управления электропитанием и поддержка Plug and Play.

Plug and Play представляет собой комбинацию поддержки аппаратных средств и программного обеспечения, которая позволяет компьютерной системе распознавать изменения в аппаратной конфигурации при минимальном вмешательстве пользователя и даже без взаимодействия с пользователем. Работая с системой Plug and Play, пользователь может добавлять или удалять устройства динамически, без утомительного и неудобного ручного конфигурирования. Более того, пользователю даже не нужно глубокое знание принципов функционирования аппаратных средств компьютера. Например, пользователь может подключить портативный компьютер к сети через адаптер Ethernet, имеющийся на док-станции, и сделать это без необходимости ручного изменения конфигурации. Впоследствии этот же компьютер можно использовать для установления соединения с локальной сетью через модем, для этого тоже не потребуется изменять конфигурацию вручную. Plug and Play позволяет пользователю изменять конфигурацию компьютера и при этом иметь уверенность в том, что все устройства будут правильно работать, а компьютер после внесения изменений будет правильно загружаться.

 

4. Эволюция технологии Plug and Play

 

Эволюция технологии Plug and Play

Впервые поддержка Plug and Play была включена в состав операционной системы Windows 95. Однако с тех пор технологии Plug and Play существенно изменились и прошли достаточно долгий путь развития. В значительной степени эта эволюция является результатом технической инициативы OnNow, которая представляла собой попытку определить в масштабах всей системы универсальный подход к управлению конфигурацией системы и устройств, а также к управлению электропитанием. Одним из результатов инициативы OnNow является спецификация ACPI 1.0 (Advanced Configuration and Power Interface Version 1.0), которая определяет новый интерфейс между системной платой и BIOS, расширяющий данные Plug and Play путем включения управления электропитанием и других конфигурационных возможностей, осуществляемых под контролем операционной системы.

В отличие от поддержки Plug and Play в Windows 95, реализация Plug and Play в Windows 2000 базируется не только на Advanced Power Management (АРМ) BIOS или Plug and Play BIOS. Эти две реализации BIOS были разработаны для Windows 95 и, как ранние попытки обеспечения поддержки Plug and Play и управления электропитанием, они поддерживаются в Windows 98 для обеспечения обратной совместимости. Фактическая поддержка Hug and Play и управления электропитанием обеспечиваются в Windows 2000 и Windows 98 интерфейсом ACPI.

Технология Plug and Play требует комбинированного взаимодействия uius персонального компьютера, его аппаратных компонентов, драйверов устройств и операционной системы. Основные требования к реализации системной платы и поддержке BIOS, необходимые для обеспечения поддержки Plug and Play в Windows 2000, определены в спецификации ACPI. Windows 2000 и Windows 98 используют эту спецификацию как основу для построения их архитектуры Plug and Play в соответствии с требованиями инициативы OnNow.

Спецификация ACPI определяет новый интерфейс между операционной системой и компонентами компьютера, обеспечивающими поддержку Plug and Play и управления электропитанием. Обратите внимание, -что методы, определенные в ACPI, не зависят от конкретной операционной системы или типа процессора. ACPI определяет интерфейс на уровне регистров для базовых функций Plug and Play и управления электропитанием, а также определяет описательный интерфейс для дополнительных аппаратных возможностей. Это позволяет разработчикам реализовать целый диапазон функций Plug and Play и управления электропитанием для самых разных аппаратных платформ при использовании одного и того же драйвера операционной системы. Помимо этого, ACPI предоставляет общий механизм системных событий для Plug and Play и управления электропитанием.

Кроме спецификации ACPI существуют и другие промышленные стандарты, например, Universal Serial Bus, Version 1.0, PCI Local Bus Specification, Revision 2.1 и PCMCIA.

Основная цель реализации Plug and Play — дальнейшее развитие промышленной инициативы, направленной на упрощение работы с персональными компьютерами для конечных пользователей. Кроме того, Plug and Play в Windows 2000 решает следующие задачи:

Расширение существующей в Windows NT инфраструктуры ввода/вывода так, чтобы она поддерживала Plug and Play и управление электропитанием при одновременной поддержке промышленных стандартов на аппаратные средства Plug and Play.
Разработка общих интерфейсов драйверов, которые поддерживают Plug and Play и управление питанием для множества классов устройств под управлением Windows 2000 и Windows 98.
Оптимизация поддержки Rug and Play для самых разнотипных компьютеров — портативных, настольных рабочих станций и серверов, имеющих системные платы ACPI. В дополнение к сказанному, поддержка драйверов устройств Plug and Play для различных классов устройств обеспечивается моделью драйвера Microsoft Win32 (Microsoft Win32® Driver Model, WDM), которая поддерживает также управление подачей электропитания и другие новые возможности, которые могут конфигурироваться и управляться операционной системой.

 

5. Уровни поддержки устройств и драйверов

 

Уровни поддержки устройств и драйверов

Уровень поддержки Plug and Play, обеспечиваемый устройством, зависит как от аппаратной поддержки Plug and Play, так и от поддержки, обеспечиваемой драйвером этого устройства. На схематическом уровне эта концепция иллюстрируется в табл. 3.1.

Таблица 3.1. Уровни поддержки Plug and Play для устройств и драйверов

  Драйвер Plug and Play Драйвер без поддержки Plug and Play
Устройство Plug and Play Полная поддержка Plug and Play Поддержка Plug and Play отсутствует
Устройство без поддержки Plug and Play Возможна частичная поддержка Plug and Play Поддержка Plug and Play отсутствует

Как показывает эта таблица, для обеспечения полной поддержки Plug and Play устройство Plug and Play должно иметь драйвер, поддерживающий Plug and Play. Ниже кратко описаны все возможные конфигурации:

Устройство и драйвер поддерживают Plug and Play (полная поддержка Plug and Play). Чтобы обеспечить оптимальную поддержку Plug and Play, аппаратная реализация должна соответствовать инициативе OnNow, включая спецификацию ACPI. Поддержка Plug and Play в Windows 2000 направлена только на системы ACPI.
Устройство Plug and Play/драйвер без поддержки Plug and Play (поддержка Plug and Play отсутствует). Если драйвер не поддерживает Plug and Play, то устройство будет вести себя как устройство, не поддерживающее Plug and Play, несмотря на то, что оно поддерживает эту спецификацию аппа-ратно. Обратите особое внимание на то, что устройство, не поддерживающее Plug and Play, может ограничить функциональные возможности Plug and Play для в“;ей системы.
Устройство без поддержки Plug and Play/драйвер Plug and Play (возможна частичная поддержка Plug and Play). Устройство, не поддерживающее Plug and Play на аппаратном уровне, может обеспечивать частичную поддержку Plug and Play при условии загрузки соответствующего драйвера (Plug and Play). Хотя такая система не может автоматически и динамически распознавать аппаратные средства и загружать соответствующие драйверы, она обеспечит возможность .управления выделением ресурсов Plug and Play, а также предоставит интерфейс для взаимодействия драйвера с системой Plug and Play и позволит взаимодействовать с системой управления электропитанием и регистрировать события, связанные с уведомлением устройств. Если такое устройство имеет драйвер Plug and Play, то оно отображается в диспетчере устройств, и для него будут доступны страницы конфигурирования свойств.
Ни устройство, ни драйвер не поддерживают Plug and Play (поддержка Plug and Play отсутствует). Драйверы, разработанные до включения поддержки Plug and Play в операционную систему, будут функционировать точно так же, как раньше (без обеспечения функций Plug and Play). Все новые драйверы должны поддерживать Plug and Play.

 

6. Plug and Play и Windows 2000

 

Plug and Play и Windows 2000

Чтобы включить поддержку Plug and Play в Windows 2000, потребовалось объединить реализацию Plug and Play с базовым исходным кодом Windows NT. Результаты этой интеграции перечислены ниже:

Драйверы шины теперь отделены от уровня аппаратных абстракций (HAL). Драйверы шины управляют шиной ввода/вывода, включая функциональные возможности слотов, независимые от конкретных устройств. В этой новой архитектурной модели драйверы шины были отделены от HAL, чтобы обеспечить координацию с изменениями и расширениями, внесенными в компоненты режима ядра, например, в модуль Executive, драйверы устройств и HAL. Как правило, драйверы шины поставляются Microsoft.
Для обеспечения инсталляции и конфигурирования устройств теперь доступны новые методы и возможности. Новая архитектура включает изменения и расширения для существующих компонентов режима пользователя, включая спулер (Spooler), инсталляторы классов (class installers), приложения панели управления, а также программу Setup. Также добавлены новые компоненты режимов пользователя и ядра, обладающие возможностями Plug and Play.
Разработаны новые интерфейсы прикладного программирования Plug and Play для чтения и записи информации реестра. Для обеспечения этой цели были внесены изменения в структуру реестра. Теперь эта структура поддерживает Plug and Play и позволяет обеспечить дальнейшее совершенствование и расширение структуры реестра будущих версий при обеспечении обратной совместимости.

Windows 2000 поддерживает наследуемые драйверы Windows NT (legacy Windows NT drivers), но эти драйверы не будут обладать функциональными возможностями Plug and Play и управления электропитанием. Фирмы-производители, которым требуется обеспечить полную поддержку функциональных возможностей Plug and Play для выпускаемых устройств и функционирование одних и тех же драйверов как в Windows 2000, так и в Windows 98, должны разрабатывать новые драйверы, интегрирующие последние достижения технологии Plug and Play и управления электропитанием.

Windows 2000 обеспечивает следующую поддержку Plug and Play:

Автоматическое и динамическое распознавание установленных аппаратных средств Е число обеспечиваемых функций входят начальная инсталляция системы, распознавание аппаратных изменений Plug and Play между перезагрузками системы и реакция на аппаратные события времени исполнения, включая отключения и подключения док-станций и установку/удаление устройств.
Назначение и переназначение аппаратных ресурсов. Драйверы устройств Plug and Play не назначают собственных ресурсов. Вместо этого необходимые для устройства ресурсы идентифицируются при перечислении (enumeration) устройств операционной системой. Модуль Plug and Play Manager запрашивает эти требования при выделении ресурсов каждому устройству. На основании запросов на назначение ресурсов, подаваемых каждым устройством, Plug and Play Manager назначает устройствам соответствующие ресурсы, включая порты ввода/вывода, прерывания (IRQ), каналы DMA и адреса памяти. При необходимости Plug and Play Manager переконфигурирует назначение ресурсов. Такая необходимость возникает, например, при добавлении в систему нового устройства, которое запрашивает ресурсы, уже назначенные другому устройству.
Загрузка соответствующих драйверов. Plug and Play Manager определяет и загружает драйверы, необходимые для поддержки конкретного устройства.
Интерфейс для взаимодействия драйверов с системой Plug and Play. Этот интерфейс состоит, в основном, из процедур ввода/вывода, пакетов запроса ввода/вывода для системы Plug and Play (I/O Request Packets, IRP), необходимых точек входа драйверов и информации реестра.
Взаимодействие с системой управления электропитанием. Ключевой особенностью системы Plug and Play в Windows 2000 является динамическая обработка событий. Добавление или удаление устройства является примером такого динамического события. Другой пример — способность динамического перевода устройства в режим энергосбережения и обратно. Система Plug and Play и система управления электропитанием используют функции WDM и применяют схожие методы реагирования на динамические события.
Регистрация событий уведомления устройств. Plug and Play позволяет коду режима пользователя регистрировать и получать уведомления об определенных событиях Plug and Play. Процедура RegisterDeviceNotification позволяет осуществляющему вызов коду фильтровать класс или устройство, от которого требуется получать уведомления. Фильтр может быть специфическим, например, дескриптор файловой системы, или общим, например, класс устройств. Методы уведомлений, наследуемые от предыдущих версий Windows NT, также поддерживаются и работают как прежде.

 

7. Архитектура Plug and Play в Windows 2000

 

Архитектура Plug and Play в Windows 2000

Ядро Windows 2000 обеспечивает поддержку Plug and Play в процессе загрузки и предоставляет интерфейсы для взаимодействия с такими компонентами операционной системы, как уровень аппаратных абстракций (HAL), исполняющая подсистема (модуль Executive) и драйверы устройств (рис, 3,5). Функции режима пользователя взаимодействуют с функциями режима ядра, обеспечивая возможности динамической конфигурации и интерфейса с остальными компонентами, которые должны поддерживать Plug and Play, например, с программой Setup и приложениями панели управления. Следующие разделы подробно описывают модули Plug and Play.

Рис. 3.5. Архитектура Plug and Play в Windows 2000

 

3.5.gif

Изображение: 

8. Plug and Play Manager в режиме ядра

 

Plug and Play Manager в режиме ядра

Модуль Plug and Play Manager (PnP Manager), работающий в режиме ядра, поддерживает функции центрального управления, управляет шинными драйверами при выполнении перечисления и драйверами устройств при добавлении устройства, его запуске и т. д.

Например, Plug and Play Manager может направлять запросы, чтобы определить, может ли устройство быть удалено, и позволить драйверу устройства синхронизировать незавершенные запросы ввода/вывода с поступающим запросом. Plug and Play Manager координируется с соответствующим модулем режима пользователя при определении устройств, доступных для выполнения таких операций.

 

9. Power Manager и Policy Manager

 

Power Manager и Policy Manager

Power Manager — это компонент режима ядра, который работает совместно с модулем Policy Manager и обрабатывает вызовы интерфейса прикладного программирования (API) управления электропитанием, координирует события и генерирует запросы на прерывания, связанные с управлением электропитанием IRP. Например, если различные устройства отправляют запросы на отключение, Power Manager собирает эти запросы, определяет, какие запросы должны быть сериализованы и генерирует соответствующие IRP. Policy Manager наблюдает за активностью системы и собирает интегрированную информацию о статусе пользователей, приложений и драйверов устройств. При определенных обстоятельствах или по запросу Policy Manager генерирует IRP для изменения статуса драйверов устройств.

 

10. I/O Manager

 

I/O Manager

Диспетчер ввода/вывода (I/O Manager) обеспечивает базовые сервисы для драйверов устройств. Диспетчер ввода/вывода представляет собой компонент режима ядра, который выполняет трансляцию команд чтения и записи режима пользователя в соответствующие IRP. Помимо этого диспетчер ввода/вывода управляет всеми остальными основными IRP операционной системы. Эти интерфейсы работают точно так же, как они работали в операционной системе Windows NT 4.0. Обратите внимание, что поскольку диспетчер ввода/вывода имеется и в Windows NT 4.0 и в Windows 2000, драйвер Plug and Play может устанавливаться вручную в Windows NT 4.0 и может функционировать как драйвер Plug and Play в Windows 2000.

 

11. Интерфейс WDM для Plug and Play

 

Интерфейс WDM для Plug and Play

Система ввода/вывода предоставляет уровневую архитектуру драйверов. В данном разделе обсуждаются типы драйверов WDM, уровни драйверов и объекты устройств. Более подробную информацию по данному вопросу можно найти в файле справочной системы Introduction to Plug and Play, входящем в состав Windows 98 DDK, а также в файлах документации к Windows 2000 DDK.

 

12. Типы драйверов

 

Типы драйверов

С точки зрения системы Plug and Play существуют следующие три типа драйверов:

Шинный драйвер (драйвер шины) обслуживает контроллер шины, адаптер, мост или любое устройство, которое имеет дочерние устройства. Шинные драйверы относятся к обязательным драйверам и обычно поставляются Microsoft. Для каждого типа шины в системе имеется собственный шинный драйвер.
Функциональный драйвер — это основной драйвер устройства, который предоставляет интерфейс с этим устррйством. Этот драйвер является обязательным, за исключением случаев, когда ввод/вывод устройства осуществляется шинным драйвером или любыми драйверами фильтра. Функциональный драйвер устройства обычно реализуется в виде пары драйвер/мини-драйвер. В таких парах драйвер класса (обычно разрабатываемый Microsoft) обеспечивает функциональные возможности, необходимые всем устройствам этого типа, а мини-драйвер (обычно разрабатываемый фирмой-поставщиком конкретного устройства) обеспечивает специфические функциональные особенности устройства. Plug and Play Manager загружает по одному функциональному драйверу для каждого устройства.
Драйвер фильтра сортирует запросы ввода/вывода для шины, устройства или класса устройств. Драйверы фильтра являются необязательными и могут существовать в любом количестве, располагаясь на различных уровнях — как выше, так и ниже функционального драйвера и шинного драйвера. Обычно такие драйверы поставляются фирмами OEM или независимыми поставщиками аппаратных средств (1HV). В большинстве случаев драйверы фильтров нижнего уровня модифицируют поведение аппаратных средств. Например, низкоуровневый драйвер фильтра класса для мыши может обеспечивать ускорение ее работы, выполняя нелинейное преобразование данных о перемещении мыши. Высокоуровневые драйверы фильтров обычно предоставляют дополнительные функции для устройства. Например, высокоуровневый драйвер фильтра у для клавиатуры может вводить дополнительные проверки по безопасности.

 

13. Уровни драйверов

 

Уровни драйверов

Для каждого конкретного устройства существует два или более уровней драйвера: шинный драйвер для шины ввода/вывода (или Plug and Play Manager — для устройств, помещенных при перечислении на корневой уровень) и функциональный драйвер устройства. Помимо этого могут присутствовать один или несколько драйверов фильтра для шины или устройства.

 

14. Объекты устройств

 

Объекты устройств

Драйвер создает объект устройства (device object) для каждого устройства, которым он управляет. Объект устройства представляет устройство для драйвера. С точки зрения Plug and Play существуют три типа объектов устройств:

Физические объекты устройств (Physical Device Objects, PDO),
Функциональные объекты устройств (Functional Device Objects, FDO)
Объекты фильтров устройств

PDO представляют устройство на шине; каждый интерфейс прикладного программирования Plug and Play API, который ссылается на устройство, ссылается на PDO. FDO представляют функциональные возможности устройства функциональному драйверу. Объекты фильтров представляют драйвер фильтра. Эти три типа объектов устройств имеют тип DEVICE_OBJECT, но используются по-разному и могут иметь дополнительные расширения.

 

15. Дополнительные интерфейсы Windows 2000

 

Дополнительные интерфейсы Windows 2000

Драйверы Plug and Play Windows 2000 не ограничиваются использованием интерфейсов WDM. Драйверы могут вызывать другие интерфейсы для обеспечения поддержки наследуемых драйверов Windows NT, обнаружения аппаратных средств или других специфических функций, не предоставляемых WDM.

Обратите внимание, что если драйвер должен использоваться как в Windows 98, так и в Windows 2000, то он должен использовать только интерфейсы WDM.

 

16. Шинные драйверы WDM

 

Шинные драйверы WDM

Управление электропитанием и Plug and Play осуществляется при помощи шинных драйверов WDM, которые представляют собой стандартные драйверы WDM. Обратите внимание, что в этом контексте любое устройство, начиная с которого происходит перечисление других устройств, будет называться шиной. Шинный драйвер отвечает на пакеты запроса ввода/вывода (IRP) и может быть расширен за счет использования драйверов фильтров. Шинный драйвер выполняет следующие задачи: П Перечисление (enumeration) устройств на шине

Динамическое извещение операционной системы о событиях на шине
Ответы на IRP от систем Plug and Play и управления электропитанием
Мультиплексирование доступа к шине (для некоторых шин)
Общее администрирование устройств на шине

В процессе перечисления драйвер шины идентифицирует устройства на своей шине и создает для них объекты устройств. Метод, с помощью которого драйвер идентифицирует устройства на шине, зависит от конкретной шины. Шинный драйвер выполняет некоторые операции от имени устройств, находящихся на его шине, но обычно не обрабатывает операции чтения и записи на устройства, находящиеся на шине. (Эти операции обрабатываются функциональным драйвером.) Драйвер шины выступает в роли функционального драйвера для своего контроллера, адаптера, моста или другого устройства.

Microsoft поставляет шинные драйверы для большинства распространенных шин, в том числе: PCI, Plug and Play ISA, SCSI, и USB. Прочие шинные драйверы могут поставляться независимыми поставщиками — IHV или OEM. Шинный драйвер может быть реализован как пара драйвер/мини-драйвер. В таких парах драйверов один из драйверов связан со вторым, а второй представляет собой DLL.

Драйвер ACPI выполняет роль как шинного драйвера, так и функционального драйвера. ACPI позволяет системе узнавать об устройствах, которые не имеют стандартного метода перечисления (т. е. о наследуемых устройствах) или о вновь определенных устройствах ACPI, перечисление которых должно производиться ACPI (например, о встроенных контроллерах). ACPI устанавливает драйверы фильтра верхнего уровня для устройств, функциональные возможности которых выходят за пределы стандарта для их шины. Например, если шинный драйвер PCI устанавливает графический контроллер с элементами управления электропитанием, которые не поддерживаются шиной PCI, то устройство может поддерживать дополнительные функциональные возможности, если драйвер ACPI загрузит для него высокоуровневый драйвер фильтра.

 

17. Драйверы устройств WDM

 

Драйверы устройств WDM

Драйверы устройств WDM обычно представляют собой пару "драйвер/мини-драйвер — драйвер фильтра". В дополнение к предоставлению операционного интерфейса с устройством функциональные драйверы играют важную роль в системе управления электропитанием, предоставляя информацию владельцу политики для устройства о возможностях управления электропитанием и выполняя действия, относящиеся к переходам от режима энергосбережения к режиму подачи электропитания в полном объеме.

 

18. Компоненты Plug and Play в режиме пользователя

 

Компоненты Plug and Play в режиме пользователя

API Windows 2000 режима пользователя для управления устройствами и их конфигурирования в среде Plug and Play представляют собой 32-разрядные расширенные версии, базирующиеся на API Configuration Manager для Windows 95. В Windows 95 Configuration Manager (Диспетчер конфигураций) — это виртуальный драйвер устройства (VxD), который предоставляет эти процедуры в качестве сервисов компонентам, работающим в кольцах защиты 0 и 3.

В Windows 2000 эти процедуры расширяют функциональные возможности компонента Plug and Play Manager режима пользователя и представляют собой API режима пользователя. Драйверы устанавливаются программой Setup. 32-разрядные API инсталляции устройств, используемые программой Setup, представляют собой надмножество процедур инсталляции Windows 95.

Windows 2000 предоставляет API, которые приложения могут использовать для индивидуального управления аппаратными событиями и для создания новых аппаратных событий.

 

19. Дерево устройств Plug and Play

 

Дерево устройств Plug and Play

Plug and Play Manager поддерживает дерево устройств, которое может просматриваться с помощью диспетчера устройств (рис. 3.6), отображающей все активные устройства в системе и информацию об этих устройствах. Plug and Play Manager обновляет дерево устройств при добавлении или удалении устройств или по мере переназначения ресурсов. Дерево устройств является иерархическим, при этом каждое устройство на шине представляется как дочернее устройство шинного адаптера или контроллера. Вся статическая информация об аппаратных средствах хранится в реестре, а компоненты системы Plug and Play и драйверы строят, поддерживают и получают доступ к новым и существующим поддеревьям реестра.

Рис. 3.6. Дерево устройств, отображаемых диспетчером устройств (Device Manager), поддерживается модулем Plug and Play Manager


В процессе перечисления данные для каждого устройства сохраняются в реестре в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum. Система Plug and Play принимает решения о том, какие драйверы устройств должны загружаться, на базе информации, полученной в результате перечисления. Таким образом, между деревом enum и списком сервисов, расположенным в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services, существует исключительно важная связь.

 

3.6.gif

Изображение: 

20. Аппаратные профили

 

Аппаратные профили

Windows 2000 обеспечивает возможность создания множества аппаратных конфигураций, которые хранятся в реестре. Так, например, можно создать

профили для док-станций (что актуально для пользователей портативных компьютеров), а также профили для съемных устройств. Аппаратный профиль, или профиль оборудования (hardware profile), представляет собой набор инструкций, с помощью которого можно указать операционной системе Windows 2000, драйверы каких устройств должны загружаться при запуске компьютера. Чтобы создать новый аппаратный профиль в Windows 2000, откройте окно свойств системы, перейдите на вкладку Оборудование и нажмите кнопку Профили оборудования (Hardware Profiles). Раскроется диалоговое окно Профили оборудования (рис. 3.7).

Рис. 3.7. Аппаратные профили


В процессе установки Windows 2000 создается аппаратный профиль по умолчанию, в состав которого будут добавлены все устройства, обнаруженные на компьютере на момент установки Windows 2000.

Чтобы изменить свойства аппаратного профиля, выделите его имя в списке Имеющиеся профили оборудования (Available hardware profiles) и нажмите кнопку Свойства (Properties). Можно также создать новый аппаратный профиль на базе уже существующего. Для этого выделите нужный аппаратный профиль в списке и нажмите кнопку Копировать (Сору), а затем укажите имя нового аппаратного профиля в раскрывшемся диалоговом окне Копирование профиля (Copy Profile). Чтобы удалить один из аппаратных профилей, выделите его имя в списке и нажмите кнопку Удалить (Delete).

Наконец, в диалоговом окне Профили оборудования можно задать поведение системы по отношению к выбору аппаратных профилей. В нижней части этого окна находится группа Выбор профиля оборудования (Hardware profiles selection) с двумя переключателями. Если выбрать переключатель дождаться явного указания от пользователя (Wait until I select a hardware profile) то при загрузке Windows 2000 выведет на экран список аппаратных профилей и будет ожидать, когда пользователь выберет один из них. При выборе второго переключателя система Windows 2000 во время запуска автоматически выберет первый профиль из списка, если пользователь не укажет нужный ему аппаратный профиль по истечении срока (в секундах), указанного в расположенном рядом поле.

 

3.7.gif

Изображение: 

21. Управление электропитанием и энергосбережение

 

Управление электропитанием и энергосбережение

Управление электропитанием представляет собой интегрированный подход к энергосбережению в масштабах всей системы (на уровне аппаратных средств и программного обеспечения). Это означает, что компьютерная система, в полном объеме поддерживающая управление электропитанием и энергосбережение, должна включать как аппаратную, так и программную поддержку для следующих функций:

Минимальные временные затраты на запуск и останов компьютера Это означает, что система может находиться в "спящем" режиме с минимальным потреблением энергии. Из этого режима она может быстро возобновить работу (без необходимости полной перезагрузки).
Эффективное и экономное энергопотребление, увеличение срока службы аппаратных устройств. Устройства потребляют электроэнергию только в .том случае, когда они выполняют полезную работу (запросы системы или пользователя). Устройства, которые в течение заданного временного интервала не используются, отключаются, и впоследствии включаются по требованию.
Бесшумная работа.

Требования к аппаратным средствам и программному обеспечению по управлению электропитанием и энергосбережению определены промышленной инициативой OnNow. В Windows 2000 такая поддержка обеспечивается как компьютер в целом, так и каждое отдельное устройство потребляют только минимально необходимые уровни электроэнергии (разумеется при условии что аппаратные средства удовлетворяют требованиям инициативы OnNow). Здесь следует отметить, что управление электропитанием и Plug and Play тесно связаны между собой и взаимозависимы.

Этот подход к управлению электропитанием и энергосбережению обеспечивает следующие преимущества:

Интеллектуальное поведение системы в отношении энергосбережения
Повышенную надежность и снижение риска потери данных (как вследствие увеличения срока службы аппаратных средств, так и вследствие снижения количества перезагрузок)
Более высокий уровень взаимодействия устройств

С помощью утилиты Электропитание (Power Options) на панели управления можно установить режим потребления энергии компьютером. Следует сразу же отметить, что для использования этих функций необходимо иметь компьютер, удовлетворяющий спецификации ACPI.

Чтобы запустить утилиту Электропитание:

1. Выберите команду Пуск | Настройка | Панель управления | Электропитание (Start | Settings | Control Panel | Power Options).
2. На экране появится окно Свойства: Параметры электропитания (Power Options Properties), раскрытое на вкладке Схемы управления питанием (Power Schemes) (рис. 3.8).

Рис. 3.8. Вкладка Схемы управления питанием (Power Schemes) окна Свойства: Параметры электропитания (Power Options Properties)


Как правило, чаще всего требуется отключать монитор и жесткий диск на короткий период времени с целью экономии электроэнергии, и для этого лучше всего подходит режим энергосбережения (standby).

Если вы планируете отсутствовать в течение достаточно длительного времени, то рекомендуется перевести компьютер в спящий режим. Чтобы активизировать поддержку спящего режима:

1. Раскройте окно Свойства: Параметры электропитания и перейдите на вкладку Спящий режим (Hibernate) (рис. 3.9). Если вкладка недоступна, ваш компьютер не поддерживает эту опцию.
2. Установите флажок После приостановки перейти в спящий режим (Enable hibernate support). Следует отметить, что поскольку при переходе в спящий режим все содержимое оперативной памяти записывается на жесткий диск, требуется объем свободного дискового пространства, соответствующий объему оперативной памяти, установленной на компьютере.

После активизации поддержки спящего режима в списке Какое действие должен выполнить компьютер? (What do you want the computer to do?) диалогового окна Завершение работы Windows (Shut Down Windows) появится новый пункт — Переход в спящий режим, позволяющий вручную перевести компьютер в спящий режим (рис. 3.10).

Внимание

После перевода компьютера в спящий режим и повторного включения питания автоматически восстанавливается сохраненное состояние системы— меню выбора операционных систем, если таковое имелось, не выводится.



Рис. 3.9. Вкладка Спящий режим (Hibernate)



Рис. 3.10. Переход в спящий режим (Hibernate) — новый элемент в списке диалогового окна Завершение работы Windows (Shut Down Windows)



Предупреждение

Поскольку функция спящего режима требует, чтобы аппаратные средства корректно поддерживались операционной системой, и в случае несогласованности возможны серьезные проблемы (вплоть до переустановки системы), советуем проводить проверку этого режима сразу после начальной установки системы (чтобы снизить риск потери данных и т. п.) и при хорошем понимании способов восстановления незагружающейся или заблокированной системы.

 

3.10.gif

Изображение: 

3.8a.gif

Изображение: 

3.8b.gif

Изображение: 

3.9.gif

Изображение: 

Глава 4. Пользовательский интерфейс

Глава 4. Пользовательский интерфейс

1. Действительно ли ОС Windows 2000 - "самая простая из всех Windows"?

 

Глава 4

Пользовательский интерфейс

Операционные системы из семейства Windows 2000 представляют собой стратегическое направление, на развитие которого брошены лучшие силы разработчиков Microsoft! В частности, предполагается, что Windows 2000 Professional станет стандартной операционной системой для клиентских ПК, применяющихся в деловых целях. Переход на новую операционную систему — очень серьезное мероприятие, а для некоторых пользователей — еще и стресс. Поэтому, чтобы оправдать свой рекламный лозунг "The Easiest Windows Yet!" ("Самая простая Windows!"), программистам из Microsoft действительно пришлось постараться. Пожалуй, некоторые опытные пользователи, относящие себя к "ветеранам Windows", могут счесть, что в данном случае программисты и дизайнеры, занимавшиеся пользовательским интерфейсом, даже перестарались. Значительная часть интерфейсных изменений и усовершенствований адресована начинающим. Таким образом, Windows 2000 во многих отношениях будет даже проще для освоения новичками, нежели Windows 98. С другой стороны, ее мощные новые возможности, простота и элегантность в сочетании с традиционными сильными сторонами Windows NT 4.0, несомненно, привлекут к себе внимание мобильных пользователей, разработчиков программного обеспечения и опытных пользователей.

 

Действительно ли ОС Windows 2000 — "самая простая из всех Windows"?

Рекламный лозунг "Самая простая Windows!" как нельзя лучше подходит для главы о пользовательском интерфейсе, и, кроме того, в данном случае реклама почти полностью соответствует реальности. Windows 2000 — действительно самая простая в использовании операционная система из семейства Windows. Кстати, на фоне появления все новых и новых бета-версий

Windows 2000 почти незамеченным оказалось другое событие — к началу 1999 года разработчики новых аппаратных средств и известные фирмы-производители ПО практически полностью прекратили поддержку Windows 3.x. Пользователи и программисты могли по-разному относиться к этой операционной системе, но она действительно стала настоящим символом целой эпохи в развитии программного обеспечения. И вот теперь эта эпоха, вместе с операционной системой, которую вполне можно назвать "легендарным детищем Microsoft", уходит в прошлое. В числе основных стимулов для перехода с Windows 3.x на Windows 95 одним из первых назывался более удобный пользовательский интерфейс, облегчающий изучение компьютера новичкам и создающий опытным пользователям условия для более эффективной работы. Но даже этот интерфейс, сыгравший важную роль в успехе Windows 95 и впоследствии включенный в Windows NT 4.0, нравился далеко не всем. Вполне возможно, что не каждому понравятся и новшества, введенные в Windows 2000.

Итак, приступим к рассмотрению нового пользовательского интерфейса Windows 2000 и обсуждению его ключевых особенностей.

 

2. Обзор нововведений

 

Обзор нововведений

Усовершенствование пользовательского интерфейса без радикального изменения его вида и функций операционной системы было одним из основных требований к Windows 2000. Именно поэтому в Windows 2000 получили дальнейшее развитие некоторые наиболее популярные функции, существовавшие в Windows 95, Windows 98 и Windows NT Workstation 4.0. Особое внимание было уделено следующим направлениям:

Упрощение освоения компьютера неопытными пользователями
Упрощение выполнения наиболее важных повседневных задач
Упрощение поиска и организации информации
Упрощение конфигурирования и индивидуальной настройки системы

По каждому из перечисленных направлений действительно сделано очень многое, и это становится очевидным уже в процессе инсталляции, которая, по сравнению с предыдущими версиями, стала в высшей степени автоматизированной. Когда же процедура инсталляции завершается, и мы получаем возможность начать исследование рабочего стола Windows 2000 (рис. 4.1), внесенные изменения становятся заметны сразу же. Разумеется, несколько обновился дизайн (новая цветовая схема по умолчанию и новые значки). Кроме того, значков на рабочем столе стало меньше. В целом можно сказать, что он стал менее перегруженным избыточной информацией по сравнению с предыдущими версиями. Хотя эти изменения и кажутся чисто косметическими, они действительно делают Windows 2000 более простой и удобной в работе, нежели даже Windows 98.

Рис. 4.1. Исследование интерфейса Windows 2000 Professional начинается с рабочего стола

О том, что новый интерфейс весьма сильно ориентирован на новичков, уже говорилось. С одним из этих нововведений, окном Знакомство с Windows 2000 (Getting Started with Windows 2000 Professional), любой пользователь сталкивается сразу же после того, как впервые зарегистрируется в системе (рис. 4.1). В числе опций, предлагаемых в этом окне, имеются: регистрация установленной копии Windows 2000 Professional (опция Регистрация (Register Now)), просмотр анимированной презентации, описывающей достоинства этой операционной системы (опция Учебник по Windows (Discover Windows)) и установление соединения с Интернетом (опция Подключение к Интернегу (Connect to the Internet)). Если вы и есть тот самый новичок, для которого старались разработчики, рекомендуется выбрать опцию Учебник по Windows и методично просмотреть предложенную вашему вниманию презентацию.

Опытные пользователи обычно отказываются от отображения этого окна при каждом запуске системы: для этого достаточно сбросить флажок Показывать это окно при запуске (Show this screen at startup), расположенный в нижней части окна.

Примечание

Основная причина, по которой эту презентацию можно рекомендовать для просмотра не только новичкам, но и опытным пользователям, заключается в том, что она позволяет быстро получить информацию об изменениях, внесенных в интерфейс.

Впрочем, только этим дело не ограничивается. Новички будут приятно порадованы всплывающими подсказками, которые услужливо появляются вся-

кий раз, когда пользователь пытается выполнить новую задачу, и сопровождают его в процессе работы (рис. 4.2).

Рис. 4.2. Каждый раз, когда начинающий пользователь может испытывать затруднения с выполнением той или иной задачи, появляется всплывающая подсказка с ответом на еще не заданный вопрос

В последующих разделах данной главы функциональные возможности интерфейса Windows 2000 будут рассмотрены более подробно. Что касается приведенного ниже краткого перечня изменений, внесенных в пользовательский интерфейс Windows 2000, то он предназначен для справочных целей:

Изменения в интерфейсе рабочего стола:
  • Папка Мои документы (My Documents) переместилась в верхний левый угол экрана (настройки рабочего стола позволяют вообще убрать эту папку с экрана). Очевидно, это сделано для того, чтобы акцентировать на ней внимание пользователя, особенно начинающего.
  • Папка Сетевое окружение (Network Neighborhood) переименована в Мое сетевое окружение (My Network Places).
  • Окно Мои документы также стало менее перегруженным. Значок Удаленный доступ к сети (Dial-up Networking) переименован в Сеть и удаленный доступ к сети (Network and Dial-Up Connections) и перемещен на панель управления (Control Panel). Эта утилита теперь управляет всеми типами сетевых соединений. Фактически, здесь мы имеем дело с объединением функциональных возможностей двух утилит — Сеть (Network) и Удаленный доступ к сети, хорошо известных всем опытным пользователям Windows NT 4.0. Такое объединение является логичным, и, с точки зрения упрощения управления системой, может только приветствоваться. На панель управления перемещены также значки Принтеры (Printers) и Назначенные задания (Sheduled Tasks).
Функциональные возможности персонализации:
  • Персонализированные, или сокращенные, меню. Меню Пуск (Start) можно настроить так, чтобы в нем отображались только наиболее часто применяемые пользователем элементы (программы). По сравнению с предыдущими версиями Windows NT функциональные возможности индивидуальной настройки меню существенно расширены.
  • Индивидуально настраиваемые панели инструментов. Благодаря этой возможности пользователи могут создавать собственные панели инструментов, добавляя и удаляя на них любые кнопки, а также произвольным образом настраивать стандартные панели инструментов.
  • Многоязычная поддержка. Windows 2000 — .это первая операционная система, которая обеспечивает действительно многоязычную поддержку. Пользователи впервые получают возможность просматривать, создавать и печатать документы на любом из поддерживаемых языков в любой комбинации в любой локализованной версии операционной системы или приложения. Вопросы многоязычной поддержки в Windows 2000 будут подробно рассмотрены в главе 5.
  • Конфигурируемые типы файлов. В контекстном меню, открываемом щелчком правой кнопки мыши, появляется индивидуальный список приложений, с помощью которых можно редактировать документ. Это существенно упрощает выбор правильного типа приложения для открытия файла.
Организация информации:
  • Папка Мои документы. Усовершенствованная папка Мои документы

    упрощает для пользователей поиск важных данных и выполнение их резервного копирования.

  • Папка Мои рисунки. В составе папки Мои документы появилась новая папка — Мои рисунки (My pictures), что упрощает поиск и организацию графических изображений любого формата.
  • Диалоговое окно Сохранить как. Обновленный пользовательский интерфейс диалогового окна Сохранить как (Save As) существенно упрощает организацию информации.
Поиск информации:
  • Развитые средства поиска. Введен целый ряд визуальных усовершенствований, упрощающих использование средств поиска, а также расширены возможности одновременного поиска по целому ряду сетевых ресурсов.
  • Автономный доступ к веб-страницам и Диспетчер синхронизации. Веб-страницы с легкостью отображаются даже при работе в автономном (offline) режиме. Диспетчер синхронизации (Synchronization Manager) предоставляет пользователям единый интерфейс для управления информацией в таком режиме. Благодаря этому, пользователям становится удобнее работать с веб-страницами, документами, электронной почтой и другими сетевыми ресурсами.
Простота в управлении:
  • Мастер оборудования (Hardware Wizard). Эта утилита представляет собой единый инструмент управления всеми аппаратными средствами компьютера, включая установку и удаление устройств, а также устранение неполадок в их работе.
  • Мастер установки и удаления программ (Add/Remove Programs Wizard). Эта новая программа-мастер упрощает процедуру установки приложений, позволяет получать детальную информацию об использовании приложений и легко и корректно удалять приложения, ставшие ненужными.
  • Windows Update. Это средство позволяет получить последние обновления, сервисные пакеты (Service Packs) и обновленные файлы Windows через Интернет.

Итак, кратко перечислив все усовершенствования пользовательского интерфейса, приступим к более подробному их рассмотрению.

 

4-1.jpg

Изображение: 

4.1.gif

Изображение: 

4.1b.gif

Изображение: 

4.2.gif

Изображение: 

3. Active Desktop и интеграция с сетью Веб

 

Active Desktop и интеграция с сетью Веб

Метафора рабочего стола (desktop) появилась уже в первых версиях Windows. Но если в Windows 3.1* и Windows NT 3.51 рабочий стол можно было просто украсить графическими изображениями и не более того, то в Windows 95 и Windows NT 4.0 на нем уже можно было размещать файлы, папки и ярлыки для них. Это существенно упрощало прямой доступ к нужной информации, и новый интерфейс пользовался заслуженным успехом.

Дальнейшим направлением развития пользовательского интерфейса явилась его интеграция с Internet Explorer 4.0, в результате чего и появился интерфейс активного рабочего стола (Active Desktop). Интерфейс Active Desktop позволяет добавить на рабочий стол активное содержимое веб-страниц или

каналов (channels). Обновленная информация, помещенная на рабочий стол, предоставляется пользователю сразу же после публикации в Интернете.

Чтобы получить возможность работы с применением этого нового интерфейса, пользователям Windows 95 и Windows NT 4.0 требуется установить Internet Explorer 4.0 или 5.0. В новых операционных системах (Windows 98 и Windows 2000) этот новый интерфейс уже является встроенной частью операционной системы. Стоит отметить, что по умолчанию опция применения этого нового интерфейса отключена. Чтобы активизировать интерфейс Active Desktop, проделайте следующее:

1. Щелкните правой кнопкой мыши, указав любую свободную точку рабочего стола, и в раскрывшемся контекстном меню выберите команду Рабочий стол Active Desktop.
2. В раскрывшемся подменю выберите команду Отображать веб-содержнмое (Show Web Content).

 

4. Принципы работы с Active Desktop

 

Принципы работы с Active Desktop

За счет интеграции рабочего стола с сетью Веб персональный компьютер можно настроить так, чтобы просмотр файлов, хранящихся на его жестких дисках, был аналогичен просмотру веб-страниц. Меню Избранное (Favorites), команды Поиск (Search), Папки (Folders), Журнал (History), панели Адресная строка (Address Bar) и Ссылки (Links), а также кнопки Назад (Back) и Вперед (Forward) теперь присутствуют в любом окне (рис. 4.3), а веб-содержимое, работа с которым ведется наиболее часто, теперь можно добавить на рабочий стол, на панели задач или в папки.

Рис. 4.3. Опции Назад, Вперед, Переход, а также Поиск и Журнал теперь присутствуют всюду

 

Индивидуальная настройка рабочего стола

Windows 2000 предоставляет множество бесконечно разнообразных возможностей по интеграции рабочего стола с Интернетом. Например, можно просматривать сеть Веб или жесткий диск из любого окна, используя переходы по одиночному щелчку мыши (single-click navigation). В качестве фона для рабочего стола и отдельных окон можно использовать веб-страницы, размещая на них не только статический текст HTML с графикой, но и компоненты ActiveX, выполняющие любые дополнительные функции, например, периодические запросы к базам данных, поиск информации в локальной сети и в Интернете и т. д.

 

4.3.gif

Изображение: 

5. Выбор стиля рабочего стола

 

Выбор стиля рабочего стола

Windows 2000 позволяет просматривать рабочий стол, а также файлы и папки с применением различных стилей. На выбор предоставляются следующие опции — просмотр в стиле Веб (Web style), классическом (Classic .style) или индивидуальном стиле (Custom style), который пользователь может создавать, комбинируя различные опции.

Примечание

Все описания, приведенные в данной главе, относятся к. традиционному методу I просмотра с использованием двойных щелчков мыши. Если рабочий стол настроен так, чтобы осуществлять просмотр содержимого компьютера с помощью одиночных щелчков мышью, то вместо описанного здесь и далее метода для выбора файла требуется указать курсором мыши на соответствующий значок, а для открытия этого файла — выполнить одиночный щелчок мышью.

 

6. Стиль Веб

 

Стиль ВебAW

Чтобы выбрать для оформления рабочего стола стиль Веб:

1. Выполните двойной щелчок мышью, указав на рабочем столе Мой компьютер или Мое сетевое окружение, можно также запустить Проводник (Windows Explorer).
2. На экране появится соответствующее диалоговое окно.
3. В меню Сервис (Tools) выберите команду Свойства папки (Folder Options).
4. На экране появится диалоговое окно Свойства папки, раскрытое на вкладке Общие (General) (рис. 4.4).
5. Установите в группе Рабочий стол Active Desktop переключатель Отображать веб-содержимое на рабочем столе (Enable Web content on my desktop).
6. В группе Представление в виде страниц Интернета (Web View) установите переключатель Отображать веб-содержимое в папках (Enable Web content in folders).
7. В группе Обзор папок (Browse Folders) установите переключатель Открывать папки в одном и том же окне (Open each folder in the same window).
8. В группе Щелчки мышью (Click items as follows) установите переключатель Открывать одним щелчком, выделять указателем (Single-click to open an item (point to select)), а затем выберите одну из опций подчеркивания Подчеркивать подписи значков, как в обозревателе (Underline icon titles

consistent with my browser) или Подчеркивать подписи значков при наведении (Underline icon titles only when I point at them).

9. Нажмите кнопку ОК.

Примечание

Окно Свойства папки можно открыть и с помощью панели управления.

Рис. 4.4. Вкладка Общие (General) диалогового окна Свойства папки (Folder Options)

 

4.4.gif

Изображение: 

4.4b.gif

Изображение: 

7. Классический стиль

 

Классический стиль

Классический стиль рабочего стола во многом напоминает рабочий стол, существовавший в Windows NT 4.0. Если вы используете эту опцию, то для раскрытия файлов или папок на них следует выполнять двойной щелчок мышью, и каждый элемент будет раскрываться в отдельном окне.

Чтобы выбрать классический стиль:

1. Откройте окно Свойства папки (рис. 4.4).
2. В группе Рабочий стол Active Desktop установите переключатель Использовать обычный вид рабочего стола Windows (Use Windows classic desktop).
3. В группе Представление в виде страниц Интернета установите переключатель Использовать обычные папки Windows (Use Windows classic folders).
4. В группе Обзор папок установите переключатель Открывать каждую папку в отдельном окне (Open each folder in its own window).
5. В группе Щелчки мышью установите переключатель Открывать двойным, л выделять одним щелчком (Double-click to open an item (single-click to select)).
6. Нажмите кнопку ОК.

 

8. Индивидуальный стиль

 

Индивидуальный стиль

Помимо классического стиля и стиля Веб для рабочего стола можно установить индивидуальный стиль, представляющий собой любую комбинацию опций стиля Веб и классического стиля. Например, можно задать для просмотра файлов и папок опцию двойного щелчка (классический стиль), и задать опцию раскрытия каждой папки в одном и том же окне (стиль Веб).

Чтобы установить индивидуальный стиль рабочего стола, раскройте окно Свойства папки и на вкладке Общие установите нужную комбинацию опций.

 

Добавление веб-содержимого на рабочий стол

Интерфейс Active Desktop позволяет добавить на рабочий стол любое активное веб-содержимое. Под активным содержимым (active content) здесь понимается любое информационное содержимое, которое изменяет вид экрана. Чтобы добавить на рабочий стол веб-содержимое:

1. Раскройте диалоговое окно Свойства: Экран (Display Properties). Для этого вызовите утилиту Экран (Display) из панели управления или щелкните правой кнопкой мыши в любой свободной точке рабочего стола и, в раскрывшемся контекстном меню выберите команду Свойства (Properties).
2. Перейдите в этом окне на вкладку Веб (Web) (рис. 4.5), установите флажок Отображать веб-содержнмое на рабочем столе (Show Web content on my Active Desktop) и нажмите кнопку Создать (New).
3. На экране появится окно Новый элемент рабочего стола Active Desktop

(Add New Desktop Item). Если вы хотите посетить галерею Microsoft (Microsoft Active Desktop Gallery) и найти необходимые компоненты в ней, нажмите кнопку Галерея (Visit Gallery). Если нужный компонент находится на другом веб-узле, введите адрес этого узла в поле Размещение (Location) или нажмите кнопку Обзор (Browse), чтобы выполнить его поиск.

4. На экране появится окно Добавление элемента на рабочий стол Active Desktop (Add item to Active Desktop). Нажав кнопку Настройка (Customize), можно указать пароль доступа к веб-узлу (если выбранный веб-узел требует пароль для доступа), а также задать расписание синхронизации, если требуется, чтобы выбранный веб-узел был доступен для просмотра в автономном режиме. После нажатия кнопки Настройка появляется диалоговое окно Мастер автономного просмотра избранного (Online Synchronization Wizard) — первое окно программы-мастера синхронизации.

Нажмите в этом окне кнопку Далее и следуйте инструкциям, появляющимся в окнах. Завершив операцию настройки синхронизации, нажмите кнопку Готово (Finish), и вы вернетесь в окно Добавление элемента на рабочий стол Active Desktop. Нажмите кнопку ОК.

5. Начнется процедура синхронизации, по завершении которой на рабочий стол Active Desktop будет добавлен новый элемент.
Рис. 4.5. Вкладка Веб (Web) диалогового окна Свойства: Экран (Display Properties)

Чтобы указать веб-страницу в качестве фона для рабочего стола:

1. Щелкните правой кнопкой мыши в любой свободной точке рабочего стола и в раскрывшемся контекстном меню выберите команду Свойства.
2. В раскрывшемся диалоговом окне перейдите на вкладку Фон (Background).
3. Нажмите кнопку Обзор, а затем выберите нужный документ HTML.
4. Нажмите кнопку Применить (Apply).
5. В зависимости от значения, установленного в поле Отображение (Picture Display), фоновое изображение рабочего стола будет растянуто, расположено по центру или размножено по рабочему столу.

Примечание

Щелчком правой кнопкой мыши можно выбрать любое понравившееся графическое изображение на веб-странице, а затем выполнить в раскрывшемся контекстном меню команду Сделать рисунком рабочего стола (Set as Wallpaper).

 

4.5.gif

Изображение: 

9. Настройка внешнего вида папок

 

Настройка внешнего вида папок

В Windows NT 4.0 внешний вид папок не подлежал изменению. Пользователи могли задавать только отображение файлов и папок в виде крупных или мелких значков, в виде списка или списка с подробной информацией (команды Крупные значки (Large Icons), Мелкие значки (Small Icons), Список (List) и Таблица (Details) в меню Вид (View) Проводника и папки Мой компьютер).

Кроме этих опций, в Windows 2000 в меню Вид добавилась еще одна — Эскизы страниц (Thumbnails). Помимо меню Вид, доступ к этой опции можно получить, нажав кнопку Вид (Views) на панели инструментов Обычные кнопки (Standard Buttons) в Проводнике и выбрав из раскрывшегося меню команду Эскизы страниц. Как видно, из рис. 4.6, данная опция позволяет просматривать содержимое файлов, содержащихся в папке, в виде миниатюрных рисунков-скетчей. Эта опция действует применительно ко всем графическим файлам поддерживаемых форматов, HTML-документам, а также применительно к документам Microsoft Office, для которых в окне свойств документа на вкладке Документ (Document) установлена опция Создать рисунок для предварительного просмотра (Create Preview Image).

Рис. 4.6. Опция Эскизы страниц меню Вид приложения Проводник позволяет эффективно работать с большим количеством графических и других файлов

Эту возможность наверняка по достоинству оценят те, кто много работает с графическими файлами.

Помимо этого, в Windows 2000 интерфейс папок стал полностью настраиваемым. Во-первых, общий стиль отображения рабочего стола и всех папок можно задавать с помощью команды Свойства папки из меню Сервис. Во-вторых, появилась возможность индивидуальной настройки интерфейса для каждой папки с помощью команды Настроить вид папки (Customize This Folder) меню Вид. Для индивидуальной настройки внешнего вида некоторой папки:

1. Раскройте эту папку с помощью Проводника или папки Мой компьютер и выберите в меню Вид команду Настроить вид папки. Можно также щелкнуть правой кнопкой мыши, указав на любую точку в области папки (там, где показаны ее элементы), и из раскрывшегося контекстного меню выбрать команду Настроить вид папки. В появившемся окне Мастер настройки вида папки (Customize, this Folder Wizard) нажмите кнопку Далее (Next). В следующем окне мастера (рис. 4.7) выберите одну из предложенных в этом окне опций и нажмите кнопку Далее. Вариант Изменить рисунок фона и представление имен файлов (Modify background picture and filename appearance) позволяет задать фоновое изображение для области окна, в которой отображаются значки файлов и папок, а также задать цвета фона и надписей для названий файлов и папок. Опция Добавить комментарий к папке (Add folder comment) дает возможность ввести сопроводительное пояснение к папке, которое будет отображаться в левом подокне. Вариант Выбрать или изменить HTML-шаблон для этой папки (Choose or edit an HTML template for this folder) позволяет выбрать один из готовых HTML-шаблонов или создать собственный шаблон на базе одного из существующих. Шаблоны папок располагаются в папке %SystemRoot9S\Web.
2. Для использования шаблона HTML выберите в окне мастера опцию Выбрать или изменить HTML-шаблон для этой папки. Нажмите кнопку Далее, и на экране появится окно, позволяющее выбрать и отредактировать HTML-шаблон. Выберите нужный шаблон в списке Выберите шаблон (Choose a template) и, если требуется отредактировать этот шаблон, установите флажок Я хочу изменить этот шаблон (I want to edit this template). Нажмите кнопку Далее, и выбранный шаблон будет раскрыт для редактирования с помощью Блокнота (Notepad).
3. Отредактируйте шаблон, закройте Блокнот, и на экране появится последнее окно мастера индивидуальной настройки папок. Нажмите в этом окне кнопку Готово (Finish).

После этого вы увидите папку с интерфейсом, настроенным в соответствии с вашими требованиями.

Рис. 4.7. Второе окно мастера настройки вида папки (Customize this Folder Wizard)

 

4.6.gif

Изображение: 

4.7a.gif

Изображение: 

4.7b.gif

Изображение: 

10. Содержимое папки %SystemRoot%\Web

 

Содержимое папки %SystemRoot%\Web

Как уже говорилось, шаблоны папок, которые мастер настройки вида папки предлагает использовать для индивидуальной настройки внешнего вида папок, располагаются в папке %SystemRoot%\Webb. На основе этих шаблонов могут разрабатываться новые шаблоны. Завершив настройку вида папки с помощью мастера, обязательно обратите внимание на появление в папке скрытого файла Desktop.ini. Если вы настраивали папку, используя для этого один из предложенных шаблонов, то в настроенной таким образом палке появится и скрытая папка \Folder Settings, содержащая скрытый файл Folder.htt.

 

11. Файл Desktop.ini

 

Файл Desktop.ini

Содержимое типичного файла Desktop.ini показано ниже:

[ExtShellFolderViews]

{BE098140-A513-11DO-A3A4-OOC04FD706EC} = {BE098140-A513-11DO-A3A4-OOC04FD706EC}

Default={5984FFEO-28D4-llCF-AE66-08002B2E1262}

{5984FFEO-28D4-11CF-AE66-08002B2E1262} = {5984FFEO-28D4-11CF-AE66-08002B2E1262}

[.ShellClassInfo] ConfirmFileOp=0

[(BE098140-A513-11DO-A3A4-OOC04FD706EC}] Attributes=l

t(5984FFEO-28D4-11CF-AE66-08002B2E1262}] PersistMoniker=fHe://Folder Settings\Folder.htt PersistMonikerPreview=c:\winnt\web\ie4style.bmp

Обратите внимание на две последние строки этого файла: одна из них указывает путь к шаблону HTML, который хранится в скрытой папке \Folder Settings, а другая указывает путь к файлу фонового изображения, который находится в каталоге %SystemRoot% \Web.

 

12. Файлы *.htt

 

Файлы *.htt

Любознательным читателям рекомендуется внимательно просмотреть содержимое файлов *.htt, хранящихся в каталоге %SystemRoot%\Web. Если вы обладаете базовыми знаниями в области HTML и JavaScript, то сможете создавать любые индивидуальные шаблоны для произвольной настройки папок.

 

13. Новые функциональные возможности рабочего стола

 

Новые функциональные возможности рабочего стола

Усовершенствованный рабочий стол Windows 2000 не только позволяет легко выполнять интеграцию с Интернетом, но и упрощает выполнение повседневных задач. Новые функциональные особенности рабочего стола Windows 2000 перечислены в следующих разделах.

 

14. Персонализированные меню и кнопка Пуск (Start)

 

Персонализированные меню и кнопка Пуск (Start)

В Windows 2000 по сравнению с Windows NT 4.0 опции настройки меню Пуск были существенно расширены и усовершенствованы. Чтобы настроить опции меню Пуск, выберите в меню Пуск команды Настройка | Панель задач и меню "Пуск" (Settings | Taskbar & Start Menu), а затем в раскрывшемся окне Свойства: Панель задач и меню "Пуск" (Taskbar Properties) перейдите на вкладку Дополнительно (Advanced). На рис. 4.8 справа показан вид вкладки Дополнительно в Windows 2000. Слева для сравнения приведен вид аналогичной вкладки в Windows NT 4.0.

Сразу же нужно отметить, что кнопки Добавить (Add), Удалить (Remove), Вручную (Advanced) и Очистить (Clear) выполняют те же функции, что и в Windows NT 4.0.

Порядок следования элементов подменю Программы (Programs) можно изменить путем перетаскивания выбранного элемента на новое место (drag and drop). Как же восстановить стандартный порядок элементов этого меню, если возникнет такая потребность? Это можно сделать, нажав кнопку Сортировать (Re-sort).

Наконец, особого внимания заслуживает список Параметры меню "Пуск"

(Start Menu Settings), расположенный в нижней части этого окна. Краткие описания опций этой группы приведены ниже:

Отображать меню "Администрирование" (Display Administrative Tools) — по умолчанию эта опция отключена (флажок сброшен). Группа Администри рование (Administrative Tools) имеется в составе панели управления, но если вы хотите также включить ее в состав меню Пуск, установите этот флажок.
Отображать папку "Избранное" (Display Favorites) — отображает папку I Избранное в составе меню Пуск.
Отображать команду "Завершить сеанс" (Display Logoff) — включает в состав меню Пуск команду Завершение сеанса (Logoff), позволяющую пользователю выйти из системы.
Раскрывать "Панель управления" (Expand Control Panel) — удобная опция для ускорения доступа к значкам панели управления. Если ее установить, то в меню Пуск элемент Панель управления будет представлен в виде подменю, в котором отображены все опции.
Раскрывать папку "Мои документы" (Expand My Documents) — разворачивает папку Мои документы и включает ее в состав меню Пуск. Установив эту опцию, можно через меню Пуск получать быстрый доступ к любому документу (текстовому или графическому), сохраненному на жестком диске.
Раскрывать "Сеть и удаленный доступ к сети" (Expand Network and Diap-Up connections) — разворачивает пункт меню Сеть и удаленный доступ к сети (Network and Dial-Up connections) в меню Пуск.
Раскрывать папку "Принтеры" (Expand Printers) — разворачивает папку Принтеры.
Рис. 4.8. Вкладка Настройка меню окна Свойства: Панель задач в Windows NT 4.0 (слева) и вкладка Дополнительно окна Свойства: Панель задач и меню "Пуск" в Windows 2000 (справа)
Использовать прокрутку для меню "Программы" (Scroll the Programs Menu) — устанавливает режим прокрутки для меню Программы вместо отображения в виде нескольких столбцов.

На вкладке Общие (General) нужно обратить внимание на флажок Использовать сокращенные меню (Use Personalized Menus), который управляет использованием сокращенных (персонализированных) меню.

Последняя из перечисленных опций заслуживает особого внимания. В Windows 2000 появилась новая функциональная возможность, называемая сокращенные, или персонализированные, меню (Personalized Menus). Установив опцию Использовать сокращенные меню, вы активизируете эту возможность, которая начинает отслеживать частоту, с которой используются опции меню Пуск (а также других меню, например, меню Избранное в Internet Explorer). Через некоторое время все меню автоматически адаптируются к методам работы пользователя — не используемые или редко используемые программы перестают отображаться в меню. Со временем Меню становится все более компактным, поскольку в нем отображаются только часто запускаемые программы и задачи. Скрытые опции меню не удаляются — если потребуется получить доступ к одной из них, достаточно задержать курсор мыши над нужным меню или выполнить щелчок мышью на небольшом изображении стрелки, расположенной у его нижней границы (рис. 4.9).

Рис. 4.9. Опция Использовать сокращенные меню делает меню более компактными. Нажатие небольшой двойной стрелки в нижней части меню позволит получить доступ к редко запускаемым программам

 

4.8.gif

Изображение: 

4.9.gif

Изображение: 

15. Встроенные и пользовательские панели инструментов

 

Встроенные и пользовательские панели инструментов

В Windows 95 и Windows NT 4.0 в составе пользовательского интерфейса появилась так называемая панель задач (Taskbar). Кнопки, расположенные на панели задач, соответствуют запущенным задачам, даже если некоторые их окна свернуты или скрыты другими окнами. Переключиться на нужное окно можно, нажав соответствующую кнопку на панели задач. В Windows 2000 панель задач получила ряд новых функциональных возможностей.

Кроме стандартной панели задач в Windows 2000 появились дополнительные панели инструментов, которые могут располагаться как на панели задач, так и в произвольном месте на экране. Чтобы воспользоваться встроенными панелями инструментов, укажите курсором на панель задач, щелкните правой кнопкой мыши и выберите в появившемся контекстном меню (рис. 4.10) команду Панели инструментов (Toolbars). С помощью меню Панели инструментов можно управлять отображением панелей инструментов. В верхней части этого меню перечислены встроенные панели инструментов. Выбор любого из пунктов меню приводит к появлению соответствующей панели инструментов на экране (отображаемые панели отмечены галочкой).

Рис. 4.10. Список панелей инструментов в подменю команды

 

4.10.gif

Изображение: 

16. Улучшенный интерфейс диалоговых окон Открыть/Сохранить как (Open/Save As)

 

Улучшенный интерфейс диалоговых окон Открыть/Сохранить как (Open/Save As)

В Windows 2000 был усовершенствован интерфейс диалогового окна Сохранить как (Save As) (рис. 4.12). Усовершенствования, внесенные в структуру папки Мои документы и интерфейс диалогового окна Сохранить как, предоставляют дополнительные удобства пользователям, желающим систематизировать и упорядочить хранение информации. Обратите особое внимание на расположенную в левой части этого окна панель, позволяющую быстро получить доступ к чаще всего используемым папкам — Мой компьютер, Мои документы, Мое сетевое окружение, и особенно — History. Папка History, изображение которой представлено на рис. 4.12, будет полезна новичкам, которые еще не совсем освоились с навигацией по файловой системе ("с каким же файлом я работал 5 минут назад?"), а также просто рассеянным людям.



Рис. 4.12. Новый интерфейс диалогового окна Сохранить как (Save As), упрощающий организацию информации

 

Пользователи любой квалификации оценят и кнопочную панель, расположенную в верхней части этого окна правее поля Папка (Save in). Эта панель

предоставляет быстрый доступ к таким опциям, как: Перейти к последней просмотренной папке (Go to Last Folder Visited), На один уровень вверх (Up One Level), Создание новой папки (Create New Folder) и Меню "Вид" (View Menu, меню просмотра, позволяющее задать режим отображения файлов и папок).

 

4.12.gif

Изображение: 

17. Просмотр файловой системы компьютера и сетевых ресурсов

 

Просмотр файловой системы компьютера и сетевых ресурсов

Просматривать файлы и папки в ОС Windows 2000 можно несколькими способами — с помощью меню Пуск или с помощью папок Мой- компьютер и Мое сетевое окружение и приложения Проводник (Windows Explorer). Используя меню Пуск, можно запускать программы, открывать папку Избранное, получать доступ к встроенной справочной системе, а также готовить компьютер к выключению. Папка Мой компьютер позволяет просматривать диски и использовать системные средства. Чтобы просмотреть файлы, хранящиеся на компьютере, представленные в иерархическом виде, пользуйтесь Проводником. Папка Мое сетевое окружение позволяет просматривать сетевые ресурсы — компьютеры, общие (совместно используемые) диски и принтеры. Каждое из описанных средств просмотра позволяет быстро находить любые доступные ресурсы.

 

18. Проводник (Windows Explorer)

 

Проводник (Windows Explorer)

Если вам необходимо работать с файловой структурой, пользуйтесь Проводником. Левое подокно окна Проводника содержит список дисков и папок, правое отображает содержимое выбранной папки. Команды меню Вид позволяют задать предпочтительный режим отображения значков в правом подокне окна Проводника.

Для просмотра содержимого жестких дисков в Проводнике:

1. B меню Пуск выберите команду Программы | Стандартные | Проводник

(Programs | Accessories | Windows Explorer).

2. В левом подокне раскрывшегося окна выберите жесткий диск и нужную папку. Содержимое выбранного диска или папки отобразится в правом подокне.

Пример окна Проводника показан на рис. 4.13. Как уже говорилось, за счет интеграции рабочего стола с Internet Explorer персональный компьютер можно настроить так, чтобы просмотр файлов, хранящихся на его жестких дисках, был аналогичен просмотру сети Веб. Однако этим разработчики интерфейса не ограничились.

Проводник имеет четыре стандартных панели инструментов (рис. 4.13). Чтобы отобразить панели инструментов, выберите команду Панели инструментов меню Вид.

Рис. 4.13. Панели инструментов Проводника (Windows Explorer)

Инструментальная панель Обычные кнопки (Standard buttons) содержит кнопки Назад (Back), Вперед (Forward), Вверх (Up), Поиск (Search), Папки (Folders), Журнал (History), Переместить в (Move To), Копировать в (Сору То), Удалить (Delete), Отменить (Undo) и Вид (Views). Особого внимания заслуживают кнопки Поиск, Журнал и Вид.

Имевшаяся в предыдущих версиях функциональная возможность поиска (Find) в Windows 2000 превратилась в базирующийся на HTML мастер поиска (Search Wizard). Работая с Проводником, этот мастер можно запустить, нажав кнопку Поиск на инструментальной панели Обычные кнопки. Этот мастер отнюдь не случайно напоминает аналогичную функциональную возможность поиска в Internet Explorer 5.0, одновременно позволяя выполнять сложные операции поиска на локальных дисках и поиск сетевых ресурсов. Кнопка Журнал раскрывает одноименную панель, позволяющую просмотреть все документы, с которыми вы работали, причем эти документы могут находиться на локальных дисках, в локальной сети и в Интернете. Меню Вид панели Журнал содержит следующие опции сортировки списка: но дате (By Date), по узлу (By Site), по посещаемости (By Most Visited) и по порядку посещения (By Order Visited Today).

Панель Адресная строка содержит поле Адрес (Address) и кнопку Переход (Go). Панель Ссылки работает так же, как в IE 5.O.

Приятным добавлением является панель Радио (Radio), также появившаяся вследствие интеграции с Internet Explorer и позволяющая совмещать работу с прослушиванием любимой радиостанции.

 

4.13.gif

Изображение: 

19. Индивидуальная настройка панелей инструментов

 

Индивидуальная настройка панелей инструментов

Все упомянутые ранее средства — и Проводник, и Мой компьютер, и Мое сетевое окружение — обладают настраиваемым пользовательским интерфейсом. В частности, пользователям предоставляется возможность индивидуальной настройки панелей инструментов с помощью команды Панели инструментов | Настройка меню Вид (рис. 4.14). Диалоговое окно Настройка панели инструментов (Customize Toolbar) позволяет поместить на панель инструментов кнопки наиболее часто используемых команд и сгруппировать их произвольным образом. Нажатие кнопки Сброс позволяет возвратить панель инструментов к состоянию, которое она имеет по умолчанию.

Рис. 4.14. Диалоговое окно Настройка панели инструментов (Customize Toolbar)

 

4.14.gif

Изображение: 

20. Пaпка Избранное (Favorites)

 

Папка Избранное (Favorites)

Папка Избранное представляет собой очень удобный способ организации и хранения ссылок на наиболее часто посещаемые веб-страницы, FTP-cepверы, а также на часто используемые файлы и папки, хранящиеся локально или в корпоративной сети. Если вы затратили время и усилия на поиски необходимой информации в сети Интернет, то наиболее предпочтительным вариантом сохранения заинтересовавшего вас адреса является создание ярлыка для этого адреса в папке Избранное. В следующий раз, когда вам снова потребуется получить доступ к этому адресу, вам не придется повторять всю процедуру поиска с самого начала — достаточно будет нажать кнопку Избранное, выбрать документ, который требуется открыть, и Internet Explorer откроет нужную веб-страницу или каталог на FTP-сервере.

В Windows 2000, благодаря интеграции рабочего стола с интерфейсом Internet Explorer 5.0, пункт меню Избранное был добавлен в меню всех средств просмотра файловой системы локального компьютера и сетевых ресурсов — Мой компьютер, Проводник и Мое сетевое окружение.

Папка Избранное может быть добавлена в меню Пуск, что позволяет получать быстрый доступ к веб-узлам, документам или папкам, или к другим компьютерам сети. Метод, позволяющий вывести папку Избранное в меню Пуск, был описан ранее в данной главе в разделе "Персонализированные меню и кнопка Пуск (Start)".

Чтобы добавить папку, расположенную на локальном компьютере или в сети, в папку Избранное:

1. Если нужная папка находится на локальном компьютере, откройте папку Мой компьютер или запустите Проводник. Если нужная папка находится на одном из компьютеров вашей сети, выполните двойной щелчок на значке Мое сетевое окружение и раскройте нужную папку.
2. Из меню Избранное выберите команду Добавить в избранное (Add to Favorites). Раскроется диалоговое окно Добавление в избранное (Add Favorite) (рис. 4.15).
Рис. 4.15. Диалоговое окно для добавления страниц в папку Избранное
3. Поле Имя (Name) по умолчанию заполнено именем открытой папки. Нажатие кнопки Добавить в (Create in) позволяет открывать и закрывать расположенный в нижней части этого окна список Добавить в, перечисляющий вложенные папки, содержащиеся в Избранное. Нажав кнопку

Создать папку (New Folder), можно создать новую пайку, вложенную в Избранное.

4. Закончив ввод информации, нажмите кнопку ОК.

Не правда ли, доступ к нужной информации существенно ускорился (особенно если папка Избранное вынесена в меню Пуск)?

Однако, какой бы удобной ни была эта возможность, список элементов, помещенных в папку Избранное, неизбежно будет расти. Следовательно, пользователям необходимо предоставить возможность организации этой папки. И такие средства имеются в их распоряжении.

По мере того как список элементов папки Избранное растет, пользователь может организовать его путем создания вложенных папок (например, по тематическому принципу). Чтобы упорядочить хранение элементов папки Избранное, проделайте следующее:

1. В меню Избранное выберите команду Упорядочить избранное (Organize Favorites).
2. Раскроется диалоговое окно Упорядочить избранное, подобное показанному на рис. 4.16. Это окно содержит богатый набор опций, позволяющих создавать новые вложенные папки, переименовывать уже существующие, перемещать элементы папки Избранное в новые вложенные папки и, наконец, удалять любой из элементов, помещенных в папку Избранное.
Рис. 4.16. Диалоговое окно Упорядочить избранное

(Organize Favorites) предоставляет широкие возможности по организации элементов, хранящихся в папке Избранное

Примечание

Функциональная возможность персонализации меню Пуск действует и применительно к меню Избранное. Поэтому если для меню Пуск установлена опция

Использовать сокращенные меню, то и меню Избранное также станет "персонализированным", т. е., в его составе будут отображаться только наиболее часто используемые элементы, а остальные элементы будут "скрытыми".

 

4.15.gif

Изображение: 

4.16.gif

Изображение: 

21. Папка Мои документы (My Documents)

 

Папка Мои документы (My Documents)

В папке Мои документы удобно хранить личные файлы и папки. Следует отметить, что папка Мои документы является частью пользовательского профиля (user profile), и поэтому каждый из пользователей, для которых на данном компьютере заведены входное имя и пароль, имеет собственную папку Мои документы, где хранятся именно его документы. Настоятельно рекомендуется каждому из пользователей не пренебрегать этой папкой и хранить документы именно в ней.

Примечание

Включив папку Мои документы в меню Пуск (о том, как это делается, рассказано в разделе "Персонализированные меню и кнопка Пуск (Start))", можно в любой момент получать мгновенный доступ к любому файлу, сохраненному в этой папке.

 

22. Вложенная папка Мои рисунки (My Pictures)

 

Вложенная папка Мои рисунки (My Pictures)

В Windows 2000 в папку Мои документы была добавлена новая вложенная папка — Мои рисунки, позволяющая более рационально и удобно организовать хранение графических файлов любого формата (рис. 4.17).

Обратите внимание на индивидуальную настройку этой папки — теперь содержимое любого графического файла, хранящегося в ней, можно просмотреть в уменьшенном (изображение в левом нижнем углу экрана) или полноэкранном режиме, а также распечатать, и все это — без необходимости открывать данный файл в графическом редакторе!

Примечание

Для использования этой возможности необходимо установить опцию Отображать веб-содержимое в папках на вкладке Общие диалогового окна Свойства папки.

Внимательный читатель, безусловно, заметит скрытый системный файл desktop.ini, хранящийся в этой папке, и просмотрит его содержимое. Совершенно очевидно, что внимание такого пользователя обязательно привлечет следующая строка:

WebViewTeroplate.NTS-C:\WINNT\Web\ImgView.htt. -

Да, конечно же, эта строка указывает путь к одному из шаблонов HTML, о которых уже шла речь в разделе "Настройка внешнего вида папок". А это, в свою очередь, значит, что таким образом можно настроить абсолютно любую папку

причем для этого даже не надо пользоваться мастером настройки вида папки — достаточно просто скопировать в нужную папку файл desktop.ini из папки Мои рисунки.

Рис. 4.17. Папка Мои рисунки (My Pictures) позволяет организовать рациональное хранение графических файлов любого формата

 

4.17.gif

Изображение: 

23. Папка Мое сетевое окружение (My Network Places)

 

Папка Мое сетевое окружение (My Network Places)

Если компьютер подключен к сети, то для просмотра сетевых ресурсов можно использовать папку Мое сетевое окружение.

Просмотр сетевых ресурсов осуществляется точно так же, как и просмотр файлов на локальном компьютере, и при наличии необходимых прав доступа вы сможете получить доступ к совместно используемым компьютерам, принтерам и другим ресурсам сети, в работе которой принимает участие данный компьютер. Программа-мастер Новое место в сетевом окружении (Add Network Place Wizard) автоматизирует процедуру создания ярлыков для ресурсов сети, а также веб-серверов и FTP. Более подробную информацию о работе с сетью и ресурсами Active Directory можно найти в главах 16 и 25.

В окне папки Мое сетевое окружение появляются значки, перечисленные в табл. 4.1.

Таблица 4.1. Значки в окне папки Мое сетевое окружение

Значок

Описание

Запускает мастер Новое место в сетевом окружении, который создает новый ярлык для сетевого ресурса (общая папка, FTP-узел и т. д., где может храниться необходимая пользователю информация)

Опция Вся сеть (Entire Network) отображает все компьютеры, работающие в сети организации

Опция Соседние компьютеры (Computers Near Me) отображает только компьютеры рабочей группы или домена, к которым принадлежит локальный компьютер

Кроме них в папке Мое сетевое окружение появляются также значки, представляющие сетевые ресурсы (общие папки), с которыми работал пользователь. Если пользователь открывал некоторый документ, расположенный на другом компьютере или FTP-сервере, то значок общего каталога или имя FTP-сервера автоматически добавляется в папку Мое сетевое окружение.

Чтобы просмотреть сетевые ресурсы с помощью папки Мое сетевое окружение:

1. Найдите на рабочем столе значок Мое сетевое окружение и откройте папку. Чтобы просмотреть все сетевые ресурсы, имеющиеся в сети организации, выполните двойной щелчок мышью на значке Вся сеть.
2. Выполните двойной щелчок мышью, указав курсором на серверы и папки, которые требуется открыть. При наличии надлежащих прав доступа вы сможете просматривать все файлы и папки точно так же, как на локальном компьютере.

 

24. Новые методы защиты системных файлов в Windows 2000

 

Новые методы защиты системных файлов в Windows 2000

По умолчанию система Windows 2000 пытается скрыть от пользователей малопонятную для них техническую информацию. Это делается следующими способами:

Windows File Protection (WFP). Windows 2000 защищает все файлы с расширениями sys, dll, exe и осх (а также некоторые шрифты) от переписывания их в процессе установки несовместимого приложения. Защита системных файлов является одним из ключевых компонентов Windows 2000. Более подробную информацию о работе WFP можно найти в главе 8.
Маскировка системных файлов. По умолчанию в папке Мой компьютер и Проводнике системные файлы скрыты от пользователя, что ограничивает возможность их случайного удаления.
"Супер-скрытые" файлы. В Windows 2000 некоторые файлы, включая файл подкачки, помеченные комбинацией атрибутов скрытый (Hidden) и системный (System), считаются защищенными файлами операционной системы (operating system protected files). Операционная система "прячет" эти файлы, не отображая их в Проводнике и папке Мой компьютер. В литературе по Windows 2000 такие файлы иногда называются супер-скрытыми (super-hidden). Совершенно очевидно, что эта мера принята в целях защиты начинающих пользователей от них же самих.
Защитные экраны Проводника. Наверняка вы уже видели эти экраны, просматривая содержимое каталогов \winnt, \winnt\system32, \Program Files. Один из таких экранов приведен на рис. 4.18.
Рис. 4.18. Защитный экран программы Проводник

Если эта защитная мера (которая обеспечивает минимальную защиту) раздражает вас, то избавиться от нее можно следующим образом:

1. Откройте окно Свойства папки и перейдите на вкладку Вид.
2. Установите переключатель Показывать скрытые файлы и папки (Show hidden files and folders). После этого Проводник будет отображать файлы,

имеющие атрибут скрытый. Чтобы отображать также и файлы, защищаемые операционной системой (файлы, имеющие комбинацию атрибутов скрытый и системный), сбросьте флажок Скрывать защищенные системные файлы (рекомендуется) (Hide protected operating System Files (Recommended)). После этого вы сможете просматривать все такие файлы с помощью Проводника или папки Мой компьютер.

3. Перейдите в любой из каталогов (\winnt, \winnt\system32, \Program Files), защищаемых с помощью такого рода экранов (в англоязычной литературе они часто называются Explorer nag screens).
4. В каждом из защищаемых таким образом каталогов имеются скрытые файлы desktop.ini и folder.htt. Удалите их.

 

4.18.gif

Изображение: 

25. Поддержка мобильных пользователей

 

Поддержка мобильных пользователей

По сравнению с Windows NT 4.0, в Windows 2000 существенно улучшена поддержка мобильных пользователей. Во-первых, Windows 2000 предлагает великолепную поддержку нового интерфейса ACPI, которая намного превосходит имеющуюся в Windows 98. Более подробную информацию о спецификации ACPI можно найти в главе 3, описывающей поддержку оборудования в Windows 2000. Здесь же отметим, что спецификация ACPI определяет новый интерфейс между операционной системой и компонентами компьютера, обеспечивающими поддержку Plug and Play и управления электропитанием. Как Windows 2000, так и Windows 98 используют эту спецификацию в качестве основы для построения своей архитектуры Plug and Play. Windows 2000, с точки зрения мобильного пользователя, безусловно, представляет собой вариант, предпочтительный по сравнению с Windows 98, поскольку она обеспечивает поддержку ACPI в полном объеме, предоставляя пользователям более удобные методы работы со съемным оборудованием, что в дорожных условиях очень важно. Единственная "ложка дегтя", которая несколько портит общее впечатление, заключается только в том, что в этой ситуации Windows 2000 требовательна к ресурсам более, чем в любой другой. Комфортные условия работы с функциями Windows 2000, обсуждаемыми в этом разделе, будут обеспечены только в том случае, если ваша техника не просто соответствует требованиям к минимальной аппаратной конфигурации, но и существенно их перекрывает.

Однако если вы имеете достаточно мощный компьютер (с процессором не ниже Pentium II 233, ОЗУ 128 Мбайт, винчестер не менее 2—4 Гбайт), то работа с появившимися в Windows 2000 удобными новыми возможностями поддержки мобильных пользователей — автономными папками (offline folders) и диспетчером синхронизации (synchronization manager) — доставит вам много удовольствия.

 

26. Автономные папки

 

Автономные папки

Эта новая функциональная возможность заключается в том, что файлы и папки, доступные по сети, копируются на локальный диск (это называется локальным кэшированием; отсюда и необходимость наличия винчестера большой емкости), благодаря чему пользователь может получать к ним доступ даже в том случае, когда локальный компьютер отключен от сети. Чтобы воспользоваться этой возможностью, достаточно пометить сетевую папку и ее содержимое как доступные в автономном режиме. Для этого следует в процессе просмотра сети выполнить щелчок правой кнопкой мыши, указав на нужный ресурс, и из раскрывшегося контекстного меню выбрать опцию Сделать доступным в автономном режиме (Make Available Offline). При этом должно быть разрешено использование автономных файлов (более подробно работа с автономными папками описана в главе 9).

В процессе автономной работы файлы, хранящиеся в автономной папке, можно модифицировать или удалять, а также добавлять новые файлы. При подключении компьютера к сети Windows 2000 автоматически синхронизирует их содержимое с содержимым сетевой папки. Следует отметить, что предыдущие версии Windows включали в свой состав некоторое подобие этой великолепной возможности — Портфель (My Briefcase).

 

27. Диспетчер синхронизации

 

Диспетчер синхронизации

В процессе работы с мастером автономных файлов (Offline Files Wizard) можно указать режим синхронизации файлов, доступных в автономном режиме. Синхронизация производится автоматически при каждой регистрации в системе или при выходе из системы. Кроме того, файлы могут быть синхронизированы с помощью программы Synchronization Manager.

Программу Диспетчер синхронизации можно запустить с помощью команды Синхронизировать (Synchronize) из меню Сервис (Tools) в папке Мой компьютер или в Проводнике.

 

28. Кнопка От сети (On AC power)

 

Кнопка От сети (On AC power)

Эта кнопка используется для отображения списка действующих схем энергосбережения, а также для быстрого переключения компьютера и монитора в режим энергосбережения. Окно Свойства: Электропитание (Power Options Properties) можно раскрыть, вызвав утилиту Электропитание (Power Options) из панели управления, но кнопка От сети предоставляет более быстрый доступ к этому окну. Чтобы эта кнопка всегда отображалась на панели задач, раскройте окно Свойства: Электропитание, перейдите на вкладку Дополнительно (Advanced) и установите флажок Всегда отображать значок на панели задач (Always show icon on the taskbar).

 

29. Кнопка Отключение или извлечение аппаратного устройства (Unplug or Eject Hardware)

 

Кнопка Отключение или извлечение аппаратного устройства (Unplug or Eject Hardware)

Windows 2000 — это первая операционная система из семейства Windows NT, которая обеспечивает полноценную поддержку Plug and Play. Преимуществами поддержки Plug and Play являются меньшее количество перезагрузок компьютера при установке и подключении оборудования и возможность динамического изменения его аппаратной конфигурации. Некоторые устройства, входящие в аппаратную конфигурацию компьютера, можно отключить без необходимости перезагрузки. Для этого следует вызвать Мастер оборудования, выбрать в окне Выбор действия с оборудованием (Choose a Hardware Task) опцию Удалить/извлечь устройство (Uninstall/Unplug a Device) и нажать кнопку Далее. В следующем окне нажмите кнопку Извлечь устройство (Unplug/Eject a device), и на экране появится окно Выбор отключаемого устройства (Unplug or Eject Hardware). Чтобы в дальнейшем всегда иметь быстрый доступ к этому окну (без запуска мастера оборудования), установите в этом окне флажок Отображать на панели задач значок отключения (Show Unplug/Eject icon on the taskbar), после этого на панели задач всегда будет присутствовать кнопка Отключение или извлечение аппаратного устройства (Unplug or Eject Hardware).

 

30. Справочная система в формате HTML

 

Справочная система в формате HTML

Справка в формате HTML используется для форматирования и отображения информации справочной системы Windows 2000 и Windows 98.

Основное преимущество нового дизайна справочной системы заключается в том, что при наличии выхода в Интернет пользователь не ограничен файлами справочной системы, находящимися на компьютере. Гиперссылки справки Windows позволяют путешествовать по сети World Wide Web в поисках дополнительной или обновленной информации. HTML-справка предоставляет настраиваемый пользовательский интерфейс, позволяющий:

масштабировать форму окна, в котором отображается справочная информация;
настраивать размер и гарнитуру шрифта, с помощью которого отображается текст справочной системы;
изменять цвета фона окна справки, текста и имеющихся в нем ссылок.

HTML-справка снабжена оглавлением, индексом, а также функциональными возможностями полнотекстового поиска. Заголовки тем соответствуют конкретным страницам HTML, а значки с изображением книг раскрывают другие темы и вложенные "книги". Помимо этого, усовершенствованная справочная система позволяет одновременно просматривать не только справочный материал, но и оглавление, индекс или результаты поиска. Это дополнительное удобство помогает пользователям ориентироваться в справочной системе и одновременно предоставляет возможности быстрого просмотра других тем справочной системы.

Примечание

Файлы справочной системы HTML Help имеют расширение chm и могут быть открыты или путем выбора команды Справка (Help) в процессе работы с нужным приложением, или с помощью двойного щелчка мышью на нужном файле в окне Проводника.

 

31. Новая справка в формате HTML - это больше, чем просто справочная система

 

Новая справка в формате HTML — это больше, чем просто справочная система

Фактически, новая HTML-справка, введенная в качестве стандартной справочной системы в новых версиях операционных систем семейства Windows (не только Windows 2000, но и Windows 98), представляет собой нечто большее, чем просто новый формат справочной системы Windows, пришедшей на смену более старой справочной системе WinHelp. Компания Microsoft, создавая эту новую справочную систему, ставила перед собой масштабные задачи, которые не сводились просто к разработке нового, более удобного формата справочной системы и предоставлению разработчикам новых средств, позволяющих создавать интуитивно понятную и удобную справочную систему для приложений Windows. К работе над этим проектом были привлечены лучшие силы разработчиков, причем не только тех, кто разрабатывал WinHelp, но и тех, кто работал над MediaView.

Новый формат справочной системы (HTML) предоставляет огромные удобства пользователям, которые привыкли к стандартным средствам навигации по сети WWW и масштабным гипертекстовым документам, которые по своей организации напоминают книги. Это — та же справка, но с расширенными возможностями, не ограничивающая пользователя только документами, хранящимися на его локальном компьютере, но и позволяющая искать необходимую информацию в сетях интранет и в Интернете. Более того, таким образом можно, организовать не только справочную систему приложения и гипертекстовые документы, но и энциклопедии, справочники, мультимедийные приложения с ориентацией на большой объем текстовой информации и т. п. Что касается разработчиков, то они при создании справочной системы имеют возможность использовать любые доступные веб-технологии.

 

32. Базовые компоненты HTML-справки

 

Базовые компоненты HTML-справки

В число базовых компонентов HTML-справки входят оглавление в формате HTML, элемент управления ActiveX, средство представления информации (layout engine) и окно HTML-справки. Определения и краткие описания этих компонентов приведены ниже:

Оглавление HTML-справки представляет собой стандартную страницу HTML. Разработчик может включать в справочную систему как "свободные" документы HTML (и в этом случае его работа будет очень похожа на работу веб-мастера), так и ограничить содержимое создаваемой справочной системы одним или несколькими документами HTML. Кроме того, оглавление может содержать графику в любом из форматов, поддерживаемых HTML. Как уже говорилось, при созданий оглавления можно также применять и другие доступные веб-технологии, в том числе: NetShow, Shockwave, VRML, JScript, VBScript и т. д. Для создания файлов HTML разработчик может пользоваться как своим любимым редактором HTML, так и собственной средой разработки HTML-справки.
Элемент управления ActiveX (файл HHCTRL.OCX) обеспечивает пользовательский интерфейс HTML-справки. Этот интерфейс содержит такие встроенные функциональные возможности, как средства работы с оглавлением, списком ключевых слов, полнотекстовый поиск, а также ассоциативные ссылки по специальным ключевым словам. В его состав входят и все возможности индивидуальной настройки, включая масштабирование окна, изменение фона окна справки, используемого для ее вывода шрифта и т. п., а также диалоговое окно Справка по HTML (HTML Help).
Средство представления информации (SHDOCVW.DLL) является компонентом Microsoft Internet Explorer. Некоторые возможности HTML-справки, к числу которых относятся формат сжатого файла и всплывающие окна, требуют Internet Explorer версии не ниже 4.0.
Окно HTML-справки представляет собой браузер, с помощью которого открывается содержимое справочной системы. Этот исполняемый модуль можно вызвать или через интерфейс прикладного программирования HTML-справки (HTML Help API), или через исполняемый файл справки HTML (HH.EXE).

 

33. Усовершенствованные средства поиска

 

Усовершенствованные средства поиска

В число новых возможностей операционной системы Windows 2000 включены усовершенствованные средства поиска файлов или любой другой информации, которая может находиться как на локальном компьютере, так и в сети предприятия (организации) или в Интернете. В меню Пуск имеется команда Найти (Search), подменю которой содержит команды Файлы и папки (For Files or Folders), В Интернете (On the Internet), Принтеры (For Printers — если данный компьютер входит в домен Windows 2000) и Людей (For People). На панели инструментов папки Мой компьютер и программы Проводник имеется кнопка Поиск, нажатие которой раскрывает панель Поиск (рис. 4.19).

Рис. 4.19. При нажатии кнопки Поиск в Проводнике или в папке Мой компьютер раскрывается панель Поиск, расположенная в левой части окна

Усовершенствованные средства поиска файлов и папок. Поиск файлов и папок расширен новыми возможностями, сделан более быстрым и снабжен встроенной поддержкой индексирования, поскольку Служба индексации (Indexing Service) теперь является составной частью операционной системы (как версий Server, так и версии Professional). Существует возможность поиска не только по имени, но и по специфическому содержимому файлов. При регистрации в сети, где используется Active Directory, Windows 2000 существенно упрощает поиск ресурсов локальной сети за счет опции В каталоге (In the Directory).
Поиск информации в сети Интернет. Чтобы выполнить поиск информации в Интернете, нажмите кнопку Пуск, и из раскрывшегося меню выберите команды Найти | В Интернете. Другой способ — в окне Проводника или папки Мой компьютер нажать кнопку Поиск, а затем выбрать опцию Интернет, расположенную в нижней части панели Поиск. Обратите внимание, что при поиске в Интернете можно одновременно просматривать некоторую веб-страницу и полученные результаты поиска, что очень удобно (для перехода к другой ссылке не нужно каждый раз возвращаться к результатам поиска).
Поиск принтеров. Эта возможность позволяет быстро находить нужные принтеры, имеющиеся в домене (и других доменах) и опубликованные в Active Directory, и подключаться к ним. При этом можно просматривать список всех совместно используемых принтеров, а также задавать критерии поиска с учетом, например, разрешения, скорости печати, возможности цветной печати, размера бумаги и других возможностей принтеров.
Поиск людей. Можно выполнять поиск информации, относящейся к адресу конкретного лица, как в локальной адресной книге, так и в службах каталогов (VeriSign, Yahoo!, InfoSpace и др.), расположенных на различных веб-узлах. Чтобы найти конкретное лицо с помощью этой возможности, выберите из меню Пуск команды Найти | Людей, или, если в окне Мой компьютер или Проводник уже раскрыта панель Поиск, выбрать в группе Поиск иных объектов (Search for other items) опцию Люди. Раскроется диалоговое окно Поиск людей (Find People) (рис. 4.20), заполнив которое и нажав кнопку Найти (Find Now), можно получить искомую информацию.

Примечание

Обратите внимание на весьма полезное усовершенствование функциональных возможностей поиска — функцию автопоиска (AutoSearch), появившуюся в результате интеграции с Internet Explorer 5.0. Поиск информации можно быстро выполнять, введя нужную строку в поле адреса и нажав кнопку Перейти, или выбрав ссылку в списке, раскрывающемся после ввода нескольких символов (рис. 4.21).

Рис. 4.20. Диалоговое окно Поиск людей позволяет выполнять поиск информации, относящейся к адресу конкретного лица; как в локальной адресной книге, так ив службах каталогов (Active Directory, VeriSign, Yahoo!, InfoSpace и др.), расположенных на различных веб-узлах

 

Рис. 4.21. Для быстрого поиска информации как на локальном компьютере, так и в Интернете, очень удобна функция автопоиска (AutoSearch)

 

4.19.gif

Изображение: 

4.20.gif

Изображение: 

4.21.gif

Изображение: 

34. Обзорная информация о Службе индексирования

 

Обзорная информация о Службе индексирования

  • Развитие Службы индексирования началось с модуля Content Indexer (CI), который представлял собой часть объектной файловой системы (Object File System, OFS), разработанной фирмой Microsoft в процессе работы над проектом Cairo. Впоследствии технологии Cairo были интегрированы в ряд программных продуктов, а технология Content Indexer была положена в основу службы индексирования (Indexing Service).
  • Служба индексирования инсталлируется как неотъемлемая часть Windows 200Q. Эта служба индексирует содержимое всех жестких дисков компьютера, благодаря чему пользователи могут выполнять полнотекстовый поиск любого слова или фразы, содержащихся в документах, которые хранятся
  • на этом компьютере. Помимо этого, также индексируются и все виртуальные серверы, созданные на базе веб-сервера, входящего в состав Internet Information Services (US).
  • Чтобы индексирование содержимого компьютера осуществлялось регулярно, необходимо сконфигурировать службу индексирования на автоматический запуск. В Windows 2000 эта задача максимально упрощена. Достаточно выполнить щелчок мышью на ссылке Служба индексирования в группе Параметры поиска (Search Options) на панели Поиск, чтобы раскрыть окно Настройка службы индексирования (Indexing Service Settings) (рис. 4.22), в котором можно активизировать службу индексирования.

Рис. 4.22. В системах Windows 2000 задача активизации сервиса индексирования максимально упрощена
  • После активизации службы индексирования процедура индексирования будет выполняться автоматически. После этого можно выполнять полнотекстовый поиск файлов с помощью команды Файлы и папки Управление службой индексирования осуществляется с помощью оснастки Служба индексирования (Indexing Service стандартного инструмента администрирования — оснастки Управление компьютером (Computer Management)).

 

4.22.gif

Изображение: 

4.22b.gif

Изображение: 

35. Специальные возможности

 

Специальные возможности
  • В состав Windows 2000 включены специальные возможности, которые упрощают работу с компьютером для пользователей, испытывающих некоторые затруднения при обычных методах работы.

 

36. Мастер специальных возможностей (Accessibility Wizard)

 

Мастер специальных возможностей (Accessibility Wizard)

  • Эта программа-мастер автоматизирует процедуру настройки пользовательского интерфейса Windows 2000, чтобы упростить работу с компьютером для пользователей, которые испытывают затруднения при работе с применением
  • стандартных параметров настройки. Чтобы запустить эту программу, выберите в меню Пуск команды Программы | Стандартные | Специальные возможности. Мастер специальных возможностей построен по аналогии с другими программами-мастерами — он выводит на экран серию диалоговых окон-шагов, содержащих набор опций и инструкции по их выбору. Программа очень проста в использовании, с ее помощью даже новичок легко настроит пользовательский интерфейс по своему вкусу. Каждое из окон мастера специальных возможностей позволяет выполнить конкретную задачу по настройке пользовательского интерфейса — так, в первом окне этой программы пользователю предлагается выбрать одну из отображенных текстовых строк, набранную шрифтом, который он способен различить без напряжения. Действия, выполняемые программой после того как будет выбрана нужная опция и нажата кнопка Далее, зависят от выбранной пользователем опции. По этому же принципу построены и остальные окна мастера, которые позволяют настроить звуковое сопровождение событий Windows и упростить работу с клавиатурой и мышью для пользователей с ограниченной подвижностью рук.

 

37. Утилита Специальные возможности из панели управления

 

Утилита Специальные возможности из панели управления

  • В ряде случаев пользователям требуется настроить параметры клавиатуры, мыши, звукового сопровождения событий и дисплея. Эта настройка выполняется с помощью утилиты Специальные возможности (Accessibility Options) из панели управления. Окно Специальные возможности, раскрытое на вкладке Клавиатура (Keyboard), показано на рис. 4.23.
Рис. 4.23. Вкладка Клавиатура окна Специальные возможности
  • Эта и другие вкладки окна утилиты содержат множество полезных опций. Так, опция Залипанне клавиш (StickyKeys) имитирует одновременные нажатия нескольких клавиш при фактическом их нажатии по одной, а опция Визуальное оповещение (SoundSentry) на вкладке Звук (Sound) предоставляет визуальные предупреждения о системных событиях вместо их звукового сопровождения.

 

4.23.gif

Изображение: 

38. Экранная лупа (Magnifier)

 

Экранная лупа (Magnifier)
  • Текст и графические образы, появляющиеся на экране, можно просматривать в увеличенном масштабе с помощью приложения Экранная лупа. Пример, иллюстрирующий работу этого приложения, показан на рис. 4.24.
Рис. 4.24. Просмотр содержимого экрана в увеличенном масштабе с помощью приложения Экранная лупа (Magnifier)

 

4.gif

Изображение: 

39. Экранная клавиатура (On-Screen Keyboard)

 

Экранная клавиатура (On-Screen Keyboard)
  • Приложение Экранная клавиатура позволяет применять мышь или другое координатное устройство для ввода с клавиатуры, отображаемой на экране
  • (рис. 4.25), при этом можно использовать для ввода любой установленный в системе язык.

Рис. 4.25. Экранная клавиатура приложения Экранная клавиатура (On-Screen Keyboard)

 

4.24.gif

Изображение: 

4.25.gif

Изображение: 

40. Приложение Narrator

 

Приложение Narrator

  • Приложение Narrator (Диктор) специально разработано для зачитывания вслух содержимого экрана, включая наименования диалоговых окон, меню, сообщений и т. д. Narrator предоставляет минимальный необходимый уровень удобств для пользователей с пониженным зрением.
  • Чтобы запустить приложение Narrator, необходим мультимедийный компьютер (оснащенный звуковой картой и колонками). При наличии этого оборудования после запуска приложения Narrator на экране появляется окно программы. После нажатия в этом окне кнопки Settings (Настройка) раскрывается окно Narrator Settings, позволяющее настроить голос, тембр, скорость чтения, и другие опции программы Narrator. Чтобы настроить голос и его тембр, следует нажать кнопку Voice (Голос). Оптимальная скорость чтения задается нажатием кнопки Reading (Чтение), а опции звукового уведомления о событиях и поведения указателя мыши можно указать, нажав, соответственно, кнопки Event Notification (Звуковые уведомления) и Mouse Pointer (Указатель мыши).

Примечание

Приложение Narrator читает информацию с экрана только на английском языке и будет включено только в американскую версию Windows 2000.

 

41. Диспетчер служебных программ (Utility Manager)

 

Диспетчер служебных программ (Utility Manager)
  • Последнее приложение, входящее в программную группу Специальные возможности (Accessibility) — это Диспетчер служебных программ, которое предназначено для запуска всех утилит этой группы из единого окна (рис. 4.26).
Рис. 4.26. Окно Диспетчер служебных программ (Utility Manager)

 

4.26.gif

Изображение: 

42. Другие возможности

 

Другие возможности
  • Помимо перечисленных, в Windows 2000, как и в предыдущих версиях Windows NT, имеются и другие возможности, помогающие лицам с ограниченными физическими данными более эффективно использовать компьютер, например:
Цветовые схемы повышенной контрастности. Предоставляют широкий выбор контрастных цветов экрана и крупные шрифты, хорошо воспринимаемые пользователями с ослабленным зрением.
Удобные схемы для курсора. Предоставляют широкий набор опций, позволяющих визуально отслеживать перемещения курсора мыши.
Звуковые схемы. Предоставляют удобный метод обратной аудиосвязи для важных событий на экране.
  • Стоит отметить, что все перечисленные опции могут быть полезны и обычным пользователям.

 

43. Работа с приложениями

 

Работа с приложениями
  • Работа с приложениями в Windows 2000 была существенно усовершенствована. В первую очередь здесь стоит отметить программу Windows Installer (Установщик Windows) — составную часть технологии IntelliMirror (более подробно описана в главе 12 "Нулевое администрирование Windows") и одну из важнейших новых программ, вошедших в состав новой версии системы. С ее помощью упрощается установка приложений и их обновлений, устраняется возможность "конфликта версий", появляются дополнительные возможности по управлению программами, установленными в системе.
  • Если при вызове программы на экране появляется диалоговое окно с сообщением о том, что приложение устанавливается или обновляется программой Windows Installer, это может указывать на попытку запуска программы, не до конца установленной в системе. Возможно также, что некоторые из файлов этой программы были удалены или повреждены. После завершения работы Windows Installer вызванная программа будет запущена.

 

44. Установка и удаление программ

 

Установка и удаление программ
  • В Windows 2000 утилита Установка и удаление программ (Add/Remove Programs из Control Panel) получила не только новый интерфейс, но и более богатые функциональные возможности (рис. 4.27). Эта обновленная программа-мастер стандартизует процедуру установки приложений, позволяет получать детальную информацию об использовании приложений (например, объем дискового пространства, занимаемого файлами этой программы, частоту ее использования, а также дату ее последнего использования) и корректно удалять приложения, ставшие ненужными.
Рис. 4.27. Новый интерфейс утилиты Установка и удаление программ (Add/Remove Programs)
  • Установка приложений в Windows 2000 похожа на аналогичную процедуру в предыдущих версиях Windows NT. Рекомендуемый метод установки новых
  • программ — нажатие кнопки Пуск и выбоо, из раскрывшегося меню команд Настройка | Панель управления | Установка и удаление программ. (Следует
  • отметить, что таким образом можно установить только те приложения, которые разработаны для операционных систем из семейства Windows.) После появления на экране окна Установка и удаление программ нажмите кнопку Установка новой программы (Add New Programs) на панели в левой части окна. Если файлы устанавливаемой программы находятся на компакт-диске или дискете, нажмите кнопку CD или дискеты (CD or Floppy). Если вам требуется добавить нрвые функциональные возможности Windows, в том числе драйверы устройств и обновления операционной системы, загружаемые через Интернет, нажмите кнопку Windows Update.

 

4.27.gif

Изображение: 

45. Встроенные приложения

 

Встроенные приложения

  • Набор встроенных приложений Windows 2000 также расширился по сравнению с Windows NT 4.0. Меню встроенных программ можно раскрыть, выбрав в меню Пуск команды Программы | Стандартные. Помимо встроенных приложений из программной группы Специальные возможности особого внимания заслуживают следующие встроенные приложения Windows 2000:
Программа Архивация данных (Backup), которая отличается от ее предыдущих версий расширенной функциональностью: поддержка различных видов носителей резервной копии (не только магнитной ленты), встроенная возможность планирования расписания резервного копирования, программа-мастер резервного копирования/восстановления и программа-мастер изготовления диска аварийного восстановления (ERD).
Программная группа Развлечения (Entertainment). В ее состав входят следующие приложения: Лазерный проигрыватель (CD Player), Проигрыватель DVD (DVD Player), Звукозапись (Sound Recorder), Громкость (Volume Control) и Проигрыватель Windows Media (Wmdpws Media Player). Заслуживают внимания Лазерный проигрыватель, который по сравнению с приложением CD Player, имевшимся в составе Windows NT 4.0, снабжен новыми функциональными возможностями, и новое приложение — Проигрыватель DVD.
Диспетчер синхронизации (команда Синхронизация). Является одним из средств, обеспечивающих работу с автономными папками. С помощью этой программы можно выполнять синхронизацию информации, находящейся на локальном компьютере, и информации, расположенной в локальной сети или в Интернете. Диспетчер синхронизации позволяет автоматически синхронизировать информацию (отдельные файлы, папки), которая была доступна в процессе работы в автономном режиме веб-страницы, каждый раз при регистрации или выходе из системы.

 

46. Лазерный проигрыватель (CD Player)

 

Лазерный проигрыватель (CD Player)
  • Утилита Лазерный проигрыватель из программной группы Развлечения претерпела существенные усовершенствования (рис. 4.28). Теперь с ее помощью можно не только проигрывать компакт-диски в произвольном порядке, приостанавливать исполнение или задавать собственные списки воспроизведения (playlists), исполнять звуковые дорожки в режиме ознакомления, но и загружать информацию о компакт-диске из Интернета.
Рис. 4.28. Усовершенствованный Лазерный проигрыватель обладает не только стандартными функциями проигрывания аудио компакт-дисков, но и позволяет загружать из Интернета информацию об альбоме
  • Когда в устройство CD-ROM вставляется новый компакт-диск, на экране появляется диалоговое окно (рис. 4.29), предлагающее пользователю загрузить из Интернета информацию об альбоме, всех включенных в его состав записях и, наконец, об исполнителе. По умолчанию в группе Параметры загрузки (Download options) установлена опция Загрузить сведения только об этом диске (Download information for this album only). Если вы заинтересованы в том, чтобы производить загрузку информации о каждом новом альбоме, установите опцию Всегда загружать сведения о новых дисках (Always download new album information).

Примечание

Новая возможность поиска информации об альбомах и исполнителях в Интернете — это, безусловно, настоящая находка для меломанов, имеющих неограниченный доступ к Интернету и могущих себе позволить такую роскошь, как посещение музыкальных сайтов. Как быть, если вы не можете себе этого позволить, и окно, показанное на рис. 4.29, вам только мешает? Нажмите кнопку Меню (Options) в окне CD-Лазерный проигрыватель, из раскрывшегося меню выберите команду Настройка (Preferences) и в раскрывшемся окне перейдите на вкладку Сведения о диске (Album Options). Остается только снять флажок Включить загрузку сведений о дисках из Интернета (Enable Internet album information download) в группе Сведения о дисках в Интернете (Internet album information).

 

Рис. 4.29. Лазерный проигрыватель предлагает загрузить информацию о новом альбоме из Интернета.
  • Для загрузки информации об альбоме из Интернета нажмите в окне CD-Лазерный проигрыватель кнопку Интернет, из раскрывшегося меню выберите команду Загрузить названия записей (Download track names). Информация об исполнителе и названии альбома появится в окне проигрывателя, а информация о записях будет загружена в список воспроизведения. По завершении работы эта информация будет сохранена в базе сведений об альбомах (Album Information).

 

4.28.gif

Изображение: 

4.30.gif

Изображение: 

47. Командная строка (Command Prompt)

 

Командная строка (Command Prompt)
  • Разумеется, наиболее существенная часть усовершенствований, внесенных в Windows 2000, относится к пользовательскому интерфейсу. Тем не менее, компания Microsoft немало поработала и над улучшением интерфейса командной строки (это усовершенствование, безусловно, оценят все программисты). Доступ к командной строке Windows 2000 осуществляется при помощи команды Пуск | Программы | Стандартные {Командная строка Можно также выбрать команду Выполнить (Run) меню Пуск и в поле Открыть (Open) раскрывшегося окна ввести команду CMD. Давайте посмотрим, чем же нас порадует новая версия.

 

48. Функция автозавершения имен файлов и папок

 

Функция автозавершения имен файлов и папок
  • Чтобы активизировать эту возможность (по умолчанию она выключена), введите в командной строке следующую команду:
  • cmd /f :оn
  • Теперь при просмотре файловой системы из командной строки вам больше не понадобится вручную вводить длинные имена файлов и папок. Достаточно после ввода нескольких начальных символов использовать клавиатурную комбинацию <Ctrl>+<D>, и система автоматически завершит имена файлов и папок.
  • В дополнение к очень удобной функции автозавершения длинных имен, появилась функция использования символов шаблона в длинных именах. Предположим, что вы находитесь в корневом каталоге диска С: и хотите перейти в папку с длинным именем (например, "Documents and Settings"). В этом случае можно воспользоваться символом '*', чтобы не вводить лишние символы:
  • D:\cd d*
  • К сожалению, вследствие ограниченности объема данной книги невозможно подробно описать все усовершенствования, внесенные в интерфейс командной строки. Лучший совет, который можно дать пользователям, действительно интересующимися ими, будет таким — введите в командной строке следующую команду:
  • D:\help cmd

 

49. Проигрыватель DVD

 

Проигрыватель DVD

  • В состав Windows 2000 включена поддержка технологии DVD (Digital Versatile Disk). Для просмотра дисков DVD предназначен Проигрыватель DVD. Для просмотра дисков DVD нужно иметь декодер DVD (инструкцию о типе необходимого декодера можно найти в руководстве пользователя, поставляемом вместе с устройством DVD).

 

50. HyperTerminal

 

HyperTerminal
  • HyperTerminal — это встроенное приложение, позволяющее получить терминальный доступ к другим компьютерам, системам электронных досок объявлений (BBS), оперативным службам и хост-компьютерам с помощью модема или нуль-модемного кабеля.
  • Программа HyperTerminal предоставляет чрезвычайно полезные средства для диагностики соединений, устанавливаемых с помощью модема. Чтобы убедиться в правильности настроек модема, можно воспользоваться этой программой для отправки команд и проверки результатов. Кроме того, HyperTerminal можно использовать для отправки файлов большого объема с компьютера на компьютер (например, с настольного компьютера на портативный) через последовательный порт (это более удобно, нежели подключение портативного компьютера к сети).
  • Программистам HyperTerminal предоставляет удобные средства, помогающие в отладке исходного кода с удаленного терминала.

 

51. Paint

 

Paint
  • Новые команды появились даже в давно всем известном графическом редакторе Paint! Это — команды Выбор источника (Select Source) и Сканировать (Scan New) из меню Файл (File).
  • Их появление является следствием улучшенной поддержки оборудования (сканеры, цифровые фото- и видеокамеры), которым можно управлять с помощью значка Сканеры и камеры (Scanners and Cameras) на панели управления. Подробные инструкции по установке сканеров и цифровых камер, а также по их связыванию с соответствующими программами, способными использовать их функциональные возможности, можно найти в справочной системе Windows 2000.

 

52. Телефон (Phone Dialer)

 

Телефон (Phone Dialer)

  • Приложение Телефон позволяет осуществлять голосовые вызовы, видеовызовы и создавать видеоконференции с персонального компьютера (рис. 4.30).
Рис. 4.30. Создаем новую конференцию с помощью программы Телефон (Phone Dialer)
  • Для голосового вызова требуется телефонный номер абонента, его IP-адрес или имя DNS. Программа Телефон поддерживает вызовы с использованием модема через локальную сеть или через Интернет.
  • Для коммуникаций с помощью программы Телефон вам потребуются, как минимум, звуковая карта и микрофон. Видеокамера является необязательным компонентом.
  • Участвовать в видеоконференции можно и без камеры, но тогда остальные участники вас не увидят. Участники, не имеющие микрофона, смогут слушать других участников конференции, но сами не смогут принимать в ней участия.

 

4.31.gif

Изображение: 

53. Проигрыватель Windows Media

 

Проигрыватель Windows Media
  • Программа Проигрыватель Windows Media (Windows Media Player) представляет собой универсальный проигрыватель (рис. 4.31), который можно использовать для просмотра и прослушивания аудио- и видеофайлов в большинстве популярных форматов: Microsoft Windows Media (расширения файлов avi, asf, asx, rmi, wav), MPEG (mpg, mpeg, mlv, mp2, mpa, mpe), MIDI (mid, rmi), Apple QuickTime, Macintosh® AIFF (qt, aif, aifc, aiff, mov) и UNIX (au, snd).
Рис. 4.31. Windows Media Player — универсальный проигрыватель
  • С помощью команды События Веба (Web Events) проигрыватель Windows Media позволяет подключаться к веб-узлам и знакомиться с новостями, просматривать видеоклипы и прослушивать музыку.

 

4.32.gif

Изображение: 

54. Windows Update

 

Windows Update
  • Наконец, заканчивая обсуждение пользовательского интерфейса Windows 2000, нельзя обойти вниманием функцию Windows Update, представляющую собой .оперативную службу-расширение Windows 2000. Средство Обновление приложений (Product Updates) позволяет сканировать компьютер на предмет поиска устаревших системных файлов и автоматической их замены более новыми версиями, загружаемыми с веб-узла Microsoft.

 

Глава 5. Конфигурирование системы

Глава 5. Конфигурирование системы

1. Панель управления в Windows 2000

 

Глава 5

Конфигурирование системы

При разработке Windows 2000 были учтены многочисленные пожелания пользователей, просивших усовершенствовать интерфейс Windows без радикального изменения основных принципов работы с операционной системой. Интерфейс Windows 2000, развитый на базе пользовательского интерфейса Windows-95/98 и Windows NT 4.0, учитывает все лучшие черты этих операционных систем и одновременно с этим предлагает множество усовершенствований, упрощающих работу с системой. И хотя многие задачи по конфигурированию системы действительно могут быть выполнены несколькими способами, сделано все, чтобы настройка системы с помощью административных утилит не приводила к катастрофическим последствиям.

В процессе совершенствования пользовательского интерфейса Windows 2000 разработчики уделяли основное внимание:

упрощению решения наиболее распространенных повседневных задач;
упрощению поиска и организации информации;
упрощению конфигурирования системы.

Если предыдущая глава в основном рассматривала первые два аспекта, то в данной главе будут рассмотрены усовершенствования, благодаря которым Microsoft удалось добиться упрощения процедур конфигурирования Windows 2000.

 

Панель управления в Windows 2000

Как и в предыдущих версиях Windows NT, основным назначением панели управления (Control Panel) в Windows 2000 является конфигурирование системы. Окно панели управления в Windows 2000 открывается точно таким же образом, как это делалось в Windows NT 4.0 — для этого следует в меню Пуск (Start) выбрать опции Настройка | Панель управления (Settings | Control Panel). С помощью приложении панели -управления (по-английски такие

приложения называются applet) можно конфигурировать различные компоненты программного или аппаратного обеспечения Windows 2000. Чтобы вызвать приложение панели управления, необходимо указать курсором на соответствующий этому приложению значок, и выполнить двойной щелчок мышью или же щелкнуть правой кнопкой мыши и выбрать в появившемся контекстном меню команду Открыть (Open). Следует заметить, что вероятность ошибок конфигурирования системы при использовании утилит панели управления сводится к минимуму, и они представляют собой самые простые и безопасные средства настройки системы.

Чтобы получить подробную информацию о том, какие программные или аппаратные компоненты системы конфигурируют каждое из приложений панели управления, раскройте окно Панель управления и выберите команду Таблица (Details) в меню Вид (View) (рис. 5.1).

Рис. 5.1. Окно панели управления (Control Panel) после активизации команды Таблица (Details) меню Вид (View)

 

5.1.gif

Изображение: 

2. Быстрый доступ к панели управления

 

Быстрый доступ к панели управления

Стандартный метод доступа к утилитам панели управления можно существенно упростить, развернув в меню Пуск элементы окна Панель управления. Это можно сделать следующим образом:

1. В меню Пуск выберите опцию Настройка | Панель задач и меню "Пуск"

(Settings | Taskbar & Start Menu).

2. В раскрывшемся диалоговом окне Свойства: Панель задач и меню "Пуск" (Taskbar and Start Menu Properties) перейдите на вкладку Дополнительно (Advanced) (рис. 5.2). Пролистайте список Параметры меню "Пуск" (Start Menu Settings) и установите флажок Раскрывать "Панель управления"

(Expand Control Panel).

Обратите внимание, что внесенное изменение войдет в силу сразу же, и перезагрузка системы для этого не потребуется.

Рис. 5.2. Вкладка Дополнительно (Advanced) диалогового окна Свойства: Панель задач и меню "Пуск" (Taskbar and Start Menu Properties)

После этого при выборе опции Пуск | Настройка | Панель управления вы увидите на экране подменю, каждая из опций которого вызывает соответствующую утилиту панели управления. Следует отметить, что после установки флажка Раскрывать "Панель управления" опции панели управления будут отображаться только в виде меню.

 

5.2.gif

Изображение: 

3. Изменения в панели управления по сравнению с Windows NT 4.0

 

Изменения в панели управления по сравнению с Windows NT 4.0

Командная строка (Console). В Windows 2000 такой опции на панели управления уже нет. Теперь свойства окна консольного приложения, работающего в режиме командной строки, задаются непосредственно из окна консоли. Чтобы выполнить эту задачу, нажмите кнопку Пуск, выберите в раскрывшемся меню опции Программы | Стандартные | Командная строка (Programs | Accessories | Command Prompt). На экране появится

окно Командная строка. Выполните щелчок правой кнопкой мыши, указав на строку заголовка этого окна. На экране появится контекстное меню. Чтобы установить свойства только для данного сеанса, выберите из этого меню команду Свойства (Properties), а чтобы задать свойства по умолчанию для всех сеансов работы с командной строкой, выберите в этом меню команду По умолчанию (Defaults).

Параметры телефона и модема (Phone and Modems Options). Эта утилита в Windows 2000 осуществляет конфигурирование правил набора номера (dialing rules) и параметров настройки модемов. Она заменяет собой утилиты Модемы (Modems) и Телефоны (Telephony), имевшиеся в составе панели управления в Windows NT 4.0.
Опции мультимедийных устройств. Для установки и конфигурирования свойств мультимедийных устройств Используется утилита Звук и мультимедиа (Sounds and Multimedia). Она объединяет в своем составе функциональные возможности утилит Звук (Sounds) и Мультимедиа (Multimedia), существовавших в Windows NT 4.0 как самостоятельные утилиты.
Конфигурирование сетевых соединений. Вместо опции Сеть (Network), имевшейся в Windows NT 4.0, в Windows 2000 в составе панели управления появилась опция Сеть и удаленный доступ к сети” (Network and Dial-Up Connections) (она также присутствует в подменю Пуск | Настройка). Установка всех типов сетевых соединений, включая соединения по коммутируемым каналам, соединения с виртуальными частными сетями (Virtual Private Networks, VPN), стандартных типов соединений (Ethernet/NIC), а также любого другого вида сетевых соединений, производится с помощью утилиты Сеть и удаленный доступ к сети. Все эти процедуры подробно описываются в главе 16.
Установка и конфигурирование аппаратных средств. Все задачи, связанные с настройкой аппаратных средств, выполняются с использованием мастера аппаратных средств Мастера оборудования (Hardware Wizard), вызываемого из панели управления. Для этой цели раскройте окно Панель управления и выполните двойной щелчок мышью на значке Установка оборудования (Add/Remove Hardware). С помощью мастера оборудования можно устанавливать новые аппаратные устройства, осуществлять диагностику аппаратных конфликтов, задавать свойства устройств, отключать устройства и запускать Диспетчер устройств (Device Manager). Например, чтобы установить набор свойств PC-карты, следует вызвать мастер оборудования. Можно также непосредственно обратиться к Диспетчеру устройств (для этого откройте в панели управления окно Администрирование (Administrative Tools), выберите оснастку Управление компьютером (Computer Management), а в ней — узел Диспетчер устройств). В состав мастера оборудования и Диспетчера устройств были перемещены многие административные утилиты Windows NT 4.0, существовавшие в этой операцией-

ной системе как самостоятельные опции панели управления, в том числе Устройства (Devices), PC-порты (PC Card Ports), Ленты (Таре Devices), SCSI-адаптеры (SCSI Adapters).

Язык и стандарты (Regional Settings). В Windows 2000 эта утилита позволяет устанавливать региональные стандарты и выбирать языки ввода (input locales). Интерфейс утилиты существенно изменен по сравнению с версией, имевшейся в Windows NT 4.0. Вопросы многоязычной поддержки будут обсуждаться более подробно далее в этой главе.
Администрирование (Administrative Tools). В Windows 2000 в составе панели управления появилась новая опция, которая называется Администрирование. При двойном щелчке мышью на значке Администрирование раскрывается одноименная папка, которая содержит в своем составе набор административных средств Windows 2000, в том числе (по умолчанию, после инсталляции Windows 2000 Server): Источника данных (ODBC) (Data Sources (ODBC)), Лицензирование (Licensing), Локальная политика безопасности (Local Security Policy), Маршрутизация и удаленный доступ (Routing and Remote Access), Настройка сервера (Configure Your Server), Просмотр событий (Event Viewer), Распределенная файловая система DPS (Distributed File System), Системный монитор (Performance), Службы компонентов (Component Services), Службы (Services), Управление компьютером (Computer Management) и Управление сервером Telnet (Telnet Server Administration).
Сервер (Server). В Windows 2000 функции утилиты Сервер из состава панели управления были переданы оснастке Общие папки (Shared Folders), входящей в состав оснастки Управление компьютером, запускаемой из папки Администрирование. Функции остались прежними — эта оснастка используется для установки, просмотра и модификации прав доступа к файлам и папкам, предоставленным в совместное использование. Запустить оснастку Управление компьютером можно также, выбрав на рабочем столе значок Мой компьютер (My computer) и указав в контекстном меню пункт Управление (Manage).
Службы (Services). Все функции управления системными сервисами выполняются оснасткой Службы, запускаемой из окна Администрирование. Существует и другой способ вызова этой оснастки: запустите оснастку Управление компьютером, разверните узел Службы и приложения (Services and Applications) и выберите узел Службы.
ИБП-(UPS). Свойства источника бесперебойного питания (ИБП) были перемещены в утилиту Параметры электропитания (Power Options), расположенную на панели управления. В дополнение к заданию свойств ИБП, эта утилита позволяет создавать схемы управления питанием (power schemes) и переводить компьютер в режим энергосбережения и спящий режим (hybernation).
Свойства папки (Folder Options). Эта новая утилита, позволяющая выполнять индивидуальную настройку метода отображения содержимого папок, имеется и в составе панели управления.

Примечание

В данном разделе приведена обзорная информация об основных изменениях, внесенных в состав панели управления в Windows 2000 по сравнению с Windows NT 4.0. Более подробную информацию о каждом из перемещенных или переименованных административных средств можно найти в справочной системе Windows 2000.

 

4. Многоязычная поддержка в Windows 2000

 

Многоязычная поддержка в Windows 2000

Уже на начальных стадиях проектирования Windows 2000 эта операционная система включала в свой состав поддержку национальных языков и стандартов. Эта поддержка обеспечивалась за счет использования API для работы с кодированием символов в соответствии со стандартом Unicode и применения файлов ресурсов, в которых хранятся элементы пользовательского интерфейса на различных языках. Windows 2000 поддерживает более 100 различных национальных стандартов (locale; также употребляется термин "национальная настройка" — совокупность принятых в некоторой стране требований к языку, формату представления времени, дат чисел и т. д.). В отличие от Windows NT, где локализованные версии для азиатских и дальневосточных языков содержали дополнительные API для обработки более сложных требований к вводу и форматированию текста, все локализованные версии Windows 2000 построены на одном и том же исходном коде и применяют одинаковый набор API, одинаковые шрифты и таблицы символов. Это существенно упростит процедуры поддержки международных многоязычных сетей и позволит создавать приложения, которые с легкостью обрабатывают многоязычные документы.

Microsoft Windows 2000 выпускается в виде более чем 20 локализованных версий и обеспечивает глобальную многоязычную поддержку. Любая версия системы предоставляет возможности ввода и вывода на всех языках, поддерживаемых Windows 2000. Кроме того, выпускается ориентированная на корпоративных пользователей версия MUI (Multilanguage User Interface, многоязычный пользовательский интерфейс), которая поддерживает сразу множество языков: достаточно с помощью утилиты Язык и стандарты на панели управления сменить язык системы — и система будет отображать весь пользовательский интерфейс на выбранном языке. Таким образом, без всякой переустановки пользователи могут работать на одном и том же компьютере на различных языках. Естественно, за это приходится расплачиваться несколько большим размером системных файлов (например, шестиязычная система требует на диске примерно в полтора раза больше места).

Задачи разработчиков, создающих приложения, обеспечивающие глобальную языковую поддержку, упростятся за счет применения API поддержки национальных языков (National Language Support API, NLSAPI), API многоязычной поддержки (Multilingual API, MLAPI), а также файлов ресурсов Windows. Все эти задачи можно будет выполнять без использования специализированных средств, различных вариаций операционной системы, и при этом не потребуется писать сложный специализированный код.

Примечание

Подробную информацию об интерфейсе прикладного программирования NLSAPI можно найти в документе "Microsoft Windows Operating Systems NLSAP Functional Specification". Технические детали, связанные с MLAPI, подробно описаны в документе "Microsoft Windows NT 5.0 Multilingual Functiona Specification". Оба документа можно найти в MSDN.

 

5. Важные концепции

 

Важные концепции

Концепции, описанные в последующих разделах, имеют исключительно важное значение для понимания основ многоязычной поддержки в Windows.

 

6. Национальная настройка (locale)

 

Национальная настройка (locale)

Национальная настройка (locale) представляет собой набор информации о предпочтительных параметрах, относящихся к основному и дополнительным языкам, применяемым пользователем (user's language и user's sublanguage). В качестве примера основного языка пользователя можно привести например, французский, а дополнительным языком (sublanguage) может быть разновидность французского языка, на которой говорят в Канаде. Франции или Швейцарии. Информация национальной настройки также включает: символ валюты, формат представления даты, времени, чисел; локализованные названия дней недели и месяцев года; стандартное сокращение для наименования страны; а также сведения о кодировании символов (Более подробный список можно найти в спецификации NLSAPI.) Каждая система Windows 2000 имеет язык системы по умолчанию и один или несколько языков ввода для каждого пользователя (эти языки могут отличаться от системного). И системный, и пользовательские языки могут изменяться при помощи панели управления. Для этого следует воспользоваться утилитой Язык и стандарты (рис. 5.3). Прикладные программы могут указывал национальные настройки для каждого потока с помощью функций API.

 

7. Кодировка символов

 

Кодировка символов

Кодировка символов (часто называемая также кодовой страницей) — это набор числовых значений, которые ставятся в соответствие группе алфавитно-цифровых символов, знаков пунктуации и специальных символов.

Рис. 5.3. Вкладка Общие (General) окна Язык и стандарты (Regional Options)

Однобайтные кодировки используют 8 бит и позволяют закодировать до 256 различных символов. В Windows первые 128 символов всех кодовых страниц состоят из стандартного набора символов ASCII. Символы с номерами от 128 до 255 представляют дополнительные символы и варьируются в зависимости от набора скриптов, представленных кодировкой символов (полный набор таблиц кодировки можно найти в книге "Developing International Software for Windows 95 and Windows NT", опубликованной Microsoft Press). Двухбайтные кодировки, применяющиеся в Windows для азиатских языков, используют для кодирования каждого символа от 8 до 16 бит. Компьютеры обмениваются информацией в виде закодированных символов. На экране эта информация визуализируется с использованием шрифтов.

Windows 2000 поддерживает кодовые страницы OEM (изначально разработанные для MS-DOS), кодовые страницы ANSI (появившиеся с выходом Windows 3.1) и Unicode. Unicode представляет собой 16-битную кодировку символов, которая позволяет охватить все широко используемые на сегодняшний день скрипты (более подробную информацию о стандарте Unicode можно найти по адресу http://www.unicode.org). Windows 2000 использует Unicode в качестве основной кодировки символов. Это означает, что все

строки, обрабатываемые в системе, включая строки в файлах ресурсов Windows (RES-файлы), кодируются в Unicode. Windows 2000 также поддерживает кодировки символов ANSI. Каждый API, принимающий строки в качестве параметров, имеет две точки входа —. 'А' или ANSI и 'W (wide-character) — для Unicode.

Windows 2000 поддерживает дополнительные кодовые страницы для трансляции данных в Unicode и обратно, в том числе — для кодировок Macintosh, EBCDIC и ISO. Кроме того, Windows 2000 содержит таблицы трансляции для стандартов UTF-7 и UTF-8, которые широко используются для передачи данных Unicode через сети, в частности, через Интернет.

 

5.3.gif

Изображение: 

8. Поддержка национальных языков

 

Поддержка национальных языков

Поддержка национальных языков (стандартов) в Windows NT состоит из набора системных таблиц, к которым приложения могут получать доступ через NLSAPI. NLSAPI извлекает следующие типы информации:

Информацию о национальных настройках, включая форматы даты, времени, числе и валют, локализованные названия стран, языков, дней недели и месяцев.
Таблицы соответствия символов, которые устанавливают соответствия между символами в кодировках ANSI или OEM и символами Unicode и обратно.
Информацию о раскладках клавиатуры, которая в Windows управляется программно. Одна и та же клавиатура может применяться для генерации множества разнообразных языковых скриптов.
Информацию о символах. Представляет ли конкретный символ Unicode букву, число, символ-разделитель и знак пунктуации? Является этот символ заглавным или строчным? Каков эквивалент этого символа на противоположном регистре клавиатуры?
Информацию о сортировке, поскольку разные национальные стандарты могут использовать различные правила сортировки для символов с диакритическими знаками или же могут использовать несколько различных алгоритмов сортировки.
Информацию о шрифтах. Система хранит информацию о том, какие шрифты поддерживаются для соответствующих кодировок или диапазонов Unicode. Существуют специальные API, устанавливающие соответствие между языками и шрифтами, которые будут поддерживаться.
В Windows 2000 пользователь может установить национальные стандарты (NLS) для любого языка ввода при помощи утилиты Язык и стандарты из панели управления (рис. 5.3).

 

9. Локализуемые ресурсы

 

Локализуемые ресурсы

Локализуемый ресурс — это любой фрагмент информации, содержащийся в коде программы и позволяющий выполнять переключение с языка на язык. Хотя некоторые алгоритмы зависят от конкретного языка (например, к их числу относятся проверка правописания и правила расстановки переносов), обычно локализуемые ресурсы представляют собой элементы пользовательского интерфейса. К числу таких ресурсов относятся, например, меню, диалоговые окна, текст справочной системы, значки (icons) и растровые изображения (bitmaps). Большинство локализуемых ресурсов Windows хранятся в специальных файлах ресурсов. Файлы ресурсов Windows в текстовом формате имеют расширение rc, а в откомпилированном виде — расширение res. Большинство современных средств разработки позволяют выполнить компиляцию файлов ресурсов непосредственно в исполняемые файлы. Все локализованные версии Windows 2000 используют один и тот же двоичный код, а все изменения вносятся исключительно в локализуемые ресурсы.

 

10. Поддержка многоязычных документов в Windows 2000

 

Поддержка многоязычных документов в Windows 2000

Унифицированная архитектура операционной системы Windows 2000, использующей универсальные исполняемые файлы для всех локализованных версий, существенно упрощает решение всех технических вопросов поддержки многоязычных пользовательских сред, многоязычных сетей и многоязычных документов. Основой для этой глобальной языковой поддержки послужил целый ряд ключевых решений.

 

11. Поддержка стандарта Unicode

 

Поддержка стандарта Unicode

Поддержка стандарта Unicode была встроена в Windows NT еще на самых ранних стадиях развития этой операционной системы. Уже первая из появившихся версий Windows NT использовала Unicode в качестве базовой системной кодировки. Последующие версии Windows NT использовали стандарт Unicode в качестве основы для файловой системы, пользовательского интерфейса и сетевых коммуникаций. Windows 2000 поддерживает Unicode v 2.0 и обеспечивает на его основе среду для приложений и средства миграции для существующих данных, не соответствующих Unicode.

Наиболее важным преимуществом Unicode является то, что этот стандарт позволяет представлять данные в текстовом формате, исключая необходимость установки соответствия текстовых строк и информации о кодовой странице. Поскольку Unicode представляет собой стандартную 16-битную кодировку, обеспечение поддержки азиатских языков больше не требует программных трюков, необходимых в Windows 9x для поддержки символов переменной длины. Так как Unicode является промышленным стандартом, его применение упрощает совместное использование данных в смешанных многоплатформенных средах.

Windows 2000 содержит таблицы для преобразования текста из кодировки ANSI в Unicode и обратно. Пользователи и разработчики имеют возможность добавлять таблицы преобразования для широкого диапазона кодировок символов, включая кодировки Macintosh и UNIX. Таблицы преобразования дают возможность работать в среде Windows 2000 приложениям, не поддерживающим Unicode, и приложениям Unicode — в среде Windows 9x. Хотя системы Windows 9x не имеют встроенной поддержки Unicode, они поддерживают различные API для работы с двухбайтными символами.

 

12. Как реализована поддержка многоязычных данных

 

Как реализована поддержка многоязычных данных

В различных странах используются различные стандартные раскладки клавиатуры. Например, по сравнению со стандартной американской раскладкой клавиатуры, раскладка клавиатуры, принятая во Франции, должна поддерживать дополнительные символы. Помимо этого, некоторые символы размещены на разных клавишах (при французской раскладке клавиатуры символы "z" и "w" расположены в обратном порядке по сравнению с американской клавиатурой).

Рис. 5.4. Вкладка Языки и раскладки (Input Locales) окна Язык и стандарты
Рис. 5.5. Индикатор языка ввода на панели задач

Windows хранит информацию о раскладках клавиатуры в таблицах, которые определяют, какой символ должен генерироваться при нажатии пользователем конкретной клавиши. Поскольку символы генерируются программно, Windows может управлять активизацией раскладок клавиатуры для каждого конкретного пользователя в каждый конкретный момент. Утилиты Клавиатура (Keyboard) и Язык и стандарты из панели управления содержат вкладку Языки и раскладки (Input Locales), которая устанавливает соответствие между языком и раскладкой клавиатуры. На этой вкладке (рис. 5.4) пользователь может назначить раскладку клавиатуры для каждого из языков ввода (кнопка Свойства (Properties)).

Используя индикатор раскладки клавиатуры на панели задач (рис. 5.5) или комбинацию клавиш, пользователь может переключаться между языками ввода и раскладками клавиатуры.

Информация о парах "язык ввода—раскладка клавиатуры" хранится в пользовательских профилях. Каждый пользователь может назначить себе индивидуальные раскладки клавиатуры для каждого из языков.

 

5.4.gif

Изображение: 

13. Различия реализаций многоязычной поддержки в Windows 2000 и Windows 98

 

Различия реализаций многоязычной поддержки в Windows 2000 и Windows 98

И Windows 2000, и Windows 98 поддерживают NLSAPI и MLAP1, обрабатывают переключение между языками ввода и многоязычные шрифты, и для каждой из них выпущены локализованные версии. Однако между этими операционными системами существуют ключевые архитектурные различия. Windows 98 не обеспечивает такой степени многоязычной поддержки как Windows 2000.

Windows 98 не содержит встроенной поддержки Unicode, вместо Unicode в ней используется кодировка ANSI. Это затрудняет совместную работу с данными на компьютерах, использующих различные кодировки. В отличие от Windows 2000, локализованные версии Windows 98 не используют единого двоичного файла. Локализованные версии для азиатских и дальневосточных языков представляют собой надмножество европейских локализованных версий.

 

14. Шрифты и работа с ними

 

Шрифты и работа с ними

Операционные системы из семейства Windows, уже начиная с Windows 3.1, всегда предоставляли пользователям богатый выбор самых разнообразных шрифтов, однако Windows 2000 превосходит все предыдущие версии и в этом отношении.

В самых ранних версиях Windows применялись шрифты, созданные по так называемой bitmap-технологии. Эти шрифты обладали целым рядом недостатков — во-первых, их можно было увеличивать только до определенного предела, и, во-вторых, они занимали довольно значительный объем дискового пространства.

Именно поэтому уже в Windows 3.1 была впервые применена технология TrueType. Для хранения шрифтов TrueType требуется гораздо меньший объем пространства, и, кроме того, одним из важнейших достоинств этого типа шрифтов является сохранение качества изображения при изменении размера символа.

 

15. Новый формат шрифта OpenТуре

 

Новый формат шрифта ОрепТуре

Windows 2000 поддерживает шрифты ОреnТуре, TrueType и Туре 1. Формат ОреnТуре был создан совместными усилиями Microsoft и Adobe и представляет собой надмножество форматов TrueType и Туре 1 с дополнительными возможностями типографского формата.

Формат шрифтов ОреnТуре обеспечивает больший уровень многоязычной поддержки, включая большее количество символов для ввода информации на различных языках. Эта улучшенная типографская поддержка делает Windows 2000 операционной системой, отлично подходящей для работы с настольными издательскими системами. Шрифты ОреnТуре отправляются на принтер по мере необходимости, а не одновременно, и поэтому документы, в которых используется сложное форматирование, печатаются намного быстрее. Помимо этого, шрифты ОреnТуре более удобны для восприятия на экране, чем стандартные шрифты TrueType или шрифты Туре 1.

 

16. Как Windows 2000 работает со шрифтами

 

Как Windows 2000 работает со шрифтами

Windows 2000 управляет всеми инсталлированными шрифтами централизованно. Чтобы узнать, какие шрифты уже установлены в Windows 2000, раскройте панель управления, и выберите значок Шрифты (Fonts). После этого на экране появится окно Шрифты, в котором будут отображены значки и названия всех инсталлированных в системе шрифтов.

Типы шрифтов достаточно легко различать по значкам, поставленным им в соответствие: так, шрифтам TrueType соответствуют значки с символами "ТТ", шрифтам ОрепТуре — значки с символом "О", а всем остальным — значки с символом "A". Windows 2000 позволяет одновременно инсталлировать неограниченное количество шрифтов любого типа. Если количество значков, отображенных в окне Шрифты, станет слишком велико, можно воспользоваться командой Скрыть варианты начертания (Hide Variations (Bold, Italic, etc.)) из меню Вид (View).

Очень удобным средством является возможность быстрого просмотра текста, набранного некоторым шрифтом. Для этого в меню Вид нужно выбрать команду Образец (Preview), а затем навести курсор мыши на интересующий

шрифт — во всплывающем окне появится тестовая фраза в соответствующем начертании.

В целом все операции по управлению шрифтами в окне Шрифты выполняются в Windows 2000 точно так же, как это делалось в Windows NT 4.0.

 

17. Приложение Таблица символов (Character Map)

 

Приложение Таблица символов (Character Map)

Чтобы вводить специальные символы, воспользуйтесь приложением Таблица символов, которое устанавливается в системе по умолчанию и может быть найдено в программной группе Служебные (System Tools).

1. Запустите приложение Таблица символов, выбрав из меню Пуск команду Программы | Стандартные | Служебные | Таблица символов (Programs | Accessories | System Tools | Character Map). Пример окна программы показан на рис. 5.6 (флажок Дополнительные параметры просмотра (Advanced View) установлен).
Рис. 5.6. Окно приложения Таблица символов (Character Map)
2. В списке Шрифт (Font) выберите требуемый шрифт.
3. Выполните двойной щелчок мышью на нужном символе или на нескольких символах по очереди (можно просто выбрать символ и нажать кнопку Выбрать (Select) — этот символ будет добавлен в поле Для копирования (Characters to copy)).
4. Нажмите кнопку Копировать (Сору), чтобы скопировать символ или символы в буфер обмена.
5. Активизируйте нужное приложение и вставьте символы из буфера в документ.

 

5.5.gif

Изображение: 

18. Редактор личных символов (Private Character Editor)

 

Редактор личных символов (Private Character Editor)

Редактор личных символов служит для создания специальных символов и включения их в шрифтовую библиотеку.

Рис. 5.7. Редактирование символов с помощью Редактора личных символов

Чтобы запустить приложение Редактор личных символов, нажмите кнопку Пуск, в раскрывшемся меню выберите команду Выполнить (Run) и в поле Открыть (Open) введите командную строку eudcedit.

Пример редактирования специального символа с помощью Редактора личных символов показан на рис. 5.7.

 

5-7.jpg

Изображение: 

Глава 6. Средства управления

Глава 6. Средства управления

1. Общие концепции консоли управления Microsoft

 

Глава 6

Средства управления


Общие концепции консоли управления Microsoft

В Windows 2000 был кардинально изменен интерфейс управления операционной системой. В соответствии с новой концепцией Microsoft из системы Windows NT были удалены все автономные и несовместимые друг с другом административные утилиты и разработана единая среда управления, получившая название консоль управления Microsoft (Microsoft Management Console, MMC). Эта общая консоль управления разработана для запуска всех программных модулей администрирования, конфигурирования или мониторинга локальных компьютеров и сети в целом. Такие законченные модули называются оснастками (snap-ins). Консоль управления сама по себе не выполняет никаких функций администрирования, но служит в качестве рабочей среды для запуска оснасток, создаваемых как компанией Microsoft, так и независимыми поставщиками программного обеспечения (Independent Software Vendor, ISV).

Появление ММС обусловлено желанием создать единую среду управления для администрирования операционных систем Windows. Оснастки представляют собой управляющие компоненты, которые объединены в среде ММС. Из нескольких оснасток можно создать индивидуальный управляющий инструмент.

Консоль ММС включает в себя интерфейсы прикладного программирования (API), оболочку пользовательского интерфейса (консоли) и набор инструкций.

Microsoft Management Console позволяет создавать более совершенные административные инструменты, которые могут предоставлять различные уровни функциональных возможностей. Эти инструменты можно легко интегрировать в операционную систему, а также изменять и настраивать по своему усмотрению. В данном случае инструмент представляет собой не просто одиночное приложение. Инструмент может состоять из одной или нескольких оснасток и каждая оснастка, в свою очередь, может содержать дополнительные оснастки расширения. Такая модульная структура позволяет системному администратору существенно снизить стоимость управления системой благодаря возможности создания индивидуальных инструментов на основе выбранных оснасток, которые предоставляют только необходимые возможности и средства просмотра. Администратор может затем сохранять каждый индивидуальный инструмент в отдельном файле (файле консоли ММС с расширением msc) и отправлять его другим пользователям или администраторам, которым делегированы права на выполнение данных административных задач.

ММС и модель администрирования Windows 2000 представляют собой следующий шаг в развитии технологий администрирования. Консоль управления имеет ряд преимуществ, которые заключаются в упрощении интерфейса, предоставлении больших возможностей по настройке разработанных решений для определенных административных проблем и в обеспечении различных уровней функциональности. В большинстве случаев достаточно сложно разработать инструмент, который будет являться неотъемлемой частью операционной системы. С помощью ММС эта задача существенно упрощается. Тщательно разработанный административный инструмент идеально подойдет для решения стоящих перед вами задач и будет иметь интуитивно понятный интерфейс. Такой инструмент также будет использовать возможности уже имеющихся инструментов, что снимает необходимость "изобретать велосипед".

В операционные системы Windows 2000 и следующие версии продуктов семейства BackOffice® оснастки ММС включены в качестве стандартных административных программ.

 

2. Что такое ММС?

 

Что такое ММС?

Microsoft Management Console представляет собой приложение с многооконным интерфейсом, которое активно использует технологии Интернет. Компания Microsoft и независимые поставщики программного обеспечения могут разрабатывать оснастки ММС для выполнения задач управления локальным компьютером и сетью в целом.

ММС не подменяет собой, имеющиеся инструменты управления предприятиями, такие как HP OpenView или IBM Tivoli Management Environment. Консоль управления расширяет возможности данных инструментов, предоставляя им возможность взаимодействия друг с другом или объединяя эти инструменты в оснастки, доступ к которым может осуществляться из ММС. Например, приложение управления предприятием может обнаружить событие и отправить извещение в оснастку (рис. 6.1). Системный администратор затем обнаружит событие в сеансе ММС и предпримет необходимые меры.

Интерфейсы программирования ММС позволяют интегрировать оснастки с консолью (рис. 6.2). Данные интерфейсы предоставляют только расширения пользовательского интерфейса, поскольку каждая оснастка самостоятельно определяет механизм выполнения своих задач. Интерфейсы ММС позволяют оснасткам совместно использовать общую хост-среду и обеспечивают интеграцию между приложениями. Консоль ММС не выполняет никаких функций управления.

Рис. 6.1. ММС обеспечивает общий интерфейс для инструментов управления, включая приложения управления предприятием
Рис. 6.2. Прикладные интерфейсы позволяют интегрировать остнастки с консолью.

Компания Microsoft и независимые поставщики программного обеспечения могут разрабатывать инструменты управления для запуска в среде ММС и приложения, которыми будут управлять инструменты ММС. Инструменты, не предназначенные для работы в среде ММС, могут быть интегрированы в ММС посредством оснасток или запущены независимо. Системный администратор может одновременно запускать не-ММС инструменты управления и экземпляры ММС на одном компьютере.

 

6.1.gif

Изображение: 

6.2.gif

Изображение: 

3. Преимущества ММС

 

Преимущества ММС

 

Возможность индивидуальной настройки и передача полномочий

Помимо обеспечения интеграции и общей среды для административных инструментов, консоль ММС предоставляет возможность полностью индивидуальной настройки, так что администраторы могут создавать такие консоли управления, которые будут включать только необходимые им инструменты. Такая настройка позволяет ориентировать администрирование на выполнение конкретных задач, причем администратор может выделить только необходимые объекты и элементы. Настройка консоли также позволяет администраторам передавать определенную часть полномочий менее опытным сотрудникам. С помощью ММС можно создать консоль, которая будет содержать объекты, необходимые для выполнения только определенных функций.

Интеграция и унификация

ММС обеспечивает общую среду, в которой могут запускаться оснастки, и администраторы могут управлять различными сетевыми продуктами, используя единый интерфейс, что упрощает изучение работы с различными инструментами.

Гибкость в выборе инструментов и продуктов

В среде ММС можно использовать различные инструменты и оснастки. Для использования в среде ММС оснастка должна поддерживать объектную модель компонентов (Component Object Model, COM) или распределенную COM (Distributed Component Object Model, DCOM). Это позволяет выбирать наиболее оптимальный продукт среди оснасток, причем гарантируется его полная совместимость со средой ММС.

 

4. Пользовательский интерфейс ММС

 

Пользовательский интерфейс ММС

Консоль управления ММС HMeef пользовательский интерфейс, позволяющий открывать множество документов (Multiple Document Interface, MDI). Интерфейс консоли ММС на примере оснастки Computer Management показан на рис. 6.3.

Родительское окно ММС имеет главное меню и панель инструментов. Главное меню обеспечивает функции управления файлами и окнами, а также доступ к справочной системе.

Дочерние окна ММС представляют собой различные средства просмотра автономного документа консоли. Каждое из этих дочерних окон содержит панель управления, панель структуры (scope pane) и панель результатов, или сведений (result pane). Панель управления содержит меню и набор инструментов. Панель структуры отображает пространство имен инструментов в виде дерева, которое содержит все видимые узлы, являющиеся управляемым объектом, задачей или средством просмотра.

Панель результатов в дочернем окне отображает список элементов выбранного узла. Данный список может содержать папки, оснастки, элементы управления, веб-страницы, панели задач (taskpad) и другие элементы.

Рис. 6.3. Окно оснастки Управление компьютером (Computer Management)

Средства ММС также позволяют отображать окно в упрощенном виде, доступном для менее опытных администраторов. В наиболее простой форме окно может содержать набор значков, которые обеспечивают доступ к определенным задачам.

 

6.3a.gif

Изображение: 

5. Архитектура ММС

 

Архитектура ММС

На рис. 6.4 представлена архитектура ММС.

Диспетчер оснасток (Snap-in Manager) дает системному администратору или разработчику оснасток возможность добавлять, удалять или изменять оснастки. Кроме того, Диспетчер оснасток позволяет системному администратору определить, является ли некоторая оснастка изолированной или зависит от других оснасток.

Диспетчер оснасток сохраняет произведенные установки в виде инструмента или документа (файл с расширением msc). Пользователь определенного инструмента взаимодействует с, элементами, которые находятся в верхней части рисунка (файл *.msc и элементы пользовательского интерфейса). Разработчики и администраторы работают с элементами, показанными в нижней части рис. 6.4 (Диспетчер оснасток и оснастки Просмотр событий и Маршрутизация и удаленный доступ).

При загрузке документа ММС инициализируется одна или несколько оснасток, как показано на рис. 6.5.

Рис. 6.4. Модель ММС — инструмент консоли (файл *.msc взаимодействует с диспетчером оснасток для извлечения оснасток и представления элементов пользовательского интерфейса)
Рис. 6.5. Когда пользователь открывает файл ММС, загружаются оснастки и генерируется пользовательский интерфейс

Данные оснастки объединены для создания пространства имен — набора узлов, которые отображаются в виде дерева на панели структуры. Пространство имен является главным деревом, которое показывает возможности инструмента. Пространство имен может включать все Управляемые объекты

сети — компьютеры, пользователей, группы и т. д. Пространство имен содержит объекты, средства просмотра и задачи. Дочерние окна ММС представляют собой средства просмотра главного пространства имен.

 

6.4.gif

Изображение: 

6.5.gif

Изображение: 

6. Оснастки и работа с ними

 

Оснастки и работа с ними

Все инструменты ММС состоят из совокупности оснасток. Каждая оснастка представляет собой минимальную единицу управления. С технической стороны оснастка представляет собой "OLE-сервер внутри процесса" (in-proc server — так часто называют DLL-библиотеки в модели СОМ), который выполняется в контексте процесса ММС. Оснастка может вызывать другие элементы управления и динамические библиотеки (DLL) для выполнения своей задачи.

Ряд оснасток могут быть объединены администратором в инструмент (также называется документом), который сохраняется в файле с расширением msc (Management Saved Console). Администратор использует инструменты для управления сетью. Файл *.msc можно затем передать другому администратору (например, по электронной почте), который сможет использовать содержащийся в нем инструмент на своем рабочем месте.

Примечание

На практике термины инструмент и оснастка иногда могут использоваться как взаимозаменяемые, поскольку некоторые инструменты ММС (и стандартные, и вновь созданные) содержат только одну оснастку. С другой стороны, термин оснастка применяется чаще, так как именно в оснастке реализованы все функциональные возможности, а включаться она может в различные инструменты — в том числе и в те, которые конфигурирует сам администратор. Поэтому чаще можно встретить фразу типа "данная функция реализуется при помощи оснастки..." (а не "при помощи инструмента...").

Благодаря возможности индивидуальной настройки ММС, администратор может создать идеальный инструмент на основе доступных оснасток. Каждый инструмент может иметь множество функций: например, возможности управления службой Active Directory, топологией репликации, доступом к файлам и т. д. В больших сетях администраторы могут иметь набор инструментов, организованных по категориям выполняемых с их помощью задач.

 

7. Типы оснасток

 

Типы оснасток

В ММС поддерживаются два типа оснасток:

Изолированная оснастка (stand-alone snap-in) обеспечивает выполнение своих функций даже при отсутствии других оснасток, например, Управление компьютером (Computer Management).
Оснастка расширения (extension snap-in) может работать только после активизации родительской оснастки. Функция оснастки расширения заключается в увеличении числа типов узлов, поддерживаемых родительской оснасткой. Оснастка расширения является подчиненным элементом узлов определенных типов, и при каждом запуске узлов данных типов консоль автоматически запускает все связанные с ней расширения. В качестве примера можно привести оснастку Диспетчер устройств (Device Manager). Оснастки расширения могут предоставлять различные функциональные возможности. Например, такие оснастки могут расширять пространство имен консоли, увеличивать число пунктов в меню или добавлять определенные мастера.

Примечание

Все оснастки, имеющиеся в системе Windows 2000, кратко описаны в табл. 6.1 и 6.2.

 

8. Создание новой консоли

 

Создание новой консоли

Для того чтобы получить представление о гибкости ММС, полезно рассмотреть процесс создания файла консоли — инструмента (документа) ММС — с самого начала. Для примера опишем процедуру создания новой консоли и добавления к ней оснасток Управление компьютером и Сертификаты (Certificates).

1. В меню Пуск (Start) выберите пункт Выполнить (Run), введите mmc и нажмите кнопку ОК. Откроется окно Консоль! с пустой консолью (или административным инструментом).

Примечание

По умолчанию консоль ММС открывается в авторском режиме, в котором можно создавать новые консоли и изменять созданные ранее административные инструменты. Пустая консоль не имеет никаких функциональных возможностей до тех пор, пока в нее не добавлены оснастки. Команды меню ММС на панели меню в верхней части окна применимы ко всей консоли.

 

2. В меню Консоль (Console) выберите пункт Добавить/удалить оснастку (Add/Remove Snap-in). Откроется окно Добавить/Удалить оснастку. В этом окне перечисляются изолированные оснастки и оснастки расширения, которые будут добавлены в консоль (или уже включены в нее). Оснастки можно добавлять к корню консоли- управления или к уже имеющимся изолированным оснасткам (другим узлам дерева); это указывается в списке Оснастки (Snap-ins added to). В нашем случае оставим значение по умолчанию — Корень консоли (Console Root).
3. Нажмите кнопку Добавить (Add). На экране появится окно Добавить изолированную оснастку (Add Stand-alone Snap-in) (рис. 6.6) со списком изолированных оснасток, имеющихся в системе.
Рис. 6.6. Окно со списком имеющихся оснасток

Примечание

Следует различать имена оснасток (т. е. их названия, которые были даны разработчиками и которые зафиксированы в поставляемых пакетах оснасток, рис. 6.6) и названия элементов меню, инструментов ММС и узлов в дереве оснасток консоли ММС.

4. Выполните двойной щелчок на пункте Управление компьютером. Появится окно с конфигурационными опциями для данной оснастки.
5. Оставьте переключатель в положении локальным компьютером (Local computer). Затем нажмите кнопку Готово (Finish).
6. В окне оснасток выберите пункт Сертификаты и нажмите кнопку Добавить.
7. В следующем окне выберите соответствующий переключатель — Эта оснастка всегда будет управлять сертификатами для:
  • моей учетной записи пользователя (My user account)
  • учетной записи службы (Service account)
  • учетной записи компьютера (Computer account)

Нажмите кнопки Готово и Закрыть.

8. В окне Добавить/Удалить оснастку (где отображен список подключаемых оснасток) перейдите на вкладку Расширения (Extensions). На этой вкладке приведен список оснасток расширения, которые поставляются вместе с выбранными изолированными оснастками. Если вы не собираетесь подключать все оснастки расширения, сбросьте флажок Добавить все расширення (Add all extensions) (который ставится по умолчанию) и снимите флажки с лишних оснасток. По окончании процедуры нажмите кнопку ОК.
9. Закройте окно добавления оснасток, нажав кнопку ОК. Теперь окно консоли содержит две оснастки — Управление компьютером и Сертификаты.
10. Для того чтобы сохранить созданный инструмент, в меню Консоль выберите пункт Сохранить как (Save As) и укажите имя файла и папку, в которой будет сохранен файл консоли.

Примечание

Дополнительным преимуществом такого подхода является то, что при наличии у пользователя перемещаемого (блуждающего) профиля, все созданные пользователем инструменты будут перемещаться вместе с ним.

 

6,7.gif

Изображение: 

9. Индивидуальная настройка окон оснасток

 

Индивидуальная настройка окон оснасток

После добавления оснасток можно развернуть окна оснасток, чтобы облегчить работу с ними. Для этого выполните следующие действия:

Рис. 6.7. Окна консоли с индивидуальной настройкой
1. В левом подокне (в окне структуры) только что созданной консоли щелкните правой кнопкой мыши на узле Управление компьютером и выберите в контекстном меню пункт Новое окно отсюда (New Window from Here). Будет открыто окно Управление компьютером, представляющее одноименную оснастку.
2. Аналогичные действия выполните для узла Сертификаты. В новом окне нажмите кнопку Скрытие или отображение дерева консоли или избранного

(Show/Hide Console tree) на панели инструментов для того, чтобы скрыть панель структуры.

3. Закройте исходное окно, содержащее Корень консоли.
4. В меню Окно (Window) выберите команду Сверху вниз (Tile Horizontally). Консоль будет выглядеть, как показано на рис. 6.7.

Примечание

Дочерние окна в окне консоли имеют панель инструментов с кнопками и раскрывающимися меню. Кнопки и команды этих меню применяются только к содержанию соответствующего окна.

 

6.7.gif

Изображение: 

10. Создание панелей задач

 

Создание панелей задач

Когда требуется создать файл консоли для другого пользователя, полезно предоставить пользователю упрощенный инструмент, позволяющий выполнять только несколько определенных задач. Таким инструментом является панель задач (taskpad). Панель задач является HTML-страницей, на которой могут быть размещены ярлыки (или задачи (task)), запускающие команды меню и программы или открывающие ссылки на веб-страницы.

Для создания панели задач выполните следующее:

1. В меню Действие (Action) или в контекстном меню любого узла в окне консоли выберите пункт Новый вид панели задач (New Taskpad View),
2. Откроется окно Мастера создания вида панели задач (New Taskpad View Wizard). Нажмите кнопку Далее.
3. В следующем окне мастера вам будет предложено выбрать стиль отображения и размер панели задач (рис. 6.8). Затем На панели задач вы можете указать использование только тех задач, которые связаны с текущим узлом или со всеми узлами дерева. В следующем окне потребуется ввести имя и описание создаваемой панели задач.
4. Если вы не собираетесь пока добавлять новые, задачи на созданную панель, снимите в последнем окне мастера флажок Запустить мастер создания новой задачи (Start New Task Wizard).
5. В противном случае по завершении работы Мастера создания вида панели задач запускается Мастер создания задач (New Task Wizard). В ходе этой процедуры следует указать функцию задачи: запуск команды меню,

программы или ссылка на веб-страницу, ввести путь к исполняемому файлу и параметры запуска.

Рис. 6.8. Окно мастера создания панелей задач
6. Если новая задача будет запускать команду меню, в следующем окне будет предложено указать элементы в панели результатов, к которым будет применяться выбранная команда. Например, при создании панели задач для системного журнала (System Log) это окно выглядит, как показано на рис. 6.9.
Рис. 6.9. Окно выбора элемента узла и команды, которая будет к нему применяться
7. В остальных окнах мастера примите значения по умолчанию. Если требуется создать несколько задач на одной панели, установите в последнем

окне мастера флажок Запустить этот мастер снова (Run this wizard again). Затем нажмите кнопку Готово.

8. На рис. 6.10 показана созданная в результате панель задач. В данном окне консоли панель структуры отключена— аналогично тому, как это было сделано в предыдущем разделе. Для удаления лишних меню и панелей инструментов снимите соответствующие флажки в окне Настройка вида (Customize View) (опции Вид (View) | Настроить (Customize) на панели инструментов или команда Вид | Настроить в контекстном меню созданной панели задач).

Примечание

Функция Новый вид панели задач доступна только в окне индивидуальной консоли. В стандартных оснастках эта функция отсутствует.

Рис. 6.10. Окно консоли с панелью задач

Примечание

В ряде случаев, когда необходимо получить полный список оснасток данного инструмента, удобно использовать команду Экспортировать список (Export list). Доступ к этой команде можно получить из контекстного меню или меню Действие. После запуска команда выгружает в текстовый файл список содержащихся в инструменте оснасток с указанием типа и краткого описания.

 

6.10.gif

Изображение: 

6.8.gif

Изображение: 

6.9.gif

Изображение: 

11. Установка опций консоли

 

Установка опций консоли

Если консоль создается для другого пользователя, может оказаться полезным установить запрет на изменение консоли. Для этого следует открыть окно Параметры (Options).

1. В меню Консоль выберите пункт Параметры (Options).
2. Установите в списке Режим консоли (Console mode) значение Пользовательский режим - полный доступ (User Mode - full access). В этом режиме пользователь не сможет добавлять новые оснастки в инструмент, но будет иметь возможность изменять расположение окон. (Новый режим начнет работать при следующем запуске файла консоли.)
3. Нажмите кнопку ОК и сохраните файл.

Сохраненный файл консоли можно также открыть с помощью Проводника Для этого выполните двойной щелчок на файле с расширением msc Файл консоли будет открыт в среде ММС.

Примечание

Среда ММС по умолчанию запускается в авторском режиме, в котором можно вносить изменения в файл консоли.

 

12. Запуск инструментов ММС

 

Запуск инструментов ММС

Для запуска стандартных инструментов ММС, установленных на компьютере, можно использовать один из приведенных ниже способов:

Откройте меню Пуск | Программы | Администрирование (Start | Programs I Administrative Tools) и выберите необходимый инструмент.
Дважды щелкните на значке Администрирование на панели управления. Откроется окно Администрирование, содержащее значки всех установленных на компьютере инструментов.

 

13. Оснастки Windows 2000

 

Оснастки Windows 2000

В табл. 6.1 в алфавитном порядке перечислены основные оснастки, которые доступны в системе Windows 2000 Professional, а в табл. 6.2 — дополнительные (помимо имеющихся в Windows 2000 Professional) оснастки, появляющиеся в Windows 2000 Server. (Для оснасток, включенных в пользовательский интерфейс, указаны названия соответствующих пунктов меню, для остальных оснасток даны их собственные имена.) Оснастки, которые можно вызывать непосредственно из меню Пуск или из группы Администрирование на панели управления — т. е. оснастки, включенные в пользовательский интерфейс при инсталляции системы, — отмечены звездочкой (*). Оснастки, работающие только на контроллере домена под управлением Windows 2000 Server, отмечены в табл. 6.2 буквой "D".

Таблица 6.1. Оснастки, имеющиеся в Windows 2000 Professional

Оснастка

Назначение

Анализ и настройка безопасности (Security Configuration and Analysis)

Служит для управления безопасностью системы с помощью шаблонов безопасности

Групповая политика (Group Policy)

Служит для назначения сценариев регистрации, групповых политик для компьютера и пользователей некоторого компьютера сети; позволяет просматривать и изменять политику безопасности, политику аудита и права пользователей

Дефрагментация диска (Disk Defragmented

Служит для анализа и дефрагментации дисковых томов

Диспетчер устройств (Device Manager)

Содержит список всех устройств, подключенных к компьютеру, и позволяет их конфигурировать

Локальные пользователи и группы (Local Users and Groups)

Служит для управления локальными учетными записями пользователей и групп

Общие папки (Shared Folders)

Отображает совместно используемые папки, текущие сеансы и открытые файлы

Оповещения и журналы производительности (Performance Logs and Alerts)

Конфигурирует журналы данных о работе системы и службу оповещений

Папка (Folder)

Служит для добавления новой папки в дерево

Просмотр событий (Event Viewer)*

Служит для просмотра и управления системным журналом, журналами безопасности и приложений

Сведения о системе (System Information)

Отображает информацию о системе

Сертификаты (Certificates)

Служит для управления сертификатами

Системный монитор (Performance)*

Используется для сбора и просмотра в реальном времени данных, характеризующих работу памяти, дисков, процессора и других компонентов системы

Служба индексирования (Indexing Service)

Служит для индексирования документов различных типов с целью ускорения их поиска

Служба компонентов (Component Services)*

Конфигурирует и управляет службами компонентов СОМ+

Службы (Services)*

Запускает, останавливает и конфигурирует службы (сервисы) Windows

Ссылка на ресурс веб (Link to Web Address)

Служит для подключения веб-страниц (html, asp, stml)

Управление дисками (Disk Management)

Служит для управления дисками и защитой данных, для разбиения дисков на логические тома, форматирования, управления совместным доступом, квотами и т. д.

Управление компьютером (Computer Management)*

Предоставляет функции администрирования системы. Содержит в своем составе ряд изолированных оснасток и оснасток расширения

Управление политикой безопасности IP (IP Security Policy Management)

Служит для управления политиками IPSec для безопасного соединения с другими компьютерами

Управление службой факсов (Fax Service Management)

Служит для управления службой и устройствами факсимильной связи

Управление съемными носителями (Removable Storage Management)

Служит для управления сменными носителями информации

Управляющий элемент (WMI Control)

Служит для конфигурирования средств Windows Management Instrumentation и управления ими

Шаблоны безопасности (Security Templates)

Обеспечивает возможность редактирования файлов-шаблонов безопасности

Элемент ActiveX (ActiveX Control)

Подключение к дереву консоли различных элементов управления ActiveX

 

Таблица 6.2. Дополнительные оснастки, имеющиеся в Windows 2000 Server

Оснастка

Назначение

*Active Directory - домены и доверие (Active Directory Domains and Trusts) (D)

Служит для управления доменами и доверительными отношениями

*Active Directory - пользователи и компьютеры (Active Directory Users and Computers) (D)

Управляет пользователями, группами, организационными единицами и другими объектами AD

*Active Directory - сайты и службы (Active Directory Sites and Services) (D)

Определяет топологию и расписание репликации AD. Обеспечивает изменение служб корпоративного уровня Windows 2000

^Маршрутизация и удаленный доступ (Routing and Remote Access)

Служит для управления маршрутизацией и удаленным доступом

^Политика безопасности домена (Domain Security Policy) (D)

Служит для управления политиками для всего домена. Фактически, представляет собой оснастку Групповая политика, настроенную на работу с конкретным доменом

^Политика безопасности контроллера домена (Domain Controller Security Policy) (D)

Служит для управления политиками безопасности на отдельных контроллерах домена. Фактически, представляет собой оснастку Групповая политика, настроенную на работу с конкретным контроллером домена

^Распределенная файловая система DPS (Distributed file system)

Создает и управляет распределенными файловыми системами, объединяющими совместно используемые папки на различных компьютерах

Телефония (Telephony)

Служит для конфигурирования служб телефонии

Примечание

Кроме перечисленных в табл. 6.1 и 6.2 оснасток, в системе после инсталляции дополнительных служб— Например, сетевых (ONS, DHCP, WINS, Network Monitor и др.), Интернет-служб, служб терминалов (Terminal Services) — появляется множество других оснасток, использующихся для администрирования этих служб. Такие оснастки рассматриваются в соответствующих главах книги.

 

14. Управление компьютером (Computer Management)

 

Управление компьютером (Computer Management)

Инструмент (и одноименная оснастка) Управление компьютером (рис. 6.3) является одним из основных средств системного администратора для конфигурирования компьютера. Данную оснастку можно использовать для администрирования как локальной системы, так и удаленных компьютеров (в том числе — с некоторыми ограничениями — и компьютеров с Windows NT 4.0). Это позволяет администратору со своего рабочего места устранять проблемы и конфигурировать любой компьютер в сети, на котором установлена Windows 2000.

Для запуска оснастки Управление компьютером можно пользоваться двумя вариантами: выбрать соответствующий значок в группе Администрирование на панели управления или щелкнуть правой кнопкой мыши на значке Мой компьютер (My Computer) на рабочем столе и выбрать в контекстном меню пункт Управление (Manage).

Примечание

Когда в системе доступно меню Администрирование, можно воспользоваться командой Пуск | Программы | Администрирование | Управление компьютером.

В пространстве имен оснастки имеются три узла: Служебные программы (System Tools), Запоминающие устройства (Storage) и Службы и приложения

(Services and Applications). Данные узлы являются контейнерами и содержат ряд оснасток:

Служебные программы — узел содержит инструменты, предназначенные для администрирования компьютеров Windows 2000. В данный узел входят:
  • Просмотр событий (Event Viewer)
  • Сведения о системе (System Information)
  • Оповещения и журналы производительности (Performance Logs and Alerts)
  • Общие папки (Shared Folders)
  • Диспетчер устройств (Device Manager)
  • Локальные пользователи и группы (Local Users and Groups)
Запоминающие устройства — узел содержит оснастки, служащие для управления дисками:
  • Управление дисками (Disk Management)
  • Дефрагментация диска (Disk Defragmenter)
  • Логические диски (Logical Drives)
  • Съемные ЗУ (Removable Storage)
Службы и приложения — узел содержит следующие оснастки:
  • Управляющий элемент WMI (WMI Control)
  • Службы (Services)
  • Служба индексирования (Indexing Service)
  • Телефония (Telephony) (на Windows 2000 Server)
  • Другие оснастки (например, DNS, DHCP, IIS) — в зависимости от того, какие дополнительные службы установлены в системе

 

15. Служебные программы (System Tools)

 

Служебные программы (System Tools)

Узел Служебные программы отображает конфигурацию компьютера и объединяет средства управления им. Сотрудники службы поддержки используют данную информацию при устранении проблем на локальном компьютере.

 

16. Просмотр событий (Event Viewer)

 

Просмотр событий (Event Viewer)

Узел Просмотр событий соответствует оснастке с одноименным названием и стандартной утилите, которая имеется в Windows NT 4.0. С ее помощью можно просматривать журналы регистрации событий операционной системы, безопасности и приложений. Данная оснастка подробно рассмотрена в главе 13.

 

17. Сведения о системе (System Information)

 

Сведения о системе (System Information)

Узел Сведения о системе содержит исчерпывающую информацию об аппаратном обеспечении компьютера, системных компонентах и программной среде. Системная информация разделена на четыре категории, которым соответствуют узлы Сведения о системе (System Summary), Ресурсы аппаратуры (Hardware Resources), Компоненты (Components) и Программная среда (Software Environment) на панели структуры:

Узел Сведения о системе отображает общую информацию о компьютере и операционной системе: версию ОС и номер сборки, тип процессора,

объем ОЗУ, версию BIOS, региональные установки, а также информацию об объеме физической и виртуальной памяти на компьютере.

Узел Ресурсы аппаратуры отображает информацию об аппаратных установках, таких как каналы DMA, номера прерываний (IRQ), адреса ввода/вывода (I/O) и адреса памяти. Узел Конфликты/Совместное использование (Conflicts/Sharing) идентифицирует устройства, которые совместно используют ресурсы или конфликтуют с другими ресурсами. Такая информация помогает выявлять проблемы, возникающие с аппаратными устройствами.
Узел Компоненты отображает информацию о конфигурации Windows и используется дли определения статуса драйверов устройств, сетевых устройств и программного обеспечения мультимедийных устройств. Кроме того, данный узел содержит обширную информацию об истории драйверов с записью всех изменений, которые производились с компонентами.
Узел Программная среда отображает "снимок" программного обеспечения, загруженного в память компьютера. Данная информация может быть использована для просмотра списка выполняющихся задач или для выяснения номера версии продукта.

В узел Сведения о системе другими приложениями могут быть добавлены узлы с целью отображения информации, характерной для данных приложений. Пример такого узла — Internet Explorer 5.

С помощью меню Вид можно переключаться между двумя режимами вывода информации: Основные (Basic) и Дополнительно (Advanced). В режиме Дополнительно отображается вся информация, доступная в режиме Основные, а также дополнительная информация, которая может представлять интерес для опытных пользователей или для специалистов службы поддержки Microsoft Technical Support.

Для поиска необходимых данных:

1. В меню Действие выберите команду Поиск (Find).
2. В окне Найти (Find What) введите слово или слова, соответствующие системной информации, которую вы ищете.
3. Установите необходимые опции поиска.
4. Для поиска только в узле определенной категории (например, Ресурсы или Компоненты) и во всех его подкатегориях установите флажок Ограничить поиск внутри категории (Restrict Search to Selected Category). Если снять данный флажок, поиск запускается в корневом узле.
5. Для поиска только имен узлов и подузлов дерева консоли, игнорируя любые совпадения в панели результатов, установите флажок Искать только в категориях (Search Categories Only). Снятие данного флажка запускает поиск в панели структуры и в панели результатов.
6. Для поиска информации по всем узлам и подузлам снимите оба флажка.
7. Нажмите кнопку Найти далее (Find Next).

Примечание

Для поиска дополнительных элементов нажмите кнопку Новый поиск (New Search) и повторите шаги 2—4.

Для сохранения системных данных в файле системной информации выполните следующее:

1. В меню Действие выберите команду Сохранить как файл сведений о системе (Save As System Information File).
2. В поле Папка (Save in) задайте место сохранения файла.
3. В поле Имя файла (File name) введите имя файла.
4. В списке Тип файла (Save as type) выберите Файл сведений о системе (System Info File) и затем нажмите кнопку Сохранить (Save).

Файл будет сохранен как документ MSInfo. Для того чтобы открыть файл, дважды щелкните на его названии или выберите команду Открыть (Open) из контекстного меню. Файл будет открыт в отдельном окне Сведения о системе.

 

18. Оповещения и журналы производительности (Performance Logs and Alerts)

 

Оповещения и журналы производительности (Performance Logs and Alerts)

Оснастка расширения Оповещения и журналы производительности позволяет сконфигурировать журналы для записи данных и службу системных оповещений (Alerter) для уведомления о превышении каким-либо счетчиком определенного значения. Данная оснастка позволяет фиксировать данные о степени использования компьютера и работе служб (сервисов) на локальных и удаленных компьютерах. Более подробно данная оснастка рассмотрена в главе 13.

 

19. Общие папки (Shared Folders)

 

Общие папки (Shared Folders)

Оснастка Общие папки позволяет просматривать информацию о соединениях и использовании ресурсов локального и удаленного компьютеров. Данная оснастка используется вместо программы Server в Control Panel системы Windows NT 4.0. С помощью оснастки можно выполнять следующие задачи:

Создавать, просматривать, изменять свойства и удалять общие ресурсы на локальном или удаленном компьютерах (Windows NT 4.0 или Windows 2000) и устанавливать разрешения на доступ к ним. Кроме того, можно управлять режимом кэширования общих папок (в случае их использования в качестве изолированных папок).
Просматривать список удаленных пользователей, подключенных к компьютеру, и отключать их.
Просматривать список файлов, открытых удаленными пользователями, и закрывать открытые файлы.

Оснастка Общие папки содержит три узла: Ресурсы (Shares), Сеансы (Sessions) и Открытые файлы (Open Files). При выборе данных узлов в панели результатов отображается содержание соответствующего узла.

 

20. Диспетчер устройств (Device Manager)

 

Диспетчер устройств (Device Manager)

Узел Диспетчер устройств представляет одноименную оснастку, которая отображает в виде дерева все аппаратные устройства, установленные на локальном компьютере, и показывает их состояние, версии программных драйверов, используемые ресурсы (порты ввода/вывода, адреса памяти и IRQ). Данная оснастка позволяет изменять конфигурацию аппаратных элементов, а также механизм их взаимодействия' с центральным процессором компьютера. Диспетчер устройств позволяет:

Выяснить, корректно ли работает аппаратное обеспечение компьютера О Изменить конфигурационные настройки оборудования
Идентифицировать драйверы устройств, которые загружены для каждого устройства, и получить информацию о драйверах всех устройств
Изменить дополнительные установки и параметры устройств П Инсталлировать обновленные драйверы устройств П Отключать и активизировать устройства
Идентифицировать конфликты устройств и вручную конфигурировать установки ресурсов
Распечатать суммарную информацию об устройствах, которые установлены на вашем компьютере

Оснастка Диспетчер устройств преимущественно используется для проверки состояния аппаратного обеспечения и обновления драйверов устройств на компьютере. Опытные пользователи, которые хорошо разбираются в аппаратном обеспечении компьютера, могут при помощи диагностических возможностей Диспетчера устройств устранять конфликты устройств и изменять установки ресурсов.

Примечание

Изменение установок ресурсов может привести к отключению аппаратных компонентов и вызвать нарушение работы компьютера. Поэтому изменять установки ресурсов рекомендуется только пользователям, которые располагают достаточными знаниями об аппаратном обеспечении и аппаратных конфигурациях компьютеров. Как правило, пользователям нет необходимости изменять

установки ресурсов, поскольку система Windows 2000 автоматически выделяет ресурсы аппаратным компонентам в ходе установки.

Диспетчер устройств можно использовать для управления устройствами только на локальном компьютере. На удаленном компьютере данная оснастка будет работать только в режиме просмотра.

Для каждого устройства на компьютере выделяется уникальный набор системных ресурсов для обеспечения корректной работы устройства. В число этих ресурсов входят:

Номера запросов на прерывание (Interrupt Request, IRQ)
Каналы прямого доступа к памяти (Direct Memory Access, DMA)
Адреса портов ввода/вывода (Input/Output, I/O)
Диапазоны адресов памяти

Механизм Plug and Play системы Windows 2000 (см. главу 3) производит выделение данных ресурсов автоматически в ходе установки всех устройств, которые поддерживают данный механизм. Если два устройства обращаются к одним ресурсам, то возникает аппаратный конфликт. В этом случае необходимо вручную изменить установки ресурсов для обеспечения их уникальности для каждого устройства. В общем случае не следует изменять установки ресурсов вручную, поскольку при этом могут возникать сложные конфликтные ситуации, для устранения которых требуется глубокое понимание работы аппаратных и программных средств (в том числе — и драйверов).

Диспетчер устройств позволяет отключать и удалять устройства из системной конфигурации компьютера. При отключении устройства физическое устройство остается подключенным к компьютеру, но производятся соответствующие изменения в системном реестре, так что драйверы устройства не, будут загружены при следующем запуске системы. Отключение устройств полезно, если необходимо иметь несколько аппаратных конфигураций компьютера или если работа ведется на портативном компьютере, используемом вместе со станцией расширения (док-станция, docking station).

Аппаратный профиль представляет собой набор инструкций, которые указывают системе Windows 2000, какие устройства следует запустить при включении компьютера. При инсталляции Windows 2000 создается аппаратный профиль по умолчанию. В данном профиле активизируются все устройства, имеющиеся на компьютере к моменту инсталляции операционной системы.

Аппаратные профили особенно полезны, если используется портативный компьютер. Например, можно создать профиль, который будет активизировать сетевую карту и внешний монитор, если компьютер подключен к станции расширения, и профиль без поддержки данных устройств в противном случае.

Для создания нового аппаратного профиля откройте окно Система на панели управления и перейдите на вкладку Оборудование (Hardware). При наличии нескольких аппаратных профилей можно выбрать профиль по умолчанию, который будет загружаться при каждом запуске компьютера. После создания аппаратного профиля с помощью оснастки Диспетчер устройств можно активизировать и отключать устройства, которые содержит профиль.

Примечание

При отключении устройства в аппаратном профиле драйверы данного устройства не загружаются при следующем запуске компьютера.

Для изменения содержания панели результатов оснастки Диспетчер устройств выберите в меню Вид команду отображения Устройства по типу/Устройства по подключению (Devices by type/Devices by connection) или Ресурсы по типу/Ресурсы по подключению (Resources by type/Resources by connection). Устройства и ресурсы можно сортировать по типу (by type) или по подключению (by connection).

Примечание

Данное меню можно также открыть, щелкнув правой кнопкой мыши на узле Диспетчер устройств и выбрав команду Вид контекстного меню.

Для того чтобы просмотреть скрытые устройства, выберите пункт Показать скрытые устройства (Show hidden devices) в меню Вид. В число скрытых устройств входят устройства, не поддерживающие механизм Plug and Play (устройства с унаследованными драйверами прежних версий системы Windows NT), и устройства, которые были физически удалены из компьютера, но их драйверы остались.

Для того чтобы установить новое устройство, выберите в меню Действие команду Обновить конфигурацию оборудования (Scan for hardware changes). Оснастка проверит аппаратную конфигурацию компьютера и, если будут обнаружены новые устройства, запустит мастер установки новых устройств. Если потребовалось удалить некоторое устройство, выберите в меню Действие команду Удалить (Uninstall).

Окно свойств устройства можно открыть с помощью команды Свойства в меню Действие.

 

21. Локальные пользователи и группы (Local Users and Groups)

 

Локальные пользователи и группы (Local Users and Groups)

Узел Локальные пользователи и группы соответствует одноименной оснастке, аналогом которой в Windows NT Workstation 4.0 была административная утилита Диспетчер пользователей (User Manager). Функции и назначение остались неизменными: с помощью данной оснастки создаются, модифицируются и удаляются учетные записи пользователей и групп на локальном компьютере. Использование этой оснастки достаточно подробно описывается в других главах книги, в первую очередь — в главе И. Оснастка не доступна на контроллере домена. Для управления пользователями и группами в домене используется оснастка Active Directory - пользователи и компьютеры, описываемая в главе 25.

 

22. Запоминающие устройства (Storage)

 

Запоминающие устройства (Storage)

Контейнер Запоминающие устройства содержит оснастки, которые используются для управления и обслуживания логическими дисками и дисковыми накопителями.

Оснастка Управление дисками управляет логическими дисками. Данная оснастка (ее функции и способы использования) подробно рассматривается в главе 7.
Оснастка Дефрагментация диска используется для анализа и дефрагментации удаленных и локальных логических дисков. Данная оснастка подробно рассматривается в главе 7.
Оснастка Логические диски представляет собой инструмент Windows Management Instrumentation (WMI), который позволяет управлять удаленными или локальными логическими дисками. С помощью оснастки можно
  • Просматривать свойства дисков, такие как тип диска, его метку, тип файловой системы, объем используемого пространства
  • Менять метки (имена) дисков
  • Изменять параметры безопасности для дисков (только для томов с NTFS!): разрешения на доступ, политику аудита и владельца диска
С помощью оснастки Съемные ЗУ можно легко управлять библиотеками ленточных накопителей, сменными оптическими дисками и устройствами с автоматической подачей дисков (jukebox). Более подробную информацию о данной оснастке можно найти в главе 7.

 

23. Службы и приложения (Services and Applications)

 

Службы и приложения (Services and Applications)

С помощью узла Службы и приложения можно, изменяя параметры, управлять инсталлированными службами или серверными приложениями, например, службами телефонии или сервером DHCP. Такие службы и приложения могут работать не только в системе Windows 2000 Server, но и в Windows 2000 Professional (например, служба индексации).

 

24. Управляющий элемент WMI (WMI Control)

 

Управляющий элемент WMI (WMI Control)

Узел Управляющий элемент WMI (и одноименная оснастка) позволяет конфигурировать средства (инструменты) Windows Management Instrumentation (WMI) в локальной системе и на удаленных компьютерах. Например, с помощью данной оснастки можно задавать разрешения для проверенных (authorized) пользователей и групп, сохранять репозитарий объектов WMI, включать и выключать регистрацию ошибок в журналах. Более подробно о технологии WMI рассказывается в главе 12.

 

25. Службы (Services)

 

Службы (Services)

Узел Службы (также доступен в виде отдельного инструмента с одноименным названием) позволяет запускать, останавливать, приостанавливать и возобновлять работу служб (сервисов) на удаленном и локальном компьютерах, а также конфигурировать опции запуска и восстановления. Оснастка Службы заменяет утилиту (апплет) Службы (Services) на панели управления предыдущих версий операционной системы.

С помощью оснастки Службы можно выполнять следующее:

Управлять службами на локальном и удаленных компьютерах, включая удаленные компьютеры под управлением Windows NT 4.0,
Определять операции по восстановлению, если служба (сервис) работает неправильно (например, задавать перезапуск сервиса или компьютера) (только на компьютерах с Windows 2000).
Создавать индивидуальные имена и описания для сервисов, чтобы их можно было легко идентифицировать (только на компьютерах с Windows 2000).

Конфигурирование установленных служб (сервисов). Чтобы определить режим запуска сервиса:

1. Выберите сервис, который нужно конфигурировать, и команду Свойства меню Действие или команду Свойства контекстного меню. На экране откроется окно с параметрами сервиса.
2. На вкладке Общие (General) выберите в списке туш запуска (Startup type) одно из значений: Авто (Automatic), Вручную (Manual) или Отключено (Disabled). При выборе последнего значения сервис будет отключен.
3. Для указания пользовательской учетной записи, с которой будет регистрироваться сервис, перейдите на вкладку Вход в систему (Log On) и установите переключатель в положение С системной учетной записью (System account) или С учетной записью (This account).
4. Если переключатель находится в положении С учетной записью, нажмите кнопку Обзор (Choose User) для определения учетной записи пользователя. Затем введите пароль для учетной записи в полях Пароль (Password) и Подтверждение (Confirm password).
5 . Чтобы пользователь мог иметь доступ к сервису, установите флажок Разрешить взаимодействие с рабочим столом (Allow service to interact with desktop).

Примечание

Для изменения опций запуска сервисов вы должны зарегистрироваться с учетной записью члена локальной группы администраторов.

Для того чтобы запустить, остановить, приостановить или возобновить работу сервиса, щелкните правой кнопкой мыши на его названии и выберите в контекстном меню соответствующую команду: Пуск (Start), Стоп (Stop), Пауза (Pause) или Продолжение (Resume). Можно также пользоваться кнопками на панели инструментов.

Примечание

Если требуется указать параметры запуска сервиса, откройте окно свойств сервиса и введите параметры в поле Параметры запуска (Start parameters) перед тем, как нажать кнопку Пуск. Обратный слэш (\) интерпретируется как символ пробела, поэтому для получения символа обратного слэша в параметре следует ввести два символа обратного слэша.

 

26. Служба индексирования (Indexing Service)

 

Служба индексирования (Indexing Service)

Служба индексирования инсталлируется как стандартный компонент Windows 2000. Эта служба индексирует содержимое всех дисков локального компьютера, что позволяет пользователю производить поиск любого слова или фразы, которые содержатся в документах на данном компьютере. Оснастка Служба индексирования — это новый инструмент с графической оболочкой для службы индексирования, который упрощает выполнение ряда административных задач, включая следующие:

Проверка состояния процесса индексации и параметров индексируемых

каталогов

Установка глобальных параметров для всех каталогов на компьютере
Создание и конфигурирование новых каталогов для обеспечения оптимальной производительности
Выбор индексируемых каталогов

 

27. Сравнение средств администрирования систем Windows NT 4.0 и Windows 2000

 

Сравнение средств администрирования систем Windows NT 4.0 и Windows 2000

Пользователи, которые занимались администрированием систем в предыдущих версиях Windows NT, могут столкнуться с трудностями при переходе на Windows 2000. В системах семейства Windows 2000 серьезно переработана вся концепция администрирования, появились новые объекты и инструменты для работы с ними: Тем, кто имеет опыт работы с административными инструментами в Windows NT 4.0, будет полезна следующая сопоставительная таблица (табл. 6.3), в которой для Windows NT 4.0 указаны названия утилит, а для Windows 2000 — имена оснасток.

Таблица 6.3. Сопоставление средств администрирования в системах Windows NT4.0 и Windows 2000

Административные задачи

До появления ММС (Windows NT 4.0}

Windows 2000

 

Управление доменами

Управление Active Directory

Не использовалось

Оснастки Active Directory -домены и доверие, Active Directory - сайты и службы

Создание контроллера домена из имеющегося сервера

Не использовалось

Утилита dcpromo.exe

Управление доверительными отношениями между доменами

User Manager for Domains (Диспетчер пользователей домена)

Оснастка Active Directory -домены и доверие

 

Пользователи и группы

Управление учетными записями пользователей и групп

Диспетчер пользователей (User Manager) или User Manager for Domains

Оснастка Локальные пользователи и группы или Active Directory - пользователи и компьютеры

Делегирование административных прав другим пользователям

He использовалось

Оснастка Active Directory -пользователи и компьютеры

Назначение сценариев регистрации

User Manager for Domains

Оснастка Групповая политика

 

Безопасность

Управление системной безопасностью и ее мониторинг

He использовалось

Оснастка Групповая политика

Конфигурирование разрешений, аудита и владения общими ресурсами

Мой компьютер

или Проводник

Оснастка Active Directory -пользователи и компьютеры

Конфигурирование политик безопасности домена

User Manager for Domains

Оснастка Active Directory -домены и доверие

Конфигурирование политик безопасности домена для всех компьютеров в домене

System Policy Editor (Редактор системной политики)

Оснастка Active Directory -домены и доверив

Конфигурирование политики безопасности для одиночного компьютера

System Policy Editor

Оснастка Групповая политика

 

Серверы и ресурсы

Управление компьютерами в домене

Server Manager (Управление сервером)

Оснастка Active Directory -пользователи и компьютеры

Управление общими томами, папками и файлами сервера

Server Manager и Проводник

Оснастка Общие палки

Публикация общих ресурсов как томов в Active Directory

He использовалось

Оснастка Active Directory -пользователи и компьютеры

Управление дисковым пространством и защитой данных

Администратор дисков (Disk Administrator)

Оснастка Управление дисками

Мониторинг и ограничение дискового пространства, используемого отдельными пользователями

Не использовалось

Оснастка Управление дисками

Управление серверными соединениями и открытыми файлами

Server Manager

Оснастка Общие папки

 

Аппаратное и программное обеспечение

Установка новых аппаратных средств

Панель управления

Панель управления | Установка оборудования

Конфигурирование устройств

Панель управления | Устройства

Оснастка Диспетчер устройств

Добавление и конфигурирование сетевых карт

Панель управления | Устройства

Панель управления | Установка оборудования

Добавление и конфигурирование большинства сетевых служб

Панель управления | Сеть

Панель управления | Сеть и удаленный доступ к сети

Добавление и конфигурирование Gateway Service for NetWare

Опция Сеть на вкладке Службы в окне панели управления

Панель управления | Службы шлюза (и клиента) для Netware (Gateway Services for Netware) (оснастка не инсталлируется по умолчанию)

 

Мониторинг и оптимизация

Мониторинг производительности компьютера

Системный монитор (Performance Monitor)

Оснастка Системный монитор

Просмотр текущих данных производительности и отключение процессов и приложений

Диспетчер задач (Task Manager)

Диспетчер задач (Task Manager)

Регистрация событий в журналах

Просмотр событий (Event Viewer)

Оснастка Просмотр событий

 

Глава 7. Диски и файловые системы

Глава 7. Диски и файловые системы

1. Общие сведения о файловых системах

Глава 7

Диски и файловые системы


Общие сведения о файловых системах

Windows 2000 поддерживает следующие файловые системы: FAT, FAT32 и NTFS. В данном разделе содержатся краткие обзорные сведения об этих файловых системах. На выбор файловой системы оказывают влияние следующие факторы:

Цель, для которой предполагается использовать компьютер.
Аппаратная платформа.
Количество жестких дисков и их объем.
Требования к безопасности.
Используемые в системе приложения

Windows 2000 поддерживает распределенную файловую систему (Distributed File System, DFS) и шифрующую файловую систему (Encrypting File System, EFS). Хотя DFS и EPS и названы "файловыми системами", они не являются таковыми в строгом понимании этого термина. Так, DFS представляет собой расширение сетевого сервиса, позволяющее объединить в единый логический том сетевые ресурсы, расположенные в разделах с различными файловыми системами. Что касается EPS, то это — надстройка над NTFS, которая дополняет NTFS возможностями шифрования данных.

 

2. Файловые системы FAT и FAT32

 

Файловые системы FAT и FAT32

FAT (чаще всего в главе подразумевается FAT 16) представляет собой простую файловую систему, разработанную для небольших дисков и простых структур каталогов. Ее название происходит от названия метода, применяемого для организации файлов — таблица размещения файлов (File Allocation Table, FAT). Эта таблица размещается в начале тома. В целях защиты тома на нем хранятся две копии FAT. В случае повреждения первой копии FAT

дисковые утилиты (например, Scandisk) могут воспользоваться второй копией для восстановления тома. Таблица размещения файлов и корневой каталог должны располагаться по строго фиксированным адресам, чтобы файлы, необходимые для запуска системы, были размещены корректно.

По принципу построения FAT похожа на оглавление книги, т. к. операционная система использует ее для поиска файла и определения кластеров, которые этот файл занимает на жестком диске. Изначально компания Microsoft разработала FAT для управления файлами на дискетах, и только затем приняла ее в качестве стандарта для управления дисками в MS-DOS. Сначала для дискет и небольших жестких дисков (менее 16 Мбайт) использовалась 12-разрядная версия FAT (так называемая FAT12). В MS-DOS v. 3.0 была введена 16-разрядная версия PAT для более крупных дисков. К настоящему моменту FAT 12 применяется на носителях очень малого объема (или на очень старых дисках). Например, все 3,5-дюймовые дискеты емкостью 1,44 Мбайт форматируются для FAT16, а все 5,25-дюймовые — для FAT12.

Том, отформатированный под FAT12 и FAT16, размечается по кластерам. Стандартный размер кластера, устанавливаемый по умолчанию, определяется размером тома (более подробная информация о размерах кластеров приведена далее в этой главе). Таблица расположения файлов и ее резервная копия содержат следующую информацию о каждом кластере тома:

Unused (кластер не используется).
Cluster in use by a file (кластер используется файлом).
Bad cluster (плохой кластер).
Last cluster in a file (последний кластер файла).

Корневая папка содержит записи для каждого файла и каждой папки, расположенных в корневой папке. Единственным отличием корневой папки от остальных является то, что она занимает четко определенное место на диске и имеет фиксированный размер (не более 512 записей для жесткого диска; для дискет этот размер определяется их объемом).

Папки содержат 32-байтные записи для каждого содержащегося в них файла и каждой вложенной папки. Эти записи содержат следующую информацию:

Имя (в формате 8.3).
Байт атрибутов (8 бит полезной информации, которая подробно описана ниже).
Время создания (24 бит).
Дата создания (16 бит).
Дата последнего доступа (16 бит).
Время последней модификации (16 бит).
Дата последней модификации (16 бит).
Номер начального кластера файла в таблице расположения файлов (16 бит).
Размер файла (32 бита).

Структура папки FAT не имеет четкой организации, и файлам присваиваются первые доступные адреса кластеров на томе. Номер начального кластера файла представляет собой адрес первого кластера, занятого файлом, в таблице расположения файлов. Каждый кластер содержит указатель на следующий кластер, использованный файлом, или индикатор (OxFFFF), указывающий, что данный кластер является последним кластером файла.

Информация папок используется операционными системами, поддерживающими файловую систему FAT. Кроме того, Windows 2000 может хранить в записи папки дополнительную временную информацию (time stamps). Эти дополнительные временные атрибуты указывают, когда файл был создан и когда к нему в последний раз предоставлялся доступ. Главным образом, дополнительные атрибуты используются приложениями POSIX.

Файлы на дисках имеют 4 атрибута, которые могут сбрасываться и устанавливаться пользователем — Archive (архивный), System (системный), Hidden (скрытый) и Read-only (только чтение).

Примечание

В Windows 2000 все файлы, имеющие комбинацию атрибутов скрытый и системный, считаются защищаемыми файлами операционной системы (operating system protected files). Windows 2000 защищает такие файлы, не отображая их в программе Проводник и папке Мой компьютер. Чтобы увидеть эти файлы в Проводнике, вызовите утилиту Свойства папки (Folder Options) (через панель управления или через меню Сервис (Tools) Проводника или папки Мой компьютер). В ее окне перейдите на вкладку Вид (View), выберите переключатель Показывать скрытые файлы и папки (Show hidden files and folders) и снимите флажок Скрывать защищенные системные файлы (рекомендуется) (Hide protected operating system files (Recommended)). Помимо этого, защищаемые файлы операционной системы можно просматривать из командной строки с помощью команды dir /a.

В Windows NT, начиная с версии 3.5, файлы, созданные или переименованные на томах FAT, используют биты атрибутов для поддержки длинных имен файлов методом, не вступающим в конфликт с методами доступа к тому, используемыми операционными системами MS-DOS и OS/2. Для файла с длинным именем Windows NT/2000 генерирует короткое имя в формате 8.3. Кроме этого стандартного элемента Windows NT/2000 создает для файла одну или несколько дополнительных записей, по одной на каждые 13 символов длинного имени. Каждая из этих дополнительных записей содержит соответствующую часть длинного имени файла в формате Unicode. Windows NT/2000 устанавливает для дополнительных записей атрибуты тома, а также скрытого системного файла, предназначенного только для чтения, чтобы

пометить их как части длинного имени файла, MS-DOS и OS/2 обычно игнорируют записи папок, для которых установлены все эти атрибуты, поэтому такие записи для них невидимы. Вместо этого MS-DOS и OS/2 получают доступ к файлу по стандартному короткому имени файла в формате 8.3.

Примечание

Windows NT/2000 и Windows 9х используют одинаковый алгоритм для генерации длинных и коротких имен файлов. На компьютерах с двойной загрузкой к файлам, созданным с помощью одной из этих операционных систем, можно получать доступ, работая под управлением другой.

Windows NT, начиная с версии 3.5, поддерживает длинные имена файлов на томах FAT. Эту устанавливаемую по умолчанию опцию можно отключить, задав значение 1 для параметра реестра Win31FileSystem, входящего в состав следующего ключа реестра:

HKEY_LOCAL_MACH IN E\System\CiirrentControlSet\Control\FileSystem

Установка этого значения не позволит Windows NT создавать на томах FAT файлы с длинными именами, но не повлияет на уже созданные длинные имена.

В Windows NT/2000 FAT16 работает точно так же, как и в MS-DOS, Windows 3.1х и Windows 95/98. Поддержка этой файловой системы была включена в Windows 2000, поскольку она совместима с большинством операционных систем других фирм-поставщиков программного обеспечения. Помимо этого, применение FAT16 обеспечивает возможность обновления более ранних версий операционных систем семейства Windows до Windows 2000.

Примечание

Нельзя использовать Windows NT/2000 совместно с программными средствами, осуществляющими разбиение диска на тома и сжатие дисков при помощи драйверов устройств, которые загружаются MS-DOS. Например, если требуется иметь доступ к разделу или логическому диску FAT, работая под управлением Windows NT/2000, не следует применять для них такие средства сжатия, как DoubleSpace (MS-DOS 6.0) или DriveSpace (MS-DOS 6.22). Для сканирования и восстановления томов FAT, используемых Windows NT/2000, рекомендуется ввести в командной строке команду chkdsk. Эта программа объединяет функциональные возможности, присущие программам MS-DOS Chkdsk и Scandisk, включая сканирование поверхности жесткого диска. Если требуется выполнить сканирование поверхности диска, дайте из командной строки команду chkdsk /r.

32-разрядная файловая система FAT32 была введена с выпуском Windows 95 OSR2 и поддерживается в Windows 98 и Windows 2000. Она обеспечивает оптимальный доступ к жестким дискам, CD-ROM и сетевым ресурсам, повышая скорость и производительность всех операций ввода/вывода. FAT32 представляет собой усовершенствованную версию FAT, предназначенную для использования на томах, объем которых превышает 2 Гбайт.

Том, отформатированный для использования FAT32, как и том FAT16, размечается по кластерам. Размер кластера по умолчанию определяется размером тома. В табл. 7.1 приведено сравнение размеров кластеров для FAT16 и FAT32 в зависимости от размера диска.

Таблица 7.1. Размеры кластеров по умолчанию для FAT 16 и FAT32

Размер диска Размер кластера FAT16 Размер кластера FAT32
До 32 Мбайт 512 байт Не поддерживается
32-63 Мбайт 1 Кбайт Не поддерживается
64-127 Мбайт 2 Кбайт Не поддерживается
128-255 Мбайт 4 Кбайт Не поддерживается
256-511 Мбайт 8 Кбайт Не поддерживается
512-1023 Мбайт 16 Кбайт 4 Кбайт
1024-2047 Мбайт (2 Гбайт) 32 Кбайт 4 Кбайт
2048-8191 Мбайт (8 Гбайт) Не поддерживается 4 Кбайт
8192-16383 Мбайт (16 Гбайт) Не поддерживается 8 Кбайт
16384-32767 Мбайт (32 Гбайт) Не поддерживается 16 Кбайт
От 32 Гбайт Не поддерживается 32 Кбайт

Для обеспечения максимальной совместимости с существующими прикладными программами, сетями и драйверами устройств, FAT32 была реализована с минимумом возможных изменений в архитектуре и внутренних структурах данных. Все утилиты Microsoft, предназначенные для работы с дисками (Format, FDISK, Defrag и ScanDisk), были переработаны для обеспечения поддержки FAT32. Кроме того, Microsoft проводит большую работу по поддержке ведущих фирм-производителей драйверов устройств и утилит для работы с диском, чтобы помочь и в обеспечении поддержки FAT32 в их продуктах. В табл. 7.2 сделана попытка сравнения характеристик FAT16 и FAT32.

Таблица 7.2. Сравнение характеристик FAT16 и FAT32

FAT16

FAT32

Поддерживается большинством операционных систем, в числе которых MS-DOS, Windows 98, Windows NT, OS/2 и UNIX

На текущий момент поддерживается только операционными системами Windows 98 (и Windows 98 Second Edition), Windows 95 OSR2 и Windows 2000

Эффективна только на логических дисках, размер которых не превышает 256 Мбайт

Не поддерживаются диски, размер которых менее 512 Мбайт

Поддерживает сжатие диска с помощью таких утилит, как Drvspace

Не поддерживает сжатие диска

Ограничена по размеру до 65 525 кластеров. Каждый кластер имеет фиксированный размер в зависимости от размера логического диска. Ограничения по количеству кластеров, и их размеру (32 Кбайт) приводят к общему ограничению по размеру диска (не более 2 Гбайт). Помимо этого, FAT12/16 обычно имеет ограничения по количеству файлов и папок, которые могут содержаться в корневом каталоге (в зависимости от диска максимальное значение колеблется от 200 до 400)

Максимальный размер кластера — 32 Кбайт, максимальный размер диска — 2 Тбайт

Поскольку с увеличением размера диска размер кластера FAT16 увеличивается, хранение файлов на таких дисках становится неэффективным. Например, если файл размером 10 Кбайт хранится в кластере размером 32 Кбайт, то 22 Кбайт дискового пространства не используются

Для дисков размером менее 8 Гбайт размер кластера — 4 Кбайт

FAT32 обеспечивает следующие преимущества по сравнению с прежними реализациями FAT:

Поддержка дисков размером до 2 Тбайт. Следует, правда, отметить, что команда format, включенная в Windows 2000, не позволяет форматировать для использования FAT32 тома, размер которых превышает 32 Гбайт. Поэтому при форматировании томов объемом более 32 Гбайт следует использовать файловую систему NTFS. Однако драйвер FASTFAT, имеющийся в составе Windows 2000, позволяет монтировать и поддерживать любые тома FAT32, в том числе и такие, объем которых превышает 32 Гбайт. За исключением упомянутого выше ограничения FAT32 в Windows 2000 работает точно так же, как в Windows 95 OSR2 и Windows 98.
Более эффективное расходование дискового пространства. FAT32 использует более мелкие кластеры (см. табл. 7.1), что позволяет повысить эффективность использования дискового пространства на 10—15% по сравнению с FAT.
Повышенная надежность и более быстрая загрузка программ. В отличие от FAT 12 и FAT 16, FAT32 обладает возможностью перемещать корневой каталог и использовать резервную копию FAT, если первая копия получила повреждения. Кроме того, загрузочный сектор FAT32 был расширен по сравнению с FAT16 и содержит резервные копии жизненно важных структур данных. Повышенная устойчивость FAT32 обусловлена именно этими факторами.

 

3. Файловая система NTFS

 

Файловая система NTFS

Файловая система Windows NT (NTFS) обеспечивает такое сочетание производительности, надежности и эффективности, которое невозможно предоставить с помощью любой из реализаций FAT (как FAT16, так и FAT32). Основными целями разработки NTFS являлись обеспечение скоростного выполнения стандартных операций над файлами (включая чтение, запись, поиск) и предоставления дополнительных возможностей, включая восстановление поврежденной файловой системы на чрезвычайно больших дисках.

NTFS обладает характеристиками защищенности, поддерживая контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности жизненно важных конфиденциальных данных. Папки и файлы NTFS могут иметь назначенные им права доступа вне зависимости от того, являются они общими или нет. NTFS — единственная файловая система в Windows NT/2000, которая позволяет назначать права доступа к отдельным файлам. Однако, если файл будет скопирован из раздела или тома NTFS в раздел или на том FAT, все права доступа и другие уникальные атрибуты, присущие NTFS, будут утрачены.

Файловая система NTFS, как и FAT, в качестве фундаментальной единицы дискового пространства использует кластеры. В NTFS размер кластера по умолчанию (когда он не задается ни командой format, ни в оснастке Управление дисками) зависит от размера тома. Если для форматирования тома NTFS используется утилита командной строки FORMAT, то нужный размер кластера можно указать в качестве параметра этой команды. Размеры кластеров по умолчанию приведены в табл. 7.3.

Таблица 7.3. Зависимость размера кластера по умолчанию от размера раздела для NTFS

Размер раздела Количество секторов в кластере Размер кластера
До 512 Мбайт включительно 1 512 байт
513-1024 Мбайт (1 Гбайт) 2 1Кбайт
1025-2048 Мбайт (2 Гбайт) 4 2Кбайт
2049-4096 Мбайт (4 Гбайт) 8 4Кбайт
4097-8192 Мбайт (8 Гбайт) 16 8Кбайт
8193-16384 Мбайт (16 Гбайт) 32 16Кбайт
16385-2768 Мбайт (32 Гбайт) 64 32Кбайт
От 32 678 Мбайт 128 64Кбайт



Примечание

Если размер кластера превышает 4 Кбайт, то это делает невозможным применение функции сжатия NTFS. Для установки размера кластера используется команда format с ключом /a: size, где size — размер кластера, отличающийся от устанавливаемого по умолчанию. Следует отметить, что в общем случае настоятельно рекомендуется использовать размер, устанавливаемый по умолчанию.

Основную информацию о томе NTFS содержит загрузочный сектор раздела (Partition Boot Sector), который начинается с сектора 0 и может иметь длину до 16 секторов. Он состоит из двух структур:

Блок параметров BIOS. Эта структура содержит информацию о строении тома и структурах файловой системы.
Код, описывающий, как найти и загрузить файлы для любой из установленных на компьютере операционных систем. Для систем Windows NT/2000, установленных на компьютерах х86, этот код вызывает загрузку NTLDR.

Форматирование тома для NTFS приводит к созданию нескольких системных файлов и главной таблицы файлов (Master File Table, MFT). MFT содержит информацию обо всех файлах и папках, имеющихся на томе NTFS. NTFS — это объектно-ориентированная файловая система, которая обрабатывает все файлы как объекты с атрибутами. Практически все объекты, существующие на томе, представляют собой файлы, а все что имеется в файле, представляет собой атрибуты — включая атрибуты данных, атрибуты системы безопасности, атрибуты имени файла. Каждый занятый сектор на томе NTFS принадлежит какому-нибудь файлу. Частью файла являются даже метаданные файловой системы (информация, которая представляет собой описание самой файловой системы).

В Windows 2000 была введена новая версия NTFS — NTFS 5.0. Новые структуры данных, появившиеся в составе этой реализации, позволяют использовать новые возможности Windows 2000, например, квоты на использование диска для каждого пользователя, шифрование файлов, отслеживание ссылок, точки перехода (junction points), встроенные наборы свойств (native property sets). Кроме того, добавлять дополнительное дисковое пространство к томам NTFS 5.0 можно без перезагрузки. Новые возможности NTFS 5.0 приведены в табл. 7.4.

Таблица 7.4. Дополнительные возможности, обеспечиваемые NTFS 4 и NTFS 5

Функциональная возможность

Комментарии

Система безопасности Windows NT/2000 позволяет устанавливать различные права доступа к файлам и папкам для пользователей и групп

 

 

Ведение журнала дисковой активности позволяет быстро выполнить восстановление тома в случае сбоя подачи питания или других системных проблем

 

 

Гибкие опции форматирования позволяют более эффективно использовать дисковое пространство Windows NT/2000

 

 

Опции сжатия позволяют выполнять сжатие отдельных файлов и каталогов

Тома могут расширяться и использовать дисковое пространство, не выделенное другим томам

Поддерживается для размеров кластеров до 4 Кбайт

При использовании NTFS 4, для того чтобы внесенные изменения вошли в силу, требуется перезагрузить компьютер; NTFS 5 перезагрузки не требует

Чередующиеся тома позволяют ускорить доступ к данным

Новые чередующиеся тома могут быть созданы только на динамических дисках (Dynamic disks)

Зеркальные тома и тома RAID-5 позволяют обеспечить отказоустойчивое хранение данных

Эта возможность обеспечивается только в Windows NT/2000 Server Новые зеркальные тома и тома RAID-5 могут быть созданы только на динамических дисках (Dynamic disks)

Возможность использования файловых сервисов и сервисов печати для Macintosh (File and Print Services for Macintosh)

Обеспечивается только в Windows NT/2000 Server

NTFS — наилучший выбор для работы с томами большого объема. При этом следует учесть, что если к системе предъявляются повышенные требования (к числу которых относятся обеспечение безопасности и использование эффективного алгоритма сжатия), то часть из них можно реализовать только с помощью NTFS. Поэтому в ряде случаев нужно использовать NTFS даже на небольших томах.

 

4. Ограничения файловых систем и вопросы совместимости

 

Ограничения файловых систем и вопросы совместимости

В приведенных ниже таблицах (табл. 7.5 и 7.6) собраны данные о совместимости файловых систем NTFS и FAT, а также ограничения, налагаемые на каждую из этих файловых систем.

Таблица 7.5. Поддержка файловых систем операционными системами

Операционная система

Файловая система

NTFS

FAT

FAT32

Общие

Сведения

Распознается только Windows NT/2000. Любая другая ОС не сможет получить доступ к локальным томам NTFS

Распознается MS-DOS, Windows 9x, Windows NT/2000 и OS/2

Распознается только Windows 95 OSR2, Windows 98 и Windows 2000

MS-DOS и Windows 3.x

Нет

Да

Нет

Windows 95 (ранние версии до OSR2)

Нет

Да

Нет

Windows 95 OSR2 и Windows 98

Нет

Да

Да

Windows NT 3.51

Да (кроме NTFS 5.0)

Да

Нет

Windows NT 4.0

Да (c Service Pack 4)

Да

Нет

Windows 2000

Да

Да

Да

Таблица 7.6. Ограничения файловых систем

Ограничения

NTFS

FATHFAT32

Размеры тома

Минимальный размер тома составляет приблизительно 10 Мбайт

На практике рекомендуется создавать тома, размер которых не превышает 2 Тбайт

С помощью NTFS нельзя форматировать дискеты

FAT поддерживает различные размеры томов — от объема дискет до 4 Гбайт

FAT32 поддерживает тома объемом от 2 Гбайт до 2 Тбайт. Работая под управлением Windows 2000 для FAT32 можно отформатировать тома, объем которых не превышает 32 Гбайт

Размеры файлов

Теоретически размер файла может составлять 16экзабайт(2 63 -1)

FAT поддерживает файлы размером не более 2 Гбайт

FAT32 поддерживает файлы размером не более 4 Гбайт

 

5. Новые возможности NTFS 5.0

 

Новые возможности NTFS 5.0

В данном разделе последовательно и подробно рассматриваются особенности стандартной в Windows 2000 файловой системы — NTFS версии 5.0. Только эта система позволяет в полной мере использовать все возможности Windows 2000, обеспечивающие безопасность и надежность хранения данных на дисковых накопителях. Отдельно в главе 26 рассматривается Encrypting File System (EPS, Шифрующая файловая система), обеспечивающая конфиденциальность файлов. Функционирование EFS также возможно только на NTFS 5.0.

 

6. Назначение разрешений для файлов

 

Назначение разрешений для файлов

Для назначения пользователю или группе разрешения на доступ к определенному файлу:

1. Укажите файл мышью и нажмите правую кнопку. Выберите команду Свойства (Properties) контекстного меню. В появившемся окне свойств файла перейдите на вкладку Безопасность (Security) (рис. 7.1).
Рис. 7.1. Вкладка Безопасность (Security) окна свойств файла
2. В группе Имя (Name) показан список пользователей и групп, которым уже предоставлены разрешения Для данного файла. Для того чтобы добавить или удалить пользователей или группы, нажмите кнопку Добавить (Add) или Удалить (Remove). При добавлении пользователей появится окно диалога Выбор: Пользователи, Компьютеры, или Группы (Select Users, Computers, or Groups) (рис. 7.2).
3. Выделите нужный объект в группе Имя и нажмите кнопки Добавить (Add) и ОК, чтобы вернуться на вкладку Безопасность.
4. В группе Разрешения (Permissions) можно назначить или запретить стандартные разрешения для файлов — Полный доступ (Full Control), Изменить (Modify), Чтение и выполнение (Read&Execute), Чтение (Read) и Запись (Write). Для получения разрешения или отказа в разрешении служат флажки Разрешить (Allow) и Запретить (Deny). На вкладке также присутствуют кнопка Дополнительно (Advanced) и флажок Переносить наследуемые от родительского объекта разрешения на этот объект (Allow inheritable permissions from parent to propagate to this object).
Рис. 7.2. Окно диалога Выбор: Пользователи, Компьютеры, или Группы (Select Users, Computers, or Groups)

Примечание

Отказ в одном из разрешений в группе Разрешения может вызвать отказ во множестве разрешений. Например, если отказать в разрешении Полный доступ, это приведет к отказу во всех остальных разрешениях. Отказ в определенном разрешении (флажок Запретить установлен) не дублирует отсутствие этого разрешения (флажок Разрешить снят). Если, например, пользователю предоставлен доступ к дереву каталогов, где есть файл, для которого данный пользователь не должен иметь унаследованного разрешения (т. е. установлен запрет), применяется функция запрещения доступа. По умолчанию разрешение пользователя для папки, в которой находится данный файл, наследуется самим файлом. Чтобы запретить наследование разрешений, следует снять флажок Переносить наследуемые от родительского объекта разрешения на этот объект.

Каждое из перечисленных выше стандартных разрешений состоит из набора более специальных (особых) разрешений, задающих возможность выполнения того или иного конкретного действия с файлами или каталогами. В табл. 7.7 показано соответствие стандартных и специальных разрешений. Более детально специальные разрешения рассмотрены ниже.

Таблица 7.7. Соответствие стандартных и специальных разрешений для файлов

Специальные разрешения
Стандартные разрешения
Полный доступ Изменить Чтение и выполнение Чтение Запись
Обзор папок/ Выполнение файлов
X
X
X
 

 

 

 

Содержание папок/ Чтение данных
X
X
X
X
 

 

Чтение атрибутов
X
X
X
X
 

 

Чтение дополнительных атрибутов
X
X
X
X
 

 

Создание файлов/ Запись данных
X
X
 

 

 

 

X
Создание папок/ Дозапись данных
X
X
 

 

 

 

X
Запись атрибутов
X
X
 

 

 

 

х
Запись дополнительных атрибутов
X
X
 

 

 

 

X
Удаление подпапок и файлов
X
 

 

 

 

 

 

 

 

Удаление
X
X
 

 

 

 

 

 

Чтение разрешений
X
X
X
 

 

X
Смена разрешений
X
 

 

 

 

 

 

 

 

Смена владельца
X
 

 

 

 

 

 

 

 

Синхронизация
X
X
X
 

 

X
Рис. 7.3. Окно Параметры локальной политики безопасности

Для более тонкой настройки доступа к файлу:

1. Нажмите кнопку Дополнительно. Появится окно диалога Параметры управления доступом (Access Control Settings), на вкладке Разрешения которого будет отображен список управления доступом для данного файла (рис. 7.3) с именами пользователей или групп, которым предоставлены разрешения для данного объекта и сами эти разрешения.
2. Чтобы отредактировать строку в окне Параметры управления доступом, сделайте на ней двойной щелчок, либо нажмите кнопку Показать/Изменить (View/Edit). Появится окно Элемент разрешения (Permissions Entry), где можно предоставить одно или несколько специальных разрешений для файла (или отказать в разрешении), не объединенных в стандартное разрешение (табл. 7.8).

Таблица 7.8. Специальные разрешения

Специальное разрешение

Описание

Обзор папок/ Выполнение файлов (Traverse Folder/Execute File)

Разрешение Обзор папок определяет возможность перемещения по каталогам файловой системы вне зависимости от того, имеет или не имеет пользователь разрешения для пересекаемых в процессе перемещения каталогов. На работу этого разрешения влияет параметр групповых политик Обход перекрестной проверки (Bypass Traverse Checking). Разрешение Выполнение файлов определяет возможность исполнения программ

Содержание папки/ Чтение данных (List Folder/Read Data)

Разрешение Содержание папки определяет возможность просмотра имен файлов или подкаталогов данного каталога (относится только к каталогу). Разрешение Чтение данных определяет возможность просмотра данных файла

Чтение атрибутов (Read Attributes)

Определяет возможность просмотра атрибутов файла или каталога. Сами атрибуты определяются операционной системой Windows 2000

Чтение дополнительных атрибутов (Read Extended Attributes)

Определяет возможность просмотра дополнительных атрибутов файла или каталога. Сами дополнительные атрибуты определяются операционной системой

Создание файлов/Запись данных (Create Files/Write Data)

Разрешение Создание файлов определяет возможность создания файлов внутри каталога (относится только к каталогам). Разрешение Запись данных определяет возможность изменения содержимого файлов или перезаписи существующих данных файла новой информацией (относится только к файлам)

Создание папок/ Дозапись данных (Create Folders/Append Data)

Разрешение Создание папок определяет возможность создавать подкаталоги внутри данного каталога (относится только к каталогам). Разрешение Дозапись данных определяет возможность присоединения новых данных к существующему файлу без изменения, уничтожения или перезаписи существующей информации (относится только к файлам)

Запись атрибутов (Write Attributes)

Определяет возможность изменения атрибутов файла или каталога. Атрибуты определяются операционной системой Windows 2000

Запись дополнительных атрибутов (Write Extended Attributes)

Определяет возможность изменения дополнительных атрибутов файла или каталога. Дополнительные атрибуты определяются программой и могут быть ею

Удаление подпапок и файлов (Delete Subfolders and Files)

Определяет возможность удаления подкаталогов и файлов, находящихся в данном каталоге, даже в случае, если нет разрешения Удаление для подкаталогов и файлов

Удаление (Delete)

Определяет возможность удаления файла или каталога. Если вам отказано в разрешении Удаление для данного каталога или файла, вы все же можете удалить их, получив разрешение Удаление подпапок и файлов на родительский каталог

Чтение разрешений (Read Permissions)

Определяет возможность чтения таких разрешений для файлов и каталогов, как Полный доступ, Чтение и т. д.

Смена разрешений (Change Permissions)

Определяет возможность изменения таких разрешений для файлов и каталогов, как Полный доступ, Чтение и т. д.

Смена владельца (Take Ownership)

Определяет возможность вступления во владение данным файлом или каталогом. Владелец файла или каталога может всегда изменить разрешения к этому объекту, независимо от других разрешений

Синхронизация (Synchronize)

 

Определяет возможность потоков переходить в состояние ожидания на обработчике данного файла или каталога и синхронизироваться с другими потоками, запрашивающими синхронизацию. Данное разрешение относится только к многопотоковым и многопроцессовым приложениям

 

1.gif

Изображение: 

2.gif

Изображение: 

7.3.gif

Изображение: 

7. Назначение разрешений для папок

 

Назначение разрешений для папок

Для назначения разрешения на доступ к каталогу (папке) пользователю или группе:

1. Укажите каталог и нажмите правую кнопку мыши. Выберите команду Свойства контекстного меню. В появившемся окне свойств каталога перейдите на вкладку Безопасность (рис. 7.4).
2. Как и в случае установки разрешений для файлов, предоставление и удаление разрешений пользователям и группам выполняется с помощью кнопок Добавить и Удалить. Список стандартных разрешений в группе Разрешения для каталога несколько отличается от набора разрешений для файла. Кроме того, нужно помнить, что разрешения для каталогов распространяются на находящиеся в них файлы.
3. В группе Разрешения можно назначить или запретить стандартные разрешения для каталогов, аналогичные разрешениям для файлов (см. предыдущий раздел), а также разрешение Список содержимого папки (List Folder Contents). По умолчанию подкаталоги наследуют разрешения пользователя к родительскому каталогу. Если наследование разрешений необходимо запретить, снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект в окне свойств папки.
4. Каждое из стандартных разрешений состоит из набора специальных (особых) разрешений (табл. 7.9).
Рис. 7.4. Вкладка Безопасность окна свойств папки

Таблица 7.9. Соответствие стандартных и специальных разрешений для папок

Специальные разрешения

 

Стандартные разрешения

 

Полный доступ

Изменение

Чтение и выполнение

Список содержимого папки

Чтение

Запись

Обзор папок/ Выполнение файлов

X

X

X

X

 

 

 

 

Содержание папок/ Чтение данных

X

X

X

X

X

 

 

Чтение атрибутов

X

X

X

X

X

 

 

Чтение дополнительных атрибутов

X

X

X

X

X

 

 

Создание файлов/ Запись данных

X

X

 

 

 

 

 

 

X

Создание папок/ Дозапись данных

X

X

 

 

 

 

 

 

X

Запись атрибутов

X

X

 

 

 

 

 

 

X

Запись дополнительных атрибутов

X

X

 

 

 

 

 

 

X

Удаление подпапок и файлов

X

 

 

 

 

 

 

 

 

 

 

Удаление

X

X

 

 

 

 

 

 

 

 

Чтение разрешений

X

X

X

X

X

X

Смена разрешений

X

 

 

 

 

 

 

 

 

 

 

Смена владельца

X

 

 

 

 

 

 

 

 

 

 

Синхронизация

X

X

X

X

X

X



5. Чтобы выполнить более тонкую настройку доступа к папке, нажмите кнопку Дополнительно. Появится окно диалога Параметры управления доступом, в котором будет отображен список управления доступом к данной папке.
6. Чтобы отредактировать строку в окне Параметры управления доступом, сделайте на ней двойной щелчок, либо нажмите кнопку Показать/Изменить. Появится окно Элемент разрешения, где можно установить специальные разрешения и указать область их действия (список Применять (Apply onto)):
  • Только для этой папки (this folder only)
  • Для этой папки, ее подпапок и файлов (this folder, subfolders and files)
  • Для этой папки и ее подпапок (this folder and subfolders)
  • Для этой папки и ее файлов (this folder and files)
  • Только для подпапок и файлов (subfolders and files only)
  • Только для подпапок (subfolders only)
  • Только для файлов (files only)

Если не установлен флажок Применять эти разрешения к объектам и контейнерам только внутри этого контейнера (Apply these permissions to object and/or containers within this container only), установленные вами разрешения будут распространяться не только на объекты, определенные полем Применять, но и на все объекты, находящиеся ниже по дереву.

 

7.4.gif

Изображение: 

8. Квоты дискового пространства

 

Квоты дискового пространства

Администрирование больших компьютерных сетей, где серверы поддерживают работу сотен пользователей, сопряжено с рядом сложностей. Одна из них — учет дискового пространства сервера, занятого файлами сотрудников компании. Как правило, пользователи, хранящие свои файлы на сервере, мало заботятся об актуальности информации и об уничтожении устаревших или ненужных данных. Множество временных файлов и копий одного и того же файла, находящиеся в различных папках, лишь усугубляют ситуацию. В результате в считанные месяцы даже на больших жестких дисках сервера может не оказаться необходимого для работы свободного пространства.

Как правило, в больших организациях дерево папок весьма разветвлено, поэтому визуальный контроль расходования дискового пространства пользователями отнимает у администраторов много времени и усилий.

Подобная проблема просто решается с помощью введения квот на дисковое пространство, доступное для работы каждому пользователю. В предыдущих версиях операционной системы Windows NT не было штатных возможностей ввести квоту на доступное дисковое пространство, поэтому любой пользователь мог распоряжаться всем пространством жестких дисков сервера. В Windows 2000 администратор может квотировать дисковое пространство по каждому тому и для каждого пользователя.

Windows 2000 учитывает пространство, занимаемое файлами, владельцем которых является контролируемый пользователь: если пользователь владеет файлом, размер последнего добавляется к общей сумме занимаемого пользователем дискового пространства. Важно отметить, что, поскольку квотирование выполняется по каждому тому, не имеет значения, находятся ли тома на одном физическом жестком диске или на различных устройствах. После установки квот дискового пространства пользователь сможет хранить на томе ограниченный объем данных, в то время как на этом томе может оставаться свободное пространство. Если пользователь превышает выданную ему квоту, в журнал событий вносится соответствующая запись. Затем, в зависимости от конфигурации системы, пользователь либо сможет записать информацию на том (более мягкий режим), либо ему будет отказано в записи из-за отсутствия свободного пространства.

Устанавливать и просматривать квоты на диске можно только в разделе с NTFS 5.0 и при наличии необходимых полномочий (задаваемых с помощью локальных или доменных групповых политик) у пользователя, устанавливающего квоты.

Для установки квоты:

1. Укажите мышью конфигурируемый том и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Свойства. Появится окно свойств тома. Перейдите в нем на вкладку Квота (Quota) .
2. Установив флажок Включать управление квотами (Enable quota managment) вы включите квотирование конфигурируемого тома. В этом случае будет установлен мягкий режим контроля используемого дискового пространства Если вы хотите задать более жесткий режим, при котором пользователю в случае превышения квоты будет отказано в доступе к тому установите флажок Не выделять место на диске при превышении квота (Deny disk space to users exceeding quota limit). На этой же вкладке можно установить размер выделяемой квоты (Выделять на диске не более (Limit disk space to)) и порог, превышение которого вызывает запись предупреждения в журнал событий (Порог выдачи предупреждений (Set warning level to)). Эти параметры устанавливаются по умолчанию для всех пользователей.

Чтобы узнать какие пользователи превысили выделенную им квоту (в мягком режиме), нажмите кнопку Записи квот (Quota Entries). Появится окно Записей квот , где будет отображен список пользователей с параметрами их квот и объемом используемого ими дискового пространства. Учетные записи пользователей, которые превысили установленную для них квоту, отмечены специальным значком в столбце Состояние (Status), В окне Записей квот можно изменить параметры квоты, задаваемой для конкретного пользователя. Для этого выделите конфигурируемую строку и дважды щелкните на ней — появится окно диалога Параметры квоты (Quota Settings)

 

9. Передача права владения

 

Передача права владения

В предыдущих версиях Windows NT право владения файлом или папкой являлось характеристикой, жестко привязанной к создателю данного объекта. Пользователь, создавший файл или папку, становился владельцем этого объекта. Право владения не могло быть передано другому пользователю. Единственное исключение составлял администратор, который мог стать владельцем файла “ли папки. Сам пользователь не мог передать право владения папкой или файлом другому пользователю.

Операционная система Windows 2000 обеспечивает более гибкое пользование таким средством обеспечения безопасности информации, как право владения объектом файловой системы. Теперь любой пользователь может назначить себя владельцем какого-либо объекта файловой системы. Естественно, что для этого он должен иметь необходимые разрешения. Кроме того, с помощью локальных или доменных групповых политик можно указывать, какие пользователи всегда могут становиться владельцами файлов или других объектов (по умолчанию такое право имеют только администраторы), при этом они могут даже не иметь никаких разрешений для этого объекта.

Совет

Из вышесказанного следует принцип восстановления разрешений для любого объекта (в том числе для объектов, у которых ошибочно удалены все разрешения): нужно стать его владельцем, а затем установить нужные разрешения для других пользователей и групп.

Для передачи владения объектом файловой системы или для просмотра текущего владельца файла или папки откройте соответствующее окно свойств, перейдите на вкладку Безопасность, затем нажмите кнопку Дополнительно. Появится окно Параметры управления доступом Перейдите на вкладку Владелец (Owner) этого окна.

Текущий владелец объекта виден в поле Текущий владелец этого элемента (Current owner of this item). В списке Изменить владельца на (Change owner to) можно просмотреть учетные записи, обладающие правом получения во владение данного объекта файловой системы. Выделите учетную запись пользователя, которому вы хотите передать право владения и нажмите кнопки Применить (Apply) и ОК.

 

10. Точки соединения NTFS

 

Точки соединения NTFS

Точки соединения NTFS (junction point) представляют собой новое средство, позволяющее отображать целевую папку в пустую папку, находящуюся в пространстве имен файловой системы NTFS 5.0 локального компьютера. Целевой папкой может служить любой допустимый путь Windows 2000. Точки соединения NTFS поддерживаются только в NTFS 5.O.

Точки соединения NTFS отличаются от точек соединения распределенной файловой системы DPS (DFS подробно рассматривается в главе 9). Последние отображают общий ресурс сети, управляемый DFS. Таким ресурсом может служить любой допустимый общий ресурс сети. Однако оба средства служат для создания общего пространства имен хранения информации.

Точки соединения NTFS прозрачны для приложений. Исключение составляет случай, когда информация об определенной точке соединения необходима программе для работы. Прозрачность в данном случае означает, что приложение или пользователь, осуществляющий доступ к локальной папке NTFS, автоматически перенаправляются к другой папке.

Доступ к локальным томам файловой системы, подключенным с помощью точки соединения, может быть получая даже в случае, если томам не присвоены имена. При этом исчезает ограничение на количество имен, равное 26 (по числу букв английского алфавита).

 

11. Сравнение точек соединения DFS и NTFS

 

Сравнение точек соединения DFS и NTFS

По своему назначению точки соединения (link) распределенной файловой системы (DFS) и точки соединения NTFS похожи. Они представляют собой инструмент, предназначенный для отображения одного пространства имен хранения данных на другое. Ниже описаны отличия точек соединения DFS и NTFS. В DFS точки соединения имеют более широкий набор функций, чем в NTFS. (Подробно файловая система DFS описывается в главе 9, но, тем не менее, некоторые ее возможности можно рассмотреть в этом разделе.)

Точки соединения DFS:

Позволяют сбалансировать нагрузку при передаче информации по сетевым соединениям путем перенаправления запросов целевым репликам.
Позволяют избежать отрицательных последствий отказа сетевого соединения, заново выбрав копию общего ресурса из набора целевых реплик.
Запрашивают у службы Active Directory информацию о топологии соединения.
Располагают полным набором функций, позволяющих осуществлять импорт и экспорт для пространства имен DFS.

В табл. 7.10 перечислены различия точек перехода DFS и NTFS.

Таблица 7.10. Различия точек соединения DFS и NTFS

Свойство

Точки соединения DFS

Точки соединения NTFS

Исходный объект точки соединения

Общий локальный ресурс сети

Локальная папка NTFS 5.0

Представление точки соединения

Том DFS, общий сетевой ресурс

Любой допустимый путь Windews 2000

Возможность восстановления

Да

Да (Chkdsk)

Состояние неизменности/переноса

Да (хранится в виде файла)

Да (прямая операция копирования, переноса или архивирования)

Возможность работы с набором целей

Да

Нет

Поддержка кластеров

Да

Нет

API

Да

Да

Наличие инструментов с графическим интерфейсом

Да (оснастка Распределенная файловая система DFS )

Да (оснастка Управление дисками)

Доступность

В NT 4.0 и выше

Только в Windows 2000 на NTFS 5.0

 

12. Работа с точками соединения NTFSAW

 

Работа с точками соединения NTFSAW

Утилита mountvol. С помощью утилиты mountvol.exe можно:

Отобразить корневую папку локального тома в некоторую папку NTFS 5.0 (другими словами, подключить том).
Вывести на экран информацию о целевой папке точки соединения NTFS, использованной при подключении тома.
Просмотреть список доступных для использования томов файловой системы.
Уничтожить точки подключения томов, созданных с помощью mountvol.

Применяя утилиту mountvol, можно избежать использования большого количества имен устройств, поскольку обращение к необходимому тому происходит через корневую папку. Утилита mountvol создает неизменные связи с корневыми папками локального тома файловой системы. Она применяет в работе новую технологию, гарантирующую, что при изменениях в параметрах оборудования целевая папка не изменяется.

Синтаксис вызова утилиты mountvol;

mountvol [устройство:]путь Имя_тома

где:

[устройство:]путь — определяет существующую папку NTFS 5.0, являющуюся точкой подключения тома; имя_тома — определяет имя подключаемого тома.

Параметры утилиты mountvol:

/о — уничтожение существующей точки подключения у указанной папки.

/l — отображение списка томов, подключенных к данной папке.

Подключение тома к точке соединения. Предположим, что на жестком диске компьютера Windows 2000 создано два тома (С: и D:). На этом же компьютере установлено устройство CD-ROM (E:). Том С: отформатирован под NTFS, поэтому на нем можно расположить несколько точек соединения NTFS. В приведенных здесь примерах предполагается, что все необходимые для работы с точками соединения NTFS инструменты находятся в папке %SystemRoot98\System32, поэтому их можно запустить, находясь в любом месте дерева папок файловой системы. Все описанные ниже команды выполняются из командной строки.

Для того чтобы создать соединение с корневой папкой тома файловой системы:

1. Введите с клавиатуры команду mountvoi и просмотрите список имен внутренних устройств, назначенных томам данной машины. Предположим, что получен следующий результат:

Возможные значения ИмениТома вместе с текущими точками подключения:

\\?\Volume{4c3eae42-a740-lld3-9534-806d6172696f}\ С:\

\\?\Volume{4c3eae45-a740-lld3-953'b806d6172696f}\ D:\

\\?\Volume{4c3eae46-a740-lld3-9534-806d6172696f }\ Е:\

\\?Wolume{4c3eae40-a740-lld3-9534-806d6172696f}\ А:\

2. С помощью утилиты mountvol подключите тома CD-ROM и D: к точкам соединения:

mkdir CD

mountvol CD \\?\Volume{4c3eae46-a740-lld3-9534-806d6172696f}\ mkdir MoreDiskSpace

mountvol MoreDiskSpace \\?\Volume{4c3eae45-a740-lld3-

49534-806d6172696f}\

3. Для проверки работоспособности созданных точек соединения выполните команду dir в двух новых папках. Вы должны увидеть содержимое целевых томов. Теперь полученные соединения могут быть использованы для доступа к целевым томам.
4. Для того чтобы узнать, какие целевые тома соответствуют точкам соединения, с клавиатуры введите следующие команды:

mountvol CD /L

mountvol MoreDiskSpace /L

Теперь можно провести еще одно, весьма "суровое" испытание работоспособности точки соединения NTFS, поскольку после подключения тома к точке соединения вы больше не нуждаетесь в имени тома. Поэтому, запустив оснастку Управление дисками (Disk Management), можно удалить имя устройства D: и CD-ROM. Несмотря на исчезновение имен устройств, вы все же можете получить доступ к ним, используя созданные точки соединения. Конечно, вам следует внимательно следить за тем, чтобы не нарушить работу пользователей и программ, напрямую обращающихся к тому с помощью его имени.

Удаление точки соединения. Для удаления точки соединения введите с клавиатуры следующие команды:

mountvol CD /d

mountvol MoreDiskSpace /d

 

13. Управление точками соединения с помощью оснастки Управление дисками (Disk Management)

 

Управление точками соединения с помощью оснастки Управление дисками (Disk Management)

Для работы с точками соединения можно использовать оснастку Управление дисками, имеющую графический интерфейс.

Для создания точки соединения:

1. Запустите оснастку Управление дисками.
2. Укажите нужный том файловой системы и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Изменение буквы диска и пути диска (Change Drive Letter and Path).
3. В появившемся окне диалога нажмите кнопку Добавить (Add). Откроется окно диалога Добавление новой буквы диска или пути диска (Add New Drive Letter or Path).
4. Выберите положение переключателя Подключить как следующую папку NTFS (Mount in this NTFS folder) и в текстовом поле укажите новый путь к тому.
5. Нажмите кнопку ОК. Все окне диалога, открывшиеся из первого окна Управление дисками, закроются. Теперь доступ к информации тома можно получить с помощью указанного нового пути.

Для удаления точки соединения:

1. Запустите оснастку Управление дисками.
2. Укажите нужный том файловой системы и нажмите правую кнопку мыши. В открывшемся контекстном меню выберите команду Изменение буквы диска и пути диска.
3. В открывшемся окне диалога выберите нужный путь и нажмите кнопку Удалить {Remote).
4. В открывшемся окне подтвердите правильность выполняемого действия.

Теперь доступ к данным тома с помощью точки соединения становится невозможен.

 

14. Дефрагментация диска

 

Дефрагментация диска

Операционная система не всегда располагает информацию файлов и папок в одном непрерывном пространстве. Фрагменты данных могут находиться в различных кластерах жесткого диска. В результате при удалении файлов освобождающееся дисковое пространство также становится фрагментированным. Чем выше степень фрагментации жесткого диска, тем ниже производительность файловой системы.

Для решения этой проблемы в состав операционной системы Windows 2000 включена оснастка Дефрагментация диска (Disk Defragmenter). В процессе дефрагментации кластеры диска организуются таким образом, чтобы файлы, папки и свободное пространство по возможности располагались непрерывно. В результате значительно повышается производительность файловой системы, поскольку сокращается количество операций ввода/вывода, необходимое для чтения определенного объема информации. Следует отметить, что при дефрагментации свободное пространство не объединяется в одну непрерывную область, а располагается в нескольких областях. Это значительно сокращает время выполнения дефрагментации и практически не уменьшает производительность файловой системы, получаемую после дефрагментации.

Поскольку операционная система Windows 2000 резервирует в начале жесткого диска пространство для системных файлов, оснастка Дефрагментация диска не помещает файлы в зарезервированную область жесткого диска, а переносит их за ее пределы.

Оснастка Дефрагментация диска работает с томами жесткого диска, сформатированными для файловых систем FAT, FAT32 и NTFS. Она осуществляет выполнение двух отдельных операций — анализ и дефрагментацию. В процессе анализа на томе жесткого диска не выполняются никакие изменения. Все необходимые перемещения информации производятся при дефрагментации. В определенный момент времени дефрагментации может быть подвергнут только один том.

Для запуска оснастки Дефрагментация диска:

1. В окне Мой компьютер или Проводник укажите дефрагментируемый том и нажмите правую кнопку мыши.
2. В открывшемся контекстном меню выберите команду Свойства.
3. Появится окно свойств тома. Перейдите на вкладку Сервис (Tools).
4. В открывшемся окне нажмите кнопку Выполнить дефрагментацию (Defragment Now).

В результате запустится оснастка Дефрагментация диска. В верхней части ее окна находится список томов жесткого диска, которые можно проанализировать или дефрагментировать. В нижней части окна находятся указатели, отображающие скорость и степень завершенности процессов анализа или дефрагментации. Цветами показано состояние устройства:

Красным — фрагментированные области.
Темно-синим — нефрагментированные области.
Белым — свободное пространство тома.
Зеленым — системные файлы, которые не могут быть перемещены оснасткой Дефрагментация диска, поскольку являются частью операционной системы Windows 2000. Зеленым цветом области выделяются только на томах NTFS.

Для выполнения анализа жесткого диска:

В окне оснастки Дефрагментация диска выделите анализируемое устройство и нажмите кнопку Анализ (Analyze). После завершения анализа появится окно диалога, запрашивающее необходимость выполнения дефрагментации. Остановить или прервать процесс анализа можно с помощью кнопок Пауза (Pause) и Остановка (Stop), соответственно.

Для выполнения дефрагментации жесткого диска:

В окне оснастки Дефрагментация диска выделите дефрагментируемый диск и нажмите кнопку Дефрагментация (Defragment). Сначала выполнится анализ тома, затем начнется собственно Дефрагментация. Остановить или прервать процесс дефрагментации можно с помощью кнопок Пауза и Остановка, соответственно.

 

15. Структурные новшества NTFS 5.0AW

 

Структурные новшества NTFS 5.0AW

 

Примечание

В разделе "Структурные новшества NTFS 5.0" использован материал статьи "A file system for the 21-st Century: previewing the Windows NT 5.0 file system" (Jeffrey Richter, Luis Felipe Cabrera), опубликованной в журнале Microsoft Systems Jornal в ноябре 1998 года.

Средства новой версии NTFS позволяют более эффективно решать многие программистские задачи. С помощью NTFS 5.0 можно преодолеть ряд проблем, возникающих и в настоящее время при работе с другими файловыми системами.

Центром файловой системы NTFS является файл, называемый главной таблицей файлов (Master File Table, MFT). Он создается при форматировании тома для NTFS. MFT состоит из массива записей размером 1 Кбайт. Каждая запись идентифицирует один файл, расположенный на диске. При создании файла NTFS находит пустую запись в MFT, затем заполняет ее информацией о создаваемом файле. Состав информации, записываемой в MFT, приведен в табл. 7.11.

Таблица 7.11. Состав информации, записываемой в MFT

Тип информации

Описание

Стандартная информация

Атрибуты файла, например, "только чтение", "скрытый" и "системный"; время создания, последнего доступа, последнего изменения; счетчик жестких связей файла

Имя

Имя файла или папки в кодировке Unicode. Если имя файла соответствует схеме 8.3 или файл имеет жесткие связи, атрибутов имени файла может быть несколько

Дескриптор безопасности

Структура, хранящая данные безопасности, ассоциированные с файлом, управляющим доступом пользователя к файлу

Данные

Содержимое файла; папки не имеют этого типа информации

NTFS оценивает размер, записываемой в MFT информации. Если он не больше 1 Кбайт, информация запоминается в записи MFT. Эти данные хранятся в ОЗУ и являются резидентными атрибутами файла. В противном случае информация помещается на диск, образуя нерезидентные атрибуты файла, а в запись MFT помещается указатель на соответствующую область диска.

Поскольку операционная система Windows 2000 широко использует механизм доступа к ресурсам с помощью ярлыков, на жестком диске хранится большое количество файлов с расширением Ink. Кроме того, на жестком диске находится множество файлов Desktop.ini. Описанная выше схема хранения информации файлов в MFT позволяет держать данные небольших файлов в ОЗУ, что резко повышает производительность файловой системы.

 

16. Потоки

 

Потоки

С самой первой версии NTFS позволяла одному файлу иметь несколько потоков. К сожалению, этот весьма удобный механизм использовался очень слабо, хотя применение потоков позволяет изящно решать многие проблемы.

Например, вы создаете файл. Для него необходимо сформировать и сохранить эскиз (уменьшенное изображение содержимого файла, предназначенное для предварительного просмотра) (thumbnail), который, как правило, записывается в конец файла. Для вывода эскиза надо открыть файл, считать информацию заголовка, найти начало нужной вам информации и только после этого считать данные. Можно хранить эскиз в отдельном файле, но в этом случае велика вероятность того, что сам файл будет перенесен в другое место без соответствующего ему эскиза.

Подобную проблему можно решить с использованием нескольких потоков. При создании файла основные данные следует записать в неименованный поток. Затем необходимо создать внутри того же файла именованный поток, предназначенный для данных образа. Теперь один файл будет содержать два потока.

Проведем следующий эксперимент. На машине Windows 2000 откроем окно командной строки. Перейдем в раздел NTFS и введем следующую команду:

C:\fonts> DIR > New_Stream.TXT: New_Stream

В результате выполнения этой команды система создаст файл New_Stream.TXT. Он будет содержать два потока: неименованный, в котором находится О байт, и именованный (с именем New_Stream), где будет находиться результат выполнения команды dir. Доступ к именованному потоку можно получить, обратившись к нему по имени через двоеточие после имени файла. В именах потоков, как и в именах файлов, имеет значение регистр символов.

К сожалению, многие утилиты, входящие в состав Windows 2000, не могут работать с именованными потоками. Рассмотрим следующий пример:

C:\fonts> DIR New_Stream.TXT

Volume in drive С is diskl Volume Serial Number is 5021-EFE6

Directory of C:\fonts

03/18/98 08:36a 0 New_Stream.TXT

1 File(s) 0 bytes

0 Dir(s) 170 968 064 bytes free

Очевидно, что команда dir не видит именованный поток, поэтому она показывает, что размер файла New_Stream.TXT равен 0. Однако это не так: dir показывает только неименованный поток. Размер именованного потока пользователю не показывается.

Проведем еще один эксперимент:

C:\fonts> DIR New_Stream.TXT:New_Stream

Volume in drive С is diskl Volume Serial Number is 5021-EFE6

Directory of C:\fonts File not found

Из этого эксперимента видно, что команда dir не обладает средствами обращения к именованным потокам. Для просмотра содержимого именованного потока выполните следующую команду:

C:\fonts> MORE < New_Stream.TXT: Nfcw_Sream

MTSORTS TTF 76 920 11.03.97 17:20 MTSORTS.TTF

MARIGOLD TTF 101 448 09.05.97 9:12 MARIGOLD.TTF

HPFONTS TER 648 868 09.06.97 14:02 HPFONTS.TER

HP7UP DLL 58 176 30.07.97 14:28 HP7UP.DLL

HPFONTS EDB 541 085 09.06.97 14:08 HPFONTS.EDB

FONTSMRT HLP 22 552 03.04.97 15:18 FONTSMRT.HLP

CORONET TTF 82 928 09.05.97 9:12 CORONET.TTF

CORSIVA TTF 105 156 11.03.97 17:20 CORSIVA.TTF

FONTSMRT EXE 817 984 30.07.97 14:30 FONTSMRT.EXE

Существует еще одно применение потоков. Предположим, что вы разрабатываете текстовый процессор. Корректируя файл, вы наверняка создадите временный файл, запишете туда все изменения, затем, когда наступит момент сохранить их, уничтожите оригинальный файл, его имя присвоите временному файлу и перенесете этот файл туда, где был расположен оригинальный файл. Весь процесс выглядит довольно просто. Однако следует помнить о том, что новый файл должен иметь то же время создания (time stamp creation), что и оригинальный файл. Кроме того, новый файл должен обладать теми же атрибутами, что и оригинальный файл. При сохранении изменений очень легко изменить один из атрибутов.

При использовании потоков все эти проблемы легко разрешаются. Все потоки в пределах одного файла имеют одни и те же атрибуты (время создания, безопасность и т. д.). Можно записывать изменения не во временный файл, а в именованный поток. Затем, при записи изменений достаточно переименовать именованный поток в неименованный, после чего с помощью средств NTFS удалить старый неименованный поток. Переименование потока должно быть выполнено в соответствии с принципом "все или ничего" (в виде транзакции — либо выполняются все операции, либо все остается в исходном состоянии).

Следует отметить, что при копировании файла, содержащего потоки, в файловую систему, не поддерживающую их (например, FAT на гибком диске), скопированы будут только данные неименованного потока.

 

17. Жесткие связи NTFS

 

Жесткие связи NTFS

Предположим, что у вас есть файл, который должен находиться одновременно во многих папках одного дерева. Каждая из копий этого файла занимает определенное место, что приводит к непроизводительному использованию дискового пространства. Кроме того, следует учитывать, что в одной из копий может быть сделано изменение. В этом случае необходимо обновить все копии файла, что может вылиться в долгую и утомительную операцию, в течение которой легко сделать ошибку.

Эту проблему можно решить с помощью жесткой связи NTFS. Она позволяет в пределах одного тома создать для одного файла множество имен. Сам файл может находиться в одном месте. Жесткие связи могут быть распространены по всему дереву папки. На данный момент в состав операционной системы Windows 2000 не входит инструмент, позволяющий пользователям создавать жесткие связи. Это можно сделать только программно, воспользовавшись функцией CreateHardLink из Kernel32.DLL.

Все жесткие связи находятся в одной записи MFT. Поэтому они имеют одинаковые атрибуты (время создания, безопасность и размер файла). При создании новой жесткой связи система добавляет информацию в поле имени записи MFT и увеличивает счетчик жестких связей. При каждом уничтожении жесткой связи удаляется соответствующий атрибут в поле имени, а счетчик жестких связей уменьшается на 1. После уничтожения последней жесткой связи счетчик жестких связей становится равен 0.

 

18. Точки повторной обработки

 

Точки повторной обработки

Точки повторной обработки (reparse points) — еще одна новая возможность, появившаяся в NTFS 5.O. Они позволяют выполнять при открытии папки или файла заранее созданный программный код. Точка повторной обработки представляет собой контролируемый системой атрибут, который может быть ассоциирован с папкой или файлом. Значение атрибута точки повторной обработки — это задаваемые пользователем данные, максимальный размер которых может достигать 16 Кбайт. Они представляют собой 32-разрядный ярлык (определяемый Microsoft), указывающий, какой фильтр файловой системы должен быть извещен о попытке получения доступа к данной папке или файлу. Фильтр выполняет заранее определенный код, предназначенный для управления процессом доступа. Поскольку размер данных атрибута точки повторной обработки может достигать 16 Кбайт, помимо ярлыка в атрибуте можно сохранить информацию, имеющую значение для соответствующего фильтра. Фильтр файловой системы может полностью изменить способ отображения данных файла. Поэтому фильтры устанавливаются только администраторами системы. Если по каким-либо причинам система не может найти фильтр, соответствующий определенному ярлыку повторной обработки, доступ к папке или файлу не будет предоставлен, однако они все же могут быть удалены.

Точки повторной обработки используются при создании соединений папок NTFS, позволяющих перенаправлять запрос к папке или файлу в другое место файловой системы.

 

19. Отслеживание связей

 

Отслеживание связей

Ярлыки играют важную роль организации доступа пользователя к программам и файлам данных операционных систем Windows. Однако наряду с бесспорными преимуществами они имеют и недостатки, одним из которых является нарушение связи между ярлыком и соответствующим ему ресурсом, если ресурс переносится в другое место или переименовывается. Вплоть до появления Windows 2000 с этим недостатком приходилось мириться, поскольку средства NTFS 4.0 не позволяли от него избавиться.

В Windows 2000 появилась служба отслеживания изменившихся связей (Distributed Link Tracking), позволившая приложениям находить ресурс, соответствующий данному ярлыку, и связи OLE даже в случае, если этот ресурс был переименован или перенесен в другое место дерева папок. Теперь, щелкнув на ярлыке рабочего стола, вы всегда сможете получить доступ к нужному ресурсу.

Каждая связь состоит из двух частей — клиента и источника. Например, если документ Word содержит связь OLE с электронной таблицей Excel, сам документ является клиентом связи, а электронная таблица — это источник связи.

Служба отслеживания восстанавливает разрушенную связь в случаях, если:

Источник связи был переименован
Источник связи был перемещен с одного тома NTFS 5.0 на другой в пределах одного компьютера
Источник связи был перемещен с тома NTFS 5.0 одного компьютера на том NTFS 5.0 другого компьютера
Том NTFS 5.0 с источником связи был физически перемещен с одного компьютера Windows 2000 на другой компьютер Windows 2000 в пределах одного домена
Компьютер, на котором находится том NTFS 5.0 с источником связи, был переименован, но остался в том же домене
Изменилось имя общего ресурса, где находится файл-источник связи QQОбразовалась любая комбинация описанных выше случаев

Служба отслеживания связей имеет следующие ограничения:

Отслеживаются только источники связей, находящиеся на томах NTFS 5.0 Если источник перемещен в другую файловую систему, попытки отследить изменившуюся связь будут предприняты, но вероятность успешного результата мала. Если источник опять будет перенесен в NTFS 5.0, связь будет восстановлена. Но это касается только клиентов связи, созданных до переноса источника на другую файловую систему.
На данный момент не поддерживаются компьютеры Windows 2000, не входящие в состав домена.
В текущей версии NTFS 5.0 во время работы службы отслеживания связей тома NTFS 5.0 не могут быть блокированы. Поэтому для них нельзя выполнить такие операции, как форматирование или запуск утилиты chkdsk /t. Выполнять подобные операции можно только после остановки работы службы отслеживания связей.

 

20. Работа с дисками и томами

 

Работа с дисками и томами

Данный раздел содержит сведения об организации дисковых систем, управлении ими с помощью оснастки Управление дисками (Disk Management)-и оптимизации их работы. Средства этой оснастки позволяют работать с отказоустойчивыми системами, такими как зеркальные и чередующиеся тома с четностью (тома RAID-5).

 

21. Оснастка Управление дисками (Disk Management)

 

Оснастка Управление дисками (Disk Management)

Оснастка Управление дисками, заменившая в Windows 2000 программу Администратор дисков (Disk Administrator), позволяет управлять дисковыми системами хранения данных.

Оснастка Управление дисками обладает следующими новыми средствами:

Поддержка разделов и логических дисков Windows NT 4.0 и томов дисковых систем Windows 2000. Применяя подход, предполагающий создание томов, вы избавитесь от ограничений, связанных с количеством основных разделов на одном диске (равное 4).
Управление дисковой системой в реальном времени. Административные функции могут быть выполнены без отключения сервера и прерывания работы пользователей. Например, вы можете создать, расширить том или установить его зеркальное отображение без перезагрузки системы. Большинство выполняемых при конфигурации дисковой системы изменений начинает действовать незамедлительно;
Удаленное и локальное управление дисковой системой. Вы можете управлять любым удаленным компьютером, на котором работает Windows NT 4.0 или Windows 2000, где вы являетесь администратором.
Понятный и простой в работе интерфейс пользователя. С помощью контекстных меню вы всегда можете узнать, какие задачи решаются с помощью оснастки в отношении некоторого объекта.

Примечание

Для запуска оснастки Управление дисками необходимо обладать правами администратора.

В отличие от предыдущих операционных систем производства компании Microsoft, позволяющих создавать только устройства с базовым режимом хранения информации (basic storage), Windows 2000 позволяет работать с новым типом устройств — устройствами с динамическим режимом хранения данных (dynamic storage). Диск, инициализированный для динамического хранения, называется динамическим диском. На нем могут находиться простые, составные, чередующиеся, зеркальные тома и тома RAID-5. Используя динамическое хранение, вы можете управлять дисками и томами без перезагрузки операционной системы. Дисковая система Windows 2000 может состоять из любой комбинации базовых и динамических дисков. Однако том, состоящий из нескольких дисков, должен иметь один режим хранения данных.

Работая при помощи оснастки Управление дисками с динамическими дисками, можно выполнять следующие функции:

Создавать и удалять простые (simple), составные (spanned), чередующиеся (stripped), зеркальные (mirrored) тома, а также тома RAID-5 (RAID-5 volume)
Форматировать тома для файловой системы FAT или NTFS
Расширять том на дополнительные диски
Восстанавливать зеркальные тома и тома RAID-5
Повторно инициализировать отключенный диск
Изменять динамический режим хранения на базовый

Работая с помощью оснастки Управление дисками с базовыми томами, можно выполнять следующие функции:

Создавать и удалять основной (primary) и дополнительный (extended) разделы
Создавать и удалять логические устройства внутри дополнительного раздела
Форматировать разделы, присваивать им метки, а также помечать разделы как активные
Инициализировать диски
Уничтожать наборы томов (volume set), чередующиеся (stripe set) и зеркальные наборы (mirror set) и чередующиеся наборы с четностью (striped set with parity)
Отключать зеркальный диск
Восстанавливать зеркальный набор
Восстанавливать чередующиеся наборы с четностью
Изменять базовый режим хранения на динамический

Таким образом, работая с оснасткой Управление дисками, можно использовать ее средства, ориентированные на управление динамическими томами, и одновременно осуществлять поддержку и управление базовыми дисками, созданными до появления Windows 2000. Для базовых дисков не поддерживаются следующие функции:

Создание наборов томов, чередующихся и зеркальных наборов и чередующихся наборов с четностью
Расширение томов и наборов томов Для базовых и динамических дисков можно:
Контролировать информацию о дисках, такую как объем, доступное свободное пространство и текущий статус
Просматривать свойства томов и разделов
Устанавливать и изменять назначение имен томам жестких дисков или разделам, а также устройствам CD-ROM
Устанавливать и проверять назначения общего доступа к тому или разделу

Оснастку Управление дисками можно использовать как самостоятельно, так и в составе основного инструмента администрирования Windows 2000 - оснастки Управление компьютером (Computer Management). В первом случае при подключении оснастки к консоли управления можно в окне диалога Выбор компьютера (Choose Target Machine) выбрать положение переключателя Локальный компьютер (Local Computer), если вы хотите управлять локальным компьютером, либо положение Другой компьютер (Another Computer), если вы хотите управлять другим компьютером сети. В последнем случае в окне ввода следует указать имя компьютера (либо найти его, нажав кнопку Обзор (Browse)).

Пример окна оснастки Управление дисками приведен на рис. 7.5.

Рис. 7.5. Основное окно оснастки Управление дисками (Disk Management)

 

7.5.gif

Изображение: 

22. Разделы и тома Базовый режим хранения информации

 

Разделы и тома
Базовый режим хранения информации

Разделом является часть базового диска, функционирующая как физически автономная единица. Основной раздел (primary partition) зарезервирован для использования операционной системой. Каждый физический диск может иметь до четырех основных разделов (или до трех, если создан дополнительный раздел). Дополнительный раздел (extended partition) создается с использованием оставшегося свободного пространства диска и может быть также разделен на логические устройства. На каждом физическом диске может быть только один дополнительный раздел.

Динамический диск подразделяется на тома, а не на разделы. Том состоит из одного или нескольких физических дисков в одной из следующих конфигураций: простой том, составной том, зеркальный том, чередующийся том и том RAID-5.

Базовый диск может быть превращен в динамический диск в любое время. В табл. 7.12 показано соотношение между базовым и динамическим дисками.

Таблица 7.12. Соотношение между базовым и динамическим дисками

Организация базового диска

Организация динамического диска

Системный и загрузочный разделы

Системный и загрузочный тома

Основной раздел

Простой том

Дополнительный раздел

Простые тома и свободное пространство диска

Логическое устройство

Простой том

Набор томов

Составной том

Чередующийся набор

Чередующийся том

Зеркальный набор

Зеркальный том

Чередующийся набор с четностью

Том RAID-5

 

23. Динамический режим хранения информации

 

Динамический режим хранения информации

Том — это единица хранения, состоящая из свободного пространства на одном или нескольких дисках. Он может быть отформатирован средствами файловой системы с присвоением ему имени. Тома на динамических дисках могут иметь одну из нескольких структур: простой, составной, зеркальный, чередующийся том и том RAID-5.

Простой том использует пространство одного диска. Это может быть один участок на диске или несколько участков, соединенных друг с другом. Простой том может быть расширен в пределах одного диска или на дополнительный диск. Если простой том распространен на несколько дисков, он становится составным томом. Простой том не обеспечивает отказоустойчивости.

Составной том состоит из связанного вместе пространства нескольких дисков (до 32 дисков). Он может быть распространен на дополнительные диски и не может принимать участие в зеркальных системах. Составные тома создаются, когда ни на одном жестком диске нет достаточного свободного пространства. Кроме того, создавая составные тома, можно распределять нагрузку на дисковые системы. Составные тома не обеспечивают отказоустойчивости. Поскольку тома такого типа расположены на нескольких жестких дисках, возрастает вероятность их отказа, связанного с выходом из строя одного из дисков.

Зеркальный том — это средство обеспечения отказоустойчивости, где данные дублируются на двух физических дисках. Все данные одного диска копируются на дополнительный диск, что обеспечивает возможность получения избыточности данных. Если один из дисков отказывает, данные могут быть доступны на уцелевшем диске зеркала. Зеркальный том не может быть расширен. Зеркало также известно как RAID-1.

Данные на чередующемся томе разбиваются при записи и помещаются на несколько физических дисков, причем информация равномерно распределяется среди всех дисков, входящих в состав такого тома. Такой подход удобен при необходимости быстрой записи или считывании с физических дисков большого объема информации. Скорость работы с дисковой системой увеличивается за счет распараллеливания потоков данных и одновременной записи или считывания информации с дисков тома. "Расщепление" информации также полезно при балансировке нагрузки ввода/вывода в многопользовательских приложениях. Тома с чередованием записываемой информации не обеспечивают отказоустойчивость. Том такого типа не может входить в зеркальный набор и его нельзя расширить. Чередование данных известно как RAID-0.

Том RAID-5 является средством обеспечения отказоустойчивости дисковой системы, поскольку данные тома расщепляются при записи на три или большее количество дисков. Том RAID-5 обеспечивает избыточность информации, подсчитывая контрольную сумму информации, расположенной на каждом диске. Контрольная сумма (вычисляемая величина, которая может быть использована для восстановления данных в случае их разрушения) также расщепляется и записывается на все диски массива. Если отказывает один из дисков массива, то информация, которая на нем находилась, может быть восстановлена с использованием данных работоспособных дисков и контрольной суммы. Том RAID-5 не может входить в зеркальный набор и его нельзя расширить.

Свободное пространство — это неиспользованная и неформатированная часть жесткого диска, которая может быть использована при создании томов.

Системный том содержит файлы, жестко привязанные к оборудованию (Ntldr, Osloadenexe, Boot.hii, Ntdetect.com), необходимые для загрузки Windows 2000.

Загрузочный том содержит файлы операционной системы Windows 2000, расположенные в папках %SystemRoot% и %SystemRoot% \System32.

 

24. Инициализация диска

 

Инициализация диска

После присоединения к компьютеру диск необходимо инициализировать. Только после этого на нем можно создавать тома и разделы. Если вы хотите создать простой том или планируете ввести новый диск в состав тома другого типа, нужно выбрать динамический режим хранения. Базовый режим хранения следует выбирать, если необходимо работать с разделами или логическими дисками (в том случае, когда на компьютере помимо Windows 2000 установлены другие системы — например, MS-DOS, — которые могут работать только с базовым режимом хранения данных).

Для инициализации диска:

1. Запустите оснастку Управление дисками.
2. В меню Действие (Action) выберите команду Повторить сканирование дисков (Rescan Disks).

Новые диски, присоединенные к компьютеру, подключаются как базовые. Впоследствии базовые диски могут быть превращены в динамические:

Укажите нужный базовый диск и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Обновление до динамического диска (Upgrade to Dinamic Disk).

Возможно и обратное превращение. Однако динамические тома нельзя непосредственно конвертировать в разделы: предварительно все тома на диске придется удалить. Чтобы превратить динамический диск в базовый:

Укажите динамический диск и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Возвратить к базовому диску (Revert to Basic Disk).

 

25. Управление динамическими дисками

 

Управление динамическими дисками

В динамическом режиме хранения информация располагается на томах, которые несовместимы с разделами дисков, созданными в Windows NT 4.0. Для конфигурирования дискового пространства при обновлении Windows NT следует использовать программу Setup. Кроме того, если вы устанавливаете Windows 2000 на существующий диск и собираетесь создавать на нем новые тома или логические устройства, необходимо предварительно создать архивную копию данных, находящихся на диске.

 

26. Работа с томами

 

Работа с томами

С помощью средств Windows 2000 можно весьма гибко управлять дисковой системой. Вы можете создать набор томов на свободном пространстве физических жестких дисков. Кроме того, созданные вами тома могут включать в себя несколько дисков и входить составной частью в систему обеспечения отказоустойчивости системы хранения данных.

Каждый том диска может иметь одну из двух файловых систем — FAT (FAT16 или FAT32) или NTFS. ,Если вы хотите работать с несколькими файловыми системами, а на вашем жестком диске есть только один том, на том же диске вам придется создать второй том. Если же на диске не осталось свободного пространства, следует заново установить Windows 2000 таким образом, чтобы оставить свободное пространство, позволяющее создать необходимое количество томов.

Если вы работаете только с операционной системой Windows 2000, один том может занимать весь жесткий диск. Однако, если планируется использование

других операционных систем или файловых систем, это следует учитывать при разбивке дискового пространства и соответственно указать размер тома, на котором будет установлена операционная система Windows 2000. После завершения установки с помощью оснастки Управление дисками на оставшемся свободном дисковом пространстве можно создать дополнительные тома. Например, если вы будете устанавливать на жестком диске другую операционную систему — MS-DOS или UNIX, имеющую несовместимую с Windows 2000 файловую систему, следует создать второй том. Необходимо отметить, что MS-DOS и Windows 2000 могут существовать на одном и том же томе, если он сформатирован для FAT.

Для разбивки дискового пространства до установки Windows 2000 можно использовать программы Fdisk (для FAT) и другие утилиты (для NTFS). Следует помнить, что Fdisk "не видит" тома, сформатированные для NTFS.

Примечание

Windows 2000 не может распознать свободное пространство, созданное в разделе FAT с помощью программы UNDELETE SENTRY, входящей в состав дистрибутива MS-DOS версии 6.2. С помощью SENTRY MS-DOS резервирует часть жесткого диска для хранения уничтоженных файлов. Поскольку операционная система Windows 2000 не может распознать дисковое пространство, созданное SENTRY, она считает его занятым.

Все изменения, сделанные на диске, немедленно вступают в силу. Поэтому не нужно сохранять их или перезагружать систему.

 

27. Установка нового динамического диска

 

Установка нового динамического диска

Динамическим диском называется физический диск, на котором с помощью оснастки Управление дисками созданы динамические тома. На свободном пространстве динамического диска можно создать следующие тома:

Системный и загрузочный том
Дополнительный простой том
Другие типы томов Windows 2000: составные, чередующиеся, зеркальные или RAID-5 (предполагается, что в системе установлено несколько жестких дисков)

 

28. Создание простого тома

 

Создание простого тома

Простые тома могут быть созданы только на динамических дисках. Они не могут содержать разделы или логические диски. Доступ к таким томам возможен только из Windows 2000. Создание простого тома выполняется с помощью мастера создания тома (Create Volume wizard) оснастки Управление дисками.

 

29. Расширение простых и составных томов

 

Расширение простых и составных томов

Простой том может быть расширен за счет других областей диска. При расширении простого тома на другой диск он становится составным томом. После того как простой том становится составным томом, он может подвергаться дальнейшим расширениям, захватывая все больше свободного пространства на жестких дисках, установленных в системе. Однако следует отметить, что ни одна часть составного тома не может быть уничтожена отдельно от остальных его частей. Составные тома не могут принимать участие в зеркале и записи данных с чередованием.

 

30. Назначение имен устройствам

 

Назначение имен устройствам

Операционная система Windows 2000 позволяет создать более 24 томов. Однако вы можете присвоить томам только 24 имени (буквы алфавита). Буквы А и В зарезервированы для флоппи-дисководов. (Если на компьютере нет второго флоппи-дисковода, можно использовать букву В для сетевого устройства.)

Windows 2000 допускает статическое именование устройств. Это значит, что определенные имена могут быть назначены конкретным жестким дискам и томам на постоянной основе. Если в существующую систему компьютера устанавливается новый жесткий диск, назначение его имени не влияет на имена остальных устройств.

Примечание

Назначать имена устройств следует с осторожностью, поскольку многие программы для MS-DOS и Windows обращаются к определенным именам — буквам алфавита. Переменная окружения path хранит информацию об определенных именах устройств, используемых конкретными программами.

 

31. Форматирование динамических томов и установка их меток

 

Форматирование динамических томов и установка их меток

Перед тем как сохранять файлы в папках, созданных на томе, необходимо его отформатировать для определенной файловой системы. В процессе форматирования можно указать информативную метку тома. Если на томе установлена NTFS, можно использовать сжатие данных.

Для форматирования тома в Проводнике или в оснастке Управление дисками укажите том и нажмите правую кнопку мыши. В открывшемся контекстном меню выберите команду Форматировать (Format).

 

32. Удаление динамических томов

 

Удаление динамических томов

Перед удалением тома в Windows 2000 необходимо убедиться, что расположенная на нем ценная информация скопирована в другое место, и целостность скопированных данных проверена.

Операционная система Windows 2000 налагает определенные требования на операцию удаления томов. Нельзя удалить том, содержащий системные файлы (системный том). Нельзя удалить индивидуальные тома, являющиеся частью набора томов, без удаления всего набора.

Для удаления тома с помощью оснастки Управление дисками укажите его и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Удалить том (Delete Volume).

 

33. Управление базовыми дисками

 

Управление базовыми дисками

Режим базового хранения данных используется при организации диска, принятой в Windows NT 4.0 и связанной с созданием разделов. В процессе обновления (upgrade) системы уже разбитые диски автоматически инициализируются как базовые диски, что обеспечивает обратную совместимость. Новые или пустые диски могут быть инициализированы как базовые или динамические.

С помощью оснастки Управление дисками можно поддерживать разделы и тома, созданные в Windows NT 4.0, однако, несмотря на то, что вы можете создавать или удалять разделы, нельзя создать новый зеркальный или чередующийся набор. Для создания новой отказоустойчивой дисковой системы следует создавать тома на динамических дисках.

 

34. Работа с разделами

 

Работа с разделами

В Windows 2000 вы можете работать с разделами базового диска точно так же, как это делалось в Windows NT 4.0, с одним исключением: больше не нужно явно сохранять сделанные изменения или перезагружать компьютер для их активизации. На одном физическом диске может быть создано до четырех разделов. Один из них может быть дополнительным разделом, на котором может быть создано несколько логических дисков. Пространство дополнительного раздела не может быть использовано для организации наборов томов или других типов отказоустойчивых томов.

Изменения, сделанные с помощью оснастки Управление дисками, сразу же вступают в силу. Если сделанные изменения не касаются существующих на диске файлов, система отрабатывает изменения без запроса дополнительного подтверждения правильности выполняемого действия. Перед тем как вы получите возможность работать с созданными разделами, необходимо индивидуально отформатировать каждый раздел для определенной файловой системы. В процессе форматирования можно указать метку раздела.

В каждом разделе может быть установлена одна из двух файловых систем: FAT или NTFS. Если вы хотите работать с обеими файловыми системами, но на вашем жестком диске есть только один раздел, следует переустановить операционную систему Windows 2000 и разбить жесткий диск таким образом, чтобы на нем было несколько разделов. В качестве имен разделов можно использовать до 24 букв алфавита.

Системный раздел Windows 2000 — это том, на котором находятся файлы, жестко связанные с оборудованием системы компьютера, необходимые для загрузки Windows 2000. Системный раздел должен быть основным (primary) и активным разделом. Кроме того, системный раздел должен находиться на жестком диске, доступ к которому компьютер получает сразу же после начала работы. В системе может быть только один активный раздел. Если вы хотите загружать другую операционную систему, следует пометить ее системный раздел как активный и перезагрузить компьютер.

Загрузочный раздел в Windows 2000 — это том (либо FAT, либо NTFS), содержащий файлы операционной системы Windows 2000. Загрузочный раздел может совпадать с системным разделом. Он может быть частью массива дисков или набора томов.

Перед удалением раздела или логического диска в Windows 2000 необходимо убедиться, что расположенная на них ценная информация скопирована в другое место, и целостность скопированных данных проверена.

Операционная система Windows 2000 налагает определенные требования на операцию удаления разделов: нельзя уничтожать системный раздел или удалять индивидуальные разделы, являющиеся частью набора, без уничтожения всего набора. Кроме того, Windows 2000 требует, чтобы все логические устройства и другие тома, находящиеся в дополнительном (extended) разделе, были уничтожены перед уничтожением самого дополнительного раздела.

 

35. Создание базовых разделов

 

Создание базовых разделов

Создать новый раздел можно только в том случае, если на жестком диске компьютера осталось свободное пространство.

Для создания базового раздела:

1. В окне оснастки Управление дисками щелкните на свободном пространстве диска (помеченном на экране как Свободно (Unallocated)).
2. В меню Действие выберите команду Создать (New). В появившемся меню выберите команду Раздел (Partition).
3. Откроется начальное окно Мастера создания раздела (Create Partition Wizard). Прочтите выведенный в нем текст и нажмите кнопку Далее.
4. В следующих окнах мастера вы можете сообщить тип раздела (основной (Primary) или дополнительный (Extended)), имя устройства и параметры форматирования.
5. Сообщив всю необходимую информацию, нажмите кнопку Готово (Finish) в последнем окне мастера. В результате будет создан новый раздел.

При создании раздел необходимо отформатировать. При форматировании может быть задано несколько файловых систем: FAT 16, FAT32 или NTFS 5.0.

 

36. Создание и удаление набора томов и чередующихся наборов

 

Создание и удаление набора томов и чередующихся наборов

Средства Windows 2000 не позволяют создать новые наборы базовых томов или чередующиеся наборы — вы можете только уничтожить их. Для того чтобы уничтожить набор томов, сначала создайте резервную копию всей информации, расположенной на дисках набора, поскольку она будет уничтожена вместе с набором. Затем уничтожьте набор томов.

Для создания нового составного тома, который является эквивалентом набора томов базового диска, или чередующегося тома — эквивалента чередующегося набора, следует использовать диск, инициализированный для динамического режима хранения. Для того чтобы конвертировать существующий набор томов, измените режим работы физических дисков, на которых находятся разделы, на динамический.

 

37. Обеспечение отказоустойчивости дисковых систем

 

Обеспечение отказоустойчивости дисковых систем

Отказоустойчивые дисковые системы подразделяются на шесть уровней RAID от 0 до 5. Каждый уровень характеризуется определенным соотношением производительности системы, ее надежности и стоимости. Оснастка Управление дисками позволяет работать с системами RAID уровней 1 и 5. Эти системы могут быть реализованы на уровне оборудования или на уровне программного обеспечения. Аппаратные решения предполагают, что созданием и восстановлением избыточной информации управляет контроллер дисковой системы. В операционной системе Windows 2000 эта задача может быть решена с помощью программного обеспечения. Аппаратурная реализация RAID обладает более высокой производительностью по сравнению с программным решением, реализация которого возможна в Windows 2000 Server.

 

38. Внешние хранилища данных

 

Внешние хранилища данных

Поскольку несмотря на снижение стоимости дискового пространства оно все же продолжает оставаться достаточно дорогим, в Windows 2000 была включена усовершенствованная реализация старой идеи о том, что редко используемые данные должны архивироваться на менее дорогие, но вполне надежные носители. Оснастка Управление съемными носителями (Removable Storage Manager) предоставляет простой интерфейс для установки, манипулирования и управления большим количеством съемных носителей. Этот интерфейс обеспечивает возможность централизованного управления магнитными лентами (которые могут использоваться как стандартные носители для резервного копирования), дисками Иерархической системы управления носителями (HSM, Hierarchical Storage Management) и архивами баз данных.

Служба съемных ЗУ упрощает оперативное управление библиотеками носителей и устройствами с автоматической подачей дисков (jukebox) и отслеживать использование съемных носителей типа магнитных лент и съемных дисков. Помимо этого, служба съемных ЗУ упрощает взаимодействие между библиотеками съемных носителей и программными приложениями, обеспечивающими управление данными (например, встроенной программой архивации и службой внешних хранилищ (Remote Storage)).

Системой съемных носителей называется группа библиотек и/или аппаратов jukebox, находящаяся под управлением службы съемных ЗУ, которая систематизирует хранение, осуществляет слежение за всеми носителями и обеспечивает стандартные операции очистки дисков.

Осуществляя управление съемными носителями, служба съемных ЗУ организует пулы носителей, и может автоматически переназначать носители в различные пулы, позволяя приложениям типа стандартной программы архивации управлять объемом носителей в соответствии с их потребностями. Служба съемных ЗУ позволяет множеству приложений совместно использовать общие ресурсы носителей, что существенно снижает затраты. Способ переноса данных на конкретный физический носитель определяется используемым приложением.

Примечание

  • Служба съемных ЗУ не обеспечивает ни управление томами (включая чередование носителей), ни управление файлами (например, для резервного копирования или архивации). Все эти задачи решаются специализированными приложениями типа программы архивации и службой внешних хранилищ. (Служба внешних хранилищ доступна только на компьютерах Windows 2000 Server.)
  • Служба съемных ЗУ не поддерживает работу нескольких приложений управления данными, работающих на различных компьютерах и устанавливающих соединения с одной и той же библиотекой.

 

39. Общие понятия

 

Общие понятия

Прежде чем использовать службу съемных ЗУ, необходимо установить съемные носители, которыми требуется управлять. В данном разделе описаны все доступные опции, а также обсуждаются вопросы, которые необходимо решить при реализации системы съемных носителей.

 

40. Типы съемных носителей

 

Типы съемных носителей

Существуют три типа съемных носителей:

Магнитные ленты. На сегодняшний день применяются две основных технологии записи на магнитную ленту: цифровая звукозапись (Digital Audio Таре, DAT) и цифровая линейная запись (Digital Linear Tape, DLT).

К числу других, менее широко используемых технологий, относятся QIC-картриджи и 9-дорожечные ленты.

Постоянные запоминающие устройства на компакт-дисках. К числу накопителей, использующих эту технологию, относятся диски CD-ROM и DVD-ROM, которые допускают только однократную запись. Информацию на таких дисках нельзя стереть или перезаписать. Эти виды дисков наиболее полезны для обеспечения быстрого доступа к данным, например, к справочной информации или закупленному программному обеспечению.
Перезаписываемые оптические диски. К этому типу носителей относятся: магнитооптические диски (МО-диски), Write Once Read Many (WORM), CD-Recordable (CD-R) и DVD-Recordable (DVD-R). МО-диски могут многократно стираться и перезаписываться. Диски WORM, CD-R и DVD-R допускают только однократную запись.

Примечание

Windows 2000 не обеспечивает непосредственную поддержку дисков WORM, CD-R и DVD-R. Поэтому, если вы планируете их использовать, необходимо приобрести программное обеспечение третьих фирм, поддерживающее эти технологии.

 

41. Типы библиотек

 

Типы библиотек

Большинство современных библиотек используют интерфейс SCSI-2, при помощи которого они подключаются к серверу. По способу установки носителей все библиотеки можно разделить на два основных типа:

Независимые библиотеки (stand-alone drive libraries). Это одноприводные неавтоматизированные устройства, которые представляют собой простейшую форму библиотеки. Носители вставляются в такие устройства вручную.
Автоматические библиотеки (robotic libraries). Представляют собой автоматизированные системы, позволяющие управлять множеством носителей. Такие устройства иногда называются устройствами с автоподачей или jukebox. Автоматические библиотеки широко используют системы автоподачи, которые автоматически находят нужный носитель, устанавливают его в доступное устройство, а после удовлетворения пользовательского запроса возвращают носитель в отведенный ему слот. Помимо этого, такие библиотеки могут состоять из дополнительных аппаратных компонентов, также управляемых сервисом съемных ЗУ.

 

42. Архитектура системы съемных ЗУ

 

Архитектура системы съемных ЗУ

Данный раздел перечисляет элементы, входящие в состав системы съемных ЗУ, и описывает принципы ее функционирования. В число элементов, формирующих систему съемных ЗУ, входят программные компоненты, аппаратные средства, а также различные параметры, определяющие состояние носителей (пулы носителей, статусы носителей, их идентификаторы и т. д.).

 

43. Компоненты системы съемных ЗУ

 

Компоненты системы съемных ЗУ

Система съемных ЗУ состоит из трех основных программных компонентов: административного интерфейса (оснастка Управление съемными носителями для управления системой), интерфейса прикладного программирования (API) и базы данных.

Для выполнения административных задач не требуется использовать API и базу данных съемных ЗУ. Более подробную информацию об использовании этих компонентов можно найти в сопроводительной документации к программному продукту Windows 2000 Server Resource Kit.

Администрирование системы съемных ЗУ осуществляется при помощи оснастки ММС, с помощью которой можно выполнять следующие задачи:

Отслеживание оперативных носителей и автономных носителей (offline media)
Установка и извлечение носителей из библиотеки
Просмотр статусной информации носителей и библиотек
Создание пулов носителей и задание их свойств
Установка параметров безопасности для носителей и пулов носителей
Инвентаризация библиотек

 

44. Библиотеки

 

Библиотеки

Любой носитель, имеющийся в составе системы съемных ЗУ, принадлежит к библиотеке. В системе съемных ЗУ существует три типа библиотек:

Оперативные библиотеки (online libraries) — это автоматы, которые содержат наборы лент или дисков, причем некоторые из них являются многоприводными. Оперативная библиотека может состоять и Из других аппаратных компонентов, управляемых системой.
Независимые библиотеки (stand-alone libraries) — это смонтированные оператором одноприводные устройства, которые могут содержать единственный носитель (диск или магнитную ленту).
Автономная библиотека (offline library) — это просто автономный носитель, управляемый с помощью системы съемных ЗУ. Этот носитель может временно отсутствовать в библиотеке, располагаясь где угодно — например, в ящике стола или на полке в сейфе. Ленты или диски из автономной библиотеки вручную вставляются в оперативную или независимую библиотеку. В системе съемных ЗУ существует только одна автономная библиотека, и это единственный тип библиотеки, который может содержать более одного типа носителей.

 

45. Пулы носителей

 

Пулы носителей

Пул носителей— это логический набор однотипных носителей, применительно к которому действуют одинаковые атрибуты и свойства, назначаемые при управлении -носителями. Каждый носитель в системе съемных ЗУ принадлежит к пулу носителей, и каждый пул содержит только однотипные устройства (только ленты или только диски, но не то и другое одновременно). Приложения используют пулы носителей для получения доступа к конкретным носителям в пределах конкретной библиотеки. Использование пулов носителей позволяет определить набор свойств, применимых ко всем носителям в пределах логической группировки. Эта возможность очень полезна, т. к. система съемных ЗУ позволяет множеству приложений совместно использовать одни и те же носители в пределах одной библиотеки. Одна библиотека может содержать носители из различных пулов носителей, каждый из которых имеет свои свойства. Любой пул носителей может охватывать несколько библиотек. Кроме того, система съемных ЗУ позволяет создавать на базе пулов носителей иерархические структуры.

Типы пулов носителей. Существуют следующие стандартные типы пулов носителей:

Пулы неопознанных носителей, которые содержат пустые (новые) носители и носители, не распознаваемые системой съемных ЗУ. Вставив новый носитель, немедленно переместите его в пул свободных носителей, чтобы носитель мог использоваться приложениями. Носители, находящиеся в пуле неопознанных носителей, могут быть смонтированы, размонтированы или перемещены в пул свободных носителей. Когда неопознанные носители извлекаются из оперативной или независимой библиотеки, они автоматически удаляются из базы данных съемных ЗУ.
Пулы импортированных носителей — содержат носители, которые система съемных ЗУ может распознать, но которые не зарегистрированы в текущей базе данных съемных ЗУ. Например, таким носителем может быть носитель, взятый из другого филиала предприятия. Носители, находящиеся в пуле импортированных носителей, могут быть перемещены в пул свободных носителей для повторного использования.
Пулы свободных носителей — содержат носители, на текущий момент не выделенные приложениям, и не содержат активных или полезных данных. Пулы свободных носителей действуют как буферы для прикладных пулов носителей (по аналогии с временной записью заметок на черновиках с последующим их переносом, например, в отчет). Исходная информация при этом остается на черновике, и может быть использована повторно. Пулы носителей можно сконфигурировать либо так, чтобы автоматически перемещать носители из пула свободных носителей, когда в пуле носителей конкретного приложения нет доступных носителей, либо так, чтобы перемещать носители из одного пула в другой только вручную.
Пулы носителей для приложений — создаются и используются конкретными приложениями, в задачи которых входит управление данными. Пулы носителей для приложений определяют, к каким носителям может получать доступ конкретное приложение. Кроме того, они задают свойства для носителей. Носители, находящиеся в пуле носителей конкретного приложения, управляются этим приложением или администратором. Приложение может использовать несколько пулов носителей, а несколько приложений могут совместно использовать один и тот же пул. Например, программа архивации (Backup) может использовать один пул носителей для выполнения полного резервного копирования, и другой — для инкрементного резервного копирования.

Классы пулов носителей. Система съемных ЗУ поддерживает два класса пулов носителей: системные и прикладные.

Системные пулы носителей (system media pools). Система съемных ЗУ создает по одному пулу свободных носителей, нераспознанных носителей и импортному пулу для каждого типа носителей.
Прикладные пулы носителей создаются для конкретных приложений по управлению данными (или самими этими приложениями). Таких пулов в системе съемных ЗУ может быть произвольное количество. Выделенный носитель (allocated media, т. е. носитель, зарезервированный за конкретным приложением) не может быть перемещен из пула в пул.

 

46. Классификация носителей

 

Классификация носителей

Система съемных ЗУ классифицирует каждый диск и каждую ленту как физический носитель и как логический носитель. Физические носители группируются в соответствии с их принадлежностью к той или иной библиотеке, а логические — по принадлежности к тому или иному пулу носителей.

Физические носители — это схемные носители, к которым относятся, например, оптические диски и магнитные ленты.
Логические носители — это представления сторон физического носителя. Например, каждая из сторон оптического диска может быть другим логическим устройством, и, следовательно, принадлежать к другому пулу носителей.

 

47. Идентификация носителей

 

Идентификация носителей

Система съемных ЗУ использует два метода для сбора информации о носителях — наносимые на них идентификаторы (on-media identifiers) и штрих-коды.

Идентификаторы носителей (On-media Identifiers) представляют собой электронные идентификаторы, записываемые на носитель при его первом подключении к системе съемных ЗУ. Затем этот идентификатор используется для регистрации носителя в базе данных системы съемных ЗУ. Идентификаторы состоят из двух частей: тип и, собственно, идентификатор. Поле типа указывает на формат носителя, а поле идентификатора содержит уникальный код ленты или диска. Если система съемных ЗУ не распознает метку типа, то носитель будет помещен в пул нераспознанных носителей. Если система распознает метку типа, но не распознает идентификатор, то она помещает носитель в пул импортных носителей. Если оба поля распознаются, то система съемных ЗУ обновляет свою базу данных, указывая, что носитель находится в оперативном режиме.
Штрих-коды (Bar Codes) используются системой съемных ЗУ для быстрого создания каталога носителей библиотек, которые штрих-коды поддерживают. Носители, имеющие штрих-коды, обязательно имеют и идентификаторы носителей.

 

48. Основные принципы работы системы съемных ЗУ

 

Основные принципы работы системы съемных ЗУ

Для того чтобы работать с системой управления съемными носителями, необходимо, чтобы была запущена служба (сервис) съемных ЗУ.

Для управления системой съемных ЗУ запустите оснастку Управление компьютером и выберите в ней узел Съемные ЗУ, либо подключите оснастку Управление съемными носителями через консоль ММС (рис. 7.10).

Рис. 7.10. Окно оснастки Управление съемными носителями

(Removable Storage Manager)

Приведенный ниже пример описывает принципы, согласно которым система съемных ЗУ управляет носителями:

1. Вставьте новую ленту или диск в оперативную или независимую библиотеку. Система съемных ЗУ идентифицирует носитель, прочитав его штрих-код или идентификатор.
2. Переместите носитель в пул свободных устройств. Если в пуле носителей приложения нет доступных носителей, и в диалоговом окне свойств пула (рис. 7.11) установлен флажок Выбрать носитель из пула свободных носителей (Draw media from Free media pool), то система съемных ЗУ назначит носитель приложению, переместив его из пула свободных носителей.
Рис. 7.11. Диалоговое окно свойств пула носителей
3. Если вы даете команду смонтировать другую ленту или диск, то система съемных ЗУ выполняет чтение базы данных съемных ЗУ в поисках информации о местоположении и идентификационной информации носителя.
  • Если выбранные лента или диск находятся в автономном режиме, то появится сообщение, предлагающее вставить необходимый носитель.
  • Если лента или диск уже находятся в оперативном режиме, то служба монтирует их и обновляет свою базу данных.
4. Резервирование носителя. Система съемных ЗУ проверяет счетчик резервирования носителя. Если носитель уже был зарезервирован максимальное количество раз, то он переводится в резерв. В противном случае:
  • Если в диалоговом окне свойств пула носителей установлен флажок Вернуть носитель в пул свободных носителей (Return media to Free media pool) (рис. 7.11), то система съемных ЗУ возвращает носитель в пул свободных носителей для повторного использования.
  • Если флажок Вернуть носитель в пул свободных носителей не установлен, то носитель останется в пуле носителей данного приложения.
5. Если флажок Выбрать носитель из пула свободных носителей в диалоговом окне свойств пула носителей установлен, система съемных ЗУ автоматически назначит носитель из пула свободных носителей в пул устройства. Если этот флажок не установлен, то вы получите операторский запрос на добавление нового носителя.

 

7-10.jpg

Изображение: 

7.6.gif

Изображение: 

49. Удаленное хранение данных в Windows 2000 Server

 

Удаленное хранение данных в Windows 2000 Server

Служба управления съемными ЗУ (Removable Storage) не предоставляет широких возможностей по управлению файлами, например не поддерживает операции по расширению дисков (disk-extender operations). Эти возможности предоставляются только такими средствами управления данными, как встроенная программа архивации и служба внешних хранилищ (Remote Storage). (Служба внешних хранилищ не входит в состав Windows 2000 Professional.) Служба внешних хранилищ позволяет расширить дисковое пространство сервера без добавления дополнительных жестких дисков за счет автоматического копирования редко используемых файлов на магнитную ленту, входящую в состав библиотеки и слежения за объемом свободного пространства на локальных томах.

Файлы кэшируются локально, и когда объем доступного пространства на томе, находящемся под управлением службы внешних хранилищ, становится менее заданного уровня, эта служба автоматически удаляет некоторые кэшированные файлы, освобождая за счет этого необходимый объем свободного пространства. Когда пользователю требуются данные из такого файла, эти данные автоматически извлекаются из библиотеки съемных носителей.

Служба внешних хранилищ хранит данные в виде двухуровневой иерархической структуры. Верхний уровень, так называемое локальное хранилище (local storage), состоит из томов NTFS локального компьютера Windows 2000 Server, на котором работает служба внешних хранилищ. Нижний уровень, называемый внешним хранилищем (remote storage), представляет собой библиотеку или ленточное устройство, подключенное к серверу.

Примечание

Служба внешних хранилищ поддерживает все библиотеки SCSI и DLT. Не поддерживаются библиотеки QIC и библиотеки на оптических дисках.

 

50. Установка службы внешних хранилищ на Windows 2000 Server

 

Установка службы внешних хранилищ на Windows 2000 Server

Служба внешних хранилищ не устанавливается по умолчанию в процессе, установки операционной системы Windows 2000 Server. Чтобы установить эту службу во время работы программы Windows 2000 Server Setup, необходимо явным образом выбрать опцию установки этого компонента; если операционная система Windows 2000 Server уже установлена, то нужно использовать I утилиту Установка и удаление программ (Add/Remove Programs) из панели управления.

1. Вызвав утилиту Установка и удаление программ, выберите опцию Добавление и удаление компонентов Windows (Add/Remove Windows Components).
2. В окне списка доступных для установки компонентов Windows установите флажок Внешнее хранилище (Remote Storage), нажмите кнопку Далее и следуйте инструкциям программы-мастера. Когда установка будет завершена, выполните перезагрузку компьютера.
3. После установки службы внешних хранилищ можно запустить оснастку для управления ею, выбрав в меню Пуск (Start) опции Программы | Администрирование | Внешнее хранилище (Programs | Administrative Tools j Remote Storage). При первом запуске оснастки Внешнее хранилище запустится Мастер установки внешнего хранилища (Remote Storage Setup Wizard), который поможет правильно сконфигурировать программу для дальнейшего использования.

Примечание

Тщательно продумайте тип носителей, которые будут использоваться со службой внешних хранилищ, поскольку впоследствии он не может быть изменен. Кроме того, не следует устанавливать эту службу на серверах, входящих в состав кластера Windows 2000.

 

Глава 8. Восстановление системы

Глава 8. Восстановление системы

1. Предотвращение сбоев в работе Windows 2000

 

Глава 8

Восстановление системы

В главе 2, посвященной загрузке Windows 2000, читателю предлагалось взглянуть на вещи реально и утверждалось, что поскольку проблемы с загрузкой, да и другие неполадки, возможны при работе с любой операционной системой, то и Windows 2000 не является исключением из общего правила. В частности, возникновение проблем может быть вызвано некорректно работающими приложениями и плохо написанными драйверами устройств. Стоит ли говорить о том, что такие проблемы могут создать у пользователей впечатление о Windows 2000 как о нестабильно работающей системе? Поэтому, несмотря на существенное повышение надежности системы и ее устойчивости к сбоям, проблемы все равно возможны (хотя бы как следствие "правила самолета"), и к их устранению надо быть готовым.

В этой главе описываются наиболее распространенные неполадки, возникающие в процессе загрузки Windows 2000, приводятся инструкции по их выявлению и устранению, а также пошаговые описания восстановительных процедур. Особое внимание уделено новым функциональным возможностям Windows 2000, обеспечивающим ее надежность и стабильность, а также новым средствам устранения неполадок.

 

Предотвращение сбоев в работе Windows 2000

Следует еще раз отметить, что нет операционных систем, абсолютно защищенных от сбоев. Однако предусмотрительный пользователь имеет возможность свести до минимума риск потери данных в случае сбоя и существенно упростить процедуру восстановления поврежденной системы, выполнив ряд подготовительных операций.

Восстановить поврежденную систему в кратчайшие сроки и с минимальными потерями существенно проще, если выполнены следующие рекомендации:

В вашем распоряжении имеется точная и достоверная информация об аппаратной .конфигурации восстанавливаемого компьютера и установленном на нем программном обеспечении.
Вы регулярно проводите плановые процедуры по профилактическому обслуживанию и выполняете резервное копирование всех системных файлов и всех данных, имеющих принципиальное значение. Как минимум, процедура резервного копирования критически важных системных файлов должна выполняться перед каждым внесением изменений в конфигурацию Windows 2000.

 

2. Ведение журнала справочной информации

 

Ведение журнала справочной информации

Как уже упоминалось, аварийные ситуации необходимо предвидеть, и на случай их возникновения жизненно важно иметь точную и достоверную информацию об аппаратной конфигурации компьютера и установленном на нем программном обеспечении. Администраторам сетей, в чьи обязанности входит обеспечение работоспособности всех подключенных к сети компьютеров, рекомендуется завести специальный журнал, в котором будет фиксироваться вся информация об аппаратной и программной конфигурации каждого из компьютеров.

Сопроводительную документацию, полученную от поставщика в комплекте с компьютером, храните таким образом, чтобы в нужный момент она всегда была под рукой. Эта документация может оказаться неоценимым подспорьем при устранении проблем, возникающих уже на стадии самотестирования при включении (POST).

Microsoft официально рекомендует регистрировать следующую информацию о программной конфигурации:

Сведения о конфигурации жестких дисков, в том числе расположении и размерах каждого раздела и каждого логического диска.
Информацию обо всех установленных на компьютере операционных системах и разделах, на которых они установлены.
Информацию о другом программном обеспечении, установленном на компьютере.

 

3. Регулярное выполнение профилактических процедур

 

Регулярное выполнение профилактических процедур

Регулярное выполнение плановых профилактических процедур позволит предотвратить возможные проблемы или свести к минимуму их последствия. Наиболее общие рекомендации сводятся к следующему:

Довольно часто причиной некорректной работы системы или даже проблем с ее загрузкой может быть перезапись системного файла или же несовместимый драйвер. Обычно это происходит во время установки дополнительного программного обеспечения, не совместимого с операционной системой. Эта проблема существовала во всех предыдущих версиях Windows NT. В Windows 2000 были введены дополнительные средства защиты системных файлов и драйверов с помощью цифровой подписи, которая гарантирует их совместимость и корректную работу в Windows 2000. Во избежание возникновения проблем рекомендуется пользоваться этими средствами, которые будут подробно описаны далее в этой главе.
Резервное копирование системных конфигурационных файлов, в том числе и реестра, а также создание диска аварийного восстановления (Emergency Repair Disk, ERD) перед каждым внесением серьезных конфигурационных изменений в систему (включая установку новых устройств или нового программного обеспечения) должно быть привычкой каждого пользователя. Весьма желательно также иметь работоспособную резервную копию всех важных данных. Подробные инструкции по выполнению этих операций будут приведены далее.
Рекомендуется ежедневно просматривать журналы системных событий (как минимум, журналы системы и приложений). В особенности обращайте внимание на ошибки, генерируемые драйвером FtDisk и драйверами жестких дисков, т. к. они могут указывать на возможные повреждения файловой системы. Если эта рекомендация не выполняется, то ошибки файловой системы могут остаться незамеченными до тех пор, пока программа Chkdsk не укажет на их существование. Стоит отметить, что при этом поврежденные данные могут попасть и на резервную копию, поскольку программы резервного копирования (в том числе и встроенная программа Backup, включенная в состав Windows 2000) не могут распознавать ошибки и повреждения в пользовательских данных.
Регулярно выполняйте проверку дисков для своевременного обнаружения ошибок файловой системы. Кроме того, рекомендуется регулярно дефрагментировать диски, что позволит увеличить производительность. Стоит дать отдельное предупреждение о том, что для дефрагментации следует применять только встроенные средства Windows 2000 или утилиты сторонних производителей, имеющие статус "Designed for Windows 2000". Информацию о программном обеспечении, тестировавшемся на совместимость с Windows 2000, в том числе и об утилитах дефрагментации дисков, можно найти по адресу http://www.microsoft.com.

 

4. Изготовление загрузочных дискет

 

Изготовление загрузочных дискет

Несмотря на то, что в составе Windows 2000 появились новые встроенные средства устранения неполадок с загрузкой, к числу которых относятся так называемый безопасный режим (safe mode) и консоль восстановления (Recovery Console), о которых речь пойдет далее в этой главе, в ряде случаев вам очень пригодится и загрузочная дискета Windows 2000. Разумеется, безопасный режим предоставляет удобное средство для устранения неполадок с загрузкой, например, если в системе установлен несовместимый или некорректно работающий драйвер устройства. Однако в некоторых ситуациях опции безопасного режима не помогут. В частности, эта ситуация возникнет, если получит повреждение один из системных модулей или жизненно важный драйвер устройства, принадлежащий к минимальному набору драйверов, которые должны быть загружены в любом случае. Также подобная проблема возникнет, если повреждена, например, такая важная структура данных, как главная загрузочная запись (MBR). Для таких случаев в состав Windows 2000 включено новое, мощное средство — Консоль восстановления, которое обсуждается далее в этой главе.

Однако если опция запуска консоли восстановления не включена в меню загрузчика, то для доступа к этому средству потребуется так или иначе запустить программу Windows 2000 Setup. Такой метод запуска консоли восстановления является "штатным" и официально рекомендуемым. Однако если имеющееся в вашем распоряжении устройство CD-ROM не является загрузочным, возможен только запуск консоли восстановления с помощью четырех установочных дискет Windows 2000 (а кстати, вы не забыли их изготовить?).

Загрузка с дискет занимает довольно много времени. Есть лучший метод: изготовьте загрузочные дискеты Windows 98 и Windows 2000. При загрузке с такой дискеты и последующем запуске программы winnt32 все процедуры пройдут намного быстрее (попробуйте и убедитесь).

Для изготовления загрузочной дискеты Windows 2000:

1. Отформатируйте дискету из Windows 2000.
2. Скопируйте на эту дискету следующие файлы:
  • Ntldr
  • Ntdetect.com
  • Boot.ini
  • Bootsect.dos — если вы имеете мультизагрузочную систему и хотите обеспечить возможность загрузки с этой дискеты также для Windows 9.x или DOS
  • Ntbootdd.sys — если в файле Boot.ini применяется синтаксис scsiо

Загрузочная дискета Windows 2000 поможет выполнить загрузку компьютера в следующих случаях:

Повреждены главная загрузочная запись и/или загрузочный сектор раздела на системном разделе.
Возникли проблемы с диском, на котором находится системный раздел (загрузочный раздел находится на другом диске).
Вы выполняете переконфигурированйе жестких дисков и хотите обеспечить возможность запуска Windows NT/2000 в случае возникновения проблем.

 

5. Обзор средств защиты от сбоев и восстановления поврежденной системы

 

Обзор средств защиты от сбоев и восстановления поврежденной системы

Если процедура POST завершилась успешно, то аппаратные средства компьютера инициализировались корректно. Если при этом в процессе загрузки Windows 2000 все же происходит сбой, возможно, что проблема с загрузкой возникает по следующим причинам:

Проблемы с жестким диском, на котором находится системный раздел (загрузочный раздел может находиться на другом диске).
Повреждение главной загрузочной записи (Master Boot Record, MBR) или загрузочного сектора на системном разделе.
Отсутствие или повреждение одного из файлов, необходимых для загрузки Windows 2000. Список файлов, жизненно важных для загрузки Windows 2000, был приведен в главе 2.

В составе Windows 2000 имеется целый набор средств, позволяющих восстановить поврежденную систему, ниже перечислены основные:

Средства защиты системных файлов цифровой подписью. Windows 2000 предоставляет набор средств, позволяющих гарантировать защиту системных файлов и драйверов устройств от их случайной замены при установке дополнительного программного обеспечения. Во всех предыдущих версиях Windows системные файлы, в том числе динамически загружаемые библиотеки (*.dll) и исполняемые файлы (*.ехе) не имели такой защиты: При их замене некорректно работающей или несовместимой версией были возможны самые разнообразные последствия — от снижения общей производительности системы до ее катастрофического, сбоя. Набор средств защиты файлов цифровой подписью включает в свой состав такие средства, как защита системных файлов (Windows File Protection, WFP; в бета-версиях это средство называлось System File Protection, SFP), проверка Системных файлов (System File Checker,, SFC) и верификация цифровой подписи файлов (File Signature Verification, FSV).
Безопасный режим загрузки (Safe mode). Эта опция, напоминающая аналогичную опцию загрузки Windows 95/98, является новшеством, выгодно отличающим Windows 2000 от предыдущих версий Windows NT. В безопасном режиме система загружается с минимальным набором драйверов устройств и сервисов. Безопасный режим также предоставляет средства

быстрого восстановления системы после сбоев, вызванных некорректной установкой нового программного обеспечения или драйверов устройств. Однако применение безопасного режима загрузки помогает не во всех случаях. Например, это практически бесполезно, если повреждены системные файлы или жесткий диск. Более подробная информация об опциях загрузки в безопасном режиме будет приведена далее в этой главе.

Консоль восстановления (Recovery Console). Функции консоли восстановления предоставляют интерфейс командной строки, с помощью которого можно выполнить восстановление поврежденной системы. Консоль восстановления также является новой функциональной возможностью, впервые введенной в Windows 2000. С помощью консоли восстановления можно активизировать и блокировать запуск сервисов, восстанавливать поврежденные главные загрузочные записи и загрузочные сектора разделов, а также заменять поврежденные системные файлы их работоспособными копиями. Эта функция предоставляет максимум возможностей по управлению процессом восстановления, и поэтому доступна только пользователям, имеющим административные права в восстанавливаемой системе. Синтаксис команд консоли восстановления подробно обсуждается ниже в этой главе.
Диск аварийного восстановления (Emergency Repair Disk, ERD). Процесс аварийного восстановления системы с помощью ERD применялся и в более ранних версиях Windows NT, однако с появлением Windows 2000 в этот процесс были внесены некоторые изменения. Применение диска аварийного восстановления позволит решить проблемы с поврежденными системными файлами, нарушениями конфигурации в мультизагрузочных системах, а также с поврежденным загрузочным сектором на загрузочном разделе. Процедура изготовления диска аварийного восстановления и его применение подробно рассмотрены далее в этой главе. Здесь же отметим, что основным нововведением, внесенным в этот процесс по сравнению с его реализацией в Windows NT 4.0, является то, что теперь предоставляется возможность выполнить процесс аварийного восстановления, даже если ERD не был изготовлен заблаговременно. Однако в случае выполнения процедуры аварийного восстановления без ERD все изменения, внесенные в состав системы, будут потеряны, а установленное в системе дополнительное программное обеспечение может потребовать переустановки.

Все эти средства подробно описаны в данной главе.

 

6. Зашита системных файлов Windows 2000

 

Защита системных файлов Windows 2000

Все системные файлы и драйверы в Windows 2000 защищены с, помощью цифровой подписи. Это сделано, чтобы гарантировать их совместимость с операционной системой Windows 2000. Цифровая подпись Microsoft гарантирует, что файл, подписанный ею, тестировался на совместимость с Windows 2000 и не был модифицирован или переписан во время установки дополнительного программного обеспечения.

В зависимости от установленных опций настройки, Windows 2000 может либо игнорировать драйверы, не имеющие цифровой подписи, либо выводить предупреждение при обнаружении таких драйверов (эта опция используется по умолчанию), или же просто не допускать их установки. Чтобы установить опции защиты системных файлов в Windows 2000, проделайте следующее:

1. Вызовите опцию Система (System) на панели управления и перейдите на вкладку Оборудование (Hardware).
2. Нажмите кнопку Подписывание драйверов (Driver Signing). На экране появится диалоговое окно Параметры подписывания драйвера (Driver Signing Options), в котором имеется группа Проверка подписи файла (File signature verification), позволяющая установить следующие опции:
  • Если установлен переключатель Пропустить (Ignore), то система даст возможность устанавливать любые драйверы, игнорируя наличие или отсутствие цифровой подписи. Как уже упоминалось, отсутствие у драйвера или системного файла цифровой подписи указывает на то, что его совместимость с Windows 2000 официально не подтверждена, и он, возможно, станет источником проблемы.
  • Если установлен переключатель Предупреждать (Warn), то система будет выводить предупреждающие сообщения при попытке установить драйвер, не имеющий цифровой подписи. Обратите внимание, что несмотря на вывод предупреждения драйвер, тем не менее, будет установлен.
  • Если установлен переключатель Блокировать (Block), то драйверы, не имеющие цифровой подписи, устанавливаться не будут.

Примечание

Пользователи, зарегистрировавшиеся в системе как Администратор или являющиеся членами группы Администраторы, имеют возможность установить режим, при котором выбранная ими опция будет применяться как опция по умолчанию для всех пользователей, регистрирующихся на данном компьютере. Для этого в группе Административный параметр (Administrator option) следует установить флажок Использовать в качестве системного параметра по умолчанию (Apply setting as system default).

Кроме того, в состав Windows 2000 входят следующие функциональные возможности по защите драйверов и системных файлов, гарантирующие их неизмененное состояние:

Защита системных файлов (Windows File Protection)
Проверка системных файлов (System File Checker)
Верификация цифровой подписи (File Signature Verification)

 

7. Защита системных файлов (Windows File Protection)

 

Защита системных файлов (Windows File Protection)

Все версии Windows, предшествовавшие Windows 2000, имели один общий недостаток — при установке дополнительного программного обеспечения практически любые совместно используемые системные файлы, в том числе *.dll и *.ехе, могли быть изменены. Последствия замены этих файлов некорректными или несовместимыми версиями могли быть непредсказуемыми: от снижения производительности операционной системы до некорректного поведения остальных приложений, периодического появления ошибок STOP и даже проблем с загрузкой.

В Windows 2000 впервые за всю историю Windows сделана попытка исправления этой ситуации. Функция защиты системных файлов, работающая по принципу определения цифровых подписей защищенных системных файлов (в их число входят файлы с расширениями sys, dll, ocx, ttf, fon и ехе), не позволяет произвольно модифицировать и замещать эти файлы. Данная функция работает в фоновом режиме и защищает все файлы, установленные программой Windows 2000 Setup.

Функция защиты системных файлов выявляет все попытки других программ выполнить замену или перемещение защищенных системных файлов, выполняя проверку наличия у файла цифровой подписи, свидетельствующей о том, что версия, предназначенная на замену, совместима с Windows 2000. Если новая версия системного файла не является корректной, то этот файл замещается резервной копией из папки % SystemRoot%\System32\Dl\cache или с компакт-диска Windows 2000. Если функция защиты системных фай~ лов не может обнаружить надлежащей версии файла, она предлагает пользователю указать путь к каталогу, из которого такая Версия может быть скопирована, а также регистрирует попытку замещения файла в системном журнале событий. По умолчанию эта функция всегда активизирована и позволяет выполнять замену системных файлов только в случае установки следующих видов программного обеспечения:

Сервисные пакеты Windows 2000 (с использованием программы Update.exe) QQДистрибутивные пакеты типа Hotfix (с использованием Hotfix.exe)
Обновление версии операционной системы (с помощью Winnt32.exe)
Программное обеспечение Windows Update

 

8. Проверка системных файлов (System File Checker)

 

Проверка системных файлов (System File Checker)

В состав Windows 2000 включено средство проверки системных файлов (System File Checker, Sfc.exe), которое представляет собой утилиту командной строки. Эта утилита сканирует все установленные системные файлы и выполняет проверку их версий при перезагрузке компьютера. Если эта утилита обнаружит, что один из защищаемых системных файлов был замещен,

она найдет корректную версию этого файла в каталоге %SystemRoot% \system32\dllcache и запишет ее поверх измененного файла.

Эта утилита командной строки имеет следующий синтаксис:

sfc [/scannow] [/scanonce] [/scanboot] [/cancel] [/quiet] [/enable] [/purgecache] [/cachesize=x]

где:

/scannow — параметр, при использовании которого выполняется немедленное сканирование всех защищаемых системных файлов.

/scanonce — параметр, указывающий на необходимость однократного сканирования всех защищаемых системных файлов при следующей загрузке системы.

/scanboot — параметр, задающий опцию сканирования всех защищаемых системных файлов при каждой загрузке системы.

/cancel — параметр, отменяющий все отложенные запросы на сканирование защищаемых системных файлов.

/quiet — параметр, при установке которого замена всех некорректных версии защищаемых файлов будет происходить без вывода предупреждения для пользователя.

/enable — устанавливает стандартный режим работы средства System File Checker.

/purgecache — очищает файловый кэш WFP и выполняет немедленное сканирование системных файлов.

/cachesize=x — устанавливает размер файлового кэша WFP (в Мбайт).

Примечание

Чтобы иметь возможность работы с утилитой sfc.exe, необходимо зарегистрироваться на компьютере как Администратор или как пользователь, являющийся членом группы Администраторы.

Если содержимое папки %System/?oor%\System32\dllcache окажется поврежденным, воспользуйтесь опциями sfc /scanonce, sfc /scannow или sfc /scanboot, которые позволят восстановить содержимое папки Dllcache.

 

9. Верификация цифровой подписи файлов (File Signature Verification)

 

Верификация цифровой подписи файлов (File Signature Verification)

Как уже говорилось, в некоторых случаях установка нового программного обеспечения приводит к замещению системных файлов некорректными или несовместимыми версиями (которые, естественно, не имеют цифровой подписи). Такая замена, как уже неоднократно упоминалось, как раз и может послужить источником нестабильности системы (в том числе ошибок типа "синий экран" и проблем с загрузкой Windows 2000).

Во избежание таких проблем все системные файлы, устанавливаемые в процессе инсталляции операционной системы Windows 2000, снабжены цифровой подписью Microsoft. Если системный файл имеет подпись, это служит гарантией его совместимости с Windows 2000 и указывает на то, что данный файл либо представляет собой оригинальную версию, разработанную Microsoft, либо прошел тестирование и признан пригодным для использования с Windows 2000. Верификация цифровой подписи файлов позволяет идентифицировать все установленные на проверяемом компьютере файлы, не имеющие цифровой подписи, и получить об этих файлах следующую информацию:

Имя файла и точный путь к нему
Дату модификации файла
Тип файла и точный номер его версии

Чтобы запустить средство верификации цифровых подписей файлов, нажмите кнопку Пуск, из раскрывшегося меню выберите команду Выполнить И введите команду sigverif .

Максимальную практическую пользу при устранении проблем, связанных с заменой системных файлов некорректными версиями, можно получить, регистрируя информацию, собранную программой Sigverif, в файле журнала. Для этой цели проделайте следующее:

1. Запустите программу Sigverif, и в появившемся на экране окне Проверка подписи файла (File Signature Verification) нажмите кнопку Дополнительно (Advanced).
2. В раскрывшемся диалоговом окне Дополнительные параметры проверки подписи файла (Advanced File Signature Verification Settings) перейдите на вкладку Ведение журнала (Logging) (рис. 8.1) и установите флажок Сохранять результаты проверки подписи в журнале (Save the file signature verification results to a log file).
3. Перейдите в группу Параметры журнала (Logging options), где имеется возможность установить по выбору следующие опции ведения файла журнала:
  • Добавлять к существующему журналу (Append to existing log file) — если установить этот переключатель, то результаты новой операции поиска будут добавлены в конец существующего файла журнала.
  • Заменять существующий журнал (Overwrite existing log file) — если выбран этот переключатель, то результаты новой операции сканирования заместят существующий файл журнала.
  • В поле Имя файла журнала (Log file name) можно вручную ввести имя файла журнала.
4. Нажмите кнопку ОК. Вы вернетесь в окно Проверка подписи файла. Чтобы начать операцию сканирования, нажмите в этом окне кнопку Начать (Start). Степень завершенности процесса сканирования будет отражаться индикатором Просмотр файлов (Scanning files). Для отмены сканирования нажмите кнопку Остановить (Stop). По завершении процесса сканирования на экране появится окно Результаты проверки подписи (Signature Verification Results) (рис. 8.2), в котором будет отображен список всех обнаруженных файлов, не имеющих цифровой подписи.

 

Рис. 8.1. Вкладка Ведение журнала (Logging) окна Дополнительные параметры проверки подписи файла (Advanced File Signature Verification Settings)

 

Рис. 8.2. Окно Результаты проверки подписи (Signature Verification Results)

 

1.gif

Изображение: 

2.gif

Изображение: 

3.gif

Изображение: 

10. Безопасный режим загрузки (Safe mode)

 

Безопасный режим загрузки (Safe mode)

Загрузчик Windows 2000 (NTLDR) отображает на экране меню, из которого можно выбрать запускаемую операционную систему (см. главу 2). Если при появлении меню загрузки Windows 2000 нажать клавишу <F8>, то на экране появится меню опций отладки и дополнительных режимов загрузки, которое будет оставаться на экране до тех пор, пока не будет выбрана одна из опций.

При загрузке в безопасном режиме Windows 2000 использует стандартные параметры настройки (монитор VGA, без запуска сетевых средств, с запуском минимального количества драйверов - фактически, запускаются только драйверы, минимально необходимые для запуска Windows). Например, если после инсталляции нового программного обеспечения Windows 2000 перестала запускаться, то вполне возможно, что загрузка в безопасном режиме позволит выполнить запуск операционной системы с минимальным количеством сервисов и драйверов. После загрузки вы сможете изменить параметры настройки компьютера, не позволяющие выполнить корректную загрузку Windows 2000, или удалить программное обеспечение, вызвавшее эти проблемы.

Если вы имеете некоторый опыт работы с Windows NT 4.0, то наверняка знаете, что в этой системе проблемы с загрузкой чаще всего вызывались некорректно работающими драйверами устройств. Такие несовместимые драйверы могли привести к краху системы либо сразу же после инсталляции, либо даже после некоторого времени, когда их работа на первый взгляд казалась корректной. Причем вторая ситуация, когда драйвер в течение некоторого времени все же работал, не вызывая никаких проблем, всегда была более труднообъяснимой,(а в самом деле, что же могло вызвать ошибку?). При этом, хотя на первый взгляд и кажется, что нет причин, которые могли бы хоть как-то объяснить это непредсказуемое поведение, причины этому все же есть. Заключаются они в том, что как программная, так и аппаратная конфигурация компьютера со временем могут меняться, а эти изменений могут спровоцировать ошибки, допущенные при проектировании драйвера и оставшиеся незамеченными. Windows 2000, как и Windows NT 4.0, тоже может быть выведена из строя установкой несовместимого драйвера. Однако загрузка в безопасном режиме (safe mode), концепция которого была позаимствована из Windows 9x, предоставляет более удобные средства быстрого восстановления системы после подобных ошибок, нежели Windows NT 4.0.

Если несовместимый драйвер вызывает проблему при первой же перезагрузке, то вам очень повезло, потому что, как правило, в этом случае вам действительно поможет опция Загрузка последней удачной конфигурации (Last Known Good Configuration). Когда пользователь выбирает из меню безопасного режима эту опцию, система при загрузке использует информацию ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet и восстановит всю конфигурационную информацию, сохраненную после того, как компьютер в последний раз был успешно загружен. В ряде случаев, если использование опции Загрузка последней удачной конфигурации не помогло, но вам известен драйвер, вызвавший проблему (список таких драйверов можно получить с помощью утилиты Sigverif, описанной ранее в этой главе), то вы можете попробовать другие способы быстрого восстановления. Например, можно попытаться использовать такие опции меню безопасного режима, как Безопасный режим (Safe Mode), Безопасный режим с загрузкой сетевых драйверов (Safe Mode with Networking) или Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt). Как уже говорилось, при использовании этих опций Windows 2000 загружается с минимальным набором драйверов и сервисов. После загрузки системы вы сможете удалить из системы проблемный драйвер с помощью штатных средств Windows 2000 — Мастера оборудования (Hardware Wizard) или Диспетчера устройств (Device Manager). (Чтобы вызывать мастер оборудования, выберите из меню Пуск опции Настройка, Панель управления, Установка оборудования (Settings, Control Panel, Add/Remove Hardware), а для вызова диспетчера устройств используйте опцию Пуск, Настройка, Панель управления, Система (Start, Settings, Control Panel, System), перейдите на вкладку Оборудование и нажмите кнопку Диспетчер устройств.) Если системный и загрузочный раздел отформатированы для использования файловой системы FAT, можно попытаться загрузить компьютер с помощью загрузочной дискеты MS-DOS (или Windows 9x) и вручную удалить или переименовать файл проблемного драйвера.

 

11. Процедуры резервного копирования и восстановления

 

Процедуры резервного копирования и восстановления

Как и в предыдущих версиях Windows NT, официально рекомендуемым методом резервного копирования и восстановления данных в Windows 2000 является использование встроенной утилиты Архивация (Backup). Однако если в Windows NT 4.0 эта программа имела ряд весьма существенных ограничений, к числу которых относились необходимость наличия в локальной системе совместимого с Windows NT ленточного устройства и весьма ограниченный список таких устройств, то в версии программы архивации, входящей в состав Windows 2000, эти недостатки устранены. Новая версия программы обеспечивает поддержку различных видов носителей резервной копии, что позволяет выполнять резервное копирование на любое устройство хранения информации, поддерживаемое операционной системой. К числу таких устройств относятся любые гибкие или жесткие диски, магнитооптические накопители и другие устройства, а не только стримеры.

Чтобы вызвать программу архивации в Windows 2000, выберите из меню Пуск команду Программы, Стандартные, Служебные, Архивация данных (Programs,

Accessories, System Tools, Backup) (разумеется, в случае частого использования этой программы для нее можно создать ярлык на рабочем столе). Помимо этого традиционного способа, вызов программы архивации можно осуществить и через контекстное меню, выводимое по нажатию правой кнопки мыши. Для этого в окнах Проводник или Мой компьютер (My Computer) укажите курсором диск, для которого требуется выполнить резервное копирование, выполните щелчок правой кнопкой мыши и выберите из раскрывшегося меню команду Свойства (Properties). В появившемся диалоговом окне перейдите на вкладку Сервис (Tools) и нажмите кнопку Выполнить архивацию (Backup Now) (рис. 8.3).

Рис. 8.3. Вкладка Сервис (Tools) диалогового окна свойств диска позволяет быстро выполнить резервное копирование всех файлов, расположенных на этом диске

Примечание

Перед резервным копированием рекомендуется выполнить проверку файловой системы диска, чтобы полученная резервная копия была качественной и работоспособной. Следует помнить, что программы резервного копирования (в том числе и программа Архивация, включенная в состав Windows 2000), не могут распознавать ошибки и повреждения в пользовательских данных. Обратите внимание, что предложенный метод делает данную операцию очень удобной — просто нажмите кнопку Выполнить проверку (Check Now), расположенную на этой же вкладке.

 

4.gif

Изображение: 

12. Резервное копирование системных конфигурационных файлов

 

Резервное копирование системных конфигурационных файлов

Помимо множества новых и чрезвычайно удобных функциональных возможностей, программа архивации позволяет выполнить процедуру резервного копирования всех системных конфигурационных файлов. Чтобы упростить процедуру восстановления после сбоев, резервное копирование конфигурационных файлов рекомендуется выполнять регулярно. Сделать это можно двумя различными способами. Первый способ заключается в использовании Мастера архивации (Backup wizard), который можно вызвать, нажав кнопку Мастер архивации (Backup Wizard) на вкладке Добро пожаловать (Welcome) окна программы архивации. Чтобы выполнить резервное копирование системных конфигурационных файлов, установите переключатель Архивировать только данные состояния системы (Only back up the System State data) во втором окне этого мастера, нажмите кнопку Далее (Next) и далее следуйте инструкциям, появляющимся на экране. Этот метод рекомендуется начинающим пользователям, не имеющим достаточного опыта в работе с системой.

Помимо использования мастера резервного копирования, эту процедуру можно выполнить и вручную. Для этого вызовите программу архивации, перейдите на вкладку Архивация (Backup) и вручную выберите из списка дисков, файлов и папок, подлежащих резервному копированию, опцию Состояние системы (System State) (рис. 8.4). В поле Размещение архива (Backup destination) выберите ленточное устройство (если оно установлено на компьютере, и резервное копирование должно быть выполнено на ленту, вставленную в это устройство) или выберите опцию Файл (File) (если резервное копирование должно выполняться в файл). Если компьютер не оснащен ленточным устройством, то опция Файл всегда будет выбрана по умолчанию. Если резервное копирование будет выполняться в файл, то в поле Носитель архива или имя файла (Backup media or file name) укажите путь к файлу, в который будет выполняться резервное копирование (файлы резервных копий всегда имеют расширение bkf) или нажмите кнопку Обзор (Browse), чтобы найти нужный файл. Если резервное копирование должно выполняться на ленту, выберите ленту, на которую будет выполняться резервное копирование. Дополнительные опции резервного копирования можно задать, выбрав команду Параметры (Options) меню Сервис (Tools). Чтобы начать процедуру резервного копирования, нажмите кнопку Запуск (Start Backup).

Наверняка любой более или менее любознательный пользователь задастся вопросом: а что же именно скрывается за общим названием "Состояние системы"? Ответ на данный вопрос на первый взгляд кажется очевидным: ведь в правой панели окна программы архивации (рис. 8.4) отображается список типов файлов, которые включаются в состав резервной копии, когда пользователь выбирает опцию Состояние системы. Однако обратите внимание, что программа архивации не позволяет осуществлять выборочное резервное копирование, флажки напротив опций, отображенных в правой панели, затенены, и их нельзя устанавливать или сбрасывать. Помимо этого, для Windows 2000 Professional и Windows 2000 Server набор файлов, считающихся конфигурационными файлами системы, будет различным. В системах Windows 2000 Professional в этот набор включаются следующие файлы:

Реестр
Регистрационная база данных классов СОМ+
Файлы, необходимые для загрузки (Boot files)

 

Рис. 8.4. Чтобы системные конфигурационные файлы были включены в состав резервной копии, установите флажок Состояние системы (System State)

Для систем Windows 2000 Server набор системных конфигурационных данных включает все те же компоненты, что и для Windows 2000 Professional, а также следующие данные:

Базу данных службы сертификатов (Certificate Services database), если сервер является сервером сертификатов.
Базу данных Active Directory и каталог SYSVOL, если сервер является контроллером домена.
Информацию, необходимую для восстановления кластера, если на сервере работает сервис кластера. Эта информация включает данные контрольных точек реестра и журнал восстановления ресурса кворума (quorum resource), который содержит информацию о базе данных кластера.

Примечание

Как уже упоминалось, если выбрана опция резервного копирования системных конфигурационных данных (Состояние системы), то программа архивации не позволит выполнить выборочное резервное копирование отдельных компонентов этого набора, что объясняется взаимозависимостью данных компонентов.

Помимо этого, важно отметить следующее:

Чтобы выполнить резервное копирование данных из набора Состояние системы, необходимо иметь в системе права администратора или оператора резервного копирования (один из пользователей, включенных в группу Операторы архива (Backup operators)).
В любом случае можно выполнить резервное копирование системных конфигурационных данных только для локального компьютера. Резервное копирование этих данных для удаленного компьютера выполнить нельзя.
При выполнении резервного копирования данных из набора Состояние системы, система сохраняет копии файлов реестра в папке %SystemRoot% \repair\regback. В случае удаления или повреждения файлов реестра резервные копии его файлов, сохраненные в этой папке, могут использоваться для восстановления системы без необходимости прибегать к полной процедуре восстановления системных конфигурационных данных (однако применять этот метод могут только опытные пользователи, хорошо знающие принципы загрузки и функционирования системы).

 

5.gif

Изображение: 

13. Восстановление системных конфигурационных данных

 

Восстановление системных конфигурационных данных

Если все ваши попытки восстановить поврежденную систему завершатся неудачей, и не останется другого выхода кроме переинсталляции, работоспособная копия системных конфигурационных данных вам очень и очень пригодится.

Чтобы восстановить системные конфигурационные данные (Состояние системы), вызовите программу архивации, в раскрывшемся окне перейдите на вкладку Восстановление (Restore) и в списке Установите флажки для всех объектов, которые вы хотите восстановить (Click to select the check box for any drive, folder, or file that you want to restore) выберите опцию Состояние системы (System State). Затем нажмите кнопку Восстановить (Start Restore), и в ходе операции восстановления будут восстановлены данные системных

конфигурационных файлов, а также любые другие данные, выбранные для восстановления.

Примечание

Если при восстановлении системных конфигурационных данных не указан альтернативный каталог для их восстановления, то программа архивации удалит все системные данные, используемые на текущий момент, и заменит их системными конфигурационными данными с резервной копии. Помимо этого, вследствие взаимозависимости всех компонентов, образующих системные конфигурационные данные, они включаются в процедуры резервного копирования и восстановления только как единое целое.

Тем не менее, восстановление компонентов системных конфигурационных данных можно выполнять в другой (альтернативный) каталог, и в этом случае будут восстановлены только файлы реестра, файлы из каталога SYSVOL, файлы базы данных кластера и файлы, необходимые для загрузки системы. База данных Active Directory, база данных сервера сертификатов и информация классов СОМ+ в этом случае восстановлены не будут.

Кроме того, восстанавливая системные конфигурационные данные, необходимо помнить о следующих факторах:

Для выполнения восстановления системных конфигурационных данных необходимо иметь в локальной системе права администратора или оператора резервного копирования.
Если восстановление системных конфигурационных данных выполняется на контроллере домена, то пользователь, осуществляющий процедуру восстановления, должен будет выбрать режим выполнения этой операции. По умолчанию программа архивации выполняет восстановление данных о конфигурации системы в так называемом неавторитарном (nonautho-ritative) режиме, при использовании которого все данные, реплицируемые на другие контроллеры домена (например, базы данных Active Directory или содержимое каталога SYSVOL) после восстановления с резервной копии будут обновляться данными, поступающими с других контроллеров домена. Чтобы изменить это положение вещей, необходимо выполнять восстановление в так называемом авторитарном, или принудительном (authoritative) режиме, с помощью специально предназначенной для этого утилиты Ntdsutil, которую следует запускать сразу же после восстановления данных, но до перезагрузки контроллера домена. Утилита Ntdsutil позволяет помечать объекты для авторитарного восстановления, что гарантирует их правильную репликацию после восстановления данных. Более подробную информацию по данному вопросу можно найти в справочной системе Windows 2000, а саму утилиту Ntdsutil — в составе пакета Resource Kit.
Перед восстановлением системных конфигурационных данных на контроллере домена необходимо выполнить загрузку компьютера в режиме, называемом режимом восстановления службы каталогов (directory services

restore mode), который представляет собой один из дополнительных вариантов загрузки. Этот режим позволит восстановить каталог SYSVOL и базу данных Active Directory.

Восстановление системных конфигурационных данных можно произвести только на локальном компьютере. Как и резервное копирование, эта операция не может производиться на удаленных компьютерах.

 

14. Изготовление диска аварийного восстановления

 

Изготовление диска аварийного восстановления

Если в Windows NT 4.0 изготовление диска аварийного восстановления (Emergency Repair Disk, ERD) выполнялось при помощи утилиты Rdisk.exe, отлично известной всем опытным пользователям и специалистам из групп технической поддержки, то в Windows 2000 эти функции были перенесены в программу архивации. Чтобы изготовить ERD для Windows 2000, проделайте следующее:

1. Приготовьте свободную дискету емкостью 1,44 Мбайт.
2. Запустите программу архивации. В окне программы выберите из меню Сервис (Tools) команду Создание диска аварийного восстановления (Create an Emergency Repair Disk).
3. На экране появится окно Диск аварийного восстановления, в котором настоятельно рекомендуется установить флажок Архивировать реестр в папку восстановления (Also backup the registry to the repair directory), поскольку, как было убедительно показано в главе 2, реестр является одним из жизненно важных компонентов системы, и его повреждение может привести к сбою уже на самых ранних этапах загрузки.

Примечание

Резервное копирование реестра будет произведено в папку %SystemRoot% \repair. Процедура аварийного восстановления использует информацию из этой папки, поэтому никогда не следует ни удалять, ни модифицировать ее содержимое.

 

4. Нажмите кнопку ОК, и программа архивации создаст диск аварийного восстановления.

Не забывайте выполнять эту процедуру каждый раз перед внесением серьезнее изменений в системную конфигурацию.

 

15. Консоль восстановления (Recovery Console) Windows 2000

 

Консоль восстановления (Recovery Console) Windows 2000

Консоль восстановления Windows 2000 (Recovery Console) представляет собой консоль с интерфейсом командной строки, предоставляющую администраторам и пользователям с административными правами необходимый

минимум средств, позволяющих выполнить восстановительные процедуры в системе, имеющей проблемы с загрузкой. Используя консоль восстановления, можно запускать и останавливать сервисы, форматировать диски, выполнять чтение и запись данных на локальные жесткие диски (включая и те, которые отформатированы для использования файловой системы NTFS), устранять проблемы с поврежденной главной загрузочной записью (MBR) и поврежденными загрузочными секторами, а также выполнять другие административные задачи.

Примечание

Не следует думать, что консоль восстановления — это нечто похожее на режим эмуляции MS-DOS в системах Windows Эх! В консоли восстановления доступ к файловой системе ограничен: можно обращаться только к корневым каталогам дисков, системному каталогу выбранной инсталляции, дискетам и компакт-диску. Кроме того, можно выполнять только ограниченный (хотя и довольно обширный) набор команд.

Особенно полезной эта новая возможность Windows 2000 может оказаться в том случае, если для восстановления системы требуется скопировать на жесткий диск один или несколько системных файлов (с дискеты или компакт-диска) или же переконфигурировать сервис или драйвер, некорректная конфигурация которого мешает выполнить загрузку Windows 2000.

Примечание

Для применения консоли восстановления необходимо зарегистрироваться в выбранной операционной системе как администратор или пользователь с аналогичными правами.

 

16. Способы запуска консоли восстановления

 

Способы запуска консоли восстановления

Существуют следующие способы запуска консоли восстановления:

Если вы не можете выполнить загрузку Windows 2000 с жесткого диска, запустите консоль с установочных дискет Windows 2000 (информацию об их изготовлении можно найти в главе 1) или с дистрибутивного компакт-диска Windows 2000 (если на вашем компьютере установлено устройство CD-ROM, с которого можно выполнять загрузку операционной системы).
Альтернативный вариант — консоль можно установить на жестком диске вашего компьютера и включить ее как одну из доступных опций в меню загрузки.

 

17. Запуск консоли восстановления из программы Windows 2000 Setup

 

Запуск консоли восстановления из программы Windows 2000 Setup

Как уже говорилось, консоль восстановления можно запустить из программы установки Windows 2000. Разумеется, для этой цели вам потребуется загрузочное устройство CD-ROM или установочные дискеты Windows 2000, инструкции по изготовлению которых были приведены в главе 1. Независимо от того, каким образом будет запушена программа Windows 2000 Setup, в этом случае вам придется затратить некоторое время на ожидание (ждать придется до тех пор, пока не завершится процесс начального копирования файлов). При появлении экрана, где программа Windows 2000 Setup приглашает к инсталляции системы и предлагает на выбор установить Windows 2000, восстановить поврежденную копию Windows 2000 или завершить программу установки, нажмите клавишу <R> (Восстановление).

После этого вам будут предложены на выбор две опции по восстановлению поврежденной системы: с помощью консоли восстановления или с помощью диска аварийного восстановления. Если вы заранее изготовили диск аварийного восстановления (ERD), без колебаний выбирайте вторую из предложенных опций (нажмите клавишу <R> и далее следуйте инструкциям программы). Более подробно данная процедура описана далее в этой главе, Однако консоль восстановления предлагает более широкий набор средств восстановления (в том числе и для тех случаев, когда в вашем распоряжении нет ERD). В том числе, консоль дает возможность выполнять следующие задачи:

Форматировать разделы
Запускать и останавливать сервисы
Выполнять чтение и запись файлов
Восстанавливать поврежденные главные загрузочные записи (MBR)

Для использования консоли восстановления нажмите клавишу <С>. После выбора опции исправления установки Windows 2000 через консоль восстановления вам будет предложено указать установленную копию Windows 2000, которую требуется восстановить, а затем — ввести пароль администратора для этой системы.

 

18. Установка консоли восстановления на жесткий диск

 

Установка консоли восстановления на жесткий диск

Чтобы установить консоль восстановления на жесткий диск и указывать ее в качестве одной из опций меню загрузки, проделайте следующее:

1. Зарегистрируйтесь в Windows 2000 как администратор или пользователь, принадлежащий к группе Администраторы. . Вставьте дистрибутивный компакт-диск Windows 2000 в устройство CD-ROM. . Нажмите кнопку Нет (No), если вам будет предложено обновить операционную систему до Windows 2000.
2. В режиме командной строки перейдите на дистрибутивный диск Windows 2000 и введите команду

\1386\winnt32.exe /cmdcons

3. Следуйте инструкциям, появляющимися на экране.

 

19. Удаление консоли восстановления

 

Удаление консоли восстановления

Если требуется удалить консоль восстановления из списка опций, доступных из меню загрузки, проделайте следующее:

1. Из корневого каталога системного раздела удалите папку \Cmdcons и файл Cmldr.

Примечание

Папка \Cmdcons и файл Cmldr имеют атрибуты скрытый (Hidden) и системный (System), а это значит, что они принадлежат к числу файлов, защищаемых операционной системой, и по умолчанию не отображаются графической оболочкой Windows (см. главу 4).

 

2. Снимите атрибут только чтение (Read-Only) у файла Boot.ini и раскройте его с помощью Блокнота (Notepad). Найдите в этом файле строку, соответствующую опции запуска консоли управления, и удалите ее. Пример, иллюстрирующий, как может выглядеть такая строка, приведен ниже:

С:\cmdcons\bootsect.dat="Microsoft Windows 2000 Recovery Console" /cmdcons

Примечание

После сохранения файла Boot.ini рекомендуется восстановить у него атрибут защиты от записи.

 

20. Использование консоли восстановления

 

Использование консоли восстановления

Интерфейс консоли восстановления представляет собой полноэкранный интерфейс командной строки (как в MS-DOS). Фактически, ориентироваться в работе с консолью вам поможет команда help, которая, как несложно догадаться, выводит список команд, доступных при работе с консолью. Помимо этого, полный список команд консоли можно найти в справочной системе Windows 2000.

 

21. Аварийное восстановление системы с помощью ERD

 

Аварийное восстановление системы с помощью ERD

Функции аварийного восстановления Windows 2000 предназначены для восстановления поврежденной системы в тех случаях, когда возникают проблемы, вызванные повреждением реестра, системных файлов, загрузочного сектора раздела и среды запуска. Важным отличием от процесса аварийного восстановления в Windows NT 4.0 является возможность выполнить попытку восстановления системы даже без диска аварийного восстановления (если он не был изготовлен заблаговременно). Однако в случае выполнения процедуры аварийного восстановления без ERD, все изменения, внесенные в состав системы, будут потеряны, а установленное в системе дополнительное программное обеспечение может потребовать переустановки.

Запуск процесса аварийного восстановления с помощью ERD аналогичен запуску процедуры восстановления с помощью консоли восстановления: нужно загрузить компьютер с компакт-диска или с дискет и выбрать опцию исправления системы, нажав клавишу <R>. После этого вам будет предложено выбрать опцию быстрого (автоматического) или ручного восстановления. Быстрое восстановление очень просто и не требует от пользователя никакого дальнейшего вмешательства. При ручном восстановлении можно выбирать необязательные проверки компонентов системы, к числу которых относятся системные файлы, загрузочный сектор раздела и среда загрузки (startup environment, если вы имеете мультизагрузочную систему).

Если процесс аварийного восстановления системы завершится успешно, то компьютер будет автоматически перезагружен, и после перезагрузки вы получите работающую систему.

Примечание

Опция ручного восстановления (М) при использовании ERD предназначена для устранения проблем с системными файлами, загрузочным сектором раздела и средой загрузки, но не устраняет проблем с реестром. Для устранения проблем с реестром пользуйтесь консолью восстановления (и не забывайте иметь качественную резервную копию реестра). Опция быстрого восстановления использует резервную копию реестра, созданную при запуске программы Setup.

Если восстановление с помощью ERD не помогло решить возникших проблем, воспользуйтесь опциями консоли восстановления. Если не поможет и это, то, вероятнее всего, вам придется переустанавливать систему.

 

Глава 9. Работа с дисковыми ресурсами

Глава 9. Работа с дисковыми ресурсами

1. Управление общими дисковыми ресурсами

Глава 9

Работа с дисковыми ресурсами

Управление общими дисковыми ресурсами

Локальное и удаленное администрирование общих ресурсов в Windows 2000 осуществляется с помощью оснастки Общие папки (Shared Folders). (В Windows 4.0 аналогичные функции выполняла утилита Server панели управления.) С ее помощью можно также управлять сеансами и открытыми файлами. Она входит в стандартный инструмент администрирования — Управление компьютером (Computer Management). Ниже мы рассмотрим, как с помощью оснастки Общие папки можно создать общий ресурс.

Для запуска изолированной оснастки Общие папки как самостоятельного инструмента:

1. Нажмите кнопку Пуск (Start), выберите команду Выполнить (Run), введите с клавиатуры гмс и нажмите кнопку ОК.
2. В появившемся окне в меню Консоль (Console) выберите команду Добавить/удалить оснастку (Add/Remove Snap-in).
3. В следующем окне нажмите кнопку Добавить (Add).
4. В окне Добавить изолированную оснастку (Add Stand-alone Snap-in) выделите оснастку Общие папки и нажмите кнопку Добавить.
5. В окне Общие папки в группе Эта оснастка всегда управляет (This snap-in will always manage) выберите положение переключателя локальным компьютером (Local Computer) или другим компьютером (Another Computer), если вы хотите работать с другим компьютером сети. В последнем случае в поле ввода следует указать имя компьютера (или можно воспользоваться кнопкой Обзор (Browse)). В группе параметров Просмотр (View) укажите, какую информацию (общие ресурсы, сеансы, открытые файлы или все перечисленное) можно будет просматривать с помощью оснастки.
6. Нажмите кнопку Готово (Finish).
7. В окне Добавить изолированную оснастку нажмите кнопку Закрыть (Close).
8. В окне Добавить/удалить оснастку нажмите кнопку ОК — окно будет закрыто.

Пример окна оснастки Общие папки для локального компьютера показан на рис. 9.1.

Рис. 9.1. Окно оснастки Общие папки (Shared Folders)

Для создания общего ресурса:

1. В окне структуры оснастки Общие папки установите указатель мыши на папку Ресурсы (Shares) и нажмите правую кнопку.
2. В появившемся контекстном меню выберите команду Новый общий Файл

(New File Share).

3. В полях ввода окна Создание общей папки (Create Shared Folder), показанном на рис. 9.2, следует указать имя каталога (это может быть уже существующий каталог или вновь создаваемый), который должен стать общим ресурсом, сетевое имя общего ресурса и описание общего ресурса. Имена каталога и общего ресурса являются обязательными для ввода. Существующий каталог можно выбрать с помощью кнопки Обзор Нажмите кнопку Далее (Next).
4. Появится окно (рис. 9.3), в котором можно выбрать разрешения доступа к создаваемому общему ресурсу (по умолчанию - доступ для всех пользователей разрешен). Выполните все необходимые настройки и нажмите кнопку Готово. В появившемся окне нажмите кнопку Да, если необходимо создать еще один общий ресурс, или Нет - для возврата в основное меню оснастки Общие папки.
Рис. 9.2. Окно диалога программы создания общих ресурсов
Рис. 9.3. Настройка разрешений доступа к создаваемому общему ресурсу

Примечание

Рекомендуется на уровне прав доступа к общему ресурсу задавать наиболее "широкие" права (если позволяют требования безопасности — полный доступ для всех), а затем настраивать более "узкие" права доступа к файлам и папкам на уровне файловой системы NTFS. Такой подход упрощает администрирование прав пользователей.

Хотя Windows 2000 и поддерживает файловую систему FAT, для более высокой безопасности, надежности и легкости в администрировании, рекомендуется использовать файловую систему NTFS. Посмотреть, какая файловая система используется в настоящий момент, можно в окне свойств диска или с помощью оснастки Управление дисками (Disk Management).

Примечание

Если в системе работают продукты Services for Macintosh или File and Print services for NetWare, вы можете сделать создаваемые общие ресурсы доступными для пользователей Macintosh или NetWare.

Свойства уже созданного общего ресурса могут быть модифицированы следующим образом:

1. Установите указатель мыши на общий ресурс, свойства которого вы хотите модифицировать, и нажмите правую кнопку.
2. В появившемся контекстном меню выберите команду Свойства (Properties). Появится окно свойств общего ресурса (рис. 9.4), в котором можно менять его существующие параметры.
Рис. 9.4. Окно свойств общего ресурса

 

9-1.jpg

Изображение: 

2. Другие способы создания общих дисковых ресурсов

 

Другие способы создания общих дисковых ресурсов

В Windows NT 4.0 создание и администрирование общих ресурсов (в том числе и дисковых) обычно осуществлялось с помощью программы Проводник (Window NT Explorer) и окна свойств pecypса. Создание общих ресурсов и управление ими (настройка разрешений) с помощью Проводника поддерживается и в Windows 2000, так же, как и применение для этой цели команды net share. Могут быть применены и другие инструменты, использующие Win32 API. Однако для централизованного и удаленного администрирования общих ресурсов оснастка Общие папки более удобна.

 

3. Распределенная файловая система DFS

 

Распределенная файловая система DFS

Распределенная файловая система (Distributed File System, DFS) для Windows 2000 является средством, облегчающим управление данными в сети и их поиск. DFS позволяет объединить файловые ресурсы, находящиеся на различных компьютерах, в одно пространство имен. Теперь вместо того чтобы работать с физической сетью, состоящей из большого количества машин с собственными именами и общими ресурсами, пользователи смогут увидеть структуру логических имен, связанных с общими ресурсами.

В операционных системах Windows для получения доступа к информации, находящейся в файле, пользователю или приложению необходимо указать физический файловый сервер или общий ресурс с помощью универсального соглашения об именах (Universal Naming Convention, UNC). Имя UNC может быть использовано напрямую или сопоставлено с именем устройства. В последнем случае для получения доступа к данным пользователь должен перейти к каталогам, находящимся ниже корневого устройства. В результате роста корпоративной сети, пользователям приходится работать со все возрастающим количеством разрозненных устройств и общих ресурсов, находящихся на различных серверах сети, что в значительной степени затрудняет поиск нужных данных. Они "теряются" среди обилия различных устройств, которые надо посетить для получения необходимой информации. Подобная проблема может быть эффективно решена с помощью распределенной файловой системы, которая берет на себя заботу о физическом обращении к информации, предоставляя пользователю возможность работать с единым пространством имен, объединяющим все серверы и общие ресурсы сети. Для этого конкретным общим ресурсам даются логические имена DFS, понятные и удобные для пользователей. Пространство имен DFS — это логическое представление дисковых ресурсов сети, обращаясь к которому, пользователь может не беспокоиться о физическом расположении файлов на дисках и компьютерах.

 

4. Преимущества DFS

 

Преимущества DFS

Распределенная файловая система обладает целым набором преимуществ, делающих ее весьма мощным продуктом, значительно облегчающим управление ресурсами корпоративной компьютерной сети. Все они изложены ниже.

Возможность логического представления общих ресурсов, находящихся на различных серверах сети. Общее логическое пространство имен позволяет. связать общие ресурсы сети и работать с ними, как будто они находятся

на одном большом жестком диске. Это дает возможность администраторам создавать упрощенное представление общих ресурсов сети, наилучшим образом соответствующее направлению деятельности подразделения или предприятия в целом.

Удобное администрирование томов. Общий ресурс, входящий в состав тома DFS, может быть отключен без какого-либо влияния на оставшуюся часть пространства имен тома. Это позволяет администраторам управлять физическими общими ресурсами сети независимо от их логического представления.
Наличие графического инструмента администрирования. Администрирование распределенной файловой системы выполняется с помощью простого в работе графического инструмента, позволяющего выполнять просмотр, конфигурацию логических имен DFS, альтернативных общих ресурсов (реплик) и ссылок DFS, а также администрирование удаленных корней DFS. В результате требуется значительно меньшие затраты на обучение персонала.
Возможность организации отказоустойчивых схем хранения информации.

С одним логическим именем DFS может быть связано несколько альтернативных общих ресурсов, хранящих идентичную информацию. Если по каким-либо причинам один из альтернативных общих ресурсов становится недоступен, DFS автоматически обратится к другому альтернативному общему ресурсу. Поэтому важные данные, необходимые для успешного осуществления бизнес-процессов, могут быть надежно защищены от разрушения в случае отказа файлового сервера или дискового устройства.

Сбалансированная нагрузка на общие ресурсы сети. Связав одно логическое имя DFS с несколькими альтернативными общими ресурсами сети, администратор может эффективно сбалансировать нагрузку на общие ресурсы, возникающую при доступе к файлам со стороны пользователей. Запрашивая данные у логического имени DFS, пользователи фактически обращаются к одному из альтернативных общих ресурсов, связанных с данным именем. В результате происходит распределение доступа к файлам среди нескольких дисковых устройств или серверов.
Прозрачность соответствия логического представления данных и их физического местоположения. Пользователи работают только с логическим представлением ресурсов сети, без учета физического расположения файловых серверов и общих ресурсов. Если данные перемещаются на другой сервер, логическое пространство DFS подвергается переконфигурации, связанной с созданием нового соответствия между старым логическим именем DFS и новым общим ресурсом, на котором хранятся данные. Пользователь продолжает работать с логическим именем. Он может не знать, что физическое местоположение необходимой ему информации изменилось, т. е. изменение физического расположения данных полностью

прозрачно для пользователей. Подобное свойство DFS позволяет администратору перемещать сетевые общие ресурсы с сервера на сервер или с одного дискового устройства на другое дисковое устройство, сохраняя при этом доступность данных.

Интегрирование с моделью безопасности Windows 2000. Распределенная файловая система не содержит самостоятельных, дополнительных средств обеспечения безопасности. Любой пользователь, который подключен к тому DFS, может беспрепятственно работать со всей информацией, к которой ему разрешен доступ с помощью системы безопасности Windows 2000.
Интеллектуальное кэширование данных на стороне клиента. Логическое дерево DFS может содержать ссылки на сотни и даже тысячи общих ресурсов. В процессе первой попытки пользователя получить доступ к информации конкретного логического имени DFS, в кэш-память клиента заносится определенная информация, позволяющая в дачьнейшем ускорить обращение к необходимому общему ресурсу сети при повторных об-. рао!ениях пользователя к данному логическому имени. В результате обеспечивается высокая производительность при доступе к сетевым томам через сложную иерархию ссылок.
Возможность взаимодействия с другими сетевыми файловыми системами.

Любой общий ресурс, доступ к которому может быть получен с помощью редиректора Windows 2000, может входить в состав пространства имен DFS. Для подключения к общему ресурсу может быть использован либо клиентский редиректор, либо шлюз сервера. Это позволяет администратору создавать одну иерархическую структуру логических имен, включающую разнородные сетевые файловые системы (например, NTFS, Macintosh и NetWare).

 

5. Применение DFS

 

Применение DFS

Описанные выше преимущества и отличительные особенности распределенной файловой системы определяют способы применения DFS в условиях корпоративной компьютерной сети.

Необходимость в развертывании распределенной файловой системы может возникать в следующих случаях:

Информационные ресурсы организации распределены по нескольким (многим) серверам в пределах сайта Active Directory
Многим пользователям постоянно требуется доступ к нескольким общим

ресурсам

Необходимо сбалансировать нагрузку на сеть, распределяя запросы между

общими ресурсами

Пользователям требуется непрерывный доступ к общим ресурсам

Ниже описаны некоторые реальные ситуации, в которых DFS повышает эффективность при работе с данными или администрировании. DFS облегчает процесс замены файловых серверов. Каждому узлу дерева DFS назначается логическое имя, указывающее на общий ресурс. Узел DFS может быть переключен на другой сервер, а прежний сервер может быть выключен и перемещен на другое место или заменен другой машиной. Пользователи не заметят, что они работают с новым сервером, поскольку иерархическая система логических имен DFS не изменилась.

DFS позволяет упростить поиск, архивирование и индексирование данных и файлов, поскольку теперь все инструменты, включенные в Windows 9x и Windows 2000, а также в приложения, например, в текстовый процессор, могут работать с определенными файлами в пространстве DFS независимо от того, на каком сервере они реально находятся. Помимо этого, DFS облегчает сканирование файлов при поиске вирусов.

С помощью DFS можно организовать схему резервирования данных, делающую информацию непрерывно доступной в сети. Поскольку узел DFS может указывать на несколько альтернативных общих ресурсов, при отключении одного из них, остальные могут быть использованы для работы с информацией. Этот же подход дает выигрыш в производительности, т. к. с помощью DFS общие ресурсы, содержащие одинаковые данные, могут быть распределены по сети так, чтобы сбалансировать и оптимизировать доступ к ним со стороны пользователей, расположенных на различных площадках корпоративной сети. Если 300 пользователей требуют доступ к одному общему ресурсу сети, то создание набора копий этого тома на нескольких серверах позволит разбить и сбалансировать общую нагрузку на сеть. Распределенная файловая система может работать совместно с WWW Server (входит в состав служб Internet Information Services) в среде Windows 2000 Server. Если первоначальная страница физически перенесена с одного сервера на другой, связи HTML или другие страницы, хранящиеся в DFS, продолжат свое функционирование без какого-либо обновления (если администратор сделал в DFS соответствующие коррекции), и пользователи не заметят никаких изменений. В случае, если сервер, где находится данная страница, отключен, она может быть доступна на другом сервере. При этом все связи, указывающие на эту страницу, будут функционировать без какой-либо дополнительной коррекции..

 

6. Концепции, лежащие в основе DFS

 

Концепции, лежащие в основе DFS

Начальной точкой для логических имен дерева DFS служит корень распределенной файловой системы. Для его создания необходимо указать некоторый общий ресурс, находящийся на сервере. Все остальные логические имена DFS будут находиться на следующем иерархическом уровне. Общие ресурсы компьютерной сети в дереве DFS представляются с помощью логических имен DFS. Доступ к логическому имени может быть получен с помощью обыкновенного имени UNC, имеющего следующий вид:

\\Имя_Сервера\Логическое_Имя_DFS\Путь\Файл

где Имя_Сервера — это имя машины, где установлена и работает распределенная файловая система, Логическое_Имя_ОГ5 — имя общего ресурса, являющегося корнем вашей распределенной файловой системы, \IJymi\0awi — это любые допустимые имя и путь. Логические имена DFS можно представить в виде ветвей дерева, растущих от одного корня. Все они находятся на одном уровне иерархии. Распределенная файловая система реализует связь между именем UNC и соответствующим ему файловым сервером и общим ресурсом, где фактически находится файл или каталог. Общие ресурсы, подключенные к дереву DFS, могут находиться на любом сервере, доступном пользователю: на той же машине, где и корень, на любом сервере или рабочей станции Windows 2000 или доступные Windows 2000 посредством специального программного обеспечения клиента (например NetWare, Banyan и т. д.). К DFS могут также подключаться общие ресурсы Windows 95/98 или Windows NT 4.0 Workstation.

Кроме того, если распределенная файловая система работает совместно с Active Directory, доступ к логическому имени DFS может быть получен как с помощью отказоустойчивого имени DFS, так и с помощью имени домена:

\\Отказоустойчивое_имя\Логическое_Имя_ОГЗ\Путь\Файл \\Имя_домена\Том\Путь\Файл

Отказоустойчивое_имя — это логическое имя DFS, хранимое в Active Directory (оно может быть связано с несколькими машинами, обеспечивающими непрерывную доступность информации в случае отказа одного из компьютеров). \\ Имя_домена\Том — имя стандартного объекта "том" в службе каталогов Windows 2000.

Как уже говорилось, к логическому имени DFS подключается один или несколько общих ресурсов компьютерной сети, в качестве которых могут выступать альтернативные общие ресурсы и другие корни DFS. Связь между логическим именем DFS и общим ресурсом сети называется точкой соединения DES. Рассмотрим пример дерева логических имен DFS, приведенный на рис. 9.5. Он содержит все возможные элементы DFS.

 

7. Альтернативные общие ресурсы (реплики)

 

Альтернативные общие ресурсы (реплики)

Распределенная файловая система позволяет подключить к одному логическому имени DFS несколько общих ресурсов сети, на которых находится идентичная информация.

Рис. 9.5. Пример дерева логических имен DFS

DFS не проверяет, синхронизованы ли данные, находящиеся на общих ресурсах. Реплики DFS должны рассматриваться как альтернативные источники информации, синхронизация которых была выполнена заранее (вручную или автоматически). Альтернативные общие ресурсы наиболее эффективны при применении их только для считывания данных.

Максимальное допустимое количество альтернативных общих ресурсов -32 для одной точки соединения. Однако ограничения на количество переходов, созданных в каждой точке дерева DFS, не существует.

 

1.gif

Изображение: 

8. Тома нижнего уровня

 

Тома нижнего уровня

Любое логическое имя DFS может быть связано с другим корнем DFS, который в свою очередь посредством логического имени DFS может быть связан со следующим корнем DFS и т. д. Подобное объединение логических имен порождает ветвь дерева DFS. Если же логическое имя связывается с общим ресурсом, находящимся в Windows NT 4.0 Workstation, Windows 95/98 Windows for Workgroups или другой операционной системе (например, NetWare) данная ветвь дерева DFS не может быть продолжена. Такие общие ресурсы называются листьями дерева DFS или томами нижнего уровня. (В оснастке Распределенная файловая система DFS (Distributed File System) том нижнего уровня называется ссыпкой, link.)

 

9. Таблица разделов


Таблица разделов

Таблица разделов (Partition Knowledge Table, РКТ) хранит информацию обо всех точках перехода.

Таблица разделов представляет собой отсортированную поисковую таблицу Запись таблицы имеет длину приблизительно 300 байт. Ниже приведена структура записи таблицы разделов:

Хранимая локально часть таблицы разделов создается для каждого подключенного клиентом логического имени DFS. Записи в таблицу добавляются по мере пересечения переходов. Клиентская часть таблицы РКТ поддерживается в ОЗУ.

На стороне сервера существует одна таблица разделов на всю машину. Ее поддержка осуществляется с помощью реестра.

В объекте РКТ службы каталога централизованно хранится вся информация о логическом имени DFS.

В процессе поиска необходимой точки соединения клиент сначала просматривает локально кэшированные записи РКТ. Если информация, необходимая для осуществления доступа к интересующим данным (ссылочная информация) не может быть распознана, клиент запрашивает корень DFS. Если и в этом случае ссылочная информация не может быть распознана, генерируется ошибка. В случае успешного завершения распознавания клиент добавляет эту ссылочную информацию к своей локальной таблице разделов.

Ссылочная информация, полученная клиентом из РКТ, кэшируется на 5 минут (значение по умолчанию; этот параметр может настраиваться индивидуально для каждой ссылки). Если в течение этого времени клиент повторно использует данную информацию, время ее жизни вновь устанавливается равным 5 минут. В обратном случае кэш-память очищается. Используемое логическое имя DFS связано с несколькими альтернативными общими ресурсами, в кэш попадает ссылочная информация, касающаяся каждой из альтернатив. Программное обеспечение клиента случайно обращается к одному из альтернативных ресурсов.

 

10. Управление DFS

 

Управление DFS

Управление распределенной файловой системой выполняется централизовано с помощью удобного инструмента — оснастки Распределенная файловая система DFS (Distributed File System) (рис. 9.6). Оснастка устанавливается только на Windows 2000 Server и располагается в группе Администрирование (Administrative Tools). С ее помощью можно подключаться к любым корням DFS и управлять ими; одновременно в окне структуры этой оснастки может отображаться множество корней DFS.

 

11. Создание корня DFS

 

Создание корня DFS

Организация дерева логических имен распределенной файловой системы начинается с создания корня DFS. Он может быть создан как в разделе

Рис. 9.6. Окно оснастки Распределенная файловая система DFS (Distributed File System)

FAT, так и в разделе NTFS. Однако по соображениям безопасности его рекомендуется создавать в NTFS.

Для создания корня распределенной файловой системы:

1. Запустите оснастку Распределенная файловая система DFS.
2. В меню Действие (Action) выберите команду Создать корень DFS (New DFS Root) или нажмите кнопку Создание нового корня DFS (Create a new DFS Root) на панели инструментов. Запустится Мастер создания нового корня DFS (New DFS Root Wizard). Еще один вариант — установите указатель мыши на корневой узел в окне структуры и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Создать корень DFS.

В компьютерной сети, где установлено несколько серверов с работающей на них службой Active Directory (т. е. в домене), отказоустойчивость обеспечивается с помощью репликации каталога. Распределенная файловая система, реализованная в Windows 2000, может быть интегрирована с Active Directory, что дает возможность создать отказоустойчивую DFS. Различные серверы в домене могут хранить корень DFS, что обеспечит устойчивость корня к отказам. Сама служба Active Directory обеспечивает процесс синхронизации различных реплик корня DFS. Если компьютер, на котором создается корень DFS, не интегрирован в Active Directory, в этом случае может быть создана только изолированная распределенная файловая система, не обладающая средствами репликации корня.

3. В следующем окне мастера установите переключатель либо в положение Создать корень DFS в домене (Create a Domain Dfs Root), либо в положение Создать изолированный корень DFS (Create a Stand-alone Dfs Root). Затем нажмите кнопку Далее.
4. В следующих двух окнах укажите домен, в котором будет создан корень DFS и имя сервера, на котором будет находиться корень DFS. Обратите внимание, что при создании изолированной распределенной файловой

системы окно, предназначенное для выбора домена, не появляется. Это связано с тем, что в последнем случае DFS жестко привязывается к компьютеру.

5. В следующем окне (рис. 9.7) выберите локальный общий ресурс, на основе которого будет создан корень DFS. Если необходимый ресурс еще не создан, выберите переключатель Создать новый общий ресурс (Create a new share).
6. Далее следует указать имя корня распределенной файловой системы, видимое в домене. По умолчанию мастер предлагает присвоить корню то же имя, которое имеет его общий ресурс. Однако это не всегда удобно. В больших корпоративных сетях, где дерево логических имен DFS сильно разветвлено, рекомендуется назначать корню более информативное имя. После проверки всех введенных сведений нажмите кнопку Готово.
Рис. 9.7. Окно, предназначенное для указания существующего или создаваемого общего ресурса для нового корня DFS

 

9-6.jpg

Изображение: 

12. Создание дочерних логических имен DFS

 

Создание дочерних логических имен DFS

После выполнения последовательности шагов, описанной в предыдущем разделе, появляется корень DFS, который теперь можно дополнять дочерними логическими именами (ссылками). Если некоторый общий ресурс не находится в среде Windows 2000, то соответствующее логическое имя будет последним в ветви дерева имен. Для создания дочернего логического имени DFS:

1. Установите указатель мыши на корень DFS и нажмите правую кнопку. В появившемся контекстном меню выберите команду Создать ссылку DFS (New Dfs Link).
2. Появится окно, показанное на рис. 9.8. В полях ввода этого окна Имя ссылки (Link name) и Переадресовать пользователя на эту общую папку

(Send the user to this shared folder) укажите создаваемое логическое имя и UNC-имя соответствующего общего ресурса (этот ресурс уже должен существовать). Для поиска необходимых общих ресурсов можно использовать кнопку Обзор. После завершения ввода информации нажмите кнопку ОК.

Рис. 9.8. Создание дочернего логического имени (ссылки) DFS

При наличии в сети нескольких одновременно работающих деревьев DFS к создаваемому логическому имени DFS может быть подключен корень другого дерева DFS. На рис. 9.9 видно, как корень DFS, находящейся па сервере SRV-RUS2, подключен к логическому имени DFS "Удаленный корень DFS".

Рис. 9.9. Создание дочернего логического имени DFS

 

13. Добавление реплик к логическому имени DFS

 

Добавление реплик к логическому имени DFS

Если в сети работает несколько серверов, появляется возможность создать отказоустойчивую схему хранения важной информации с помощью альтернативных общих ресурсов — реплик.

Для подключения альтернативного общего ресурса к некоторому логическому имени:

1. Установите указатель мыши на логическое имя, с которым вы хотите связать еще один общий ресурс, и нажмите правую кнопку. В появившемся контекстном меню выберите команду Создать реплику (New Replica).
2. В появившемся окне укажите имя UNC общего ресурса и нажмите кнопку ОК. В случае необходимости для поиска нужного общего ресурса можно воспользоваться кнопкой Обзор. Если синхронизация информации альтернативных ресурсов будет выполняться вручную, в группе параметров Политика репликации (Replication Policy) окна Добавить новую реплику (Add a New Replica) оставьте флажок в позиции Репликация вручную (Manual replication). Если синхронизация информации реплик будет выполняться автоматически, установите флажок Автоматическая репликация (Automatic replication). В последнем случае появится окно диалога Политика репликации, с помощью которого выполняется настройка репликации. Если активизация процесса репликации в данный момент не нужна, нажмите кнопку Отмена (Cancel).
3. Альтернативные общие ресурсы, связанные с данным логическим именем, в алфавитном порядке будут отображены в окне Реплики (Replica(s)) оснастки Распределенная файловая система DFS (рис. 9.10).
Рис. 9.10. Альтернативные общие ресурсы

 

14. Управление репликацией DFS

 

Управление репликацией DFS

Набор альтернативных общих ресурсов, связанных с одним логическим именем DFS, называется набором реплик. В зависимости от того, в каких условиях работает распределенная файловая система, синхронизация реплик в наборе осуществляется различными методами. Распределенная файловая система не пытается проанализировать, отличаются ли данные, находящиеся на различных репликах. Их идентичность должна быть достигнута с помощью сторонних средств. Если альтернативные общие ресурсы созданы в отдельно стоящей распределенной файловой системе, в DFS, не интегрированной

с Active Directory, или они находятся в разделе FAT, автоматическая репликация становится невозможна. В этом случае синхронизация данных между членами набора реплик должна выполняться вручную. Если альтернативные общие ресурсы находятся в разделе NTFS 5.0 в распределенной файловой системе, созданной на серверах Windows 2000 и интегрированной с Active Directory, для них можно настроить автоматическую синхронизацию (репликацию) информации. Однако прежде следует тщательно изучить топологию сети и проанализировать влияние процесса репликации на производительность системы.

Для того чтобы настроить репликацию данных альтернативных ресурсов:

1. Установите указатель мыши на логическое имя, связанное с набором реплик, и нажмите правую кнопку.
2. В появившемся меню выберите команду Политика репликации. Появится список серверов, потенциально участвующих в репликации.
3. Последовательно выделите серверы, которые будут участвовать в репликации, и для каждого из них нажмите кнопку Включить (Enable) и затем кнопку ОК. При этом политика репликации будет сконфигурирована автоматически.

По завершении конфигурации репликации данные, находящиеся на общих ресурсах, входящих в набор реплик, будут периодически синхронизироваться. По умолчанию период синхронизации равен 15 мин. Настроив репликацию, можно проверить ее текущее состояние. Для этого:

Результат проверки может зафиксировать одно из трех состояний:

1. Установите указатель мыши на логическое имя DFS, с которым связан набор реплик, или на отдельную реплику и нажмите правую кнопку.
2. В появившемся контекстном меню выберите команду Проверить состояние (Check status).
Процесс репликации идет нормально — на значке логического имени DFS и на значках реплик появятся зеленые галочки (рис. 9.11).
Реплика недоступна — на значке логического имени DFS появляется характерный восклицательный знак в желтом треугольнике, а около имени реплики — крестик в красном кружке.
Связь между репликами не установлена — те же внешние проявления, что и в предыдущем случае.
Рис. 9.11. Результат проверки состояния реплик

 

15. Взаимозаменяемость альтернативных общих ресурсов

 

Взаимозаменяемость альтернативных общих ресурсов

Ссылки на общие ресурсы кэшируются локально на стороне клиента для повышения производительности, а также в случае существования альтернативных общих ресурсов. Клиенту доступны все альтернативы. Он случайным образом выбирает, какая ссылка должна быть использована в данный момент. Однако если в сети есть альтернативы в разных сайтах, то будет выбрана не случайная, а ближайшая по топологии ссылка.

При обращении к логическому имени DFS клиент находит необходимую ссылку и начинает сеанс (если соединение с сервером отсутствует, ему передается вся системная информация, необходимая для создания соединения). Если обращение по выбранной ссылке привело к ошибке, начинается замещение недоступного ресурса. Скорость этого процесса зависит от операций, выполняемых клиентом во время возникновения ошибки, и от того, как произошел сам отказ.

Ниже рассматриваются несколько типичных ситуаций отказа в доступе к ресурсу.

 

16. Отказ компьютера

 

Отказ компьютера

Клиент просматривает альтернативный общий ресурс. В машине, на которой находится этот ресурс, пропадает напряжение питания, или она отключается от компьютерной сети по какой-либо другой причине. Переход от ресурса, который стал недоступен, к альтернативному ресурсу начинается после установления факта отключения компьютера от сети. Длительность этого этапа зависит от используемого клиентом протокола. Множество протоколов работает по низкоскоростным линиям WAN. Кроме того, практически все протоколы обладают счетчиками повторов. Поэтому, до того как будет установлено отсутствие ресурса сети, может пройти несколько минут. После установления факта отключения ресурса распределенная файловая система производит немедленный выбор альтернативного общего ресурса. Если локальный кэш не содержит информации о доступных-альтернативах, клиент DFS запрашивает информацию об альтернативах у корня DFS. Если на уровне корня также нет доступных альтернатив, происходит отказ в обслуживании. В обратном случае DFS инициирует процесс подключения к доступному альтернативному общему ресурсу и создание сеанса.

 

17. Отказ жесткого диска

 

Отказ жесткого диска

Клиент обращается к общему ресурсу. На машине отказывает жесткий диск, где находится этот ресурс. В данном случае сервер, где произошел отказ, не потерял способность отвечать на клиентские запросы, поэтому он сообщает о факте отказа оборудования и замена отказавшего ресурса происходит моментально.

Следует отметить, что на процесс замены ресурса большое влияние оказывает поведение приложения, открывшего и заблокировавшего файлы на отказавшем ресурсе. Оно должно иметь возможность выявления ошибок доступа к данным с повторным обращением к файлам. В противном случае безболезненный переход на альтернативный общий ресурс будет невозможен.

 

18. Безопасность DFS

 

Безопасность DFS

Помимо создания необходимых административных привилегий, служба DFS не пользуется никакими дополнительными средствами обеспечения безопасности. Обращение к информации посредством логического имени DFS целиком зависит от наличия прав доступа к связанному с ним общему ресурсу у обратившегося пользователя. Права доступа определяются списками управления доступом, о которых говорится ниже.

Права доступа не имеют отношения к структуре дерева DFS. Например, пользователи могут иметь необходимые права, позволяющие им обращаться к данным связанным с дочерним логическим именем DFS, не имея доступа к информации, связанной с родительским логическим именем.

 

19. Создание сеанса

 

Создание сеанса

При первом пересечении каждого перехода распределенной файловой системы и его кэшировании клиент, ориентированный на работу с DFS, создает сеанс с сервером, находящимся на противоположной стороне перехода, В процессе установления соединения выполняется аутентификация пользователя, обратившегося к данным. Для этого нужна информация входа, сообщенная им при подключении к DFS.

Если подобная информация неизвестна, то для создания сеанса будут взяты данные, введенные пользователем при регистрации в рабочей станции.

 

20. Списки управления доступом

 

Списки управления доступом

Списки управления доступом (ACL) определяют права доступа пользователей к общим ресурсам сети. Их администрирование выполняется на уровне физического общего ресурса. По ряду причин система безопасности, основанная на едином списке управления доступом, администрирование которого выполнялось бы от корня DFS в масштабах всей системы, не была бы эффективна. Пользователи могут обойти централизованную логическую базу списков управления доступом, выполнив команду net use. Кроме того, логическое имя DFS может быть связано с несколькими общими ресурсами, часть которых находится в разделе FAT, а другие — в NTFS, а также в иных сетевых операционных системах. Невозможно создать ACL, начинающийся на томе NTFS, продолжающийся на томе FAT, возвращающийся на том NTFS и заканчивающийся на томе NetWare. Эти и другие факторы делают предпочтительным использование списков управления доступом, определяющих политику обращения к конкретному общему ресурсу, а не ко всему дереву DFS в целом.

 

21. Автономные файлы

 

Автономные файлы

Что делать, если пользователю необходимо работать с документами, находящимися в общем каталоге, в условиях отсутствия соединения с сетью? Операционная система Windows 2000 располагает средством Автономные файлы (Offline Files), позволяющим решать подобные проблемы (Offline Files — это один из компонентов технологии IntelliMirror, см. главу 12). С его помощью пользователи могут открывать и корректировать файлы, находящиеся в общих папках, даже отключившись от сети.

При отключении от сети автономные файлы извещают об этом пользователя. В панели задач появляется специальный значок, а на рабочем столе — сообщение, сигнализирующее в том, что сетевое соединение исчезло и началась автономная работа. При конфигурировании автономных файлов пользователь может сам выбрать, как они должны реагировать на отключение от сети. После подключения к сети Диспетчер синхронизации (Synchronization

Manager) переносит все изменения, сделанные пользователем в сетевых файлах в процессе автономной работы, на общий сетевой ресурс.

При автономной работе, не имея соединения с сетью, пользователь не теряет способности просматривать сетевые устройства и работать со своими файлами. На значках отключенных сетевых общих ресурсов появляется красный крестик. Просматривая эти ресурсы, пользователи смогут увидеть только те файлы, которые были заранее указаны или которые были открыты ими недавно, до разрыва соединения.

Права доступа в автономном режиме работы остаются такими же, какие они были при наличии соединения с сетью. Например, документ, доступный на сетевом общем ресурсе только для чтения, будет доступен только для чтения и при автономной работе.

Для того чтобы сделать доступными для пользователей, отключенных от сети, файлы общих ресурсов, нужно поместить их в кэш компьютера. Кэш компьютера — это часть пространства диска, доступ к которому возможен в любом состоянии соединения с сетью. Автономные файлы позволяют применять три варианта кэширования (это задается на вкладке Доступ (Sharing) в окне свойств общего ресурса — кнопка Кэширование {Caching)):

Ручное кэширование для документов (Manual Caching for Documents)
Автоматическое кэширование для документов (Automatic Caching for Documents)
Автоматическое кэширование для программ (Automatic Caching for Programs)

 

22. Ручное кэширование для документов

 

Ручное кэширование для документов

Ручное кэширование предполагает, что, отключившись от сети, пользователь сможет открывать только те файлы общего сетевого ресурса, которые он предварительно указал. Такой тип кэширования идеален для работы с общим ресурсом, на котором находятся документы или рисунки. Этот вариант кэширования устанавливается по умолчанию.

 

23. Автоматическое кэширование для документов

 

Автоматическое кэширование для документов

Автоматическое кэширование позволяет данному пользователю работать автономно с теми файлами, которые он открывал на общем сетевом ресурсе. Нет гарантии, что для автономной работы будут доступны все файлы, находящиеся в общей папке.

 

24. Автоматическое кэширование для программ

 

Автоматическое кэширование для программ

Автоматическое кэширование для программ позволяет автономно работать только с теми программами, которые пользователь запускал, работая в сети,

из общей папки. Рекомендуется для работы с ресурсами, доступными только для чтения.

 

25. Настройка компьютера для работы с автономными папками

 

Настройка компьютера для работы с автономными папками

Для создания автономных папок на компьютере:

1. В окне Проводника или в окне Мой компьютер (My Computer) в меню Сервис (Tools) выберите команду Свойства папки (Folder Options).
2. В появившемся окне перейдите на вкладку Автономные файлы (Offline Files) (рис. 9.12) и установите флажок Использовать автономные файлы (Enable Offline Files).
3. Установив или сняв флажок Синхронизировать перед выходом из системы

(Synchronize all offline files before logging off), можно указать на необходимость осуществления синхронизации при выходе.

Рис. 9.12. Вкладка Автономные файлы (Offline Files) окна Свойства папки (Folder Options)

По умолчанию на рабочей станции флажок Использовать автономные файлы установлен, а на сервере снят. После настройки компьютера для работы с автономными папками следует указать конкретные файлы и папки, с которыми необходимо работать автономно (эта операция описана в следующем разделе). Для выполнения быстрой синхронизации нужно сформировать расписание диспетчера синхронизации, который осуществляет синхронизацию файлов и папок перед завершением работы компьютера.

Для просмотра списка сетевых файлов и папок, с которыми можно работать автономно, следует нажать кнопку Просмотреть файлы (View Files) на вкладке Автономные файлы.

 

26. Выбор файлов для автономной работы

 

Выбор файлов для автономной работы

Для того чтобы обозначить, с какими файлами и папками необходимо работать автономно:

1. Щелкните на значке Мой компьютер или Мое сетевое окружение (My Network Places). В появившемся окне выделите файлы, находящиеся на сетевых устройствах, с которыми будет выполняться автономная работа.
2. В контекстном меню выберите команду Сделать доступным в автономном

режиме (Make Available Offline) — запустится Мастер автономных файлов. Следуйте указаниям этой программы. После ввода всей необходимой для создания автономных файлов информации начнется процесс синхронизации. Появится окно синхронизации (рис. 9.13). Когда оно закроется, указанные файлы и папки будут доступны для автономной работы.

Рис. 9.13. Окно синхронизации, появляющееся при создании автономной папки

Доступные для автономной работы файлы и папки можно изменять после отключения от сети. Команда Сделать доступным в автономном режиме доступна в меню Файл только после того, как на вкладке Автономные файлы установлен флажок Использовать автономные файлы.

 

27. Настройка реакции автономных файлов на отключение компьютера от сети

 

Настройка реакции автономных файлов на отключение компьютера от сети

Чтобы определить, как автономные .папки будут реагировать на отключение от сети:

1. В окне Проводника или в окне Мой компьютер в меню Сервис выберите команду Параметры папки.
2. В появившемся окне диалога на вкладке Автономные файлы нажмите кнопку Дополнительно.
3. Появится окно Автономные файлы — дополнительная настройка (Offline Files— Advanced Settings) (рис. 9.14). С его помощью можно настроить реакцию компьютера на потерю сетевого соединения, для чего в группе

Когда теряется сетевое подключение (When a network connection is lost) следует установить соответствующий переключатель.

4. В поле Список исключений (Exception list) можно определить список компьютеров, при потере соединения с которыми должны выполняться индивидуальные настройки реакции автономных файлов. Добавить компьютер в список исключений можно, нажав кнопку Добавить. В появившемся диалоговом окне следует указать имя компьютера, обладающего индивидуальными настройками реакции автономных папок, и действие при отключении от сети.
Рис. 9.14. Окно диалога, предназначенное для настройки реакции автономных файлов на отключение от сети

 

28. Синхронизация информации автономных папок и общего ресурса

 

Синхронизация информации автономных папок и общего ресурса

Поскольку отключение компьютера от сети дает возможность пользователю продолжать корректировать свои файлы в автономных папках, а все пользователи, компьютеры которых не потеряли соединения с сетью, продолжают работать с файлами общего ресурса сети-, содержимое одних и тех же файлов становится различным. Поэтому после восстановления соединения с сетью необходимо выполнить синхронизацию автономных папок и общего сетевого ресурса.

Синхронизация информации может быть выполнена тремя способами:

Принудительная синхронизация
Синхронизация в процессе регистрации на компьютере или завершения работы компьютера
Синхронизация в момент бездействия компьютера

Для принудительной синхронизации:

1. Запустите диспетчер синхронизации. Для этого в меню Сервис следует выбрать команду Синхронизировать (Synchronize).
2. Установите флажки, соответствующие автономным файлам, которые следует синхронизировать (рис. 9.15).
3. Нажмите кнопку Синхронизация. В процессе синхронизации возможны конфликты версий одноименных файлов, располагающихся на локальном компьютере и на общем ресурсе. При этом система выдает сообщения, содержащие информацию о времени корректировки каждого из файлов и запрос на последующие действия. В этих случаях пользователь может выбрать одну из трех возможностей:
  • Оставить только ту копию файла, которая хранится на локальном компьютере.
  • Оставить только ту копию файла, которая находится на общем ресурсе.
  • Сохранить более позднюю версию файла под новым именем (по умолчанию - к имени файла добавляется имя компьютера откуда берется эта версия).

При возникновении конфликтов пользователь может обрабатывать каждую ситуацию отдельно, а может указать общее действие (из трех перечисленных выше возможностей) для всех дублирующихся имен.

Рис. 9.15. Выбор синхронизируемых папок и файлов

Для установок синхронизации автономных папок при входе в систему или выходе из системы:

1. Запустите диспетчер синхронизации и нажмите кнопку Установка (Setup). Появится окно диалога Параметры синхронизации (Synchronization Settings) (рис. 9.16).
2. Перейдите на вкладку Вход/выход (Logon/Logoff). В поле При использовании данного сетевого подключения (When I am using this network connection) выберите сетевое соединение, которое вы хотите использовать.
3. В поле Синхронизовать следующие отмеченные объекты (Synchronize the following checked items) установите флажки, соответствующие синхронизируемым объектам.
4. В поле Автоматически синхронизовать выделенные объекты (Automatically sinchronize the selected items) выберите положение переключателя при входе в систему (When I log on to my computer) или при выходе из системы (When I log off my computer) - если вы хотите синхронизировать информацию по завершению работы с системой.
5. Если вы хотите, чтобы диспетчер синхронизации запрашивал у вас разрешения на автоматическую синхронизацию, установите флажок Запрашивать подтверждение перед синхронизацией (Ask me before synchronizing the items).
6. После установки параметров закройте окно диспетчера синхронизации.

Для синхронизации информации автономных папок в момент бездействия компьютера нужно в окне Параметры синхронизации перейти на вкладку При простое (On Idle), выбрать нужное сетевое подключение и установить флажки около синхронизируемых файлов. По умолчанию синхронизация отмеченных файлов начинается, если компьютер не используется 15 минут, и повторяется каждый час.

Рис. 9.16. Настройка параметров синхронизации

 

Глава 10. Службы печати

Глава 10. Службы печати

1. Печать в Windows 2000

 

Глава 10

Службы печати

Эта глава содержит основные сведения по установке и совместному использованию принтеров в сети на базе систем Windows 2000. Установка принтеров сама по себе проста, однако требуется достаточно много времени, чтобы изучить различные опции, доступные при конфигурировании принтеров. Тщательно планируя доступ к принтерам, можно оптимизировать работу каждого из них и в то же время избежать больших задержек при печати.

Операционные системы из семейства Windows NT всегда имели удобный интерфейс и предоставляли широкие функциональные возможности для печати. Однако усовершенствования, внесенные в Windows 2000, коснулись и этой области — поддержка принтеров существенно расширена, а печать документов происходит значительно быстрее, чем ранее.

Windows 2000 поддерживает службы печати через Интернет. В сочетании с основанным на технологии Web интерфейсом и службой Active Directory установка и подключение совместно используемого принтера стали проще, чем когда-либо ранее.

 

Печать в Windows 2000

 

Новые возможности печати

Печать через Интернет. Архитектура печати Windows 2000 интегрирована с технологиями Интернет. Клиент может обращаться к сетевым принтерам через корпоративные интрасети или через Интернет. После того как принтер создан и разрешено его совместное использование, он появляется в HTML-папке принтеров.

Печать с применением URL (Uniform Resource Locator)

Пользователи могут теперь печатать с клиентских компьютеров Windows2000 на серверах печати Windows 2000 с применением формата

URL http://<имя_сервера>/<имя_общего_ресурса>. Например, чтобы напечатать на принтере отдела финансов в интрасети компании, необходимо использовать строку http://Finance/Ljet4si. Пользователи могут также печатать через брандмауэры в сети Интернет. Например, чтобы послать факс группе технической поддержки Microsoft, необходимо указать

http://Fax.Support.Microsoft.com/FaxMe.

Просмотр состояния принтера

Серверы печати автоматически генерируют HTML-страницы, отображающие состояние принтера и заданий печати. Клиент может использовать любой браузер на любой платформе, чтобы приостановить, продолжить или удалить свои задания печати. Администраторы могут также просматривать состояния принтеров и изменять статус заданий печати при помощи браузера.

Установка принтеров

Принцип Web "укажи и печатай" ("point and print") позволяет клиентам

одним щелчком мыши установить общий принтер.

Установка драйверов с веб-сервера

При отсутствии драйверов на локальном компьютере и на сервере печати

или для обновления драйверов предусмотрена возможность получения

драйверов напрямую через Интернет от Microsoft или фирмы-изготовителя принтера.

Стандартный монитор порта. Новый стандартный монитор порта соединяет сервер печати Windows 2000 и принтеры, имеющие сетевой интерфейс и использующие протокол TCP/IP. Он заменяет утилиту LPRMON для принтеров TCP/IP, связанных непосредственно с сетью или через сетевой адаптер. Для принтеров, подключенных к хостам UNIX, утилита LPRMON все еще необходима.

Текущий контроль очереди печати. Теперь можно контролировать работу локальных и удаленных принтеров при помощи системного монитора. Для ряда критериев производительности могут быть установлены счетчики, например, Печатаемых байт/сек (Bytes Printed/sec), Ошибок заданий (Job Errors) и Всего напечатано страниц (Total Pages Printed).

Пользовательские параметры настройки. Теперь можно изменять параметры по умолчанию для документа с клиентов Windows 9x. Ранее только пользователи Windows NT Server и Windows NT Workstation (версий 3.0—4.0) могли изменять параметры настройки своих документов после того, как они первоначально были установлены администратором.

Улучшенный интерфейс пользователя. Интерфейс пользователя стал более удобным. Общие функции теперь основаны на веб-интерфейсе. Изменения включают:

Новый веб-интерфейс папки Принтеры (Printers) и очередей печати со ссылками для получения дальнейшей информации и технической поддержки (рис. 10.1). Для перехода в режим веб-страницы нужно в свойствах папки установить флажок Отображать веб-содержнмое в папках (Enable Web Contents in Folders).
Расширенный мастер установки принтера (Add Printer Wizard), который позволяет пользователю искать принтер не только в сети, но и в каталогах.
Улучшенное диалоговое окно Свойства принтера (Printer Properties), с которым стало легче работать, и теперь в нем есть возможность получения информации о принтере из каталога Active Directory (если компьютер входит в домен).
Новый мастер дополнительных драйверов (кнопка Добавить) принтера в окне Свойства сервера (Server properties) для установки дополнительных драйверов принтера для клиентов Windows 9x, Windows 3.x или платформ He-Window. Свойства драйвера (появляющиеся при нажатии кнопки Свойства для выбранного из списка драйвера) также доступны администраторам для просмотра из этого окна (вкладка Драйверы).

Служба каталогов. По умолчанию Windows 2000 делает все общедоступные гринтеры в домене доступными в виде объектов Active Directory. Публикация (publishing) принтеров в Active Directory позволяет быстро обнаружить наиболее удобные ресурсы для печати. Пользователь может проводить поиск по различным атрибутам (например, возможность цветной печати) или по расположению принтера (например, конкретный этаж в здании). Как только нужный принтер найден, его можно сразу же инсталлировать (метод "point and print") и использовать, как и любой другой сетевой принтер.

Рис. 10.1. Папка принтеров

Клиенты могут подключать принтеры, доступные в сети Windows, двумя способами: просматривая сетевое окружение (Мое сетевое окружение (My Network Places)) или выполняя поиск в Active Directory. Однажды установленные принтеры перечислены в папке принтеров и, что более удобно, в диалоговом окне Печать (Print) приложений Windows 9x и Windows NT/2000. Клиенты могут искать в сети серверы печати, работающие под управлением других операционных систем, например, LAN Manager 2.x, и устанавливать соединение с общими ресурсами-принтерами на этих серверах. Если соответствующий драйвер принтера еще не установлен, Windows 2000 запросит о необходимости установить его локально.

Администратор может дистанционно управлять серверами печати в Windows 2000, принтерами, документами и драйверами принтеров.

Администратору не нужно устанавливать драйверы принтеров на клиентских компьютерах, которым требуется доступ к серверу печати Windows 2000. Если клиенты печати работают под управлением Windows 2000 или Windows 9x, то необходимо установить драйверы принтера только в одном месте — на сервере печати.

Примечание

Использование Windows 2000 Professional в качестве сервера печати. Как и Windows 2000 Server, система Windows 2000 Professional может функционировать или в роли сервера печати, или в роли клиента. Однако, поскольку ОС Windows 2000 Professional ограничена 10 соединениями со стороны других компьютеров и не поддерживает Services for Macintosh (Службы для Macintosh) и Gateway Services for NetWare (Шлюзовые службы для NetWare), она не очень подходит для использования в качестве сервера печати, за исключением небольших сетей. Если не оговорено специально, то все высказывания в этой главе верны в равной степени по отношению к обоим упомянутым продуктам.

 

10.1.gif

Изображение: 

2. Службы печати Windows NT 4.0 и Windows 2000

 

Службы печати Windows NT 4.0 и Windows 2000

Пользовательский интерфейс служб печати в Windows 2000 претерпел изменения по сравнению с Windows NT 4.0. В сопоставительной табл. 10.1 перечислены основные задачи при работе с принтерами и инструменты для выполнения этих задач в обеих системах.

Таблица 10.1. Средства управления печатью в Windows NT4,0 и Windows 2000

Действие

Windows NT 4.0

Windows 2000

Подключение принтера, использующего протокол TCP/IP

Запустить Мастер установки принтера (Add Printer Wizard), нажать кнопку Add Port (Добавить порт), а затем из списка выбрать LPR Port (LPR-порт)

Открыть папку Принтеры, запустить Мастер установки принтера, на странице Выберите порт принтера (Select the Printer Port), выбрать переключатель Создать новый порт (Create a new port) и выбрать из списка Standard TCP/IP Port (Стандартный порт TCP/IP)

Настройка доступности принтеров, приоритетов и опций очереди печати

Свойства принтера, вкладка Schedule (Расписание)

Вкладка Дополнительно (Advanced) окна Свойства принтера

Установка страницы-разделителя, процессора печати и добавление новых драйверов

Свойства принтера, вкладка General (Общие)

Вкладки Дополнительно и Доступ (Sharing) окна свойств принтера

Остановка и запуск диспетчера очереди печати

Значок Services на панели управления

Команда Пуск I Программы | Администрирование | Службы или оснастка Управление компьютером

(Computer Management) (узел Службы и приложения | Службы (Services and Applications | Services)). В контекстном меню Диспетчера очереди печати выбрать требуемое действие

 

3. Общие сведения

 

Общие сведения

 

Терминология

В Windows 2000 устройством печати (printing device) называется реальное физическое устройство, которое собственно и выполняет печать. Принтер (printer) — программный интерфейс между операционной системой и устройством печати. Принтер определяет различные аспекты процесса печати, например, куда будет послан документ (в локальный порт, в файл или на удаленный общий ресурс печати), отправленный на печать. Когда пользователи устанавливают соединение с принтерами, они используют логическое имя принтера, которое может представлять одно или несколько устройств печати.

Драйвер принтера (printer driver) — программа, которая преобразует графические команды в специфический язык типа PostScript или PCL. Windows 2000 предоставляет драйверы для наиболее распространенных устройств печати. Когда принтер создается, устанавливается драйвер принтера и — факультативно — можно сделать принтер доступным по сети для совместного использования. Разрешающая способность устройства печати измеряется в точках на дюйм (dots per inch, dpi). Чем больше точек на дюйм, тем выше качество печати.

В терминологии Windows 2000, очередь (queue) — группа документов, ждущих печати. В ОС NetWare и OS/2 очереди — первичный программный интерфейс между приложением и печатающим устройством: пользователи посылают документы в очередь. Однако в Windows 2000 этим интерфейсом является принтер, и документ посылается на принтер, а не в очередь.

Спулер (spooler) печати, или диспетчер очереди печати — набор динамических библиотек (DLL), которые получают, обрабатывают, планирует и рад-пределяют документы.

Саулинг (spooling) — процесс записи содержимого документа в файл на диске. Этот файл называется файлом спулинга (spool file) или файлом очереди печати.

Сервер печати (print server) — компьютер, который получает документы от клиентов.

Устройства печати с сетевым интерфейсом (network-interface print devices) — устройства печати, имеющие собственные сетевые платы; они не должны быть физически соединены с сервером печати, т. к. непосредственно подсоединены к сети.

 

4. Удаленная печать a Windows 2000

 

Удаленная печать в Windows 2000

Windows 2000 полностью поддерживает удаленную печать. Когда клиенты Windows NT/2000 и Windows 9x соединяются с правильно настроенным сервером печати Windows 2000 (рис. 10.2), драйвер принтера автоматически устанавливается на клиентском компьютере. Если на сервере установлен более новый драйвер принтера, компьютеры-клиенты Windows NT 4.0 и 2000 загружают его автоматически. Однако если на сервере устанавливается новый драйвер принтера для клиентов Windows 9x, то эти клиенты должны обновить его вручную.

Рис. 10.2. Удаленная печать в Windows 2000

Ошенты, работающие не под управлением Windows 2000 (например, в MS-DOS ши Windows 3.1x), могут обращаться к принтерам Windows 2000, перена-начая свои порты вывода на соответствующий сервер и ресурс, т. е. \server\sharename. Однако, в отличие от компьютеров, работающих под правлением Windows NT 4.0, Windows 2000 и Windows 9x, пользователи тих типов клиентских компьютеров должны установить драйвер принтера ручную и затем установить соединение с сервером.

Шрифты и формы, имеющиеся на сервере печати Windows 2000, недоступны для клиентов с ОС, отличными от Windows NT или Windows 2000.

Примечание

Когда клиент Windows 2000 пытается с помощью мастера установки принтера соединиться с сервером печати, работающим под управлением компьютера с другой сетевой ОС (типа LAN Manager 2.x или Novell NetWare), мастер запрашивает пользователя о необходимости создания локального принтера и установки локального драйвера. Поскольку другие сетевые операционные системы не предназначены для автоматического получения драйвера принтера, нужно установить драйвер локально. Чтобы установить соединение с серверами печати, работающими под управлением другой операционной системы, нужно быть членом групп Администраторы (Administrators) или Опытные пользователи (Power users).

 

10.2.gif

Изображение: 

5. Процесс печати в Windows 2000

 

Процесс печати в Windows 2000

Приведем краткий обзор операций (рис. 10.3), производимых с документом, посланным на принтер с клиента Windows, для которого Windows 2000 используется как сервер печати (некоторые процессы для клиентов с системами, отличными от Windows, будут немного другими).

1. Пользователь на компьютере-клиенте Windows 2000 запрашивает печать документа из приложения.
2. Если документ послан из Windows-приложения, приложение обращается к графическому интерфейсу устройства (GDI), который вызывает драйвер принтера, связанный с целевым принтером. На основе информации о документе GDI и драйвер принтера формируют задание на печать на языке управления принтером, а затем передают его клиентскому диспетчеру очереди печати. Если клиент работает под управлением операционной системы, отличной от Windows, или приложение не является Windows-приложением, то для выполнения подобной задачи используется какой-либо другой компонент.
3. Клиентский компьютер поставляет задание по выводу на печать серверу печати. Для клиентов Windows NT 4.0 или Windows 2000 клиентский диспетчер очереди печати выполняет удаленный вызов процедуры (RPC) на стороне серверного диспетчера очереди печати, который использует маршрутизатор, чтобы вызвать провайдер удаленной печати на клиентской стороне. Провайдер удаленной печати инициализирует другой вызов RPC к диспетчеру очереди печати на сервере, который принимает по сети задание на печать.
4. На сервер печати задания от клиентов Windows NT или Windows 2000 поступают в формате расширенный метафайл (extended metafile, EMF). Большинство He-Windows-приложений используют тип данных R ("сырой", готовый к печати).
5. Маршрутизатор на сервере передает задание на печать локальному провайдеру печати на сервере (компонент диспетчера очереди печати), который помещает его в очередь (записывает на диск).
Рис. 10.3. Процесс печати в Windows 2000

 

6. Локальный провайдер печати вызывает монитор печати, который опознает тип данных задания и принимает задание на печать, преобразуя его согласно типу данных. I
7. Если целевой принтер задан на клиентском компьютере, служба печати на сервере решает, должен ли диспетчер очереди печати сервера преобразовать задание или назначить другой тип данных. Затем задание пере- | дается локальному провайдеру печати, который записывает его на диск.
8. Управление заданием на печать переходит к процессору страниц-разделителей, который добавляет к началу задания страницу-разделитель, если она задана.
9. Затем задание передается монитору печати. Монитор печати может состоять из монитора языка (language monitor) и монитора порта (port monitor). Для двунаправленных принтеров монитор языка обеспечивает двустороннюю связь между компьютером и принтером, а затем передает задание на печать на монитор порта. Если принтер не является двунаправленным, задание на печать идет непосредственно на монитор порта, который посылает его на принтер (или на другой сетевой сервер печати).
10. Принтер принимает задание на печать, преобразует каждую страницу в растровый формат и печатает ее.

 

10.3a.gif

Изображение: 

6. Планирование работ по настройке печати

 

Планирование работ по настройке печати

Поскольку каждому пользователю сети иногда требуется печатать документы, необходимо сделать сетевую печать эффективной и дешевой. Нужно решить:

Какие устройства печати использовать
Какие компьютеры использовать в качестве серверов печати
Как сконфигурировать общедоступные принтеры для максимально эффективного использования

 

7. Выбор устройств печати

 

Выбор устройств печати

Сегодняшний ассортимент устройств печати на рынке включает устройства, специально разработанные для сетевого использования. Они имеют усовершенствованные опции печати, например, автоматическое переключение портов и эмуляции различных языков управления, двойные лотки для бумаги, а также двухстороннюю печать. Прежде чем выбрать сетевой принтер, необходимо тщательно оценить потребности в печати:

Нужны ли устройства печати для большого объема или менее дорогие персональные устройства печати?

Устройства для большого объема печати обычно обладают более широкими возможностями, но их повреждение влияет на работу большего число пользователей.

Сколько страниц нужно печатать в месяц?

Возможно, возникнет меньше проблем по сопровождению устройств печати, если при их выборе предполагаемый объем печати будет согласован с рабочим циклом устройства (с числом страниц, которые можно напечатать в месяц).

Поддержка какой графики требуется?

Комбинация Windows 2000 и технологии TrueType делают возможным печать сложной графики и шрифтов на большинстве принтеров, даже на тех, которые поддерживают только растровую печать и текст. Технология TrueType интегрирована в операционную среду, так что все приложения Windows 2000 могут использовать шрифты TrueType без изменений или обновлений. Если предполагается печать графиков, карт или полутоновых фотографий, необходимо рассмотреть вариант покупки принтера, который поддерживает разрешение 600 dpi или большее.

Насколько важно быстродействие?

Хотя общедоступные устройства печати традиционно подключаются к сети через последовательные или параллельные порты компьютеров, более новые устройства печати подсоединяются непосредственно к сети, используя встроенную плату — адаптер локальной вычислительной сети. Сетевые узлы предлагают более высокую пропускную способность, чем доступные в настоящее время параллельные и последовательные шины. Однако пропускная способность также зависит от трафика в сети, сетевого адаптера, используемого протокола и типа используемого устройства печати.

Перечислено ли устройство печати в списке совместимых аппаратных средств (Hardware Compatibility List, HCL) Windows 2000?

В списке совместимых- аппаратных средств Windows 2000 перечислены устройства печати, поддерживаемые этой ОС. Последняя версия HCL может быть получена через Интернет по адресу http://www.microsoft.com. Системы Windows 2000 поддерживают наиболее традиционные устройства печати, включая матричные, струйные и лазерные устройства печати. Они также поддерживают устройства печати с сетевым интерфейсом и устройства печати, подсоединенные к сети с использованием протокола AppleTalk или протоколов TCP/IP.

 

8. Выбор компьютеров для серверов печати

 

Выбор компьютеров для серверов печати

В сети любого размера, вероятнее всего, потребуется установка принтеров на сервере печати. Также может оказаться необходимым, чтобы компьютер,

задействованный в качестве сервера печати, мог бы одновременно работать и как сервер базы данных или файловый сервер. Нет никаких специальных аппаратных требований для серверов печати, за исключением того, что они должны иметь рабочие порты ввода/вывода, если используются устройства печати с подключением к параллельному или последовательному порту.

ОЗУ, имеющее минимальный необходимый объем для Windows 2000 Professional или Windows 2000 Server, достаточно для серверов печати на базе процессора х86, управляющих несколькими устройствами печати. При подключении большего числа принтеров или при управлении печатью интенсивного потока документов требуется увеличить объем памяти. Требования к дисковому пространству минимальны, за исключением случаев, когда требуется буферизация больших документов или большого количества документов в очереди печати.

 

9. Совмещение функций файлового сервера и сервера печати

 

Совмещение функций файлового сервера и сервера печати

Если Windows 2000 настроена и на совместное использование файлов, и на сетевую печать, то файловые операции имеют приоритет. Задания, посланные на печать, никогда не замедляют доступ к файлам. Кроме того, файловые операции оказывают незначительное воздействие на работу принтеров, присоединенных непосредственно к серверу; параллельные и последовательные порты в значительно большей степени влияют на производительность компьютера. Выделенный сервер печати может быть необходим, только если сервер управляет несколькими интенсивно используемыми принтерами.

Решение, объединять или нет сервер печати и файловый сервер, может зависеть от аспектов безопасности. В то время как принтеры (и, следовательно, сервер печати) должны всегда быть доступны тем, кто их использует, может возникнуть необходимость ограничения физического доступа к файловому серверу (например, он может помещаться в закрытой, хорошо защищенной комнате).

 

10. Управление доступом к принтерам

 

Управление доступом к принтерам

Перед установкой принтеров на сервере нужно определить параметры конфигурации, которые могут улучшить гибкость и эффективность сетевой печати. Исследовав эти параметры, можно переходить в папку Принтеры для установки и конфигурирования принтеров.

Работая с Windows 2000, не нужно иметь взаимно однозначную связь между принтерами (программным обеспечением) и устройствами печати (физическим оборудованием). Соединяя принтеры и устройства печати различными способами, можно предоставить пользователям гибкость в настройке возможностей печати (рис. 10.4—10.6; под изображениями принтером показаны их логические имена).

Рис. 10.4. Один принтер — одно устройство печати

 

Рис. 10.5. Несколько принтеров — одно устройство печати

 

Рис. 10.6. Один принтер — несколько устройств печати

Возможность назначать несколько принтеров одному устройству печати обеспечивает пользователям гибкость при печати документов. Например, два принтера, связанные с одним устройством печати, могут поддерживать различные параметры печати: один может печатать страницы-разделители, а другой — нет. Возможно, один принтер может задерживать документы и печатать их ночью, в то время как другой обрабатывает документы 24 часа в сутки.

 

10.3.gif

Изображение: 

10.4.gif

Изображение: 

10.5.gif

Изображение: 

11. Отсрочка печати документов

 

Отсрочка печати документов

Один из способов оптимизации работы устройств печати состоит в том, чтобы распределить время печати. Например, если нагрузка на принтер велика в течение дня, можно откладывать печать менее важных документов, направляя их на принтер, который печатает только в более свободное время.

Для этого на вкладке Дополнительно (Advanced) диалогового окна Свойства (Properties) принтера нужно задать время, в течение которого принтер может печатать документы. Когда определяется время печати, диспетчер очереди печати принимает документы в любое время, но не отправляет их на целевое устройство печати до обозначенного времени начала печати. По достижении времени окончания периода печати диспетчер очереди печати останавливает отправку документов на устройство печати и сохраняет любые остающиеся документы, пока не настанет время нового периода печати (рис. 10.7).

Рис. 10.7. Отсрочка печати документов

 

10.6.gif

Изображение: 

12. Срочность печати к уровни приоритета

 

Срочность печати и уровни приоритета

Если требуется напечатать документ немедленно и обойти в очереди документы, ожидающие на устройстве печати, можно сделать это, создав принтеры с различными уровнями приоритета. (Приоритет печати устанавливается на вкладке Дополнительно окна Свойства принтера.) Если два принтера связаны с одним устройством печати, первыми будут печататься документы, направленные на принтер с самым высоким уровнем приоритета (самый большой номер) (рис. 10.8).

Рис. 10.8. Установка уровней приоритетов печати

Чтобы использовать преимущества такой системы приоритетов, необходимо создать несколько принтеров, которые привязаны к одному устройству печати. Нужно назначить каждому принтеру уровень приоритета, а затем создать группу пользователей, которые привязываются к каждому принтеру. Например, пользователи в группе Group 1 могли бы иметь права доступа к принтеру с приоритетом 1, пользователи в группе Group2 — к принтеру с приоритетом 2 и т. д. Таким образом, можно располагать документы по приоритетам в соответствии с группами пользователей, посылающими на печать свои документы.

 

10.7.gif

Изображение: 

13. Использование пула печати

 

Использование пула печати

Пул печати состоит из двух или больше идентичных устройств печати, связанных с одним принтером. Чтобы установить пул, нужно создать принтер при помощи Мастера установки принтера (Add Printer Wizard), и назначить для него столько портов вывода, сколько имеется идентичных устройств печати. (ОС Windows 2000 не устанавливает никакого ограничения на число принтеров в пуле.) Если какое-либо устройство печати будет свободно, оно и получит следующий документ. Подобная схема максимизирует использование устройств печати и уменьшает время ожидания пользователем печати своего документа (рис. 10.9).

Рис. 10.9. Пул принтеров

Характеристики пула принтеров:

Все устройства в пуле одной модели и функционируют как одно устройство. Все установки параметров печати относятся ко всему пулу.
Порты принтера могут быть одного или разных типов (параллельные, последовательные или сетевые).
Когда пул принтеров получает документ, диспетчер очереди печати проверяет состояние физических устройств печати, чтобы определить,, которое из них свободно.
Если одно устройство внутри пула останавливает печать, например, когда в нем кончается бумага, это задержит только один документ, посланный на данное устройство печати. Другие документы продолжают печататься на других устройствах пула, в то время как задержанный документ ждет, пока нефункционирующее устройство не будет исправлено или пока он не будет послан на печать заново.

Невозможно предсказать, какой принтер пула получит определенный документ. Если активна служба сообщений Windows 2000 (Messenger Service), рабочая станция получит сообщение, которое указывает, что печать документов выполнена и сообщает порт вывода принтера. Если вы не хотите, чтобы пользователи следили за этими сообщениями и искали тот принтер, на котором реально распечатался документ, то желательно поместить устройства печати, объединенные в пул, в одном физическом месте.

 

10.8.gif

Изображение: 

14. Подключение и конфигурирование принтеров

 

Подключение и конфигурирование принтеров

После принятия решения о том, как пользователи будут совместно использовать сетевые принтеры, необходимо подключить устройства печати к сети. Совместно используемые устройства печати могут быть подключены к параллельным или последовательным портам компьютера-сервера печати или непосредственно к сети, если они имеют встроенную плату сетевого адаптера.

 

15. Установка локально подключенного принтера

 

Установка локально подключенного принтера

Сначала необходимо подключить печатающее устройство к соответствующему порту компьютера согласно документации изготовителя принтера и проверить, что устройство готово к работе.

Хотя Windows автоматически обнаруживает и устанавливает большинство принтеров, для завершения инсталляции печатающего устройства может понадобиться дополнительная информация. Например, потребуется выбрать из списка принтер, который подключен к компьютеру.

 

16. Настройка параллельных и последовательных устройств печати

 

Настройка параллельных и последовательных устройств печати

Устройства печати присоединяются к компьютерам при помощи разъемов параллельных или последовательных портов. Параллельные кабели должны быть длиной менее 6 м; последовательные кабели могут быть длиной до

30 м. Стандартные компьютеры на процессорах Intel 486 и Pentium поддер-I живают до трех параллельных портов и два последовательных порта.

Примечание

Хотя стандартные компьютеры на базе Intel 486 и Pentium поддерживают три параллельных порта, обычно у них установлен только один порт. Для более простой установки, конфигурации и сопровождения или для устройств печати без сетевого интерфейса используют только первый параллельный (LPT1) или последовательный порт.

При конфигурировании параллельных портов вам, вероятно, придется устанавливать переключатели или перемычки. Связь по последовательному порту требует управления потоком данных (также называемого подтверждением связи, handshaking), которое определяет метод, при помощи которого устройство печати сообщает Windows 2000 о том, что буфер заполнился. Последовательные порты могут быть сконфигурированы так, чтобы управление потоком данных отсутствовало, управление XON/XOFF (программное управление потоком данных) или аппаратное управление потоком данных (CTS/RTS, по названиям линий последовательного порта, Clear to Send/Ready to Send)! Настройка портов производится с помощью Диспетчера устройств (Device Manager) (см. главу 6). В документации по устройству печати должны содержаться сведения о том, какие установки для связи необходимо использовать. Обычно устанавливаются следующие значения: скорость — 9600 бод, нет контроля четности, 8 битов, 1 столовый бит, и аппаратное подтверждение связи (9600 baud, 8N1, CTS/RTS).

С последовательным устройством печати нужно использовать кабель, который поставлялся с устройством или рекомендуется в руководстве, поскольку распайки кабелей могут различаться.

 

17. Установка уровней аппаратных прерываний

 

Установка уровней аппаратных прерываний

Хотя Windows 2000 поддерживает неограниченное число последовательных (СОМ) и параллельных портов, число устройств, которые можно подсоединить к компьютеру, зависит от числа разъемов платы интерфейса и доступных адресов. Если устройства печати подсоединяются к СОМ-портам на компьютерах с процессорами х86, также существует ограничение числа доступных уровней запросов прерываний (Interrupt Request, IRQ). Поскольку компьютеры на процессорах х86 имеют ограниченное число IRQ, подобрать доступный уровень IRQ для СОМ-порта бывает трудно.

Некоторые интерфейсные платы поддерживают совместное использование прерываний. Это означает, что два адреса устройства могут использовать один И тот же уровень IRQ. Однако некоторым устройствам требуется исключительное использование некоторых прерываний. Чтобы избежать конфликтов, нужно проверить руководства по установке этих устройств перед конфигурированием портов. Чтобы посмотреть текущие установки IRQ на компьютере, нужно запустить оснастку Сведения о системе (System Information) (новая реализация утилиты Microsoft Diagnostics) (%SystemRoot% \system32\winmsd.exe) (см. главу 6).

 

18. Создание принтера на сервере печати

 

Создание принтера на сервере печати

После физического подключения устройства печати необходимо создать принтер. Чтобы сделать это, нужно запустить Мастер установки принтера (Add Printer Wizard) из папки Принтеры (Printers).

Примечание

Чтобы создать принтер на сервере, нужно зарегистрироваться на нем в качестве члена группы Администраторы (Administrators).

Для создания принтера требуется:

Выбрать порт принтера (если используется пул принтеров, выбрать несколько портов)
Выбрать изготовителя принтера и модель О Задать имя принтера
Установить имя общего ресурса принтера для доступа к нему сетевых пользователей (если имеются клиенты Windows 3.x или MS-DOS, которые будут обращаться к этому принтеру по сети, используется короткое имя — до 8 символов)

Когда подключается новый локальный принтер и мастер установки принтера спрашивает о выборе порта принтера, в списке существующих портов обычно выбирается один из параллельных портов (LPT). Однако некоторые устройства печати и графопостроители подключаются через последовательные порты (СОМ).

После задания общих характеристик принтера можно назначить принтеру некоторые зависящие от устройств параметры (шрифты, объем памяти принтера, возможность цветной печати и т. д.). От настройки параметров зависит то, как пользователи будут работать с устройством печати. Параметры принтера также определяют расписание работы, публикацию в каталоге и установки защиты. Если эти параметры не задавать, Windows 2000 использует установки по умолчанию.

В Windows 2000 Server мастер установки принтера по умолчанию разрешает совместное использование принтера и публикует его в Active Directory, если это не отменено во время установки в окне мастера. В Windows 2000 Professional мастер установки принтера не разрешает совместное использование принтера автоматически; нужно выбрать положение Общий доступ (Share) переключателя, чтобы совместно использовать и опубликовать принтер.

Установленный принтер появляется в сетевом окружении и в папке Directory, если он опубликован. Клиенты Windows 2000 и Windows 9x могут подключаться к принтерам Windows 2000 при помощи мастера установки принтера, метода "укажи и печатай" ("point and print") или кнопки Установить с использованием средств Web, чтобы выбрать принтер из сети или каталога.

Если в будущем понадобится совместно использовать принтер для клиентов, отличных от Windows 2000, нужно установить соответствующие драйверы принтера для этих клиентов на сервере печати. Чтобы добавить дополнительные драйверы для других аппаратных платформ и операционных систем, нужно посмотреть параметры сервера. По умолчанию мастер установки принтеров автоматически копирует драйверы для клиентов Windows 9x и Windows 2000 на компьютеры с Intel-совместимыми процессорами. Когда клиенты Windows NT 4.0 и Windows 9x подключатся к принтеру, система автоматически загрузит правильный драйвер клиенту.

 

19. Установка принтера, подключенного к параллельному порту

 

Установка принтера, подключенного к параллельному порту

Подключите физически принтер к компьютеру. Откройте папку Принтеры (Printers) и дважды щелкните на значке Установка принтера (Add Printer), чтобы запустить мастер установки принтера. Затем нажмите кнопку Далее (Next). Установив, переключатель Локальный принтер (Local Printer), убедитесь, что флажок Автоматическое определение и установка принтера Plug and Play (Automatically detect and install my Plug and Play printer) установлен, и нажмите кнопку Далее, чтобы установить принтер, соответствующий стандарту "plug and play". Следуйте командам мастера, чтобы закончить установку принтера.

Возможно, после установки принтера понадобится перезапустить компьютер, чтобы ОС Windows 2000 автоматически обнаружила принтер и запустила мастер поиска новой аппаратуры. Значок принтера появится в папке принтеров.

 

20. Установка принтера, подключенного к шине USB или IEEE 1394

 

Установка принтера, подключенного к шине USB или IEEE 1394

Если устанавливается принтер, подключенный к USB (Universal Serial Bus, универсальная последовательная шина) или к шине IEEE 1394, Windows 2000 автоматически обнаружит это и запустит мастер поиска новой аппаратуры. Не требуется выключать или перезапускать компьютер, необходимо только следовать командам мастера, чтобы закончить установку. Значок принтера появится в папке принтеров.

 

21. Установка принтера, подключенного через инфракрасный порт

 

Установка принтера, подключенного через инфракрасный порт

Windows 2000 позволяет выполнять печать документов на устройствах, подключенных через инфракрасные порты. Такие порты есть у большинства современный портативных компьютеров. Для печати не требуются сложные манипуляции по установке принтера. Достаточно убедиться, что устройство печати находится на допустимом расстоянии от компьютера, и работать с ним, как обычно.

Если устанавливается принтер, подключенный через инфракрасный порт, Windows 2000 автоматически обнаружит и установит его. Выключать или перезапускать компьютер не требуется, следуйте только указаниям мастера. Сначала убедитесь, что компьютер и принтер включены. Затем расположите два устройства с инфракрасными портами на расстоянии приблизительно 1 м друг от друга, чтобы установить беспроводное инфракрасное соединение. Через несколько секунд компьютер опознает устройство печати и значок принтера появится на панели задач (а также в папке принтеров), а соответствующие драйверы будут установлены на компьютере.

Если компьютер не может работать через инфракрасный порт, можно подключить инфракрасный приемопередатчик к последовательному порту (СОМ-порту).
Если принтер не удалось установить, используя возможности Plug and Play, или если принтер подключен к компьютеру при помощи последовательного порта, то воспользуйтесь мастером установки принтеров, указав принтер как локальный.

 

22. Установка принтера, подключенного непосредственно к сети

 

Установка принтера, подключенного непосредственно к сети

 

1. Откройте папку принтеров.
2. Дважды щелкните на значке Установка принтера, чтобы запустить мастер установки принтера, и нажмите кнопку Далее.
3. Выберите переключатель Локальный принтер, снимите флажок Автоматическое определение и установка принтера и нажмите кнопку Далее.
4. Когда мастер установки принтера запросит выбрать порт принтера, нажмите кнопку Создать новый порт (Create new port).
5. В списке выберите соответствующий тип порта и следуйте командам мастера. (По умолчанию в списке видны только варианты Local Port и Standard TCP/IP port, однако можно создать и новый тип порта.)

Флажок Автоматическое определение и установка принтера сбрасывается, если принтер подключен непосредственно к сети, а не к компьютеру, работающему под управлением Windows 2000.

Параметры групповой политики могут изменить заданное по умолчанию поведение мастера установки принтера в Windows 2000.

 

23. Конфигурирование устройств печати с сетевым интерфейсом

 

Конфигурирование устройств печати, с сетевым интерфейсом

В отличие от параллельных и последовательных устройств, печатающие устройства со встроенной платой сетевого адаптера не должны быть непосредственно соединены с сервером печати. Расположение устройств печати этого типа не влияет на производительность печати, если, конечно, пользователи и устройства печати не находятся по разные стороны сетевых мостов или шлюзов. Сервер печати Windows 2000 может управлять несколькими принтерами с сетевыми интерфейсами в зависимости от возможностей сервера по обработке заданий, количества установленной памяти, размера и числа документов, обычно посылаемых на сервер печати. Для высокопроизводительного сервера, работающего с несколькими устройствами печати, требуется дополнительная оперативная память

Устройства печати с сетевым интерфейсом Подключаются к сети через встроенную плату адаптера или через дополнительное оборудование. Чтобы использовать принтер с сетевым интерфейсом, нужно установить протокол управления передачей данных (Data Link Control, DLC) или Microsoft TCP/IP Printing Service (Служба печати TCP/IP) в зависимости от того, какие методы печати поддерживает печатающее устройство. Принтеры AppleTalk требуют протокола AppleTalk. Принтеры TCP/IP LPR требуют протокола TCP/IP и Microsoft TCP/IP Printing Service. Для установки этих протоколов и служб во время установки Windows 2000 или позже (при установке сетевых принтеров) нужно Выбрать пункт Дополнительные сетевые компоненты (Optional Networking Components) меню Дополнительно (Advanced) в папке Сеть и удаленный доступ к сети (Network and Dial-up Connections).

В большинстве случаев нужно задать адрес устройства сетевой печати до того, как будет установлен сервер печати Windows 2000. Если печать происходит при помощи протокола TCP/IP, обычно нужно иметь свободный IP-адрес для устройства печати. Если производится печать на устройство печати с сетевым интерфейсом Hewlett-Packard, необходимо выполнить самотестирование для получения сетевого адреса платы. Если производится печать на устройство печати AppleTalk, нужно знать, в какую зону помещено устройство печати,

 

24. Настройка принтеров TCP/IP и UNIX

 

Настройка принтеров TCP/IP и UNIX

Пользователь с любого клиентского компьютера может печатать на сетевом устройстве печати TCP/IP или на печатающем устройстве, физически подсоединенном к компьютеру под управлением любой версии UNIX. Чтобы получить возможность осуществлять печать при помощи TCP/IP, в сети должен быть по крайней мере один компьютер Windows 2000 с протоколом TCP/IP и Службами печати для UNIX (Print Services for UNIX).

Чтобы использовать преимущества Microsoft TCP/IP Printing Service, нужен только один компьютер под управлением Windows 2000 для ТСР/IР-принтера с установленным протоколом TCP/IP. Клиент может посылать задания на сервер печати Windows 2000, используя любой протокол, который установлен и на клиенте и на сервере. Далее уже сам сервер печати посылает документ на устройство печати TCP/IP.

На вкладке Общие (General) окна свойств соединения можно установить протокол TCP/IP или DLC.

 

25. Службы печати для различных платформ

 

Службы печати для различных платформ

 

Служба Windows 2000 для печати через TCP/IP (LPD)

Служба-демон (daemon) устройства построчной печати (Line Printer Daemon, LPD) на сервере печати получает документы от удаленных утилит устройства построчной печати (Line Printer Remote, LPR), выполняющихся на клиентских компьютерах. LPR-клиент и LPD-серверы часто бывают UNIX-системами, но программное обеспечение LPR и LPD существует для большинства операционных систем, включая Windows 2000. Также существует много устройств печати, подсоединяемых к сети, которые могут использоваться как LPD-серверы печати.

 

26. Совместимость печати через TCP/IP

 

Совместимость печати через TCP/IP

В предыдущих версиях Windows NT печать через TCP/IP соответствовала требованиям RFC 1179. Однако этот RFC "описывает существующий протокол сервера печати, широко используемый в Интернете для связи между демонами устройства построчной печати и не определяет стандарт Интернета. Следовательно, различные реализации печати через TCP/IP могут поддерживать различные опции. В Windows NT 4.0 были добавлены отдельные расширения для печати через TCP/IP. Теперь поддерживается передача нескольких файлов данных вместе с единственным управляющим файлом. Когда сервер печати используется как промежуточная очередь печати, он правильно передаёт параметр "имя компьютера" (hostname) через подсистему печати Windows. Также служба печати Windows 2000 через TCP/IP теперь использует TCP-порты с 512 по 1023 для заданий LPR вместо TCP-портов от 721 до 731. Поддержка LPD для Windows 2000 входит в службы печати для UNIX и устанавливается через меню Дополнительно | Дополнительные сетевые компоненты в папке Сеть и удаленный доступ к сети.

 

27. Посылка документов, использующих LPR в Windows 2000

 

Посылка документов, использующих LPR в Windows 2000

LPR позволяет клиентскому приложению на одном компьютере посылать документ диспетчеру очереди печати (спулеру) на другом компьютере. Windows 2000 содержит приложение командной строки, утилиту LPR.EXE и монитор порта Lprmon (LPR port monitor). Оба приложения работают как клиенты, посылая документы службе LPD, выполняющейся на другом компьютере.

Мастер установки принтера позволяет создать TCP/IP-принтер так же, как создается любой другой принтер, который нужно совместно использовать в сети Windows 2000. Для создания TCP/IР-принтера нужна следующая информация:

IP-адрес LPD-сервера печати, к которому подсоединен принтер

Сервер печати LPD обычно является компьютером, но может быть и присоединенным к сети устройством печати. В таком случае, идентификатором принтера может быть как DNS-имя, так и IP-адрес устройства печати.

Имя принтера, определенное на сервере печати LPD

Это имя принтера, заданное на LPD-компыотере, или имя, определенное изготовителем для LPD-устройства, подключенного к сети устройства печати.

 

28. Получение документов, напечатанных при помощи LPR

 

Получение документов, напечатанных при помощи LPR

Поскольку системы Windows 2000 также предоставляют службу LPD (в составе Microsoft TCP/IP Printing Service), они могут получать документы, посланные LPR-клиентами, включая компьютеры UNIX и другие компьютеры Windows 2000.

Служба LPD не зависит от монитора порта Lprmon. Lprmon запускается автоматически, что позволяет компьютеру под управлением Windows 2000 (и всем клиентам, которые могут обращаться к этому компьютеру) печатать на принтерах, подключенных к компьютерам под управлением UNIX.

Клиентское программное обеспечение LPR должно знать имя принтера на компьютере, где находится демон LPD. Если компьютер LPD работает под управлением Windows 2000, то указывается имя принтера, а не имя общего ресурса печати. Другими словами, рекомендуется использовать то имя принтера, которое указано в папке Принтеры (Printers) в диалоговом окне Свойства (Properties) принтера. Не рекомендуется использовать общее имя прин--тера, которое определено на вкладке Доступ (Sharing) диалогового окна Свойства.

Если документы, посланные с LPR-клиента под управлением UNIX, не печатаются правильно на серверах печати Windows 2000, часто эту проблему можно исправить, переконфигурировав программное обеспечение LPR на UNIX, чтобы оно использовало команды управления, введенные в нижнем регистре.

Примечание

В Windows 2000— как и в большинстве операционных систем, основанных на Berkeley UNIX— печать через TCP/IP соответствует требованиям RFC 1179. Однако большинство операционных систем UNIX System V не соответствует этому стандарту. Следовательно, в большинстве случаев Windows 2000 не может посылать документы компьютерам System V или получать документы от них. Компьютеры System V, которые сконфигурированы так, чтобы они могли принимать документы BSD-систем, являются исключениями. Такие компьютеры могут принимать документы и от систем Windows 2000.

 

29. Печать через Интернет

 

Печать через Интернет

В системе Windows 2000 доступ к сетевым принтерам можно получать через корпоративные интрасети и через Интернет. Печать через Интернет работает так же, как и традиционная сетевая печать. Windows 2000 позволяет отправлять документы для печати непосредственно на URL сетевого принтера и устанавливать драйверы принтеров из URL. Более того, сервер печати, организованный на основе Windows 2000, можно посетить точно так же, как и веб-узел, используя адрес типа httр://имя_сервера/принтер или httр://имя_сервера/общий_ресурс.

Для администраторов HTTP-принтер выглядит так же, как и любой другой общедоступный принтер. Сначала создается принтер на сервере, как описано ниже в этой, главе. Затем, чтобы получить возможность веб-просмотра, необходимо установить веб-сервер из состава служб Internet Information Services (рис. 10.10).

Рис. 10.10. Печать через Интернет

 

10.9.gif

Изображение: 

30. Использование принтеров в сетях Novell NetWare

 

Использование принтеров в сетях Novell NetWare

 

Чтобы предоставить клиентам Windows 2000 возможность печати на принтерах, подключенных к компьютерам под управлением NetWare, нужно установить службу Windows 2000 Client Services for NetWare (CSNW) на каждом клиентском компьютере.
Чтобы установить сервер печати, который позволяет клиентам сети Microsoft печатать на устройстве печати, предоставляемом для общего использования сервером Novell NetWare, нужно установить службу Windows 2000 Gateway Services for NetWare (GSNW) на сервере печати.
Чтобы дать возможность клиентам NetWare печатать на принтерах сети Windows NT/2000, а клиентам сети Microsoft — печатать на серверах печати NetWare, необходимо использовать Microsoft File and Print Services for NetWare (FPNW). Пакет Microsoft FPNW не включен в Windows 2000, но его можно получить у поставщика программного обеспечения.

 

31. Печать а сетях AppleTalk

 

Печать в сетях AppleTalk

Компьютеры под управлением Windows 2000 могут печатать на устройствах печати AppleTalk и серверах печати AppleShare. Однако только в Windows 2000 Server включены Службы печати для Macintosh (Print Services for Macintosh), которые дают возможность клиентам Macintosh печатать на серверах печати Windows 2000.

 

32. Настройка принтера

 

Настройка принтера

В любое время в диалоговом окне свойств принтера (рис. 10.11) можно устанавливать для принтера следующие параметры:

Общие параметры (драйвер принтера и установки страницы-разделителя)
Выбор порта и параметров порта
Параметры планирования документов и очереди печати
Имя общего ресурса принтера и имя каталога, а также его местоположение
Установки безопасности
Параметры, зависящие от устройства

Чтобы вызвать диалоговое окно свойств принтера, откройте папку Принтеры (Printers), выберите нужный принтер, а затем в контекстном меню — пункт Свойства (Properties).

Рис. 10.11. Диалоговое окно свойств принтера

 

10.10.gif

Изображение: 

33. Установка общих параметров принтера

 

Установка общих параметров принтера

На вкладке Общие (General) диалогового окна свойств принтера можно задать:

Комментарии и местоположение принтера
Печать тестовой страницы

Текст комментария к принтеру полезен для указания расположения устройства печати для тех клиентов Windows 2000, которые ищут принтер в сети.

 

34. Совместное использование и публикация принтеров

 

Совместное использование и публикация принтеров

На вкладке Доступ (Sharing) свойств принтера (рис. 10.12) можно разрешить общий доступ к принтеру. Для этого выберите переключатель Общий ресурс (Shared as), а затем введите имя общего ресурса (принтера) в поле ввода.

Хотя можно создавать принтеры с длинными именами, содержащими пробелы и специальные символы, некоторые клиенты не распознают такие имена или обрабатывают их неправильно. Если в сети есть клиенты с различными операционными системами, желательно, чтобы длина имени принтера не превышала 31 символа, которые не содержат пробелов или специальных символов.

Рис. 10.12. Управление доступом и драйверами

Клиент Windows 2000 может устанавливать соединение с принтером, используя или имя принтера, или имя общего ресурса принтера. Клиент, работающий под управлением другой операционной системы, устанавливает соединение с принтером с указанием имени общего ресурса принтера. Если принтеры совместно используются в сети с компьютерами под управлением MS-DOS, имя общего ресурса должно иметь длину не более 8 символов, за которыми могут следовать точка и от 1 до 3 символов, имя также не должно содержать пробелы.

Примечание

Чтобы печатать из приложений MS-DOS под Windows 2000 на серверах печати Windows 2000, нужно сначала выполнить команду net use из командной строки Windows 2000. Для получения более подробной информации об использовании этой команды, выполните команду net use /? в командной строке.

На вкладке Доступ можно изменить имя и каталог расположения принтера. По умолчанию принтер автоматически публикуется в Active Directory, когда разрешается его совместное использование. Заданное по умолчанию имя в каталоге — \\server_name\share_name.

 

10.11.gif

Изображение: 

35. Выбор и конфигурирование порта

 

Выбор и конфигурирование порта

В табл. 10.2 перечислены типы портов, драйверы для которых поставляются в Windows 2000. Обратите внимание, что порты могут не отображаться в списке доступных портов, пока связанная с ними служба не будет установлена на компьютере. Например, LPR Port требует установки служб печати для UNIX.

Таблица 10.2. Типы портов принтера

Дополнительный порт

Дает возможность клиенту печатать

Доступен

AppleTalk Printing Device (Устройство печати AppleTalk)

На устройствах печати AppleTalk

Когда протокол AppleTalk установлен

Digital Network Port (Сетевой порт фирмы Digital)

На устройствах печати DEC

Когда установлен протокол Microsoft TCP/IP или DEC DECNET

Hewlett-Packard Network Port (сетевой порт Hewlett-Packard)

На устройствах, которые используют адаптер JetDirect

Когда установлен сетевой протокол DLC

Local Port (Локальный порт)

На устройствах печати, подключенных к параллельному или последовательному портам, в файл, на устройствах с именем в формате UNC или в NUL-порт

По умолчанию

LPR Port (Порт LPR)

Из приложения LPR на принтерах Windows 2000

Когда установлена служба Microsoft TCP/IP Printing Service

Standard TCP/IP Port (Стандартный порт TCP/IP)

На устройствах печати, подключенных непосредственно к сети

По умолчанию

Управление портами задается на вкладке Порты (Ports) в окне свойств принтера (рис. 10.13).

Рис. 10.13. Управление портами принтеров

 

10.12.gif

Изображение: 

36. Изменение параметров планирования и очереди печати

 

Изменение параметров планирования и очереди печати

На вкладке Дополнительно (Advanced) диалогового окна Свойства (Properties) принтера можно менять параметры планирования документов и очереди печати (рис. 10.14 и табл. 10.3):

Диапазон времени, когда принтер доступен
Страницу-разделитель
Приоритет принтера
Опции очереди печати
Рис. 10.14. Параметры планирования и очереди печати

Tаблица 10.3. Параметры планирования и спулинга

Опция

Описание

Доступен всегда (Always available) и Доступен с ... до ... (Available from ... to ...)

Определяет, когда принтер доступен

Приоритет (Priority)

Начинать печать после помещения в очередь всего задания (Start printing after last page is spooled)

Останавливает приоритет очереди печати (0-99), основанный на приоритете документа

Предотвращает задержки, когда сервер печати печатает страницы быстрее, чем клиент может их посылать

Начинать печать немедленно

(Start printing immediately)

Предписывает печатать документы настолько быстро, насколько это возможно (значение по умолчанию)

Печатать прямо на принтер (ускорение вывода на печать)

(Print directly to the printer)

Посылает документы на устройство печати без предварительной записи их на жесткий диск сервера печати

Задерживать документы с неподходящими параметрами

(Hold mismatched documents)

Предписывает сохранять документы, посланные в очередь, если они не соответствуют доступной форме. Эта опция разрешает пропускать другие документы, которые соответствуют форме, на печать до тех пор, пока не будет загружена правильная форма

Первыми печатать документы из очереди (Print spooled documents first)

Предписывает диспетчеру очереди печати печатать документы в порядке, в котором они находятся в очереди (по окончании передачи), а не в порядке, в котором они начинают посылаться в очередь. Используйте эту опцию вместе с опцией Начинать печатать немедленно

Сохранить документы после печати (Keep printed documents)

Разрешает пользователям повторно посылать документы из очереди печати вместо того, чтобы посылать их заново из прикладной программы

 

10.13.gif

Изображение: 

37. Пользовательские страницы-разделители

 

Пользовательские страницы-разделители

Чтобы настроить страницу-разделитель, можно переименовать и изменить один из поставляемых файлов-разделителей. Табл. 10.4 содержит команды-разделители, которые можно включать в файл страницы-разделителя. Windows 2000 заменяет эти. команды-разделители соответствующими данными, которые будут посланы непосредственно на принтер.

Команды-разделители всегда начинаются со специального символа и заканчиваются символом или номером. Первая строка пользовательской страницы-разделителя должна содержать только команду-разделитель.

Таблица 10.4. Команды, применяемые в страницах-разделителях

Команда

Функция

\

Первая строка файла-разделителя состоит из одного символа. Интерпретатор файлов разделителей считает его командой-разделителем для всего файла-разделителя. Здесь таким символом считается слэш (\)

\N

Печатает имя пользователя, который послал документ на печать

\l

Печатает номер документа

\D

Печатает дату, когда документ был напечатан. Представление даты соответствует установкам утилиты Язык и стандарты (Regional Options) на панели управления

Печатает время, когда документ был напечатан. Представление времени соответствует установкам утилиты Язык и стандарты на панели управления

\Lxxxx

Печатает все символы, идущие после него (хххх), пока встретится другая команда-разделитель или пока не достигнута ширина страницы-разделителя (см. команду \Wnn)

\Fpathname

Печатает содержимое файла, определяемого параметром pathname, начиная с пустой строки. Содержание этого файла копируется непосредственно на принтер без обработки

\Нnn

Посылает специфическую для принтера управляющую последовательность, где nn— шестнадцатеричный код ASCII, посылаемый непосредственно на принтер. Конкретные значения см. в руководстве принтера

\Wnn

Устанавливает ширину страницы-разделителя в символах (по умолчанию — 80; максимальная ширина — 256). Любые печатаемые символы вне этой ширины усекаются

\B\S

Печатает текст блочными символами одиночной ширины, пока не встретится команда \U

Прогоняет страницу. Используйте этот код, чтобы начать новую страницу разделителя или закончить файл страницы-разделителя. Если принтер выдает дополнительную пустую страницу-разделитель при печати, нужно удалить этот код из файла страницы-разделителя

\n

Пропускает n строк (от 0 до 9). При n= 0 продолжает печать на следующей строке

\В\М

Печатает текст блочными символами двойной ширины, пока не встретится команда \U

\U

Выключает блочные символы

 

38. Использование страниц-разделителей

 

Использование страниц-разделителей

Можно настроить принтер так, чтобы в начале каждого документа печаталась одна или больше страниц-разделителей. (Страницы-разделители обычно содержат информацию о том, кто отправил на печать данный документ, а также дату и время печати.)

Чтобы выбрать файл страницы-разделителя, нажмите кнопку Страница-разделитель (Separator Page) на вкладке Дополнительно диалогового окна свойств принтера. В открывшемся окне введите имя файла страницы-разделителя вручную или нажмите кнопку Обзор (Browse) и выберите файл. Можно использовать одну из четырех страниц-разделителей, поставляемых с Windows 2000, или создать собственный файл страницы-разделителя.

В табл. 10.5 приведены имена четырех страниц-разделителей, поставляемых с Windows 2000, указаны назначение каждой и тип принтера, с которым она является совместимой. Любую страницу-разделитель можно отредактировать. По умолчанию файлы страниц-разделителей хранятся в папке %SystemRoot% \SYSTEM32.

Таблица 10.5. Стандартные страницы-разделители, поставляемые с Windows 2000

Имя файла

Назначение

Совместимость

SYSPRINT.SEP

Печатает страницу перед каждым документом

PostScript

PCL.SEP

Переключает принтер в режим печати PCL и печатает страницу перед каждым документом

PCL

PSCRIPT.SEP

Переключает принтер в режим печати PostScript, но не печатает страницу-разделитель перед каждым документом

PostScript

SYSPRTJ.SEP

Печатает страницу перёд каждым документом с указанием параметров задачи

PostScript

 

39. Безопасность принтера

 

Безопасность принтера

Средства безопасности Windows 2000 позволяют управлять доступом к принтерам, отслеживать использование принтера и получение прав владельца, а также становиться его владельцем (take ownership).

По умолчанию все вновь созданные общие принтеры доступны всем пользователям сети. Чтобы ограничить доступ к, принтеру, необходимо изменить установки разрешения принтера для заданной группы или пользователя. Для того необходимо быть владельцем принтера или пользователем, которому предоставлено разрешение на управление принтером. Эти свойства доступа на вкладке Безопасность (Security) диалогового окна свойств принтера; список имеющихся функций печати и разрешений приведен в табл. 10.6.

Таблица 10.6. Управление доступом к принтеру

Функции печати, которые можно выполнять

Разрешения

Печать (Print)

Управление документами (Manage Documents)

Управление принтерами (Manage Printers)

Печатать документы

X

X

Х

Приостанавливать, продолжать, перезапускать и отменять печать документа, принадлежащего пользователю

X

X

X

Устанавливать соединение с принтером

X

X

X

Управлять установками для всех заданий печати

 

 

X

X

Приостанавливать, перезапускать и удалять все документы

 

 

X

X

Выделять принтер в совместное использование

 

 

 

 

X

Изменять свойства принтера

 

 

 

 

X

Удалять принтер

 

 

 

 

X

Изменять разрешения принтера

 

 

 

 

X

По умолчанию на компьютере с Windows 2000 Server разрешение Управление принтерами имеют члены групп Администраторы (Administrators), Операторы печати (Print Operators) и Операторы сервера (Server Operators); на компьютерах под управлением Windows 2000 Professional это разрешение имеют Администраторы (Administrators) и Опытные пользователи (Power Users). Все пользователи могут управлять собственными документами.

 

40. Управление доступом клиентов Macintosh к принтерам

 

Управление доступом клиентов Macintosh к принтерам

Встроенные средства для работы с сетями компьютеров Macintosh поддерживают безопасность файлов, но не обеспечивают безопасность для устройств печати. Если клиент Macintosh физически способен послать документ устройству печати или серверу печати, он неявно имеет разрешение делать это. Протокол AppleTalk не имеет никакого механизма, который поддерживал бы имя клиента-пользователя или пароль. Клиент печати Macintosh не может идентифицировать себя в сети, а сервер печати Windows 2000 не может применять схему безопасности уровня пользователя к клиенту Macintosh.

Можно, однако, назначить набор разрешений на принтер для всех пользователей Macintosh как группе. Служба Windows 2000 Server MacPrint всегда входит в систему, на которой она работает, используя учетную запись пользователя; по умолчанию она входит в систему как учетная запись System. Учетная запись System имеет разрешение Печать на всех локальных устройствах печати, следовательно, по умолчанию, любой клиент Macintosh может посылать документ на любой локальный принтер компьютера под управлением Windows 2000. Если требуется, чтобы клиент Macintosh имел другой набор разрешений, нужно создать новую учетную запись пользователя, назначить ей разрешения на принтер, которые должны быть у пользователей Macintosh, и установить для службы MacPrint вход в систему с использованием этой учетной записи.

 

41. Аудит принтера

 

Аудит принтера

При помощи механизма аудита отслеживается использование принтера. Для конкретного принтера можно определить группы, пользователей и действия, которые требуется отслеживать. Можно отслеживать и успешные, и неудачные действия. Система сохраняет информацию, сгенерированную службой аудита в файле, который можно просматривать с помощью оснастки Просмотр событий.

Для отслеживания следующих действий, производимых с принтером, нужно выбрать события, показанные в табл. 10.7.

Таблица 10.7. События, связанные с печатью, для которых возможен аудит

Отслеживаемые события

Печать (Print)

Управление принтерами (Manage Printers)

Управление документами (Manage Documents)

Чтение разрешений (Read Permissions)

Смена разрешений (Change Permissions)

Смена владельца (Take Ownership)

Печать документов

X
О
О
О
О
О

Изменение предпочтении печати

X
О
О
О
О
O

Изменение свойств заданий на печать

О
O
X
О
О
О

Приостановка и продолжение печати, печать документов с начала и удаление документов

О
О
X
О
O
O

Изменение параметров документов по умолчанию

О
X
X
О
О
О

Установка принтера в совместное использование

O
X
О
О
O
О

Изменение свойств принтера

О
X
О
О
O
О

Удаление принтера

О
X
О
О
O
O

Просмотр разрешений на принтер

О
O
O
X
O
O

Изменение разрешений на принтер

О
O
О
О
X
O

Получение прав владельца принтера

O
O
О
О
O
X

X — событие отслеживается, О — событие не отслеживается

 

42. Получение прав владельца

 

Получение прав владельца

Нажатие кнопки Дополнительно на вкладке Безопасность окна свойств принтера открывает окно управления доступом к принтеру. На вкладке Владелец (Owner) этого окна можно увидеть, кто является владельцем принтера, и стать владельцем принтера. Чтобы стать владельцем принтера, нужно иметь разрешение Управление принтерами (Manage Printers) или являться членом группы Администраторы (Administrators). Владелец принтера может устанавливать для него разрешения.

 

43. Установка параметров, зависящих от устройства

 

Установка параметров, зависящих от устройства

Зависящие от устройства параметры принтера описывают физическую конфигурацию устройства печати: какие бумажные лотки установлены, сколько памяти имеет устройство и т. п. Эти параметры изменяются от устройства к устройству. При создании принтера используйте вкладку Параметры устройства (Device Settings) окна Свойства (Properties) принтера, чтобы удостовериться, соответствуют ли значения параметров, зависящих от устройства,

установкам устройства печати. Хотя значения по умолчанию работают для многих конфигураций печати, некоторые специальные опции печати (например, для драйверов PostScript-принтера) требуют настройки (рис. 10.15).

Рис. 10.15. Параметры, зависящие от устройства

 

10.14.gif

Изображение: 

44. Установка параметров памяти принтера

 

Установка параметров памяти принтера

Поскольку постранично печатающие устройства должны хранить в памяти всю страницу, они требуют относительно больших объемов памяти. Если используется подобное устройство, например лазерный принтер, необходимо удостовериться, что объем памяти, имеющейся в устройстве (параметр Память принтера (Printer Memory)), соответствует значению, указанному на вкладке Параметры устройства в окне свойств принтера. Если это значение |не соответствует реальному, то производительность печати может снизиться, [возможно также возникновение сбоев. Например, Windows 2000 может ошибочно загрузить в принтер больше шрифтов, чем тот в состоянии обработать. (При самотестировании принтер обычно сообщает объем установленного ОЗУ.)

 

45. Использование форм печати

 

Использование форм печати

Модель печати Windows 2000 основана на понятии формы (form), в отличие от модели печати, основанной на понятии лотка (tray). В модели, основанной на формах, администратор сервера печати конфигурирует сервер печати Windows 2000, определяя форму, загруженную в каждый источник бумаги (лоток). Форма задается в Windows 2000 с помощью следующих критериев: размер, границы печати принтера, имя формы. Выполняя Windows-приложения на компьютерах под управлением Windows 2000, каждый пользователь может выбирать желаемую форму печати. Это освобождает его от необходимости знать, какую форму содержит каждый лоток. Модули диспетчера очереди печати сервера печати Windows 2000 содержат назначения лотков и параметров форм и посылают команды устройству печати, чтобы оно выбрало правильный лоток.

Приложения Windows могут использовать различные формы печати в пределах одного документа: например, форму Envelope (Конверт) для первой страницы, форму Letterhead (Фирменный бланк) для второй страницы и Letter (Письмо) для третьей и последующих страниц.

 

46. Выбор типов шрифтов

 

Выбор типов шрифтов

Шрифты— это коллекции букв и специальных символов, которые имеют специфическое начертание и разрешение. Печатающие устройства используют три типа шрифтов:

Шрифты устройства — фактически постоянно находятся в устройстве печати. Они могут встраиваться в устройство печати непосредственно или загружаться из специальной кассеты шрифтов или платы шрифтов.
Экранные шрифты— шрифты Windows 2000 (включая шрифты TrueType и ОрепТуре), которые могут транслироваться для вывода на устройство печати. Для установки экранных шрифтов выберите опцию Шрифты. (Fonts) на панели управления.
Шрифты, загружаемые программно — устанавливаются на вкладке Параметры устройства в окне свойств принтера. Клиент, который использует программные шрифты и печатает на сервере печати Windows 2000, должен установить эти же шрифты локально.

Windows 2000 включает три типа экранных шрифтов, которые могут быть i воспроизведены на принтерах:

TrueType-шрифты и ОрепТуре-шрифты — независимые от внешних устройств шрифты, которые могут быть воспроизведены на всех устройствах печати. Эти шрифты хранятся в виде контуров, их можно масштабировать и вращать. Для воспроизведения на устройстве печати они должны присутствовать только на компьютере печатающем документ. Самая I большая польза от этих шрифтов в сетевой среде — их мобильность; документы с такими шрифтами не зависят ни от какого устройства печати, приложения или системы.
Растровые шрифты хранятся как растры (битовые изображения) и зависят от устройства. Если устройство печати не поддерживает растровые шрифты, оно их не напечатает. Растровые шрифты нельзя масштабировать или вращать.
Векторные шрифты полезны для устройств типа перьевых графопостроителей, которые не могут воспроизводить растры. Эти шрифты можно масштабировать.

Для каждого документа Windows 2000 загружает требуемые экранные и программные шрифты в устройство печати. Чтобы уменьшить время печати, используйте шрифты устройства, которые уже присутствуют в устройстве печати.

Не все устройства поддерживают все три типа шрифтов принтера. Перьевые графопостроители, например, обычно не могут использовать программно загружаемые шрифты и растровые экранные шрифты.

 

47. Установка предпочтений печати

 

Установка предпочтений печати

Легко перепутать установки, специфические для принтера, с предпочтениями печати. Предпочтения печати (printing preferences) не относятся к физическим установкам устройства. Создавая новые документы, приложения часто запрашивают принтер о заданных по умолчанию предпочтениях печати.

В табл. 10.8 показаны свойства типичного документа и параметры, специфические для принтера.

Таблица 10.8. Параметры принтера и предпочтения печати

Параметры, зависящие от устройства

Предпочтения печати

Цвет

Число копий

Разрешающая способность

Ориентация страницы

Память

Двусторонняя печать

Имя кассеты шрифта

Копии в подбор

Расположение формы

Форма

Перо графопостроителя

 

 

чтобы просмотреть предпочтения печати для некоторого принтера, откройте папку принтеров, выберите принтер и команду Настройка печати (Printing references) меню Файл (File).

Предупреждение

Свойства документа, которые устанавливает приложение, всегда отменяют значения по умолчанию из установок принтера. Однако, если приложение не устанавливает параметры документа (например, ориентацию страницы или размер бумаги), значения параметров документа берутся такими, как задано в диалоговом окне Настройка печати принтера.

 

48. Настройка параметров сервера печати

 

Настройка параметров сервера печати

Можно посмотреть и установить параметры сервера печати, выбрав из меню Файл (File) папки Принтеры (Printers) команду Свойства сервера (Server Properties). С помощью диалогового окна Свойства сервера печати (Print Server Properties) можно:

Создать пользовательские формы, доступные для всех принтеров на сервере.
Изменить установки портов для всех портов на сервере.
Установить драйверы принтера для различных аппаратных платформ и операционных систем.
Выбрать новое расположение файла спулинга, установить регистрацию ошибок диспетчера очереди печати и задать опции уведомления для всех принтеров на сервере.

 

49. Конфигурирование портов сервера печати

 

Конфигурирование портов сервера печати

Вкладка Порты диалогового окна Свойства: Сервер печати (Print Server Properties) позволяет менять некоторые из установок, которые доступны также на вкладке Порты в окне свойств принтера. На вкладке Порты окна свойств сервера можно добавлять, удалять и конфигурировать порты и типы портов. Однако, чтобы увеличить или уменьшить число принтеров в пуле принтеров или изменить порт, с которым соединен принтер, нужно перейти на вкладку Порты окна свойств принтера.

 

50. Создание пользовательских форм

 

Создание пользовательских форм

Любой пользователь, имеющий для принтера разрешение Управление принтерами, может определить новую форму. Например, можно создать форму, которая использует формат бумаги Letter и нестандартные отступы для специальных бланков. Можно также создать несколько форм, имеющих один и тот же размер бумаги или одинаковые отступы в соответствии со специфическими потребностями пользователя. Например, можно создать формы, которые имеют уникальные имена, но общие размер бумаги и область печати, чтобы различать фирменные бланки разных отделов.

Новые определения форм добавляются 6 базу данных сервера печати и сохраняются в ней, а не на принтере. Формы назначаются конкретному устройству печати и лотку при помощи вкладки Параметры устройства диалогового окна Свойства принтера.

 

51. Установка драйверов принтера для различных платформ

 

Установка драйверов принтера для различных платформ

Различные аппаратные платформы и операционные системы требуют своих драйверов принтера (рис. 10.16). Например, чтобы использовать принтер, подключенный к компьютеру с Windows 2000 и процессором х86, клиенту, который работает под Windows (имеется в виду не Windows 2000!) на компьютере Alpha, требуется соответствующий драйвер принтера под процессор Alpha. Драйвер может быть установлен локально или на компьютере-сервере печати.

Рис. 10.16. Настройка драйверов принтера для различных платформ

Если в сети имеются компьютеры Windows 9x, Alpha, Power PC, MIPS и х86, устанавливать драйверы принтера для них можно на каждом сервере печати. Это гарантирует, что документы, полученные от клиента Windows NT или Windows 9x, работающего на процессоре любого типа, могут выводиться на всех устройствах печати. Также, если клиент работает под управлением предыдущих версий Windows NT, нужно установить соответствующие драйверы принтера для каждой комбинации версии ОС и типа процессора. Требуется

ряд отдельных драйверов принтера для каждой аппаратной платформы, чтобы поддерживать все версии Windows NT и Windows 9x для Windows NT 3.1, Windows NT 3.5 и 3.51, Windows NT 4.0 и Windows 2000. Вот полный список необходимых драйверов: Alpha (Windows NT 3.1, NT 3.5x, NT 4.0), Intel (Windows 9x, NT 3.1, NT 3.5x, NT 4.0/2000), MIPS (Windows NT 3.1, NT 3.5x), PowerPC (NT 3.5x).

Примечание

Когда выбирается дополнительный драйвер для Windows Эх, будет выдан запрос о файле (файлах) драйвера принтера Windows 9x. Поскольку программа инсталляции Windows 2000 не может извлечь эти файлы из САВ-файлов Windows Эх, нужно использовать программу Windows Extract.exe, чтобы извлечь файлы драйвера принтера с установочных носителей Windows 9x (с CD-ROM или гибких дисков) или из САВ-файлов Windows 9x на компакт-диске Windows 2000 Server.

Например, если в сети имеются клиенты Windows 9x, х86-клиенты, работающие под управлением Windows NT версий 4.0 и 3.51, и Alpha-кдиенты, работающие под управлением Windows NT версии 4.0 и 3.51, и создается общедоступный принтер на х86-компьютере, то нужно установить четыре драйвера принтера в дополнение к х86-драйверу принтера Windows 2000, который установлен по умолчанию для выбранного принтера:

Windows 9x
Windows NT 3.5 или 3.51, х86
Windows NT 4.0, Alpha
Windows NT 3.5 или 3.51, Alpha

Сервер печати Windows 2000 определяет, являются ли входящие запросы печати поступившими с Alpha, Power PC, MIPS или х86-компьютеров, и автоматически посылает соответствующий драйвер клиенту.

Чтобы установить несколько драйверов принтера, нужно выбрать все сочетания версии ОС и аппаратной платформы, клиент которой подключается к серверу и запускает мастер установки принтера, после того как разрешено совместное использование принтера. Можно также добавлять поддержку для других платформ позднее на вкладке Доступ диалогового окна Свойства принтера (кнопка Дополнительные драйверы (Additional Drivers)).

 

10.15.gif

Изображение: 

52. Установка драйвера принтера для неподдерживаемого принтера

 

Установка драйвера принтера для неподдерживаемого принтера

Если конкретное устройство печати не поддерживается, пробуйте установить принтер согласно табл. 10.9.

Таблииа 10.9, Установка неполдеоживаемых vctdouctb печати

Если принтер

Установить его как

Лазерный

HPPCL (LaserJet)-совместимый

Hewlett-Packard LaserJet plus

PostScript-совместимый

 

 

Цветной PostScript-принтер

QMS-COLORSCRIPT

С набором 35 шрифтов Plus или более

Apple LaserWriter ® Plus

Матричный

9-игольчатый

IBM-совместимый

IBM Proprinter

Epson-совместимый

Epson FX-80 для узкой или FX-100 для широкой каретки

24-игольчатый

IBM-совместимый с 24 иглами

ЮМ Proprinter X24

Epson LQ-совместимый

Epson LQ- 1500

Если устройства нет в этом списке, обратитесь к изготовителю за информацией о драйверах для этого принтера.

 

53. Установка дополнительных параметров сервера

 

Установка дополнительных параметров сервера

При помощи вкладки Другие (Advanced) в диалоговом окне свойств сервера печати можно (рис. 10.17):

Указать местоположение папки очереди печати
Разрешить регистрацию событий очереди печати
Сконфигурировать сервер печати так, чтобы он подавал звуковой сигнал в случае ошибок при посылке документов на печать
Сконфигурировать сервер печати так, чтобы он сообщал клиенту, когда удаленный документ закончил печать

Если определяется каталог спулинга, размещенный в файловой системе Windows 2000 (NTFS), пользователи должны иметь разрешение Изменять (Change) для того, чтобы осуществлять печать.

Если разрешена регистрация событий диспетчера очереди печати, Windows 2000 регистрирует ошибки в файле регистрации системных событий. Чтобы просмотреть файл регистрации системных событий, используйте оснастку Просмотр событий.

Рис. 10.17. Дополнительные настройки сервера печати

 

10.16.gif

Изображение: 

54. Управление очередью печати

 

Управление очередью печати

Все непосредственное управление принтерами и документами происходит с помощью папки Принтеры. Некоторые опции управления очередью управляют всей очередью печати; другие управляют одним документом в очереди.

При управлении очередью можно:

Просмотреть список документов для каждого установленного принтера
Приостановить или продолжить печать
Удалить документы, ожидающие принтер — очистить очередь

При управлении документами можно:

Приостановить или продолжить печать документа
Перезапустить печать документа
Удалить документ из очереди
Просмотреть и (необязательно) изменить различные установки документа (например, приоритет документа и имя пользователя, который будет оповещен об окончании печати документа). Можно просматривать (но не изменять) тип формы, источник бумаги, ориентацию страницы и число копий

 

55. Мониторинг удаленных принтеров

 

Мониторинг удаленных принтеров

Можно управлять локальным или удаленным сервером печати с любого клиента Windows 2000 в сети, если у пользователя имеется разрешение Управление принтерами на этом сервере печати. Выбирая принтер из сетевого окружения, можно дистанционно управлять параметрами принтера и создавать новые принтеры точно так, как это делается локально. Однако чтобы добавлять, удалять или конфигурировать порты, необходимо управлять сервером печати локально.

Любой сетевой пользователь может проверять состояние удаленного принтера. Однако управлять документами, отличными от их собственных документов, могут только пользователи, имеющие разрешения Управление принтерами или Управление документами для принтера. Если нет соответствующего разрешения, некоторые опции недоступны. Также, при попытке просмотра некоторых параметров на компьютерах; работающих с предыдущими версиями Windows NT, может появиться сообщение об ошибке.

Совет

Чтобы быстро обращаться к принтерам, которыми часто приходится управлять, создайте для них ярлыки на рабочем столе. Ссылка (ярлык) на принтер создается перемещением значка принтера из папки Принтеры (Printers) или Мое сетевое окружение (во втором случае, если принтер не установлен, система предложит инсталлировать его) на рабочий стол. Система предложит создать ярлык для выбранного принтера — следует ответить утвердительно.

 

Глава 11. Типовые задачи администрирования

Глава 11. Типовые задачи администрирования

1. Создание локальных учетных записей пользователей и групп

Глава 11

Типовые задачи администрирования


Создание локальных учетных записей пользователей и групп

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows 2000, поскольку, назначая им права доступа, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера. Обычно право доступа ассоциируется с объектом —_ файлом или папкой. Оно определяет возможность данного пользователя получить доступ к объекту.

 

2. Оснастка Локальные пользователи и группы (Local Users and Groups)

 

Оснастка Локальные пользователи и группы (Local Users and Groups)

Оснастка Локальные пользователи и группы — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютерах. С ним можно работать на рабочих станциях и автономных серверах Windows 2000, как на изолированных, так и рядовых членах домена (member server). На контроллерах домена Windows 2000 инструмент Локальные пользователи и группы недоступен, поскольку все управление учетными записями и группами в домене выполняется с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Запускать оснастку Локальные пользователи и группы может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Опытные пользователи (Power Users).

Окно изолированной оснастки Локальные пользователи и группы выглядит аналогично показанному на рис. 11.1.

Рис. 11.1. Окно оснастки Локальные пользователи и группы

(Local Users and Groups)

 

1.gif

Изображение: 

3. Папка Пользователи (Users)

 

Папка Пользователи (Users)

Сразу после установки системы Windows 2000 (рабочей станции или сервера, являющегося членом домена) папка Пользователи содержит две встроенные учетные записи — Администратор (Administrator) и Гость (Guest). Они создаются автоматически при установке Windows 2000. Ниже даны описания свойств обеих встроенных учетных записей:

Администратор — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Администраторы (Administrators), ее можно только переименовать.
Гость — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Гость не требует ввода пароля и по умолчанию блокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение и входить в систему не может.) Она является членом группы Гости (Guests). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.

 

4. Папка Группы (Groups)

 

Папка Группы (Groups)

После установки системы Windows 2000 (рабочей станции или сервера, являющегося членом домена) папка Группы (Groups) содержит шесть встроенных групп. Они создаются автоматически при установке Windows 2000. Ниже описаны свойства всех встроенных групп:

Администраторы (Administrators) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав.
Операторы архива (Backup Operators) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности.
Гости (Guests) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Гость и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы.
Опытные пользователи (Power Users) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Пользователи, Гости и Опытные пользователи. Члены группы Опытные пользователи не могут модифицировать членство в группах Администраторы и Операторы архива. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий.
Реплнкатор (Replicator) — членом группы Репликатор должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи.
Пользователи (Users) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер.

 

5. Управление учетными записями

 

Управление учетными записями

В качестве примера использования оснастки Локальные пользователи и группы для работы с учетными записями рассмотрим процедуру создания пользовательской учетной записи.

 

6. Создание учетной записи

 

Создание учетной записи

Для создания учетной записи:

1. В оснастке Локальные пользователи и группы установите указатель мыши на папку Пользователи и нажмите правую кнопку. В появившемся контекстном меню выберите команду Новый пользователь (New User).
2. Появится окно диалога Новый пользователь (New User). В поле Пользователь (User name) введите имя создаваемого пользователя. В поле Полное имя (Full name) введите полное имя создаваемого пользователя. В поле Описание (Description) введите описание создаваемого пользователя или его учетной записи. В поле Пароль (Password) введите пароль пользователя и в поле Подтверждение (Confirm Password) подтвердите его правильность вторичным вводом. Длина пароля не может превышать 14 символов.
3. Установите или снимите флажки Потребовать смену пароля при следующем входе в систему (User must change password at next logon), Запретить смену пароля пользователем (User cannot change password), Срок действия пароля не ограничен (Password never expires) и Отключить учетную запись (Account is disabled).
4. Чтобы создать еще одного пользователя, нажмите кнопку Создать (Create) и повторите шаги с 1 по 3. Для завершения работы нажмите кнопку Создать и затем Закрыть (Close).

Имя пользователя должно быть уникальным для компьютера. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо:

" / \ I ]:; I =, + *?<>

Имя пользователя не может состоять целиком из точек и пробелов.

 

7. Изменение и удаление учетных записей

 

Изменение и удаление учетных записей

Изменять, переименовывать и удалять учетные записи можно с помощью контекстного меню, вызываемого щелчком правой кнопки мыши на имени пользователя, либо — меню Действие (Action) на панели меню оснастки Локальные пользователи и группы (при этом в правом подокне оснастки должна быть выбрана модифицируемая или удаляемая учетная запись пользователя).

Поскольку переименованная учетная запись сохраняет идентификатор безопасности (Security Identifier, SID), она сохраняет и все свои свойства, например, описание, полное имя пароля, членство в группах и т. д.

 

8. Управление локальными группами

 

Управление локальными группами Создание локальной группы

Для создания локальной группы:

1. В окне оснастки Локальные пользователи и группы установите указатель мыши на папке Группы и нажмите правую кнопку. В появившемся контекстном меню выберите команду Новая группа (New Group).
2. В поле Имя группы (Group Name) введите имя новой группы.
3. В поле Описание (Description) введите описание новой группы.
4. В поле Члены группы (Members) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Добавить (Add) и выбрать их в списке.
5. Для завершения нажмите кнопку Создать и затем Закрыть.

Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратного слэша (\).

 

9. Создание локальной группы

 

Изменение членства в локальной группе

Чтобы добавить или удалить учетную запись пользователя из группы:

1. В окне оснастки Локальные пользователи и группы щелкните на папке Группы.
2. В правом подокне установите указатель мыши на модифицируемую группу и нажмите правую кнопку. В появившемся контекстном меню выберите команду Добавить в группу (Add to Group) или Свойства (Properties).
3. Для того чтобы добавитв новые учетные записи в группу, нажмите кнопку Добавить. Далее следуйте указаниям окна диалога Выбор: Пользователи или Группы (Select Users or Groups).
4. Для того чтобы удалить из группы некоторых пользователей, в поле Члены группы окна свойств группы выберите одну или несколько учетных записей и нажмите кнопку Удалить (Remove).

В локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер; или в доверяемых доменах.

Примечание

Встроенные группы не могут быть удалены. Удаленные группы не могут быть восстановлены. Удаление группы не отражается на входящих в нее пользователей.

 

10. Управление рабочей средой пользователя

 

Управление рабочей средой пользователя

Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений. Для управления средой пользователя предназначены следующие средства Windows 2000:

Сценарий входа в сеть (сценарий регистрации) представляет собой командный файл, имеющий расширение bat, или исполняемый файл с расширением ехе, который выполняется при каждой регистрации пользователя в сети. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.
Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды компьютера, на котором работает Windows 2000, определенные самим пользователем. Это могут быть, например, настройки экрана и соединения с сетью. Все настройки, выполняемые самим пользователем, автоматически сохраняются в файле, путь к которому выглядит следующим образом: Имя_устройства\корневой_каталог\РгоГ\\е$. Как правило, корневым является каталог \winnt.
Сервер сценариев Windows (Windows Scripting Host, WSH). Сервер сценариев независим от языка и предназначен для работы на 32-разрядных платформах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или на консоли команд. При этом сценарии не надо встраивать в документ HTML.

 

11. Профили пользователей

 

Профили пользователей

На изолированном компьютере с Windows 2000 локальные профили пользователей создаются автоматически. Информация локальных профилей необходима для поддержки настроек рабочего стола локального компьютера, характерных для конкретного пользователя. Профиль создается для каждого пользователя в процессе его первой регистрации в компьютере.

Профиль пользователя обладает следующими преимуществами:

При регистрации пользователя в системе рабочий стол получает те же настройки, какие существовали в момент предыдущего выхода пользователя из системы.
Несколько пользователей могут работать на одном и том же компьютере в индивидуальных средах.
Профили пользователей могут быть сохранены на сервере. В этом случае пользователь получает возможность работать со своим профилем при регистрации на любом компьютере сети. Такие профили называются перемещаемыми (roaming profile).

 

Внимание

Не все настройки локального профиля пользователя входят (копируются) в его перемещаемый профиль!

Пользовательские профили можно применять следующим образом:

Создать несколько типов профилей и назначить их определенным группам пользователей. Это позволит получить несколько типов рабочих сред, соответствующих различным задачам, решаемым пользователями.
Назначать общие групповые настройки всем пользователям.
Назначать обязательные профили, какие-либо настройки которых пользователи изменять не могут.

 

12. Настройки, хранящиеся в профиле пользователя

 

Настройки, хранящиеся в профиле пользователя

Профиль пользователя хранит настройки конфигурации и параметры, индивидуально назначаемые каждому пользователю и полностью определяющие его рабочую среду (табл. 11.1).

Таблица 11.1. Настройки профиля пользователя

Объект

Соответствующие ему параметры

Windows NT Explorer

Все настройки, определяемые самим пользователем, касающиеся программы Проводник (Windows NT Explorer)

Панель задач

Все персональные группы программ и их свойства, все программные объекты и их свойства, все настройки панели задач

Настройки принтера

Сетевые соединения принтера

Панель управления

Все настройки, определенные самим пользователем, касающиеся панели управления

Стандартные

Настройки всех стандартных приложений, запускаемых для конкретного пользователя

Приложения, работающие в операционной системе Windows 2000

Любое приложение, специально созданное для работы в среде Windows 2000, может обладать средствами отслеживания своих настроек относительно каждого пользователя. Если такая информация существует, она хранится в профиле пользователя

Электронная подсказка

Любые закладки, установленные в справочной системе Windows 2000

Консоль управления Microsoft

Индивидуальный файл конфигурации и текущего состояния консоли управления

 

13. Структура профиля пользователя

 

Структура профиля пользователя

Профиль пользователя создается на основе профиля, назначаемого по умолчанию. Он хранится на каждом компьютере, где работает Windows 2000. Файл NTuser.dat, находящийся в папке Default User, содержит настройки конфигурации, хранящиеся в реестре Windows 2000. Кроме того, каждый профиль пользователя использует общие программные группы, находящиеся в папке All Users.

 

14. Папки профиля пользователя

 

Папки профиля пользователя

Как уже говорилось, при создании профиля пользователя используется профиль, назначаемый по умолчанию, находящийся в папке Default User. Папка Default User, папки профилей индивидуальных пользователей, а также папка All Users, находятся в папке Documents and Settings корневого каталога. В папке Default User находятся файл NTuser.dat и список ссылок на объекты рабочего стола. На рис. 11.2 показана структура папок локального профиля пользователя. В этих папках, в частности, хранятся ссылки на различные объекты рабочего стола.

В табл. 11.2 перечислены подпапки, находящиеся внутри папки локального профиля пользователя, и описано их содержимое.

Таблица 11.2. Содержимое папки локального профиля пользователя

Подпапка

Содержимое

Application Data

Данные, относящиеся к конкретному приложению. Например, индивидуальный словарь. Разработчики приложений сами принимают решение, какие данные должны быть сохранены в папке профиля пользователя

Cookies

Служебные файлы, получаемые с просматриваемых веб-серверов

Local Settings

Данные о локальных настройках, влияющих на работу программного обеспечения компьютера

NetHood

Ярлыки объектов сетевого окружения

PrintHood

Ярлыки объектов папки принтера

Recent

Ярлыки недавно используемых объектов

SendTo

Ярлыки объектов, куда могут посылаться документы

Главное меню

(Start Menu)

Ярлыки программ

Избранное (Favorites)

Ярлыки часто используемых программ и папок

Мои документы

(My Documents)

Данные о документах и графических файлах, используемых пользователем

Рабочий стол (Desktop)

Объекты рабочего стола, включая файлы и ярлыки

Шаблоны (Templates)

Ярлыки шаблонов

 

Рис. 11.2. Структура подпапок профиля пользователя

 

11.2.gif

Изображение: 

15. Папка All Users

 

Папка All Users

Настройки, находящиеся в папке All Users, не копируются в папки профиля пользователя, но используются для его создания. Платформы Windows NT поддерживают два типа программных групп:

Общие программные группы. Они всегда доступны на компьютере, независимо от того, кто зарегистрирован на нем в данный момент. Только администратор может добавлять объекты к этим группам, удалять или модифицировать их.
Персональные программные группы. Они доступны только создавшему их пользователю.

Общие программные группы хранятся в папке All Users, находящейся в папке Documents and Settings. Папка All Users также содержит настройки для рабочего стола и меню Пуск. Группы этого типа на компьютерах, где работает Windows 2000, могут создавать только члены группы Администраторы.

 

16. Создание локального профиля пользователя

 

Создание локального профиля пользователя

Локальный профиль пользователя хранится на компьютере в папке, имя которой совпадает с именем данного пользователя, находящейся в папке Documents and Settings. Если для данного пользователя не существует сконфигурированный перемещаемый (находящийся на сервере) профиль, то при первой регистрации пользователя в компьютере для него создается индивидуальный профиль. Содержимое папки Default User копируется в папку нового профиля пользователя. Информация профиля, вместе с содержимым папки All Users используется при конфигурации рабочей среды пользователя. При завершении пользователем работы на компьютере все сделанные им изменения настроек рабочей среды, выбираемых по умолчанию, записываются в его профиль. Содержимое папки Default User остается неизменным.

Если пользователь имеет отдельную учетную запись на локальном компьютере и в домене, для каждой из них создается свой профиль пользователя, поскольку регистрация на компьютере происходит с помощью различных учетных записей. При завершении работы все сделанные изменения также записываются в соответствующий данной учетной записи профиль.

Папка профиля пользователя на локальном компьютере содержит файл NTuser.dat и файл журнала транзакций с именем NTuser.dat.LOG (рис. 11.2). Он нужен для обеспечения отказоустойчивости, позволяя Windows 2000 восстанавливать профиль пользователя в случае сбоя при модификации содержимого файла NTuser.dat.

 

17. Перемещаемые профили пользователя

 

Перемещаемые профили пользователя

Перемещаемые профили пользователя могут быть созданы тремя способами:

Каждой учетной записи назначается путь к профилю пользователя. В этом случае на сервере происходит автоматическое создание пустой папки профиля пользователя. Затем пользователь может сам создать свой профиль.

 

Каждой учетной записи назначается путь к профилю пользователя. Затем в папку, указанную в пути, копируется приготовленный заранее профиль пользователя.

 

Каждой учетной записи назначается путь к профилю пользователя. Затем в папку, указанную в пути, копируется приготовленный заранее профиль пользователя. После этого файл NTuser.dat, путь к которому указан в каждой учетной записи, переименовывается в NTuser.man. В этом случае создается обязательный профиль пользователя.

 

Внимание

В перемещаемый профиль не входит подпапка Local Settings, где, в частности, хранятся архивы программы Outlook Express, папки Temporary Internet Files и History и временные файлы!

Имя сервера (это может быть любой сервер в сети), на котором будут находиться перемещаемые профили пользователей, указывается с помощью оснастки Локальные пользователи и группы и вкладки Профиль (Profile) окна свойств пользователя. В результате при завершении работы пользователя на компьютере его профиль сохраняется как на локальном компьютере, так и в папке на сервере, в соответствии с путем профиля. При следующей регистрации пользователя в сети дата копии профиля, находящейся на сервере, сравнивается с копией, расположенной локально на компьютере. Если они отличаются, информация берется из более свежей копии. Перемещаемый профиль находится в централизованном хранилище профилей в масштабах домена. Он может быть доступен только при условии работоспособности хранящего его сервера. В обратном случае используется локальная кэширо-ванная копия профиля пользователя. Если пользователь первый раз зарегистрировался в компьютере, создается новый профиль. В любом случае, если хранящийся централизованно профиль пользователя недоступен, он не обновляется при завершении работы. При следующей регистрации в компьютере пользователю придется напрямую указать копию профиля — более новую локальную или старую копию, находящуюся на сервере.

 

Примечание

Настройка перемещаемых профилей пользователей, являющихся членами домена Windows 2000, выполняется при помощи оснастки Active Directory - пользователи и компьютеры (Active Directory Users and Computers), поскольку основная информация о пользователях домена хранится в каталоге. В остальном логика управления профилями остается неизменной: перемещаемый профиль хранится в указанной папке на некотором общем сетевом ресурсе, а в случае его недоступности используется кэшированная копия с локального компьютера.

С помощью оснастки Локальные пользователи и группы можно указать имя сервера, где будет храниться заранее созданный перемещаемый профиль пользователя. Затем в окне Система (System), вызываемом из панели управления, перейдите на вкладку Профили пользователей (User Profiles), нажмите кнопку Копировать (Сору То) и скопируйте профиль заранее созданного профиля на сервер. При первой регистрации вместо профиля, установленного по умолчанию, пользователь получит копию заранее сконфигурированного профиля с сервера. В дальнейшем этот профиль функционирует так же, как любой стандартный профиль пользователя. Каждый раз, когда пользователь завершает работу, его профиль сохраняется локально и одновременно копируется на сервер.

 

Примечание

Для копирования профиля пользователя следует перейти на вкладку Профили пользователей окна Система. Нельзя для этой цели использовать Проводник или какой-либо другой инструмент управления файлами!

Обязательный профиль представляет собой сконфигурированный заранее перемещаемый профиль, который недоступен пользователю для модификации. Пользователь может изменять настройки рабочего стола, но при завершении работы на компьютере изменения не заносятся в профиль. При следующей регистрации на компьютере загружается обязательный профиль пользователя, в котором не произошло никаких изменений. Профиль пользователя становится обязательным, когда вы переименовываете файл NTuser.dat в NTuser.man. В этом случае файл становится доступен только для чтения. Один обязательный профиль может быть использован большим количеством пользователей.

Примечание

Когда для обеспечения безопасности или приведения рабочей среды пользователя в соответствии с его уровнем подготовки для работы на компьютере необходимо контролировать набор доступных функций, лучше использовать групповые политики. С их помощью вы можете выбрать подмножество настроек, а также контролировать как параметры среды пользователя, так и настройки компьютера.

 

18. Указание пути к профилю пользователя в учетной записи

 

Указание пути к профилю пользователя в учетной записи

Добавить путь расположения профиля пользователя к учетной записи можно с помощью вкладки Профиль окна свойств пользователя, открытого для определенной учетной записи в. окне оснастки Локальные пользователи и группы (или Active Directory — пользователи и компьютеры). Перейдите на вкладку Профиль и добавьте путь к профилю пользователя (рис. 11.3).

В учетной записи следует указать полный путь к профилю пользователя:

\\серъер\имя_общего_ресурса\имя_профиля

В качестве общего ресурса может выступать любая папка, к которой следует организовать общий доступ для группы Все (Everyone). В качестве имени профиля следует указать имя папки профиля данного пользователя (это может быть любая папка на общем ресурсе, в которой будет храниться про-

филь). Путь профиля пользователя может указывать на любой сервер. Это не обязательно должен быть контроллер домена. Когда пользователь регистрируется в сети, Windows 2000 Server проверяет, указан ли в его учетной записи путь профиля. Если путь указан, система находит соответствующий профиль.

Рис. 11.3. Вкладка Профиль (Profile) окна свойств учетной записи

 

11.3.gif

Изображение: 

19. Копирование профиля пользователя на сервер

 

Копирование профиля пользователя на сервер

Для того чтобы сделать определенный профиль доступным для нескольких пользователей, скопируйте его, на сервер с помощью вкладки Профили пользователей окна Система, вызываемого из панели управления. Место, куда скопирован профиль, должно совпадать с путем профиля, указанным в учетных записях пользователей.

В окне диалога Свойства системы (System Properties) перейдите на вкладку Профили пользователей. Все профили пользователей, созданные на компьютере, появятся в списке Профили, хранящиеся на этом компьютере (Profiles stored on this computer).

Для копирования определенного профиля пользователя перейдите на вкладку Копировать и введите имя целевой папки. В качестве альтернативы можно выбрать целевую папку с помощью службы просмотра. На рис. 11.4 показан пример окна Свойства системы со списком созданных на компьютере профилей пользователя.

Рис. 11.4. Окно Свойства системы (System Properties) со списком созданных на компьютере профилей пользователя

 

11.4.gif

Изображение: 

20. Добавление пользователей и групп к списку разрешений перемещаемого профиля пользователя

 

Добавление пользователей и групп к списку разрешений перемещаемого профиля пользователя

С помощью окна Система вместе с профилем пользователя копируются и соответствующие разрешения. Поэтому пользователь автоматически получает доступ к своему профилю. Однако если вы хотите, чтобы к профилю получили доступ другие пользователи и группы, необходимо добавить их в список объектов, которым разрешено использовать данный профиль. Для этого в списке Профили, хранящиеся на этом компьютере выберите интересующий вас профиль и нажмите кнопку Копировать. Появится окно диалога Копирование профиля (Сору То) (рис. 11.5). В группе Разрешить использование (Permitted to use) показано, кто имеет разрешение на использование данного профиля. Для того чтобы добавить нового пользователя или группу к списку разрешений профиля пользователя, нажмите кнопку Изменить (Change).

 

Примечание

Если вы назначаете путь перемещаемого профиля пользователя группе, то при каждом завершении работы кого-либо из членов группы его настройки записываются в хранящийся централизованно профиль. По этой причине рекомендуется делать такие профили пользователя обязательными или устанавливать различные настройки разным группам с помощью системных политик.

 

Рис. 11.5. Окно диалога Копирование профиля (Сору То)

 

11.5.gif

Изображение: 

21. Изменение типа профиля пользователя для подключения по медленной линии

 

Изменение типа профиля пользователя для подключения по медленной линии

Пользователи, присоединяющиеся к сети по медленной линии, например, при использовании службы удаленного доступа, могут работать со своим локальным профилем, а не загружать его с сервера по сети, что значительно ускоряет процесс регистрации. В таком случае при регистрации появляется окно, в котором пользователь может указать, какой профиль должен быть загружен.

Если вы уже зарегистрировались в сети, с помощью кнопки Сменить тип (Change Type) на вкладке Профиль окна свойств системы можно изменить тип профиля пользователя с перемещаемого на локальный и наоборот. Новые настройки останутся неизменными до их следующей модификации. При изменении профиля пользователя с перемещаемого на локальный кэшированная локально копия вашего профиля будет загружаться при каждой регистрации в компьютере. При каждом завершении работы все изменения также будут записываться в локальную копию профиля.

Если клиент работает по медленной линии, то для ускорения входа в систему можно установить на компьютере групповую политику, при которой будет использоваться кэшированный профиль, а не загружаемый с сервера. Имеется также групповая политика, с помощью которой можно определить, какая линия будет считаться "медленной".

 

22. Подготовка заранее настроенных перемещаемых и обязательных профилей

 

Подготовка заранее настроенных перемещаемых и обязательных профилей пользователя

Хотя для создания заранее сконфигурированного перемещаемого или обязательного профиля можно использовать любую учетную запись, часто удобнее иной подход. Например, если вы хотите создать три различных заранее настроенных перемещаемых или обязательных профиля для трех отделов предприятия, сначала следует создать и настроить три различные базовые учетные записи. Затем необходимо зарегистрироваться с помощью каждой

из созданных учетных записей и тем самым создать три профиля пользователя для трех отделов. После этого опять зарегистрироваться с помощью учетной записи администратора и, используя оснастку Локальные пользователи и группы, назначить созданные профили индивидуальным пользователям или группам. Затем с помощью вкладки Профили пользователей окна Система панели управления скопируйте созданные профили на соответствующий сервер.

 

23. Работа пользователей с различными конфигурациями оборудования

 

Работа пользователей с различными конфигурациями оборудования

Следует помнить, что профили могут применяться на компьютерах, отличающихся по конфигурации оборудования, особенно типами мониторов и видеоадаптеров.

Профиль пользователя может определять положение и размер окон, поэтому тип оборудования экрана в значительной степени влияет на качество работы профиля. Например, параметры окна, выводимого на экране типа Super VGA, могут быть неверны при выводе того же изображения на экране с типом VGA. Для предотвращения подобных проблем:

Создавайте и редактируйте профиль пользователя на компьютере, тип экрана которого совпадает с типом экрана компьютера пользователя.
При создании обязательного профиля для нескольких пользователей создавайте один профиль для группы пользователей только в случае, если все члены группы работают на компьютерах с одинаковым типом экранов.

 

24. Удаление профиля пользователя

 

Удаление профиля пользователя

Если вы больше не хотите использовать перемещаемый или обязательный профиль, назначенный пользователям, с помощью оснастки Локальные пользователи и группы удалите путь к нему в учетных записях соответствующих пользователей. Сам профиль пользователя, находящийся на сервере, можно удалить с помощью кнопки Удалить на вкладке Профили пользователей окна Система.

 

25. Настройка рабочей среды пользователя при помощи сценариев входа

 

Настройка рабочей среды пользователя при помощи сценариев входа

Сценарии входа выполняются автоматически в процессе каждой регистрации пользователя на компьютере, работающем с программным обеспечением Windows 2000. Хотя чаще всего сценарий входа представляет собой командный файл с расширением bat или cmd, в качестве сценария может быть использован и исполняемый файл (*.ехе).

Сценарии входа не являются обязательными. Они могут применяться для настройки рабочей среды пользователя, создания сетевых соединений или запуска приложений. Сценарии входа очень удобны, если необходимо изменить некоторые параметры рабочей среды пользователя без выполнения ее полной настройки.

Примечание

Профили пользователя могут в процессе регистрации восстанавливать существовавшие ранее соединения с сетью, но они не могут быть использованы для создания новых соединений.

 

26. Создание сценариев входа

 

Создание сценариев входа

Для создания сценариев входа может быть использован обыкновенный текстовый редактор. Затем с помощью оснастки Локальные пользователи и группы (Local Users and Groups) сценарии входа назначаются соответствующим пользователям. Кроме того, один сценарий может быть назначен нескольким пользователям. В табл. 11.3 приведены параметры, значения которых можно устанавливать с помощью сценария входа и их описания.

Таблица 11.3. Параметры, устанавливаемые с помощью сценария входа

Параметр

Описание

%HOMEDRIVE%

Имя устройства локального компьютера, связанного с домашним каталогом пользователя

%НШЕРАТН%

Полный путь к домашнему каталогу пользователя

%HOMESHARE%

Имя общего ресурса, где находится домашний каталог пользователя

%OS%

Операционная система компьютера пользователя

% PROCESSOR_ARCHITECTURE%

Тип процессора (например, Pentium) компьютера пользователя

%PROCESSOR_LEVEL%

Уровень процессора компьютера пользователя

%USERDOMAIN%

Домен, в котором находится учетная запись пользователя

%USERNAME%

Имя пользователя

 

27. Назначение сценариев входа учетным записям пользователей и групп

 

Назначение сценариев входа учетным записям пользователей и групп

Для того чтобы назначить сценарий входа учетным записям пользователей и групп, с помощью оснастки Локальные пользователи и группы (или Active

Directory - пользователи и компьютеры — если компьютер входит в домен) указывается путь к сценарию. Если при регистрации пользователя с помощью определенной учетной записи среди ее параметров указан путь к сценарию входа, соответствующий файл сценария открывается и выполняется.

На вкладке Профиль окна свойств учетной записи вы можете назначить сценарий входа, введя в поле Сценарий входа (Logon Script) имя файла (и, возможно, относительный путь к нему). При регистрации сервер, аутентифицирующий пользователя, находит файл сценария (если таковой существует) с помощью указанного в учетной записи имени и пути (на контроллерах домена, как правило, сценарии хранятся в общей папке NETLOGON — %SystemRoot%\SYSVOL\sysvol\DNS-имя-домена\scripts). Если перед именем файла указан относительный путь, сервер ищет сценарий входа в подкаталоге основного локального пути сценариев.

Данные поля Сценарий входа определяют только имя файла и относительный путь, но не содержат сам сценарий входа. После создания файл сценария с определенным именем помещается в соответствующий реплицируемый (если компьютеры объединены в домен) каталог.

Сценарий входа можно поместить в локальный каталог компьютера пользователя. Но подобный подход, как правило, применяется только при администрировании учетных записей, существующих на одиночном компьютере, а не в домене. В этом случае вы должны поместить файл сценария в соответствии с локальным путем к сценариям входа в компьютер.

Помимо оснастки Локальные пользователи и группы, сценарии входа могут быть назначены пользователям или компьютерам и с помощью оснастки Групповая политика (Group Policy).

 

28. Переменные среды

 

Переменные среды

Изменение системных и пользовательских переменных среды

Для конфигурирования, поиска, выделения памяти определенным программам и управления приложениями операционная система Windows 2000 и прикладные программы требуют определенной информации, называемой переменными среды системы и пользователя. Их можно просмотреть на вкладке Дополнительно (Advanced) окна Система, нажав кнопку Переменные среды (Environment Variables). Эти переменные похожи на переменные, которые устанавливались в операционной системе MS-DOS, например path

И TEMP.

Системные переменные среды определяются в Windows 2000 независимо от того, кто зарегистрировался на компьютере. Если вы зарегистрировались как член группы Администраторы, то можете добавить новые переменные или изменить их значения.

Переменные среды пользователя устанавливаются индивидуально для каждого пользователя одного и того же компьютера. Сюда включаются любые переменные среды, которые вы хотите определить, или переменные, определенные вашим приложением, например путь к файлам приложения.

После изменения переменных среды их новые величины сохранятся в реестре, после чего они становятся доступны ("видны") при закрытии окна Переменные среды.

Если между переменными среды возникает конфликт, он разрешается следующим способом:

1. Устанавливаются системные переменные среды.
2. Устанавливаются переменные, определенные в файле Autoexec.bat (за исключением переменных path). Они перезаписывают системные переменные.
3. Устанавливаются переменные среды пользователя, определенные в окне Система. Они перезаписывают как системные переменные, так и переменные файла Autoexec.bat.
4. Устанавливаются переменные path файла Autoexec.bat.

 

Примечание

Настройки пути (path), в отличие от других переменных среды, кумулятивны. Полный путь (который вы видите как результат выполнения в командной строке команды path) создается присоединением путей, устанавливаемых в файле Autoexec.bat, к путям, определенным в окне Система.

 

29. Использование переменных среды в профилях пользователей, именах домашних каталогах и сценариев входа

 

Использование переменных среды в профилях пользователей, именах домашних каталогах и сценариев входа

При управлении множеством учетных записей пользователей и групп часто возникает необходимость одновременно выполнить одинаковые изменения в нескольких учетных записях. Вместо конкретных имен или меток в сценарий входа вводится одна общая переменная среды, замещаемая реальными данными в процессе выполнения сценария.

Значение любой переменной среды компьютера клиента, где работает программное обеспечение Windows 2000, может быть подставлено в путь профиля, задаваемого в учетной записи пользователя, путь сценария входа, путь домашнего каталога и в сам сценарий входа. Для этого системную переменную среды следует заключить в знаки процента (%). Например, для того чтобы использовать в пути профиля пользователя переменную среды servername, в поле Путь к профилю (Profile Path) окна учетной записи следует ввести \\%servername%\scripts.

Подобный подход очень удобен при работе с профилями пользователя в сетях, включающих каналы WAN. Особенно, если ваши пользователи работают с обеих сторон этого канала. Предположим, что сеть состоит из двух площадок, разделенных глобальным каналом. На каждом из компьютеров, работающих на одной стороне канала, переменная servemame устанавливается в соответствии с именем контроллера домена данной площадки. На другой стороне канала переменная servemame устанавливается аналогичным образом, но ее значение соответствует имени контроллера домена этой площадки. Теперь в пути сценария вх"ода каждой учетной записи пользователя домена используется %servername%. Когда пользователь регистрируется в сети, его сценарий входа загружается с сервера, определяемого переменной среды и расположенного локально относительно глобального канала.

 

30. Сервер сценариев Windows (WSH)

 

Сервер сценариев Windows (WSH)

Сервер сценариев Microsoft Windows (Windows Scripting Host, WSH) не зависит от языка сценария и устанавливается во всех системах Windows 2000 как стандартное средство. Он предназначен для 32-разрядных операционных систем Windows. Компания Microsoft разработала ядро сценариев как для Visual Basic, так и для JavaScript. Предполагается, что будет также создано ядро сценариев ActiveX для таких языков, как Perl, TCL, REXX и Python. Сервер сценариев может быть запущен с помощью исполняемого файла для Windows (WSCRIPT.EXE) и с помощью директивы командной строки оболочки (CSCRIPT.EXE).

 

31. Назначение сервера сценариев

 

Назначение сервера сценариев

Сервер сценариев позволяет применять в операционных системах Windows простые мощные и гибкие сценарии. Раньше единственным языком сценариев, поддерживаемым операционной системой Windows, был язык команд MS-DOS (командный файл). Хотя это быстрый и компактный язык в сравнении с языками VBScript и Jscript, он обладает весьма ограниченными возможностями. В настоящее время архитектура сценариев ActiveX позволяет в полной мере использовать все средства таких языков сценариев, как VBScript и JScript, одновременно сохраняя совместимость с набором команд MS-DOS.

Компания Microsoft поставляет три сервера, предназначенных для выполнения языков сценариев на платформах Windows:

Internet Explorer
Internet Information Server или WWW Server в составе служб Internet Information Services
Windows Scripting Host

Internet Explorer позволяет выполнять сценарии на машинах клиентов внутри HTML-страниц.

Internet Information Server поддерживает работу со страницами ASP, позволяющими выполнять сценарии на веб-сервере. Другими словами, выполнение сценариев на сервере становится возможным в сетях Интернет и интранет.

Сервер сценариев Windows позволяет выполнять сценарии прямо на рабочем столе операционной системы Windows или на командной консоли, для этого не нужно встраивать их в документ HTML. Выполнение сценария на рабочем столе инициируется щелчком мыши на файле сценария. В процессе работы сервер сценариев чрезвычайно экономно использует память, что очень удобно для выполнения не интерактивных сценариев, например сценария входа в сеть, административного сценария, и автоматизации операций, выполняемых на машине.

 

32. Запуск сервера сценариев из командной строки

 

Запуск сервера сценариев из командной строки

Для запуска сервера сценариев из командной строки используйте утилиту CSCRIPT.EXE в соответствии со следующим синтаксисом:

cscript [параметры сервера сценариев] имя сценария [параметры сценария]

  Параметры сервера сценариев включают и отключают различные средства сервера сценариев. Они всегда предваряются двумя слэшами (//)
  Имя сценария — это имя файла сценария, например, CHART.VBS
  Параметры сценария передаются в сценарий. Они всегда предваряются одним слэшем

Ни один из параметров не является обязательным. Однако нельзя указать параметры сценария без указания самого сценария. Если вы не указываете ни одного параметра, CSCRIPT.EXE выдает на экран синтаксис своего запуска и допустимые параметры сервера сценариев (табл. 11.4).

Таблица 11.4. Параметры сервера сценариев, поддерживаемые CSCRIPT.EXE

Параметр

Описание

//в

Пакетный режим. Не отображает на экране сообщений об ошибках и приглашения пользователей

//D

Активизирует функцию отладки

//E=engine

Задает ядро, используемое для выполнения сценария

//Н: Cscript или Wscript

Устанавливает CSCRIPT.EXE или WSCRIPT.EXE в качестве приложения, выбираемого по умолчанию для выполнения сценариев. По умолчанию установлен WSCRIPT.EXE

//I

Интерактивный режим (выбирается по умолчанию; режим, обратный задаваемому параметром //в)

//Job: xxx

Выполняет задание WSH

//logo

Отображает на экране заставку (выбирается по умолчанию; режим, обратный задаваемому параметром //NoLogo)

//nologo

Запрещает вывод заставки

//S

Сохраняет текущие параметры командной строки для этого пользователя

//T:nn

Время ожидания в секундах. Максимальное время, в течение которого может выполняться сценарий. (По умолчанию ограничение не устанавливается)

Этот параметр используется для предотвращения слишком длительного выполнения сценариев. Устанавливается специальный таймер. Когда время выполнения превышает установленное значение, CSCRIPT прерывает работу ядра сценариев с помощью метода

lactiveScript : : InterruptThread и завершает процесс

//X

Задает выполнение сценария в режиме отладки, если этот режим активизирован с помощью параметра //о

//U

Использует кодировку Unicode для перенаправленного консольного ввода/вывода

//?

Показывает параметры и синтаксис команды CSCRIPT.EXE

Дистрибутив сервера сценариев содержит несколько простых примеров сценариев. Их также можно скачать в пакете Sample Scripts по адресу http://msdn.microsoft.com/scripting/default.htm7/scripting/windowshost.

Например, для того чтобы запустить CHART.VBS:

1. В меню Пуск выберите команду Программы | Стандартные | Командная строка.
2. В командной строке выполните следующие команды:

cscript "устройство:"\"Каталог"\chart.vbs //logo

cscript "устройство:"\"Каталог"\chart.vbs //nologo

В операционной системе Windows 2000 не обязательно указывать расширение сценариев: можно просто набрать с клавиатуры имя сценария или щелкнуть на нем мышью в окне Проводника.

 

33. Запуск сценариев а среде Windows

 

Запуск сценариев в среде Windows

Сценарий в среде Windows можно запустить тремя способами:

Двойным щелчком мыши на файле сценария или на соответствующем значке в окнах Мой компьютер, Проводник или Поиск (Find).
В окне Выполнить (Run) введите с клавиатуры полное имя выполняемого

сценария и нажмите кнопку ОК.

В окне Выполнить введите wscript.exe с указанием имени сценария и

необходимых параметров сервера и сценария.

При запуске сценария с помощью WSH можно указать, какое приложение следует использовать — CSCRIPT.EXE или WSCRIPT.EXE. Приложение сервера, выбираемое по умолчанию, может быть установлено с помощью

Команды cscript //Н: Имя_сервера_сценариев.

Например, если вы устанавливаете в качестве приложения, выбираемого по умолчанию, WSCRIPT.EXE и выполняете сценарий с именем CHART.VBS, то WSCRIPT.EXE будет выбираться по умолчанию для всех файлов сценариев, имеющих расширение vbs.

Страница свойств сервера сценариев Windows позволяет устанавливать параметры, приведенные в табл. 11.5.

Таблица 11.5. Свойства сервера сценариев

пп секунд

 

34. Настройка индивидуальных свойств сценария

 

Настройка индивидуальных свойств сценария.

Файл с расширением wsh

С помощью страницы свойств модуля WSCRIPT.EXE можно установить глобальные параметры, касающиеся сразу всех сценариев, выполняемых на локальной машине. Однако также можно настроить индивидуальные пара-

метры отдельно взятого сценария, позволяющие осуществлять жесткий контроль его выполнения. Свойства конкретного сценария сохраняются в файле с расширением wsh. Для его создания просто установите указатель мыши на файле сценария в окне Проводника и нажмите правую кнопку. В появившемся контекстном меню выберите команду Свойства. Настройте индивидуальные свойства сценария, например максимальное время исполнения, и нажмите кнопку ОК. В результате в каталоге, где находится сценарий, будет создан файл с расширением wsh, имя которого совпадает с именем сценария. Он содержит индивидуальные настройки сценариев для WSH. Функции этого файла сходны с функциями файла PIF 16-разрядных приложений. Чтобы запустить сценарий, для которого создан файл с расширением wsh, следует дважды щелкнуть мышью на файле *.wsh в окне Проводника или использовать этот файл в качестве параметра для программы WSCRIPT.EXE или CSCRIPT.EXE в командной строке. Например:

C:\>cscript Myscript.wsh

Поскольку в файле с расширением wsh хранятся значения параметров, используемых сценарием при выполнении, системный администратор может создать несколько версий файла с параметрами, ориентированных на различные группы пользователей внутри организации. Набор файлов с расширением wsh, относящийся к одному сценарию, может быть использован следующим образом:

Администратор может создать отдельный файл *.wsh для определенной группы пользователей внутри организации. Это позволит осуществлять индивидуальный контроль определенных сценариев, выполняющихся в течение дня.
Администратор может создать индивидуальные файлы *.wsh для конкретных пользователей внутри организации. Это позволяет осуществлять полный контроль ряда сценариев, используемых внутри организации.
Индивидуальные файлы с расширением wsh могут быть созданы для сценариев? входа пользователей в систему. Это позволяет администратору осуществлять индивидуальный контроль над рядом свойств сценариев, выполняемых на клиентских машинах при регистрации пользователя в системе.

Файл с расширением wsh представляет собой простой текстовый файл, формат которого сходен с форматом файла с расширением inf. Ниже приведен пример содержимого файла *.wsh:

[ScriptFile]

Path=C:\WINNT\Saraples\WSH\showprop.vbs

[Options]

Timeout=0

DisplayLogo=l BatchMode=0

Параметр Path в разделе [ScriptFile] определяет местоположение файла сценария, с которым связан данный файл *.wsh. Параметры, значения которых устанавливаются в разделе [Options], соответствуют настройкам вкладки Сценарий (Script) окна Свойства.

После двойного щелчка мышью на файле с расширением wsh или выполнения его в командной строке программа CSCRIPT.EXE или WSCRIPT.EXE считывает его и определяет специфические параметры, которые следует использовать при выполнении соответствующего сценария. В результате сценарий будет выполняться с необходимыми параметрами, заданными в файле *.wsh. Обратите внимание, что при запуске файла с расширением wsh необходимо присутствие соответствующего ему сценария. Если выполнение сценария посредством файла *.wsh закончилось неудачно, проверьте запись Path=. Она должна указывать на тот сценарий, который вы хотите выполнить.

 

35. Аудит локальной системы

 

Аудит локальной системы

Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.

После включения аудита операционная система Windows 2000 начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий (Event Viewer). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить; кто предпринял попытку выполнения неразрешенного ему действия.

Аудит представляет собой многошаговый процесс. Сначала его следует активизировать с помощью оснастки Групповая политика (Group Policy). (По умолчанию аудит отключен, поскольку он снижает производительность системы.) После включения аудита необходимо определить набор отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту и включить его с помощью Редактора списков управления доступом, ACL.

Примечание

Для того чтобы иметь возможность настраивать аудит для файлов и папок, необходимо иметь права администратора.

Аудит, установленный для родительской папки, автоматически наследуется всеми вновь созданными дочерними папками и файлами. Этого можно избежать, если при создании файла или папки вызвать окно свойств и на вкладке Аудит (Auditing) снять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow inheritable auditing entries from parent to propagate to this object). Если же этот флажок отображен серым цветом или кнопка Удалить недоступна, это значит, что настройки аудита уже унаследованы. В этом случае для изменения настроек аудита дочерних объектов нужно изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.

 

36. Активизация аудита с помощью оснастки Групповая политика (Group Policy)

 

Активизация аудита с помощью оснастки Групповая политика (Group Policy)

Для активизации аудита на изолированном компьютере:

1. Запустите оснастку Групповая политика (это изолированная оснастка, которую можно использовать как самостоятельный инструмент). (Можно выполнить команду Пуск, Программы, Администрирование, Локальная политика безопасности.) *
2. Откройте папку Конфигурация компьютера (Computer Configuration) и последовательно раскройте узлы Конфигурация Windows (Windows Setting), Параметры безопасности (Security Settings), Локальные политики (Local Policies), Политика аудита (Audit Policy).
3. На правой панели появится список политик аудита. По умолчанию все они имеют значение Нет аудита (No Auditing). Для включения аудита следует изменить значения нужных параметров.
4. Выполните двойной щелчок на устанавливаемой политике аудита. Появится окно диалога, с помощью которого можно разрешить аудит. В группе Вести аудит следующих попыток доступа (Audit these attempts) установите флажки Успех (Success) или Отказ (Failure), или оба.
5. Нажмите кнопку ОК.

Подобную операцию следует повторить для политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, следует снять флажки Успех и Отказ.

 

37. Настройка и просмотр аудита папок и файлов

 

Настройка и просмотр аудита папок и файлов

Чтобы настроить, просмотреть или изменить настройки аудита файлов и папок:

1. Установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку. В появившемся контекстном меню выберите команду Свойства. В окне свойств папки или файла перейдите на вкладку Безопасность (Security).
2. На вкладке Безопасность нажмите кнопку Дополнительно (Advanced) и затем перейдите на вкладку Аудит.
3. Если вы хотите настроить аудит для нового пользователя или группы, на вкладке Аудит нажмите кнопку Добавить. Появится диалоговое окно Выбор: Пользователь, Компьютер или Группа (Select User, Computer, or Group). Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется окно диалога Элемент аудита для (Audit Entry for). Здесь вы сможете ввести все необходимые параметры аудита. В списке Применять (Apply onto) укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В группе Доступ (Access) следует указать, какие события следует отслеживать: окончившиеся успешно (Успех, Successful!), неудачно (Отказ, Failed) или оба типа событий. Флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Apply these audit entries to objects and/or containers within this container only) определяет, распространяются ли введенные вами настройки аудита на файлы и папки, находящиеся ниже по дереву каталогов файловой системы (флажок не установлен). В обратном случае установите флажок (или выберите в списке Применять опцию Только для этой папки). Это позволит не выполнять аудит для тех объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все окна диалога.
4. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку Показать/Изменить (View/Edit). Появится окно диалога Элемент аудита для. Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений нажмите кнопку ОК.

 

38. Область действия настроек аудита

 

Область действия настроек аудита

Настройка аудита выполняется с помощью окна диалога Элемент аудита для, где с помощью поля Применять можно определить область распространения настроек аудита. Результирующее действие значения, введенного в этом поле, зависит от того, установлен ли флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера. По умолчанию этот флажок снят. В табл. 11.6 и 11.7 показано, как настройки аудита действуют в случае, когда этот флажок соответственно снят и установлен.

Таблица 11.6. Действие настроек аудита при снятом флажке Применять этот аудит к объектам и контейнерам только внутри этого контейнера

Выполняется аудит текущей папки

Выполняется аудит дочерних папок текущей папки

Выполняется аудит файлов в текущей папке

Выполняется аудит всех дочерних папок

Выполняется аудит файлов во всех дочерних папках

X

 

 

 

 

 

 

 

 

X

X

X

X

X

X

X

 

 

X

 

 

X

 

 

X

 

 

X

 

 

X

X

X

X

 

 

X

 

 

X

 

 

 

 

 

 

X

 

 

X

 

Таблица 11.7. Действие настроек аудита при установленном флажке Применять этот аудит к объектам и контейнерам только внутри этого контейнера

Применять

Выполняется аудит текущей папки

Выполняется аудит дочерних . папок текущей папки

Выполняется аудит файлов в текущей папке

Выполняется аудит всех дочерних папок

Выполняется аудит файлов во всех дочерних папках

 

 

 

 

 

 

Для “той папки, ее подпапок и файлов (The folder, subfolders and files)

X

X

X

 

 

 

 

Для этой папки и ее подпапок

(This folder and subfolders)

X

X

 

 

 

 

 

 

Для этой папки и ее файлов (This folder and files)

X

 

 

X

 

 

 

 

Только для подпапок и файлов

(Subfolders and files only)

 

 

X

X

 

 

 

 

Только для подпапок

(Subfolders only)

 

 

X

 

 

 

 

 

 

Только для файлов (Files only)

 

 

 

 

X

 

 

 

 

 

39. Отключение аудита файлов и папок

 

Отключение аудита файлов и папок

Для отключения аудита файла или папки:

1. Установите указатель мыши на файл или папку, где необходимо отключить аудит, и нажмите правую кнопку. В появившемся меню выберите команду Свойства. Появится окно свойств файла или папки. Перейдите на вкладку Безопасность.
2. На вкладке Безопасность нажмите кнопку Дополнительно. В появившемся окне диалога выберите вкладку Аудит.
3. В поле Элементы аудита выберите нужную запись и нажмите кнопку Удалить. Соответствующая запись будет удалена.

 

Примечание

Если кнопка Удалить недоступна, это значит, что настройки аудита наследуются от родительской папки.

 

40. Выполнение заданий по расписанию

 

Выполнение заданий по расписанию

В дополнение к команде at система Windows 2000 располагает новым средством — планировщиком заданий (Task Scheduler). С помощью планировщика заданий можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать достаточно сложное расписание для выполнения заданий, в котором задаются продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п.

Задание сохраняется как файл с расширением job, что позволяет перемещать его с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удаленно, кроме того, задания можно пересылать по электронной почте.

Служба планировщика заданий (Task Scheduler Service, MSTask.exe) инсталлируется вместе с системой и автоматически запускается при ее загрузке. При помощи меню Дополнительно (Advanced) планировщика заданий можно приостанавливать или запускать снова эту службу. Данное меню позволяет также обращаться к журналу регистрации запланированных и выполненных заданий.

Среди особенностей планировщика можно отметить:

Удобный графический пользовательский интерфейс
Возможность программного доступа ко всем возможностям планировщика, включая страницы свойств
Создание новых заданий при помощи технологии drag-and-drop или мастера планирования заданий (Scheduled Task wizard)
Средства безопасности

Графический интерфейс планировщика заданий (рис. 11.6) не требует знания ключей и параметров программы (как это нужно для использования команды at), интегрирован в операционную систему и доступен из панели управления (папка Назначенные задания (Scheduled Tasks)). Кроме того, упрощается отладка заданий, поскольку их легко проверить, запустив в любой момент непосредственно из папки заданий (команда Выполнить (Run) в контекстном меню). В главном окне планировщика выводится основная информация о заданиях: расписание, время следующего и предыдущего запуска, состояние, результат выполнения задания, имя создателя задания.

Рис. 11.6. Главное окно программы Планировщик заданий (Task Scheduler) со списком запланированных заданий

Мастер планирования заданий (запускаемый при выборе команды Добавить задание (Add Scheduled Task)) позволяет легко и быстро в интерактивном режиме указать все параметры для запуска запланированного задания. Задания могут иметь несколько расписаний, принципиально отличающихся друг от друга. Например, некоторая программа может запускаться ежедневно в одно время, еженедельно — в другое время и однократно — в заданное время указанного дня. На рис. 11.7 приведен пример расписания для запуска программы NetMeeting, запускающейся по рабочим дням, 3 раза в день; Установив флажок Показывать несколько расписаний (Show multiple schedules), можно задавать несколько расписаний для запуска этой программы.

Благодаря наличию полного набора интерфейсов API (планировщик задач' позволяет использовать все достоинства моделей СОМ и DCOM) разработчики могут встраивать службы планирования заданий в свои приложения, не заботясь об поддержке и надежности этих служб. Возможность доступа к страницам свойств (рис. 11.7) позволяет создавать в приложениях специфические диалоговые окна, а затем вызывать стандартные страницы планировщика.

В среде Windows 2000 запланированные задания создаются и выполняются с учетом стандартных разрешений системы безопасности. На файлы заданий распространяются правила использования списков управления доступом (ACL) файловой системы NTFS, определяющие круг лиц, которым разрешено просматривать, удалять, модифицировать и выполнять задания (обратите внимание на вкладку Безопасность (Security), рис. 11.7),

Примечание

При перемещении файла *.job в другую систему необходимо восстановить разрешения на его использование, поскольку эти полномочия хранятся в системе безопасности Windows.

При создании задания требуется указывать имя и пароль пользователя, определяющие контекст безопасности, в котором выполняется задание. Это позволяет запускать на одном компьютере несколько заданий с различными правами в отношении безопасности, т. е. несколько пользователей могут одновременно иметь индивидуальные, независимые расписания запланированных заданий.

Рис. 11.7. Вкладка Расписание (Schedule) для запланированного запуска программы NetMeeting

 

11.6.gif

Изображение: 

11.7.gif

Изображение: 

Глава 12. Нулевое администрирование Windows (ZAW)

Глава 12. Нулевое администрирование Windows (ZAW)

1. Компоненты ZAW

 

Глава 12

Нулевое администрирование Windows (ZAW)

В этой главе рассматриваются некоторые общие концепции, без понимания которых не всегда можно разобраться в механизмах функционирования и взаимодействия модулей, утилит, служб и т. п., имеющихся в Windows 2000, а также рационально использовать средства управления и конфигурирования систем и сетевой среды. При решении тех или иных административных задач (таких как настройка рабочего стола пользовательского компьютера, ограничение доступа к файлам и папкам, обеспечение отказоустойчивости и т. п.) важно знать, какие инструменты и приемы нужно использовать — т. е. понимать общую стратегию управления системой (сетевой средой); при этом недостаточно формального знакомства с интерфейсом административных оснасток и умения выполнять с их помощью элементарные задачи (например, создать учетную запись пользователя или инсталлировать приложение на сервере).

Эффективное управление рабочей средой настольных систем — главная и наиболее трудоемкая задача администратора сети или специалиста по информационным технологиям. Средства администрирования призваны помочь техническому персоналу планировать, размещать, эффективно поддерживать и централизованно управлять распределенной вычислительной средой.

Компания Microsoft выступила с так называемой инициативой нулевого администрирования Windows (Zero Administration for Windows, ZAW), которая должна уменьшить расходы на администрирование настольных систем и, следовательно, общую стоимость владения (Total Costs of Ownership TCO). Это решение основано на множестве технологий, взаимосвязанных средств, часть из которых уже внедрено, а другие только разрабатываются. Ключевой компонент ZAW — технология IntelliMirror, главное новшество в продуктах Windows 2000 Professional и Windows 2000 Server.

Примечание

Описанные в этом разделе технологии и решения (ZAW, технология IntelliMirror и ее компоненты: Remote OS Installation и т. п.) нужно рассматривать не как аппаратные или программные спецификации (типа WMI, Active Directory или ММС), а как совокупность организационных мер, позволяющих использовать : средства операционной системы (оснастки, утилиты, службы и т. д.) для решения тех или иных производственных задач. Очень важно понимать их взаимосвязь, в частности, иллюстрируемую ниже в табл. 12.1. В конце концов, все средства ОС существуют и работают не сами по себе, а как инструменты, которые нужно правильно применять, умело выбирая их для конкретных целей.

 

Компоненты ZAW

Ниже перечислены технологические решения и компоненты ZAW; компоненты, входящие в состав Windows 2000, отмечены звездочкой (*).

Systems Management Server — пакет для администрирования систем в средних и крупных организациях, нуждающихся в масштабируемой и расширяемой инфраструктуре для управления распределенными системами на базе Windows. Обеспечивает автоматическую инвентаризацию программных и аппаратных средств, распространение программных продуктов и диагностику. В настоящий момент выпускается версия 2.0.
Microsoft Management Console (MMC) — универсальная среда для административных утилит, реализованных в виде дополнительных модулей или оснасток (snap-in), производимых компанией Microsoft и сторонними разработчиками. ММС позволяет администраторам создавать из множества оснасток специализированные инструменты, ориентированные на выполнение конкретных задач, и передавать их — а, следовательно, и часть административных функций, — полномочным пользователям.
Windows Management Instrumentation (WMI) — компания Microsoft предложила WMI как свою, ориентированную на платформы Windows, реализацию спецификации Web-Based Enterprise' Management (WBEM) и использовала принципы WMI в Windows 2QOO и Windows 98. Предложенная технология обеспечивает создание развитых средств управления Windows при сохранении совместимости с существующими технологиями административных инструментов, включая Device Management Instrumentation (DMI). WBEM — инициатива, поддержанная многими производителями и включающая множество открытых, расширяемых стандартов для управления системами, сетями и пользователями с применением технологий Интернет. Часть этих стандартов одобрена консорциумом Desktop Management Task Force (DMTF) в качестве Общей информационной модели (Common Information Model, CIM).
Directory Service Administration — средства управления новой службой каталогов Active Directory, предложенной компанией Microsoft. Позволяют администраторам централизованно добавлять пользователей, управлять принтерами и серверами и выполнять множество других функций.
Windows Scripting Host (WSH) — не зависящий от языка сервер сценариев, позволяющий выполнять сценарии непосредственно из командной строки, а не из HTML-документов. Сценарии могут иметь графический интерфейс или работать в сеансе MS-DOS. WSH — идеальное средство для сценариев регистрации в системе или выполнения служебных задач.
Управление с использованием политик безопасности (Policy-based Management) — важная часть ZAW в среде Windows 2000 Server, призванная уменьшить стоимость администрирования стандартных систем на базе Windows. Управление на основе политик безопасности позволяет автоматизировать такие задачи, как обновление операционной системы, установка программного обеспечения, поддержка пользовательских профилей и т. д. Политики безопасности расширяют функции дополнительных продуктов администрирования, таких как Systems Management Server.
Zero Administration Kit — компонент ZAW, в котором используются решения, уже существующие в продуктах Windows NT Server 4.0 и Systems Management Server для установки политик на настольных системах.

Более подробную информацию по перечисленным технологиям можно получить на веб-странице http://www.microsoft.com/management.

 

2. Управление изменениями и конфигурацией в Windows 2000

 

Управление изменениями и конфигурацией в Windows 2000

В работе любой организации или компании неизбежны изменения — новые условия деловой активности, появление новых .аппаратных и программных средств, устаревание существующих систем и т. п., — которые требуют соответствующих мер со стороны администраторов информационных систем. В системе Windows 2000 есть множество встроенных средств, позволяющих снизить общую стоимость владения (ТСО) персональными компьютерами. В совокупности эти средства рассматриваются как дисциплина (совокупность технических и технологических решений) Управления изменениями и конфигурацией (Change and Configuration Management), входящая в концепцию ZAW, и дают следующие преимущества:

Администраторы могут централизованно управлять настройками рабочей среды (как для отдельных пользователей, так и для компьютеров) с уверенностью в том, что система учтет новые параметры.
Администраторы могут быстро заменить компьютер и автоматически восстановить его среду, пользовательские данные и настройки, приложения и административные политики.
Пользователи могут работать с любым компьютером в сети, сохраняя рабочую среду: права доступа к данным и приложениям и свою конфигурацию параметров.
Пользователи могут быстро находить свои файлы и работать с сетевыми данными даже в автономном режиме (файлы кэшируются локально, и копии данных на сервере и локальном компьютере автоматически синхронизируются).
Администраторы могут централизованно управлять инсталляцией, обновлением и удалением программных пакетов. Процесс инсталляции может происходить удаленно, что исключает необходимость присутствия и каких-либо действий на рабочих станциях.
Рабочие станции могут автоматически инсталлировать с сервера операционную систему, записывая ее файлы на локальные диски.

Ключевым моментом в Управлении изменениями и конфигурацией в среде Windows 2000 является то, что после инсталляции системы администраторы могут использовать Active Directory и создавать управляемые политиками рабочие среды для групп пользователей и компьютеров. При таком подходе значительно реже требуется посещать рабочие места пользователей при установке системы и прикладных программ, восстановлении или изменении параметров. Именно это и позволяет снизить ТСО.

В среде Windows 2000 средства Управления изменениями и конфигурацией включают в себя технологию IntelliMirror и удаленную инсталляцию системы (Remote OS Installation). Кроме того, дополнительные возможности обеспечиваются продуктом Microsoft Systems Management Server 2.0.

В табл. 12.1 перечислены стандартные средства Windows 2000, обеспечивающие Управление изменениями и конфигурацией, и соответствующие им технические решения и технологии. В зависимости от конкретных условий и потребностей администраторы могут использовать все указанные средства или некоторые из них.

Таблица 12.1. Средства администрирования систем в Windows 2000

Средства V

Windows 2000

Назначение

Используемые технологии

IntelliMirror

 

 

Управление пользовательскими данными (User Data Management)

Зеркальное дублирование по сети пользовательских данных и локальное кэширование выбранных данных из сети. Лозунг — "Мои данные следуют за мной!"

Active Directory, групповые политики (Group Policy), автономные папки (Offline Folders), Диспетчер синхронизации (Synchronization Manager), дисковые квоты и усовершенствованная оболочка Windows

Инсталляция и сопровождение программ (Software Installation and Maintainance)

Централизованная, надежная и оперативная инсталляция программных средств (приложений, сервисных пакетов и обновлений операционной системы), восстановление, обновление и удаление. Лозунг — "Мои приложения следуют за мной!"

Active Directory, групповые политики, Windows Installer, значок Установка и удаление программ (Add/Remove Programs) на панели управления и усовершенствованная оболочка Windows

Управление установками пользователей и компьютеров (User and Computer Settings Management)

Централизованное управление установками рабочей среды для пользователей и компьютеров. Зеркальное отображение пользовательских настроек в сети. Лозунг — "Мои настройки следуют за мной!"

Active Directory, групповые политики, автономные папки (Offline Folders), перемещаемые профили пользователей (Roaming User Profiles) и усовершенствованная оболочка Windows

Удаленная инсталяция системы (Remote OS Installation)

 

Инсталляция операционной системы с сетевых серверов, конфигурирование новых или замененных компьютеров

Active Directory, групповые политики, службы удаленной установки (Remote Installation Services), рабочая станция, отвечающая спецификации Remote Install (NetPC/PC98, Windows 2000)

 

3. Технология IntelliMirrar

 

Технология IntelliMirror

IntelliMirror — общее название для встроенных в Windows 2000 средств Управления изменениями и конфигурацией, позволяющих соединить преимущества централизованного администрирования с производительностью и гибкостью распределенных вычислений.

Средства IntelliMirror, распределенные между серверами и клиентами, позволяют пользователям сохранять свои данные, приложения и настройки при работе с любого клиентского компьютера корпоративной сети. Общий лозунг технологии IntelliMirror — "Следуй за мной!" — отражает тот факт,

что всегда доступные пользователю данные, приложения и настройки следуют за ним при его перемещении по сети.

Технология IntelHMirror позволяет администраторам настольных систем Windows 2000 снизить ТСО при решении следующих типовых задач:

Управление настольной (клиентской) системой. Можно описать стандартную рабочую среду для каждой из групп пользователей и обеспечивать ее автоматическое сопровождение при помощи политик безопасности.
Развертывание приложений. Технология позволяет избежать конфликта версий (например, несовместимости DLL-библиотек) при обновлении программных продуктов.
Поддержка мобильных пользователей. Пользователям, перемещающимся с одного компьютера на другой или из одной географической точки в другую, обеспечивается доступ к их данным, приложениям и привычной конфигурации рабочего стола (независимо от местоположения пользователя. -
Замена компьютеров. Для уменьшения времени простоя компьютеров (в случае отказа или замены) администраторы могут быстро восстановить его конфигурацию, включая инсталлированные приложения и пользовательские данные.

В составе IntelHMirror можно выделить три компонента (технологии):

Управление пользовательскими данными
Инсталляция и сопровождение программ
Управление установками пользователей и компьютеров

Администраторы могут применять эти компоненты IntelHMirror по отдельности или все вместе — в зависимости от конкретных требований. Развернутая, в полном объеме технология IntelHMirror использует Active Directory и групповые политики, обеспечивая с их помощью управление пользовательскими компьютерами. Эти политики, описываемые централизованно с учетом должностных обязанностей пользователей, их членства в группах и местоположения, позволяют системам Windows 2000 Professional и Windows 2000 Server автоматически настраиваться на требования конкретного пользователя при каждом его входе в сеть.

 

4. Управление пользовательскими данными

 

Управление пользовательскими данными

Средства Управления пользовательскими данными гарантируют доступность пользовательских данных (личных файлов и документов) и их защиту — независимо от режима (автономного или online) и компьютера сети, на котором работает клиент. Это обеспечивается путем отображения личных данных в сети (на надежных серверах, где выполняется резервное копирование) и локального кэширования выбранных сетевых данных. Например, пользователи могут переопределять путь к некоторой папке и задавать ее новое местоположение на локальном компьютере или на общем сетевом ресурсе. Таким образом, пользователи могут работать с общими документами, хранящимися на защищенном сервере, с сохранением видимости того, что эти документы находятся на локальном диске.

В случае отказа сети работу пользователей с общими документами обеспечивают автономные папки (offline folders). Если пользователь разрешает автономную работу с некоторым файлом или папкой, то копия этого общего файла или папки хранится на локальном компьютере. Если этот компьютер не может обращаться к сети, пользователь может редактировать локальную версию кэшированного документа. После восстановления доступа к сети модифицированный документ копируется обратно на общий сетевой ресурс.

Нужно отметить, что данные "следуют" за пользователем только тогда, когда они расположены в соответствующей папке (например, в Мои документы), настроенной для такого режима работы.

 

5. Инсталляция и сопровождение программ

 

Инсталляция и сопровождение программ

В системах Windows 2000 средства Инсталляции и сопровождения программ обеспечивают надежную, быструю инсталляцию программных продуктов и их автоматическое восстановление для групп пользователей и компьютеров. С помощью этих средств администраторы могут обновлять развернутые приложения, удалять устаревшие программы и устанавливать сервисные пакеты и обновления операционной системы.

Для этих целей используются групповые политики, которые могут описываться в Active Directory для областей, доменов и подразделений (организационных единиц). При каждом включении компьютера запрашивается соответствующая политика инсталляции программ, с помощью которой конфигурируется компьютер. Для каждого зарегистрированного в системе клиента запрашивается пользовательская политика инсталляции программ, и система обновляется, делая доступными нужные приложения.

Ключевым инструментом для оперативной инсталляции программ является служба Windows Installer. Для того чтобы программный продукт смог воспользоваться средствами Windows Installer, он должен быть авторизован и записан в дистрибутивный пакет (файл с расширением msi). Служба Windows Installer полностью автоматизирует процесс инсталляции и конфигурирования программ.

Примечание

Инструменты авторизации и создания инсталляционных пакетов для службы Windows Installer разработаны многими компаниями, включая InstallShield Software, WISE Solutions и VERITAS.

Используя групповую политику и средства Инсталляции и сопровождения программ, администраторы могут публиковать (publish) или назначать (assign) приложения для групп пользователей и компьютеров.

Опубликованные приложения становятся доступными для пользователей по запросу (по мере необходимости). Администраторы могут определить, какие приложения нужны пользователям, учитывая практические, технические и географические требования каждой группы. Пользователи могут при желании инсталлировать опубликованные для них приложения с помощью значка Установка и удаление программ на панели управления, выбирая приложения из списка. Пользователи могут также „открыть файл или документ, требующий опубликованного приложения, после чего требуемое приложение автоматически инсталлируется и запустится, а файл будет открыт в нем.

Когда администраторы назначают приложения пользователям и компьютерам, они явно указывают, какие программы должны быть установлены. Программы, назначенные компьютеру, обычно инсталлируются при следующей перезагрузке компьютера. Такая возможность полезна для развертывания сервисных пакетов, обновлений драйверов и т. п. Когда администратор назначает некоторое приложение конечному пользователю, соответствующий значок появляется на рабочем столе этого пользователя (например, в меню Пуск, в виде ярлыка рабочего стола и т. д. При этом значок "следует" за пользователем, даже если тот перемещается на другой компьютер в сети) при его следующей регистрации в системе. Инсталлируется это приложение при первом обращении к нему со стороны пользователя или при попытке открытия документа, связанного с назначенным приложением.

Приложения, инсталлированные с помощью Windows Installer, защищены от случайного удаления файлов приложения или необходимых для него ресурсов. При каждом запуске такого приложения служба Windows Installer проверяет наличие необходимых файлов и компонентов. При их отсутствии служба копирует и инсталлирует недостающие компоненты из указанного узла дистрибуции на локальный компьютер, либо на сетевой ресурс, например в каталог распределенной файловой системы DFS.

 

6. Управление установками пользователей и компьютеров

 

Управление установками пользователей и компьютеров

Достоинством средств Управления установками пользователей и компьютеров является то, что администраторы могут централизованно управлять рабочей средой для групп пользователей и компьютеров, и эти пользователи и компьютеры автоматически получат правильно сконфигурированную среду. Администраторы могут добавлять новых пользователей и компьютеры, описывать установки для различных групп и распространять изменения конфигураций. Более того, с помощью средств IntelliMirror можно восстановить установки пользователя при отказе его компьютера и гарантировать, что установки рабочей среды будут "следовать" за пользователем при его перемещении на другой компьютер.

Установки пользователей могут, к примеру, храниться в "перемещаемых" профилях (roaming profile), которые позволяют им перемещаться в пределах корпоративной сети и работать на различных компьютерах. При наличии такого профиля пользователь может поработать на одном компьютере — войти в систему, запускать приложения, редактировать документы и выйти из системы. После этого профиль пользователя будет скопирован на сервер. Если пользователь захочет поработать на другом компьютере, то вся информация о профиле, включая настройки меню Пуск и содержимое папки Мои документы, будет скопирована на второй компьютер.

При описании установок для групп пользователей к компьютеров используется групповая политика. Эти установки включают: значения ключей реестра клиентского компьютера (для компонентов операционной системы и приложений), сценарии (выполняемые при включении/выключении компьютера или при регистрации пользователя), опции инсталлированных приложений (доступных для пользователей и тех, которые появляются на рабочем столе) и установки безопасности (локальной, доменной или сетевой).

 

7. Удаленная инсталляция системы

 

Удаленная инсталляция системы

При удаленной инсталляции системы используется новая технология загрузки Pre-Boot execution Environment (PXE), построенная на базе протокола Dynamic Host Configuration Protocol (DHCP). С ее помощью инициируется инсталляция операционной системы из удаленного источника на локальный диск клиента. Удаленный источник — это сервер, поддерживающий новые службы Remote Installation Services (RIS, службы удаленной установки); он обеспечивает сетевой эквивалент обычного инсталляционного компакт-диска Windows 2000 и образы (image) настольной системы, созданные при помощи программы Sysprep.

Сетевая инсталляция. Аналогична установке системы непосредственно с дистрибутивного компакт-диска Windows 2000, однако исходные файлы поступают по сети с имеющихся RIS-серверов.
Формат образов Sysprep. Позволяет администратору сети клонировать стандартные конфигурации рабочего стола клиентов, а также конфигурации операционной системы и пользовательские настройки. После инсталляции и конфигурирования системы Windows 2000, ее служб и всех стандартных приложений администратор запускает программу-мастер, которая готовит образ инсталляции и передает его на имеющиеся RIS-серверы. Затем удаленные клиентские компьютеры с возможностью загрузки могут запросить локальную инсталляцию этого образа через сеть с доступных RIS-серверов.

Сетевую загрузку может инициировать либо BIOS клиентского компьютера (аппаратные средства должны иметь микросхему PXE boot ROM. Этому требованию удовлетворяют компьютеры, соответствующие спецификациям Net PC или Office PC в стандарте PC 98), либо специальная дискета удаленной загрузки. Когда запрашивается служба сетевой инсталляции, клиентский компьютер с помощью DHCP получает IP-адрес и загружает клиентскую : дерртрамму-мастер инсталляции. В этот момент пользователь должен зарегистрироваться в сети, и в зависимости от полномочий пользователя и его членства в группе безопасности мастер выводит меню с соответствующими вариантами автоматической заказной инсталляции операционной системы.

 

8. Microsoft Systems Management Server 2.0

 

Microsoft Systems Management Server 2.0

Microsoft Systems Management Server 2.0 обеспечивает масштабируемое Управление изменениями и конфигурацией для Windows-систем в корпоративной сети. Это интегрированный набор инструментов, позволяющих выполнять инвентаризацию аппаратных и программных средств, инсталлировать и распространить- приложения, профилировать приложения, диагностировать и находить неисправности. SMS 2.0 можно использовать как дополнение и расширение" средств Управления изменениями и конфигурацией, встроенных в Window! 2600Y и работать с предыдущими версиями "Windows: всеми 16- и 32-разрядными настольными системами, начиная с Windows 3.1 и заканчивая Windows 2000. При этом он может функционировать в сетях Windows NT, NetWare 3.1 или NetWare NDS.

Возможности Systems Management Server 2.0:

Инвентаризация аппаратных и программных средств. SMS использует спецификацию Windows Management Instrumentation (WMI) и новые программные сканеры ресурсов, с помощью которых подробная информация об аппаратных и программных средствах загружается в хранилище на базе SQL Server. Администраторы получают оперативную и исчерпывающую информацию обо всех приложениях и обо всех компьютерах. Кроме того, имеется средство для анализа собранных данных.
Инсталляция и распространение приложений С помощью SMS 2.0 можно размещать приложения, ориентируясь на компьютеры, пользователей и группы. Теперь при распространении приложений можно задавать критерии, по которым автоматически оценивается получатель приложений. Сервер сначала обращается к каталогу программных продуктов, к получателям приложений, а затем "раздает" приложения получателям в соответствии с установленными администратором правилами.

Например, если в группе появляется новый пользователь, в соответствии с групповой политикой ему автоматически пересылается программное обеспечение. С помощью SMS 2.0 администраторы могут распространить приложение сразу же, как только возникла необходимость в нем, и "забрать" его назад, т. е, автоматически удалить приложение, когда пользователь перешел в другую группу.

Профилирование приложений. Зачастую администраторам нужны средства, позволяющие оценить использование программных продуктов пользователями, группами и клиентскими компьютерами, задать квоты времени или установить лицензии. SMS 2.0 может отображать, анализировать и, при необходимости, контролировать процесс использования приложений на серверах и рабочих станциях. Администраторы могут задавать различные реакции в критических ситуациях — от простых предупредительных сообщений до блокировки Приложений.
Диагностика и поиск неисправностей. Помимо мониторинга рабочих станций и серверов и удаленного управления, SMS 2.0 имеет многочисленные средства диагностики: например, сетевой монитор с возможностью работы в реальном времени и анализа перехваченных данных для оценки работоспособности и производительности сети, или серверное средство HealthMon, позволяющее определять критические моменты (узкие места) в работе Windows NT/2000 Server и приложений семейства BackOffice.

 

9. Инструментальные средства управления Windows (WMI)

 

Инструментальные средства управления Windows (WMI)

Как упоминалось в начале главы, одним из компонентов инициативы ZAW являются Инструментальные средства управления Windows (Windows Management Instrumentation, WMI) — технология, обеспечивающая унификацию средств администрирования аппаратных и программных средств.

Средства WMI появились в системах Windows NT и, в сочетании с другими службами администрирования, обеспечивали построение интегрированных и масштабируемых приложений для управления распределенными ресурсами. В системах Windows 2000 спецификация WMI также используется в административных утилитах (оснастках), таких как Сведения в системе (System Summary) и Логические диски (Logical Drives).

Компания Microsoft разработала WMI на основе требований, входящих в спецификацию Web-based Enterprise Management (WBEM), рассматриваемую в следующем разделе.

 

10. Спецификация WBEM

 

Спецификация WBEM

Web-based Enterprise Management (WBEM) (можно перевести как веб-ориентированное управление предприятием) — это инициатива, технология, поддержанная многими ведущими производителями программного и аппаратного обеспечения (Microsoft, Compaq, ВМС, Cisco и Intel) и направленная на решение проблемы сбора и использования диагностической и управляющей информации в корпоративных сетях, включающих оборудование от различных поставщиков и использующих многочисленные разнообразные протоколы, операционные системы и распределенные прикладные системы.

Традиционно, в управлении сложными сетями используются различные протоколы и интерфейсы: например, протокол Simple Network Management Protocol (SNMP) применяется для управления сетевыми ресурсами (концентраторами, маршрутизаторами и т. д.), а для управления настольными системами может использоваться Desktop Management Interface (DMI). Технология WBEM предполагает создание открытой среды для средств администрирования, позволяющей им свободно взаимодействовать друг с другом и со всеми объектами управления, а также максимальное использование уже существующих технологий и стандартов. Поставленная цель сравнима с задачей, решаемой сетью World Wide Web: связать воедино поставщиков и потребителей информации, ничего не "знающих" о том, как работают конкретные системы на другом конце цепочки передачи этой информации. Перспектива использования веб-технологий для более традиционных инструментов администрирования и определила появление в названии новой инициативы слов Web-based.

WBEM — это не протокол, модель или интерфейс, а . инициатива, предлагающая некоторый набор стандартов для управления корпоративной сетью. Эти стандарты должны решать следующие задачи:

Определить структуру и соглашения, необходимые для получения информации об объектах управления.
Обеспечить централизованный доступ к этой информации, чтобы различные клиенты и средства администрирования могли поставлять данные, получать и анализировать их.
Обеспечить авторизованный доступ к объектам управления из любой точки сети для анализа состояния этих объектов и управления ими.

В основе WBEM лежит реализация Общей информационной модели (Common Information Model, CIM) — объектно-ориентированной схемы (schema) объектов управления. Объекты управления — это представления системных (сетевых) ресурсов, а схема — единый механизм описания данных всех имеющихся типов. WBEM предлагает некий информационный стандарт, определяющий способы представления данных, и функциональный стандарт, описывающий механизмы взаимодействия компонентов

Схема CIM образуется из модели ядра (Core), применяемой во всех областях администрирования, и множества общих (Common) моделей, описывающих типовую информационную структуру конкретных типов объектов администрирования — систем, сетей, баз данных, приложений и устройств. Схема является расширяемой: схемы-расширения представляют собой дополнения общей схемы, ориентированные на конкретные объекты, например, может существовать схема-расширение для некоторой операционной системы.

 

11. Windows Management Inscrumentation

 

Windows Management Instrumentation

Начиная с 1996 года, компания Microsoft разрабатывает Windows-ориентированную реализацию технологии WBEM, получившую название Windows Management Instrumentation (WMI). WMI — это ключевой компонент для административных служб Windows, к числу которых относятся, например, службы поиска и политик Active Directory, службы визуализации, входящие в Microsoft Management Console (MMC), и средства автоматизации (automation) сервера сценариев Microsoft Scripting Host (WSH). .

Можно перечислить следующие средства, входящие в WMI (отметим только представляющие интерес для Windows 2000):

Функционально полная модель для конфигурирования операционной системы и отображения ее состояния.
Интерфейс программирования COM API, обеспечивающий единый доступ ко всей информации, касающейся администрирования.
Возможность взаимодействия с административными службами Windows 2000, что позволяет разработчикам создавать интегрированные приложения для управления системами.
Гибкая информационная модель, которую можно расширять для поддержки новых устройств и приложений, создавать соответствующие программные модули (WMI-провайдеры).
Развитая событийная архитектура, обеспечивающая распознавание и обработку изменений в состоянии объектов управления и передачу этой информации локальным или удаленным административным программам.
Сложный язык запросов для получения данных из информационной модели.
API сценариев, позволяющий разработчикам управляющих приложений использовать Visual Basic или Windows Scripting Host (WSH).

WMI имеет трехуровневую архитектуру для сбора и распространения управляющей информации: стандартный механизм для хранения описаний объектов (хранилище объектов, совместимое с CIM), стандартный протокол для передачи управляющей информации (COM/DCOM; возможны и другие протоколы) и множество DLL-библиотек, выполняющих функции WMI-npoвайдеров (которые обеспечивают данными компоненты схемы CIM) (рис. 12.1).

Ниже кратко описаны некоторые элементы и возможности WMI (более подробную информацию можно найти в WMI SDK). .

 

12. Диспетчер объектов CIM

 

Диспетчер объектов CIM

Ключевым компонентом WMI является диспетчер объектов СШ, главное назначение которого, — единообразное представление данных, которые в виде

Рис. 12.1. Архитектура WMI

объектов находятся в хранилище объектов CIM. Диспетчер объектов упрощает сбор информации об объектах управления и манипулирование ею, т. е. обеспечивает функциональный уровень CIM.

 

12.1.gif

Изображение: 

13. WMI-провайдеры

 

WMI-провайдеры

WMI-провайдеры (поставщики данных) являются связующим звеном между диспетчером объектов СШ и множеством объектов управления; они собирают управляющую информацию (т. е. данные и события), предоставляемую административным приложениям.

В состав WMI Software Development Kit (SDK) входят следующие WMI-провайдерыГ

Провайдер реестра
Провайдер журналов событий (event log)
Провайдер Win32
Провайдеры SNMP
Провайдеры WDM

Используя SDK, сторонние производители могут создавать провайдеры для новых объектов управления.

 

14. Безопасность WMI

 

Безопасность WMI

WMI обеспечивает средства безопасности, которые проверяют полномочия пользователя на локальном компьютере и при удаленном доступе. При этом можно устанавливать глобальные разрешения на выполнение операций со схемой, например, устанавливать доступ "только для чтения".

 

15. Обработка событий

 

Обработка событий

Средства обработки событий позволяют административным приложениям распознавать аппаратные или программные события и/или ошибки и получать нужную информацию для выполнения соответствующих действий.

В архитектуре WMI события могут происходить в объектах управления или в хранилище объектов СШ (внутренние события). Диспетчер объектов CIM передает извещения о событии потребителям событий (event consumer), которые могут "подписаться" на извещения определенного типа, указав фильтр, созданный с помощью языка запросов WMI Query Language (WQL).

 

16. WBEM-совместимые средства написания сценариев

 

WBE-M-совместимые средства написания сценариев

WMI позволяет создавать сценарии или приложения (т. е. предлагается дополнительный механизм доступа, помимо интерфейсов СОМ), взаимодействующие с диспетчером объектов СШ. Имеется поддержка для следующих языков:

Visual Basic
Visual Basic for Applications
Visual Basic, Scripting Edition
Microsoft JScript
Perl

Средства написания сценариев помогают автоматизировать работу администратора, позволяя ему использовать пакетный режим для типовых процедур обработки данных и событий, а также создавать собственные утилиты командной строки. При этом задействуются все достоинства языков сценариев: простота, гибкость и легкость в освоении.

 

Глава 13. Средства мониторинга и оптимизации

Глава 13. Средства мониторинга и оптимизации

1. Диспетчер задач (Task Manager)

 

Глава 13

Средства мониторинга и оптимизации

Для мониторинга и оптимизации работы компьютера в системе Windows 2000 доступны следующие три инструмента:

Производительность (Performance) — обновленный инструмент в системе Windows 2000, аналог утилиты Performance Monitor в Windows NT 4.0. Оснастка Производительность включает в себя две оснастки: System Monitor и Оповещения и журналы безопасности (Performance Logs and Alerts). Графические средства System Monitor позволяют визуально отслеживать изменение производительности системы. С помощью System Monitor можно одновременно просматривать данные с нескольких компьютеров в виде динамических диаграмм, на которых отображается текущее состояние системы и показания счетчиков. Оснастка Оповещения и журналы безопасности позволяет создавать отчеты на основе текущих данных производительности или информации из журналов. При превышении счетчиками заданного значения или уменьшения ниже указанного уровня данная оснастка посредством службы сообщений (Messenger) посылает оповещения пользователю.
Диспетчер задач (Task Manager) служит для просмотра текущих данных о производительности системы. В этой утилите основными являются три индикатора: использование процессора, использование виртуальной памяти и запущенные процессы и программы.
Оснастка Просмотр событий (Event Viewer) позволяет просматривать журналы событий, генерируемых приложениями, службой безопасности и системой.

 

Диспетчер задач (Task Man ager)

В системе Windows 2000 сохранено известное по Windows NT 4.0 средство мониторинга производительности — Диспетчер задач, который предоставляет информацию о программах и процессах, запущенных на компьютере, и отображает наиболее общие показатели производительности процессов.

Диспетчер задач можно использовать для отслеживания ключевых индикаторов производительности вашего компьютера. Вы можете быстро отслеживать статус запущенных программ и завершать приложения, которые перестали отвечать на запросы системы. С помощью диспетчера задач можно отслеживать активность запущенных процессов по 15 параметрам и просматривать графики использования процессора и памяти.

 

2. Запуск диспетчера задач

 

Запуск диспетчера задач

Для запуска диспетчера задач можно выбрать один из следующих методов:

Щелкнуть правой кнопкой мыши на свободном пространстве панели задач и выбрать в контекстном меню пункт Диспетчер задач.
Нажать комбинацию клавиш <Ctrl>+<Alt>+<Del> и нажать в появляющемся окне кнопку Диспетчер задач.
Вызвать команду Выполнить (Run) и ввести taskmgr.

Если диспетчер задач запущен, то в правой части панели задач (на systray) появляется индикатор загрузки процессора. Если подвести указатель мыши к этому индикатору, то будет показана степень загруженности процессора в процентах.

Окно диспетчера задач можно открыть двойным щелчком на значке индикатора загрузки на панели задач. Если вы не хотите, чтобы свернутое окно диспетчера оставалось на панели задач среди других запущенных программ, то в окне диспетчера в меню Параметры (Options) установите флажок Скрывать свернутое (Hide When Minimized).

 

3. Мониторинг процессов

 

Мониторинг процессов

Для просмотра запущенных процессов и показателей их производительности выберите вкладку Процессы (Processes) в окне Диспетчер задач Windows (рис. 13.1). Таблица процессов содержит все процессы, запущенные в собственном адресном пространстве, включая все приложения и системные сервисы. Если требуется просмотреть 16-разрядные процессы, то в меню Параметры выберите команду Отображать 16-разрядные задачи (Show 16-bit tasks).

С помощью команды Выбрать столбцы (Select Columns) меню Вид (View) можно добавить на экран новые столбцы показателей. В открывшемся диалоговом окне Выбор столбцов установите флажки рядом с теми показателями, которые должны быть отображены в таблице. В табл. 13.1 кратко описаны основные столбцы таблицы и соответствующие им счетчики.

Рис. 13.1. Вкладка Процессы (Processes) в окне диспетчера задач

 

Таблица 13.1. Основные счетчики диспетчера задач

Счетчик

Описание

Имя образа (Image Name)

Имя процесса

Идентификатор процесса (PIQ) {Process Identifier)

Числовое значение, которое уникальным образом определяет процесс во время его работы

Загрузка ЦП (СРЦ Usage)

Выраженное в процентах время, в течение которого процесс использовал время процессора с момента последнего обновления

Время ЦП (CPU Time)

Суммарное время процессора, использованное процессом со времени его запуска (в секундах)

Память— использование (Merhbry Usage)

Объем виртуальной памяти, используемой процессом (в килобайтах)

Память— изменение (Memory Usage Delta)

Изменение объема памяти с момента последнего обновления. Диспетчер задач отображает отрицательные значения

Память— максимум (Peak Memory Usage)

Максимальный объем выделенной памяти, использованной процессом с момента запуска. Выделенной памятью является память, которую процесс использует на физическом носителе (например, в ОЗУ) или в файле подкачки г

Ошибки страницы (Page Faults)

Число прерываний, которые возникают, когда приложение пытается прочитать или записать данные в несуществующую виртуальную память

Объекты USER (USER Objects)

Число объектов USER, которые используются в данное время определенным процессом

Число чтений (I/O Reads)

Число операций ввода/вывода, сгенерированных процессом чтения, включая операции для файлов, сети и устройств

Прочитано байт (I/O Read Bytes)

Число байт, прочитанных в ходе операций ввода/вывода, сгенерированных процессом чтения, включая операции для файлов, сети и устройств

Ошибки страницы— изменение (Page Faults Delta)

Изменение числа ошибок страниц с момента последнего обновления

Объем виртуальной памяти (Virtual Memory Size)

Объем виртуальной памяти или адресного пространства, выделенного процессу

Выгружаемый пул (Paged Pool)

Виртуальная память, доступная для кэширования на диск, которая включает в себя всю пользовательскую память и часть системной памяти. Кэширование представляет собой перемещение редко используемых компонентов рабочей памяти из ОЗУ на другой носитель, обычно на жесткий Диск

Невыгружаемый пул (Non-Paged Pool)

Объем памяти операционной системы, используемой процессом (в килобайтах). Данная память никогда не выгружается на диск

Базовый приоритет (Base Priority)

Определяет порядок диспетчеризации потоков процесса для обработки процессором. В Службах очереди сообщений (Microsoft Message Queuing Services, MSMQ) базовый приоритет (или приоритет очереди) определяет proxy-приоритет очереди в общей очереди. Базовый приоритет может быть установлен в диапазоне от -32 766 до 32 767 (значение по умолчанию равно 0) любым приложением MSMQ с разрешениями на запись для очереди. Частные очереди не поддерживают базовый приоритет. MSMQ маршрутизирует и передает сообщения на основе комбинации базового приоритета и приоритета сообщения

Счетчик дескрипторов (Handle Count)

Число дескрипторов объектов в таблице объектов процесса

Счетчик потоков (Thread Count)

Число потоков, запущенных в процессе

Объекты GDI (GDI Objects)

Число объектов GDI, используемых в данный момент процессом.

Объекты из библиотеки графического пользовательского интерфейса (Graphics Device Interface, GDI), входящей в интерфейс прикладного программирования (API) для устройств вывода графики

Число записей (I/O Writes)

Число операций ввода/вывода, сгенерированных процессом записи, включая операции для файлов, сети и

устройств

Записано байт (I/O Write Bytes)

Число байт, записанных в ходе операций ввода/вывода, сгенерированных процессом записи, включая операции для файлов, сети и устройств

Прочий ввод/вывод (I/O Other)

Число операций ввода/вывода, сгенерированных процессом, который не является ни чтением, ни записью, включая операции для файлов, сети и устройств. Примером такого типа операции является функция управления

Прочих байт при вводе/выводе (I/O Other Bytes)

Число байт, переданных в ходе операций ввода/вывода, сгенерированных процессом, который не является ни чтением, ни записью, включая операции для файлов, сети и устройств

Код сеанса (Session ID)

Идентификатор сеанса служб терминалов (Terminal Services), если они установлены

Имя пользователя (User Name)

Имя пользователя, который владеет процессом служб терминалов

 

13.1.gif

Изображение: 

4. Изменение приоритета запущенной программы

 

Изменение приоритета запущенной программы

Базовый приоритет задается, как правило, кодом приложения. С помощью диспетчера задач можно изменить базовый приоритет процесса. Внесенное изменение будет действительно только в течение времени работы процесса. При следующем запуске процесс будет выполняться с базовым значением приоритета. Для изменения приоритета процесса выделите имя процесса на вкладке Процессы и щелкните на нем правой кнопкой мыши. Затем в контекстном меню выберите пункт Приоритет (Set Priority) и укажите новый уровень приоритета (рис. 13.2).

Рис. 13.2. Изменение базового приоритета процесса в диспетчере задач

 

13.2.gif

Изображение: 

5. Выбор процессора

 

Выбор процессора

В диспетчере задач можно назначить выполнение определенного процесса одному или нескольким процессорам. Для этого на вкладке Процессы щелкните правой кнопкой мыши на названии процессора, укажите пункт Установить связь (Set Affinity) и затем выберите один или несколько процессоров.

Примечание

Опция Установить связь доступна только в том случае, если на компьютере установлено более одного процессора.

 

6. Скорость обновления

 

Скорость обновления

Вы можете регулировать скорость, с которой обновляются показания счетчиков в диспетчере задач. Это позволяет снизить процент использования ресурсов, но при этом данные могут оказаться слишком приближенными. Для выполнения принудительного обновления выберите команду Обновить (Refresh Now) меню Вид или нажмите клавишу <F5>.

В диспетчере задач можно задать следующие скорости обновления:

Высокая (High) — обновление проводится каждые полсекунды
Обычная (Normal) — обновление выполняется каждую секунду
Низкая (Low) — показания обновляются каждые 4 секунды
Приостановить (Paused) — автоматическое обновление не производится. Для запуска обновления нажмите клавишу <F5>

 

7. Мониторинг производительности системы

 

Мониторинг производительности системы

Для отслеживания производительности системы откройте вкладку Быстродействие (Performance) (рис. 13.3).

Для вывода на экран числового значения (в процентах) процессорного времени, в течение которого процессор работал в режиме ядра, выберите команду Вывод времени ядра (Show Kernel Times) в меню Вид. Данное значение равно периоду времени, в течение которого приложения пользовались сервисами операционной системы. Остальную часть времени процессор работал в режиме пользователя, выполняя потоки в режиме работы приложений.

Пользователи многопроцессорных систем могут выбрать команду Загрузка ЦП (CPU History) меню Вид, чтобы вывести график занятости для каждого процессора

Рис. 13.3. Вкладка Быстродействие (Performance)

 

13.3.gif

Изображение: 

8. Оснастка Просмотр событий (Event Viewer)

 

Оснастка Просмотр событий (Event Viewer)

В операционной системе Windows 2000 событием называется любое значительное "происшествие" в работе системы или приложения, о котором следует уведомить пользователей. В случае возникновения критических событий, таких как переполнение диска сервера или неполадки с электропитанием, на экран монитора будет выведено соответствующее сообщение. Остальные события, которые не требуют немедленных действий от пользователя, регистрируются в системных журналах. Служба регистрации робытдй в системных журналах активизируется автоматически при каждом запуске системы Windows 2000.

 

9. Окно оснастки

 

Окно оснастки

В системе Windows 2000 для просмотра системных журналов можно использовать оснастку Просмотр событий (группа Администрирование (Administrative Tools) на панели управления). Эту оснастку можно также запустить из окна оснастки Управление компьютером (Computer Management). На рис. 13:4 показан пример окна оснастки Просмотр событий для контроллера домена. ;

Рис. 13.4. Окно оснастки Просмотр событий (Event Viewer)

Примечание

Оснастку Просмотр событий можно также открыть с помощью команды Пуск | Программы | Администрирование | Просмотр событий (Start | Programs | Administrative Tools | Event Viewer).

С помощью оснастки Просмотр событий можно просматривать три типа стандартных (основных) журналов:

Журнал приложений (Application jog) — фиксирует события, зарегистрированные приложениями. Например текстовый редактор может зарегистрировать в данном журнале ошибку при открытии файла.
Журнал системы (System log) — записывает события, которые регистрируются системными компонентами Windows 2000. Например, в системный журнал записываются такие события, как сбой в процессе загрузки драйвера или другого системного компонента при запуске системы.
Журнал безопасности (Security log) — содержит записи, связанные с системой безопасности. С помощью этого журнала можно отслеживать изменения в системе безопасности и идентифицировать бреши в защите. В данном журнале можно регистрировать попытки входа в систему. Для просмотра журнала необходимо иметь права администратора. По умолчанию регистрация событий в журнале безопасности отключена.

 

Примечание

Помимо стандартных, на компьютере — в первую очередь на контроллере домена— могут быть и другие журналы, создаваемые различными службами (например, Directory Service, DNS Server, Служба репликации файлов (File Replication Service) и т.д.). Работе с такими журналами ничем не отличается от процедур просмотра стандартных журналов.

 

Примечание

Журнал системы безопасности может просматривать только пользователь с правами системного администратора. По умолчанию регистрация событий в данном журнале отключена. Для запуска регистрации необходимо установить политику аудита

 

13.4b.gif

Изображение: 

10. Типы событий

 

Типы событий

В журналах регистрируются следующие типы событий:

Ошибка (Error) — событие регистрируется в случае возникновения серьезного события (такого как потеря данных или функциональных возможностей). Событие данного типа будет зарегистрировано, если невозможно загрузить какой-либо из сервисов в ходе запуска системы.
Предупреждение (Warning) - событие не является серьезным но может привести к возникновению проблем в будущем. Например, если недостаточно дискового пространства, то будет зарегистрировано предупреждение. QQУведомление (Information) - значимое событие, которое свидетельствует об успешном завершении операции приложением, драйвером или сервисом. Такое событие может, например, зарегистрировать успешно загрузившийся сетевой драйвер.
Аудит успехов (Success Audit) - событие, связанное с безопасностью системы. Примером такого события является .успешная попытка регистрации пользователя в системе.
Аудит отказов (Failure Audit) — событие связано с безопасностью системы. Например, такое событие будет зарегистрировано, если попытка доступа пользователя к сетевому диску закончилась неудачей.

 

11. Параметры событий

 

Параметры событий

Информация о событиях содержит следующие параметры:

Тип (Туре)

Тип события

Дата (Date)

Дата генерации события

Время (Time)

Время регистрации события

Источник (Source)

Источник (имя программы, системного компонента или

компонента приложения), который привел к регистрации события

Категория (Category)

Классификация события по источнику, вызвавшему его появление

Событие (Event ID)

Идентификатор события

Пользователь (User)

Имя учетной записи пользователя, от имени которого производились действия, вызвавшие генерацию события

Компьютер (Computer)

Компьютер, на котором зарегистрировано событие

Рис. 13.5. Дополнительная информация о событии

Для просмотра дополнительной информации о событии выберите в меню Действие (Action) пункт Свойства (Properties) (либо щелкните правой кнопкой мыши на названии события и выберите пункт Свойства в открывшемся контекстном меню). Будет открыто окно, показанное на рис. 13.5. На панели Описание (Description) приведена общая информация о событии; На панели Данные (Data) отображаются двоичные данные, которые могут быть представлены как Байты (Bytes) или как Слова (Words). Эти данные могут быть интерпретированы опытным программистом или техническим специалистом службы поддержки, знакомым с исходным кодом приложения.

 

12. Просмотр журналов

 

Просмотр журналов

 

Сортировка событий

Для определения порядка сортировки событий в журнале щелкните заголовок того столбца, по которому следует отсортировать события. Для отмены установленного порядка сортировки щелкните данный заголовок еще раз.

Порядок сортировки по времени регистрации события можно установить с помощью меню Вид. Возможны два режима сортировки: От старых к новым (Oldest First) или От новых к старым (Newest First — опция по умолчанию).

При архивировании журнала порядок сортировки не сохраняется.

 

13. Обновление журналов

 

Обновление журналов

Выберите в окне оснастки на панели обзора журнал, который требуется обновить. Затем в меню Действие укажите пункт Обновить (Refresh).

Следует учитывать, что команда Обновить недоступна для архивированных журналов, поскольку данные файлы уже не могут быть обновлены.

Примечание

Когда вы открываете журнал, оснастка отображает текущую информацию журнала. Во время просмотра журнала информация не обновляется, если не делать это Принудительно, по команде Обновить. Если журнал не отображается в текущем окне, то информация автоматически, обновляется.

 

14. Поиск событий

 

Поиск событий

Для поиска события в журнале в меню Вид выберите команду Найти (Find). В открывшемся окне можно установить следующие параметры поиска: по типу события (Туре), по источнику события (Source), по категории (Category), коду события (Event ID), пользователю (User), компьютеру (Computer) или описанию (Description). Для начала поиска нажмите кнопку Найти далее (Find Next). Для восстановления критериев поиска по умолчанию нажмите кнопку Восстановить умолчания (Clear).

 

15. Создание нового вида журнала

 

Создание нового вида журнала

Вы можете создать дополнительный вид какого-либо журнала, позволяющий просматривать, скажем, события с определенными параметрами. Для этого:

1. Откройте необходимый журнал и в меню Действие выберите пункт Создать вид журнала (New Log View). l
2. Вызовите для нового журнала контекстное меню и выберите команду Переименовать (Rename).
3. Задайте нужный вид журнала (столбцы, фильтр, способ сортировки).

 

Примечание

Управление и настройка дополнительных журналов, добавленных в дерево консоли, производятся так же, как и журналов по умолчанию.

 

16. Просмотр событий на другом компьютере

 

Просмотр событий на другом компьютере

Для просмотра событий на другом компьютере следует добавить дополнительный экземпляр оснастки Просмотр событий:

1. Запустите консоль ММС.
2. В меню Консоль (Console) выберите пункт Добавить/Удалить оснастку (Add/Remove Snap-in).
3. Перейдите на вкладку Изолированная оснастка (Stand-alone) и нажмите кнопку Добавить (Add).
4. Выберите пункт Просмотр событий (Event Viewer) и нажмите кнопку ОК.
5. Нажмите кнопку другим компьютером (Another computer) и введите имя удаленного компьютера.
6. Нажмите кнопку Готово.

 

Примечание

Если удаленный компьютер подключен по каналу с низкой пропускной способностью, то в меню Действие выберите пункт Свойства и установите флажок Подключение по медленной линии (Low speed connection).

 

17. Фильтрация событий

 

Фильтрация событий

Для фильтрации событий в журнале выберите в меню Вид пункт Фильтр (Filter). На экране откроется окно, показанное на рис. 13.6. Ниже приведено описание опций фильтрации в журнале:

Рис. 13.6. Вкладка Фильтр (Filter) в окне свойств журнала, на которой устанавливаются параметры фильтрации сообщений

 

Уведомления (Information)

Значимые события, которые описывают успешные операции, выполненные сервисами. Например, сообщение об

успешно запущенном сервисе

Предупреждения(Warning)

Событие не мешает работе системы, но может привести к появлению проблем в будущем. Запись такого типа может

быть зарегистрирована в случае недостатка свободного

места на диске

Ошибки (Error)

Регистрация такого события свидетельствует о появлении

серьезных проблем. Например, такое событие может быть зарегистрировано, если не удалось запустить один из сервисов или системных компонентов

Аудит успехов (Success Audit)

События, связанные с безопасностью системы. Запись этого типа указывает на успешную попытку выполнения действий,

связанных с системой безопасности

Аудит отказов (Failure Audit)

События, связанные с безопасностью системы. Указывают на неудачу при выполнении действий, связанных с системой

безопасности

Источник события (Event Source)

Источник, вызвавший появление события. Источником может быть приложение или системный компонент

Категория (Category)

Категория события, которая установлена в источнике события

Код события (Event ID)

Идентификатор события

Пользователь (User)

Имя учетной записи, пользователя, от имени которого проводились действия, вйзвавшие регистрацию события в журнале.

Компьютер (Computer)

Имя компьютера, на котором произошло событие

С (From)

Просмотр событий, которые произошли после указанной

даты и времени. По умолчанию дата и время устанавливаются равными дате и времени регистрации первого события в журнале

По (То)

Просмотр событий, которые произошли до указанной даты

и времени включительно. По умолчанию дата и время устанавливаются равными дате и времени регистрации последнего события

 

Примечание

Для возврата к опциям, установленным по умолчанию, нажмите кнопку Восстановить умолчания (Restore Defaults). Для отмены фильтрации в меню Вид выберите пункт Все записи (All Records).

 

18. Настройка параметров журналов

 

Настройка параметров журналов

 

Установка опций регистрации событий в журнале

Выбор команды Свойства меню Действие позволяет открыть окно свойств журнала (рис. 13.7). В этом окне можно установить параметры регистрации событий.

В поле Выводимое имя (Display name) отображается текущее отображаемое название журнала, которое можно изменить. Поле Имя журнала (Log name) содержит путь к файлу журнала на диске компьютера.

Рис. 13.7. Окно для установки параметров регистрации событий

Переключатель По достижении максимального размера журнала (When maximum log size is reached) служит для настройки способа ведения журнала регистрации событий:

Выберите положение Затирать старые события по необходимости (Overwrite events as needed), если вы не собираетесь архивировать данный журнал.
Если архивирование журнала производится с определенными интервалами, то выберите положение Затирать события старее дней (Overwrite events older than) и укажите длительность интервала (в днях). При этом следует, установить размер журнала (значение счетчика Максимальный размер журнала (Maximum log size)) достаточным для того, чтобы размер журнала в течение указанного периода не превысил установленное значение.
Если вы хотите сохранить в журнале все зарегистрированные события, то выберите положение Не затирать события (очистка журнала вручную) (Do

not overwrite .events (clear log manually)). При этом вам будет необходимо вручную удалять события из журнала Следует иметь в виду, что когда размер журнала достигнет максимального установленного значения, новые события будут отбрасываться.

В случае необходимости восстановления параметров по умолчанию нажмите кнопку Восстановить умолчания (Default). Для удаления событий из журнала нажмите кнопку Очистить журнал (Clear Log).

После установки всех параметров нажмите кнопку ОК.

 

19. Архивирование журналов

 

Архивирование журналов

Для архивирования журнала:

1. На панели структуры выберите журнал, который вы будете архивировать,
2. В меню Действие выберите команду Сохранить файл журнала как (Save Log File As).
3. В открывшемся окне в поле Имя файла (File name) введите имя файла, в котором будет заархивирован журнал.
4. В поле Тип файла (Save as type) выберите формат файла.

 

Примечание

При архивировании журнала целиком сохраняется все его содержание, независимо от опций фильтрации. Журналы, которые сохраняются как файлы с расширением, evt, сохраняют двоичные данные для всех событий. Журналы, которые сохраняются как текстовые файлы с расширениями txt или csv, не содержат двоичных данных.

 

Для того чтобы открыть заархивированный журнал:

1. В меню Действие выберите пункт Открыть файл журнала (Open Log File).
2. В окне обзора перейдите в нужный каталог, выберите Тип файла и Тип журнала.
3. В поле Имя файла можно вручную ввести имя открываемого файла.
4. В поле Выводимое имя введите имя журнала, которое будет отображено в окне консоли.
5. Нажмите кнопку ОК.

В оснастке Просмотр событий можно просматривать архивированный журнал только в том случае, если он сохранен в формате файла журнала EVT.

 

20. Оснастка Производительность (Performance)

 

Оснастка Произв одительность (Performance)

Для запуска оснастки Производительность откройте на панели управления папку Администрирование (Administrative Tools) и выберите значок Системный монитор. Другой способ запуска — с помощью команды Пуск | Программы | Администрирование | Системный монитор.

Оснастка Производительность на самом деле представляет собой два инструмента:

Собственно системный монитор — System Monitor Control, реализованный в виде элемента управления ActiveX (в оснастках все элементы управления подключаются как Элементы ActiveX).
Оповещения и журналы производительности (Performance Logs and Alerts) — автономная оснастка для просмотра файлов журналов производительности.

 

21. System Monitor

 

System Monitor

С помощью System Monitor вы можете измерять производительность вашего компьютера или других компьютеров в сети:

Собирать и просматривать данные текущей производительности системы на локальном компьютере или на нескольких удаленных компьютерах.
Просматривать текущие данные или данные, собранные ранее с помощью оснастки Оповещения и журналы производительности.
Представлять данные в виде графика, гистограммы или отчета, которые можно вывести на печать.
Внедрять возможности System Monitor в Microsoft Word или Другие приложения пакета Microsoft Office с помощью автоматизации OLE
Создавать HTML-страницы для просмотра производительности.
Создавать конфигурации мониторинга, допускающие повторное использование, которые можно инсталлировать на других компьютерах с помощью Microsoft Management Console.

 

22. Объекты и счетчики производительности

 

Объекты и счетчики производительности

Система Windows 2000 получает информацию о производительности от компонентов компьютера. Системные компоненты в ходе своей работы генерируют данные о производительности. Такие компоненты называются объектами производительности.

В операционной системе имеется ряд объектов производительности, обычно соответствующих главным аппаратным компонентам, таким как память, процессоры и т. д. Приложения могут также инсталлировать свои объекты производительности.

Каждый объект производительности предоставляет счетчики, которые собирают данные производительности. Например, счетчик Обмен страниц/сек (Pages/sec) объекта Память (Memory) отслеживает степень кэширования страниц.

Ниже перечислены объекты, которые наиболее часто используются для отслеживания работы системных компонентов:

Кэш (Cache)
Процесс (Process)
Логический диск (Logical Disk)
Процессор (Processor)
Объекты (Objects)
Система (System)
Память (Memory)
Файл подкачки (Paging File)
Поток (Thread)
Физический диск (Physical Disk)

 

Внимание

В Windows 2000 объект Физический диск по умолчанию включен, а объект Логический диск по умолчанию выключен. Чтобы включить счетчики для мониторинга логических дисков или томов нужно в консоли выполнить команду diskperf -yv и перезагрузить систему.

Для просмотра пояснений о том, какие данные предоставляет конкретный счетчик, нажмите кнопку Объяснение (Explain) в диалоговом окне Добавить счетчики (Add Counters) (рис. 13.8).

Некоторые объекты (такие как Память и Сервер) имеют только один экземпляр, хотя другие объекты производительности могут иметь множество экземпляров. Если объект имеет множество экземпляров, то вы можете добавить счетчики для отслеживания статистики по каждому экземпляру или для всех экземпляров одновременно.

Например, если в системе установлены несколько процессоров, то объект Процессор будет иметь множество экземпляров. Более того, если объект поддерживает множество экземпляров, то при объединении экземпляров в группу появятся родительский экземпляр и дочерние экземпляры, которые будут принадлежать данному родительскому экземпляру.

Рис. 13.8. Диалоговое окно, в котором можно выбрать счетчики и вхождения (экземпляры) объектов для мониторинга

 

13.7.gif

Изображение: 

23. Настройка счетчиков

 

Настройка счетчиков

При выборе оснастки System Monitor в панели результатов по умолчанию будет открыто окно для построения графиков. Для добавления счетчиков;

1. В панели результатов щелкните правой кнопкой мыши и выберите в контекстном меню команду Добавить счетчики. Альтернативный вариант — нажать кнопку Добавить (Add) на панели инструментов.
2. В открывшемся окне (рис. 13.8) выберите переключатель Использовать локальные счетчики (Use local computer counters) для мониторинга компьютера, на котором запущена консоль мониторинга. Если вы собираетесь проводить мониторинг определенного компьютера, независимо от того, где запущена консоль мониторинга, выберите переключатель Выбрать счетчики с компьютера (Select counters from computer) и укажите имя компьютера (по умолчанию установлено имя локального компьютера).
3. В списке Объект (Performance object) выберите объект для мониторинга.
4. В списке Выбрать счетчики из списка (Select counters from list) укажите счетчик, который вы собираетесь использовать.
5. Для мониторинга всех выбранных экземпляров выберите переключатель Все вхождения (All instances). Для мониторинга только определенных экземпляров установите переключатель Выбрать вхождения из списка

(Select instances from list) и выберите экземпляры, которые вы собираетесь отслеживать.

6. Нажмите кнопку Добавить (Add) и затем кнопку Закрыть (Close). Можно повторить пункты 3—6 для других объектов.

На рис. 13.9 приведен пример окна оснастки с диаграммами, представляющими изменение значений некоторых выбранных счетчиков.

Примечание

Если у вас нет соответствующих разрешений на мониторинг компьютера, то появится сообщение об ошибке. Счетчик будет указан на гистограмме, но данные не будут выводиться.

В случае отсутствия на экране счетчика, который вы собираетесь отслеживать, возможно, что сервис или элемент, который является объектом счетчика, не инсталлирован или не активизирован на данном компьютере, и вам следует прежде добавить этот сервис.

Рис. 13.9. Окно System Monitor с активизированными счетчиками

Вы можете поместить элемент управления System Monitor в документ Microsoft Word 97. Для этого:

1. Откройте документ Word и установите курсор в место предполагаемого размещения элемента управления.
2. В меню Вид выберите пункт Панели инструментов | Элементы управления

(Toolbars | Control Toolbox).

3. Нажмите кнопку Дополнительные элементы (More Controls) и выберите в списке опцию System Monitor Control.
4. График System Monitor будет вставлен в указанное место в документе. В данный момент элемент находится в режиме конструктора, поэтому вы можете работать с ним в редакторе Visual Basic.
5. Для изменения установок или добавления счетчиков нажмите кнопку Выход из режима конструктора (Exit Design Mode) для выхода из режима конструктора.
6. Для добавления счетчиков на график щелкните на нем правой кнопкой мыши и выберите пункт Добавить счетчики контекстного меню.

 

13.8.gif

Изображение: 

24. Настройка внешнего вида

 

Настройка внешнего вида

В System Monitor доступны три средства просмотра информации производительности: два графических (График (Graph) и Гистограмма (Histogram)) и одно текстовое (Отчет (Report)). Для настройки внешнего вида окна мониторинга щелкните график правой кнопкой мыши и выберите пункт Свойства контекстного меню .

В появляющемся окне (рис. 13.10) для графика и гистограммы можно задать ряд дополнительных параметров отображения:

Рис. 13.10. Окно настройки опций внешнего вида System Monitor
Название графика или гистограммы и осей координат
Диапазон вывода значений
Характеристики кривой на графике или столбцов на гистограмме, такие

как цвет, толщина, стиль и др.

На вкладке Общие (General) можно указать требуемый вид средства мониторинга. По умолчанию выбрана опция График. Можно также отображать данные о производительности в виде гистограммы или отчета.

 

13.9.gif

Изображение: 

25. Работа с System Monitor

 

Работа с System Monitor

Проводя мониторинг системы, помните несколько полезных правил, которые позволят вам наиболее эффективно использовать ресурсы системы:

Определите конфигурацию средств мониторинга. Для отслеживания работы инсталляции Windows 2000 вы можете просматривать данные в виде графика с помощью System Monitor или собирать данные в журналы производительности для просмотра и анализа в других приложениях. Сконфигурируйте оснастку Оповещения и журналы производительности для сбора данных с выбранных счетчиков с определенными интервалами. Полученные журналы данных можно использовать для создания отчетов и анализа общей производительности системы, а также планирования последующей модернизации.
Поддерживайте ресурсы, требуемые для мониторинга на низком уровне. Инструменты мониторинга сконфигурированы для потребления минимального количества ресурсов. Однако в ряде случаев требуется предпринять дополнительные меры для его снижения. Представление данных производительности в окне System Monitor в виде графика, частая выборка данных, большое количество отслеживаемых объектов и счетчиков — все это увеличивает количество ресурсов, расходуемых на мониторинг производительности.
Анализ данных производительности и определение базового уровня производительности. Как правило, полезно определить базовый уровень производительности для типичной нагрузки. Это можно сделать путем вывода данных в графическом виде в окне System Monitor.
Установка оповещений. Установите генерацию оповещений, когда значения счетчиков будут превосходить приемлемые значения.
Настройка производительности. Используя данные по производительности, проводите настройку системных установок для оптимальной обработки нагрузки системы.
Планирование. Проводите мониторинг тенденций изменения нагрузки сервера и необходимости проведения модернизации аппаратной части системы.

 

26. Выбор метода мониторинга

 

Выбор метода мониторинга

Для текущего мониторинга работы системы в режиме реального времени локального или удаленного компьютера удобно использовать графики. Журналы оснастки Оповещения и журналы производительности полезны для регистрации записей. Зарегистрированные данные могут быть использованы потом для создания отчетов и представлены в виде графиков или гистограмм с помощью System Monitor.

 

27. Выбор частоты регистрации

 

Выбор частоты регистрации

При выборе частоты и длительности регистрации данных следует соблюдать осторожность, поскольку частое обновление данных приводит к генерации очень большого объема данных, с которыми будет затруднительно работать. Это также может привести к увеличению издержек производительности на работу оснастки Оповещения и журналы производительности.

В общем случае частота обновления данных зависит от длительности интервала регистрации. Если интервал регистрации составляет 4 часа, то обновление рекомендуется установить каждые 15, секунд. Для 8-часоврго интервала регистрации выберите период обновления не меньше 300 секунд (5 минут). В общем случае для постоянного мониторинга интервал устанавливается равным 15 минутам.

 

28. Выбор счетчиков

 

Выбор счетчиков

Мониторинг надо начинать с отслеживания следующих четырех компонентов в указанном порядке:

1. Память.
2. Процессоры.
3. Диски.
4. Сеть.

В табл. 13.2 указан минимальный набор счетчиков, которые следует использовать для мониторинга сервера. В процессе работы вы сможете добавить дополнительные счетчики для интересующих вас объектов производительности.

Таблица 13.2. Минимальный набор счетчиков, необходимых для мониторинга сервера

Компонент

Исследуемый параметр

Счетчики

Память

 

Степень использования

Memory\Available Bytes (Доступно байт)

Memory\Cache Bytes (Байт кэш-памяти)

Узкие места

Memory\Pages/sec (Обмен страниц/сек)

Memory\Page Reads/sec (Чтение страниц/сек)

Memory\Transttion Faults/sec (Ошибок транзита/сек)

Memory\Pool Paged Bytes (Байт в выгружаемом страничном пуле)

Memory\Pool Nonpaged Bytes (Байт в невыгружаемом страничном пуле)

Также полезны счетчики:

Paging File\% Usage (все вхождения) (Файл под-качки\% использования)

Процессор

 

Степень использования

Processor\% Processor Time (все вхождения) (Загруженность процессора)

 

Узкие места

Processor\lnterrupts/sec (Прерываний/сек)

System\Processor Queue Length (все вхождения) (СистемаЩлина очереди процессора)

System\Context switches/sec (Система\Контекстных переключений/сек)

Диск

 

Степень использования

Physical Disk\Disk Reads/sec (Обращений чтения с диска/сек)

Physical Disk\Disk Writes/sec (Обращений записи на диск/сек)

Узкие места

Physical Disk\Avg. Disk Queue Length (все вхождения) (Средняя длина очереди диска)

Сетевой интерфейс

 

Степень использования

Network Segment\%Net Utilisation (% использования сети)

 

Производительность

Счетчики передачи по протоколам Network lnterface\Bytes total/sec (Всего байт/сек)

Network lnterface\Packets/sec (Пакетов/сек)

ServertBytes Total/sec или ServertBytes Sent/sec и ServeABytes Received/sec (Послано байт/сек и Получено байт/сек)

 

29. Выбор компьютера, который будет использован для мониторинга

 

Выбор компьютера, который будет использован для мониторинга

При проведении мониторинга удаленных компьютеров возможны несколько вариантов сбора данных. Например, можно запустить Оповещения и журналы производительности на административном компьютере и отображать данные со всех удаленных компьютеров. Либо можно запустить сервис сбора данных на каждом компьютере и с регулярными интервалами запускать пакетную программу для передачи данных на компьютер администратора с целью последующего анализа и архивирования.

Централизованный сбор данных (сбор данных со всех удаленных компьютеров на локальном компьютере) легче всего реализуется. Сбор данных со всего множества систем можно вести в один файл журнала, однако при этом увеличивается сетевой трафик и требуется больший объем памяти на компьютере администратора.

Распределенный сбор данных (т. е. сбор данных, проводимый на каждом отслеживаемом компьютере) не приводит к увеличению трафика и не требует дополнительной памяти на компьютере администратора. Однако при этом передача данных на компьютер администратора будет производиться с определенной задержкой.

 

30. Анализ данных производительности

 

Анализ данных производительности

Анализ результатов мониторинга включает в себя проверку показаний счетчиков, фиксируемых во время выполнения системой различных операций. В ходе этого процесса вам следует определить наиболее активные процессы, а также выявить программы или потоки, которые монопольно используют какие-либо ресурсы. В результате вы должны выяснить, как ваша система справляется с рабочей нагрузкой.

В ходе такого анализа вы должны определить уровень производительности системы, когда обрабатывается типичная нагрузка и запущены все необходимые сервисы, который называется базовым уровнем (baseline). Базовый стандарт определяется администратором, исходя из рабочей нагрузки. Этот уровень определяется на основе показаний ряда счетчиков производительности и соответствует состоянию системы, когда она удовлетворительно обрабатывает все запросы пользователей.

 

31. Определение приемлемых показаний счетчиков

 

Определение приемлемых показаний счетчиков

В целом определение приемлемого уровня производительности представляет собой довольно субъективное решение. Однако в приведенной ниже табл. 13.3 указаны предельные значения для ряда счетчиков, которые помогут вам определить, свидетельствуют ли показания счетчиков о появлении проблемы. Если показания счетчиков устойчиво сохраняются на предельном уровне, то есть все основания говорить о наличии в системе узкого места, и следует предпринять меры для настройки или модернизации загруженного ресурса.

Таблица 13.3. Предельные показания счетчиков

Объект\счетчик

Предельный уровень

Комментарий

Диск

Physical Disk\% Disk Time (% активности диска)

90

Проверьте значение счетчика Physical DiskNCurrent Disk Queue Length (Текущая длина очереди диска)

Physicaf Disk \Disk Reads/sec, Physical Disk\Disk Writes/sec

Зависит от спецификаций производителя

Проверьте указанную скорость передачи для ваших дисков, чтобы определить, не превышают ли показания счетчика указанное производителем значение. В общем случае диски Ultra Wide SCSI могут обрабатывать до 50 операций I/O в секунду

Physical Disk\Current Disk Queue Length

Число шпинделей, образующих физический диск (это значение превышает единицу для RAID-массивов) плюс 2

Данный счетчик является мгновенным. Проверку показаний счетчика следует проводить в течение нескольких интервалов времени. Для получения среднего значения используйте показания счетчика Physical Disk\Avg. Disk Queue Length

Память

Memory \Availabte Bytes

Memory\Pages/sec

Менее 4 Мбайт 20

Проверяйте степень использования памяти. При необходимости увеличьте объем памяти

Проверяйте активность кэширования

Сеть

Network Segment \% Net Utilization

Зависит от типа сети

Предельный уровень определяется на основе типа сети. Для сетей Ethernet рекомендованным значением является уровень в 30%

Файл подкачки

Paging File \% Usage

99

Сравните показания этого счетчика в сочетании с показаниями счетчиков Available Bytes и Pages/sec для оценки активности кэширования на вашем компьютере

Процессор

Processor \% Processor Time

85

Определите процесс, который использует большую часть процессорного времени. В случае необходимости установите дополнительный процессор или модернизируйте имеющийся

Processor Mnterrupts/sec

Зависит от процессора

Серьезное увеличение показаний данного счетчика без соответствующего увеличения системной активности указывает на аппаратную проблему

Сервер

Server \Bytes Total/sec

 

 

Если сумма показаний всех значений счетчиков Bytes Total/sec для всех серверов приблизительно равна максимальной пропускной способности вашей сети, то вам, возможно, необходимо сегментировать сеть

Server\Work Item Shortages (Нехваток рабочих элементов)

3

Если показания счетчика достигают предельного значения, то попробуйте настроить значения InitWorkltems или MaxWorkltems в реестре (HKEY_LOCAL_MACHJNE\SYSTEM \Cu rrentControlSet\Services \LanmanServer)

Server\Pool Paged Peak (Выгружаемый пул (пик))

Объем физической памяти (ОЗУ)

Данное значение является индикатором максимального размера файла подкачки и объема физической памяти

Server Work Queues \Queue Length (Рабочие очереди серее ра\Длина очереди)

4

Если показания счетчика достигают максимального значения, то возможно превращение процессора в узкое место. Данный счетчик является мгновенным, его показания следует отслеживать в течение нескольких интервалов времени

Многопроцессорные системы

SystemVProcessor Queue Length (Длина очереди процессора)

2

Данный счетчик является мгновенным, его показания следует отслеживать в течение нескольких интервалов времени

 

32. Оснастка Оповещения и журналы производительности (Performance Logs and Alerts)

 

Оснастка Оповещения и журналы про изводительности (Performance Logs and Alerts)

С помощью оснастки Оповещения и журналы производительности можно собирать данные о производительности с локальных или удаленных компьютеров. Собранные данные просматриваются в графическом виде или экспортируются в электронные таблицы или базы данных для последующего анализа и создания отчетов. Эта оснастка обеспечивает существенно большие возможности по сбору данных, чем утилита Performance Monitor в системе Windows NT 4.0; эти возможности перечислены ниже:

  • Оснастка Оповещения и журналы производительности собирает информацию в формате где данные разделены запятыми или символами табуляций для облегчения последующего экспорта в программы электронных таблиц. Также предоставляется возможность регистрации в формате двоичного файла журнала для непрерывной регистрации с перезаписью или регистрации экземпляров, таких как потоки или процессы, которые могут быть запущены после начала сбора данных.
Данные, собранные при помощи оснастки Оповещения и журналы производительности, можно просматривать как в процессе их сбора, так и после его окончания.
Поскольку регистрация запущена как сервис, сбор данных происходит независимо от наличия зарегистрированных пользователей на компьютере.
Конфигурирование непрерывной регистрации протекает более гибко: пользователи могут определять время запуска и окончания регистрации, имена файлов, размеры файлов и другие параметры для автоматической регистрации в журналах.
Можно устанавливать генерацию оповещений для счетчиков. В этом случае при превышений счетчиком (или снижении ниже) заданного значения может быть отправлено сообщение, запущена программа или открыт журнал данных.
Из одного окна консоли можно управлять многочисленными сеансами регистрации.
Определять установки для автоматической регистрации, например, автоматическое переименование файла и установка параметров для остановки или запуска журнала на основании прошедшего времени или размера журнала.

 

33. Использование оснастки

 

Использование оснастки

 

Оповещения и журналы производительности

Оснастка Оповещения и журналы производительности содержит три элемента:

Журналы счетчиков (Counter Logs). Журналы счетчиков получают данные от выбранных счетчиков по истечении определенного интервала.
Журналы трассировки (Trace Logs). Системный или другой поставщик данных в журналах трассировки (trace logs) фиксирует результаты выполнения определенных операций, таких как операции ввода/вывода, или возникновение ошибки диска. При возникновении данного события Поставщик отправляет данные сервису Оповещения и журналы производительности. В отличие от журналов счетчиков, журналы трассировки находятся в ожидании определенных событий. Для интерпретации содержимого журнала трассировки необходимо использовать анализатор.
Оповещения (Alerts). В этом узле можно установить оповещения для выбранных счетчиков. При превышении (или снижении ниже) заданного значения выбранными счетчиками оснастка посредством сервиса Messenger оповещает пользователя.

Прод емонстрируем способы применения оснастки Оповещения и журналы производительности на примерах.

Журналы счетчиков. Сначала создадим новый журнал счетчиков:

1. Откройте оснастку Производительность и дважды щелкните на узле Оповещения и журналы производительности.
2. Выберите узел Журналы счетчиков, щелкните правой кнопкой мыши в панели результатов и в контекстном меню выберите пункт Новые параметры журнала (New Log Settings).
3. В открывшемся окне введите произвольное имя журнала в поле Имя (Name) и нажмите кнопку ОК.
4. На вкладке Общие нажмите кнопку Добавить.
5. Выберите счетчики, показания которых будут фиксироваться в новом журнале, и укажите необходимые вхождения. Нажимайте кнопку Добавить после выбора каждого счетчика.
6. После добавления всех требуемых счетчиков нажмите кнопку Закрыть.
7. На вкладке Файлы журналов (Log Files) (рис. 13.11) можно указать комментарий для журнала (поле Комментарий (Comment)), тип журнала (текстовый или двоичный файл — Тип журнала (Log file type)).

Возможны следующие варианты:

  • Текстовый файл (Text File) — CSV. Текстовый формат журнала, в котором данные сохраняются с использованием запятой в качестве разделителя.
  • Текстовый файл (Text File) — TSV. Текстовый формат журнала, в качестве разделителя используется символ табуляции.
  • Двоичный файл (Binary file). Двоичный последовательный формат журнала с расширением big. Данный формат следует использовать, если

    нужно зафиксировать данные, которые поступают по частям, если регистрация данных останавливается и возобновляется после запуска журнала. В текстовых журналах невозможно сохранить экземпляры, которые не сохраняются постоянно в ходе работы журнала.

  • Двоичный циклический файл (Binary Circular File). Двоичный формат журнала, в котором регистрация данных происходит с перезаписью.

Примечание

Экспортированные данные из текстовых файлов журналов могут быть использованы в различных приложениях, например, в электронных таблицах или базах данных.

 

Рис. 13.11. Окно установки параметров нового журнала счетчиков

 

8. Можно также изменить местоположение (папку) для файлов журнала (Размещение (Location)) и Имя файла (File name).
9. С помощью переключателя Размер файла журнала (Log file size) можно ограничить размер журнала (положение Не более (Limit of)) или установить неограниченный размер журнала (положение Максимально возможный (Maximum limit)). В последнем случае размер журнала будет ограничиваться только свободным пространством на диске. После установки всех необходимых значений нажмите кнопку Применить (Apply).
10. Если указанная вами папка не существует, то будет выведено диалоговое окно с предложением о ее создании. Нажмите кнопку ОК.
11. Установить расписание запуска и остановки регистрации данных в журнале можно на вкладке Расписание (Schedule): группы параметров Запуск журнала (Start log) и Остановка журнала (Stop log).
12. На вкладке Расписание можно также установить действия, которые произойдут после закрытия файла журнала. При автоматической остановке журнала можно установить флажок Начать новый файл журнала (Start a new log file). Для запуска команды после закрытия журнала установите флажок Выполнить команду (Run this command) и в поле введите путь к исполняемому файлу.
13. После установки расписания запуска нажмите кнопку ОК.

Журналы трассировки. Для создания журнала трассировки, аналогично описанному выше:

1.

Раскройте узел Оповещения и журналы производительности и выберите узел Журналы трассировки.

2.

Щелкните в панели результатов правой кнопкой мыши и выберите команду Новые параметры журнала.

3.

В появившемся окне введите имя журнала и нажмите кнопку ОК.

4.

По умолчанию файл журнала создается в папке PerfLogs в корневом каталоге и к имени журнала присоединяется серийный номер.

5.

На вкладке Общие указываются путь и имя созданного журнала (Текущий файл журнала (Current log file name)).

6.

На этой вкладке вы можете выбрать События, протоколируемые системным поставщиком (Events logged by system provider) или указать другого поставщика (поле Несистемные поставщики (Nonsystem providers)). Кнопка Состояние поставщиков (Provider Status-) открывает список инсталлированных поставщиков и их состояний (активное/неактивное). Опция Несистемные поставщики выбрана по умолчанию для минимизации издержек на трассировку.

7.

Если вы выбрали системного поставщика (События, протоколируемые системным поставщиком) для мониторинга активности процессов, потоков и т. п., будет использоваться поставщик-трассировщик ядра Windows (Windows2000 Kernel Trace Provider).

8.

В поле Несистемные поставщики вы можете выбрать или удалить других поставщиков (кнопки Добавить и Удалить), например, если имеются поставщики от сторонних производителей.

9.

На вкладке Файлы журналов можно выбрать один из следующих типов журнала:
  • Файл циклической трассировки (Circular Trace File) — журнал с перезаписью событий (расширение etl).
  • Файл последовательной трассировки (Sequential Trace File) — последовательный журнал (расширение etl). Данные будут записываться в журнал, пока он не достигнет размера, выбранного пользователем (Не более), Затем журнал закроется и будет создан новый журнал.

10.

Для указания размербв буферов журнала трассировки откройте вкладку Дополнительно (Advanced).

11.

В поле Размер буфера (Buffer size) укажите размер буфера журнала трассировки в килобайтах.

12.

В полях Количество буферов (Минимум и Максимум) (Number of buffers) следует указать минимальное и максимальное число буферов, в которых будут храниться данные трассировки.

13.

По умолчанию данные передаются в журнал, когда буферы трассировки заполнены. Если данные трассировки следует записывать в журнал чаще, установите флажок Перемещать данные из буферов в журнал не реже, чем каждые (Transfer data from buffers to log file every) и задайте время в секундах.

Оповещения. Для создания оповещений:

1. Дважды щелкните на узле Оповещения и журналы производительности и выберите узел Оповещения.
2. Щелкните правой кнопкой мыши в панели результатов и выберите команду Новые параметры оповещений.
3. В открывшемся окне введите имя оповещения и нажмите кнопку ОК.
4. На вкладке Общие можно задать комментарий для оповещения. Для того чтобы выбрать счетчики, нажмите кнопку Добавить. Выбранные счетчики будут перечислены в поле Счетчики (Counters).
5. В поле Оповещать, когда значение (Trigger alert when the value is) можно выбрать предельные значения для указанных счетчиков. Частота регистрации (выборки значений) определяется в поле Снимать показания каждые (Sample data every) (в секундах, минутах и т. д.).
6. На вкладке Действие (Action) можно выбрать действие, которое будет происходить при запуске оповещения: Сделать запись в журнале событий приложений (Log an entry ill the event log), Послать сетевое сообщение (Send a network message to), Запустить журнал производительности (Start performance data log), Запустить программу (Run this program). После установки необходимых параметров нажмите кнопку ОК.
7. Параметры запуска сервиса оповещений можно установить на вкладке Расписание (группы параметров Запуск наблюдения {Start scan) и Остановка наблюдения (Stop scan)).

Примечание

Состояние журнала можно определить по цвету его значка: красный — регистрация (или сканирование) остановлена; зеленый — регистрация запущена.

 

13.10.gif

Изображение: 

Глава 14. Работа с системным реестром

Глава 14. Работа с системным реестром

1. Обзорная информация по реестру Windows NT/2000

 

Глава 14

Работа с системным реестром

Реестр операционной системы Windows 2000 представляет собой централизованную базу данных параметров настройки системы и работающих в ней приложений. В этом смысле реестр аналогичен разнообразным INI-файлам, а также файлам AUTOEXEC.BAT и CONFIG.SYS, которые использовались ранее. Реестр содержит информацию обо всех аппаратных средствах, программном обеспечении, операционной системе и сетевых параметрах компьютера. Эта сложная иерархическая база данных принимает участие во всех аспектах работы Windows 2000. Хорошее понимание принципов работы реестра, выполняемых им задач, а также умение манипулировать реестром необходимо всем: системным и сетевым администраторам, специалистам из групп технической поддержки, а также опытным пользователям из числа программистов. Кроме того, для системных администраторов особенно важны вопросы администрирования и защиты реестра, а также его резервного копирования и восстановления.

В данной главе будут рассмотрены следующие темы:

Обзорная информация по реестру Windows 2000
Краткий обзор иерархической структуры реестра
Администрирование реестра и средства его редактирования
Резервное копирование и восстановление реестра

 

Обзорная информация по реестру Windows NT/2000

Как было показано в главе 2, реестр становится необходимым уже на начальных этапах загрузки Windows NT/2000. Проблемы при загрузке могут быть вызваны, в том числе, и повреждением реестра. Например, многие пользователи Windows NT/2000 могли испытать шок, получив в процессе загрузки сообщение следующего вида:

Windows 2000 Could not start because the following file is missing or corrupt:

\WINNT\SYSTEM32\CONFIG\SYSTEM

You can attempt to repair this file by Starting Windows NT Setup using the original Setup floppy disk or CD-ROM. Select 'r' at the first screen to repair.

Появление такого сообщения свидетельствует об отсутствии или повреждении важной части реестра Windows NT/2000 — файла куста (hive) разделов реестра SYSTEM (речь о принципах хранения реестра пойдет далее в этой главе). Приведенный пример убедительно демонстрирует, что единственная ошибка в системном реестре может не только повлиять на всю конфигурацию, но и сделать невозможным запуск операционной системы. Помимо этого, добиться корректной работы некоторых приложений можно также лишь через редактирование реестра. Таким образом, важность навыка редактирования реестра нельзя недооценивать.

 

2. Назначение реестра

 

Назначение реестра

Реестр пришел на смену конфигурационным файлам (INI-файлам) и призван был снять неудобства и ограничения, связанные с их использованием. В виде, более или менее напоминающем его нынешнюю структуру, реестр появился в Windows NT 3.5 (тогда он имел 4 корневых раздела: HKEY_ LOCAL_MACHINE, HKEY_CURRENT_USER, HKEY_CLASSES_ROOT и HKEY_USERS). Новый компонент операционной системы был предназначен для того, чтобы заменить собой многочисленные инициализационные и установочные файлы, разбросанные по" различным каталогам на жестком диске и сетевом сервере. Эти файлы требовались для обеспечения корректной работы операционной системы, приложений и аппаратных устройств, но управление ими было задачей сложной, трудоемкой и неудобной. Реестр как централизованная база данных представляет собой источник конфигурационной информации, где все параметры сведены воедино, что обеспечивает возможность эффективного управления средой Windows NT/2000. Перечисление компонентов системы Windows NT/2000, использующих реестр, и краткое описание их взаимодействия с этой базой данных приведено ниже:

Программы установки (Setup). Каждый раз при запуске программы установки Windows 2000 или других установочных программ (для аппаратных и программных средств) программа. Setup добавляет в реестр новые конфигурационные данные. Начиная свою работу, все грамотно разработанные программы установки считывают информацию реестра, чтобы определить, присутствуют ли в системе компоненты, обязательные для

успешного завершения установки. Наконец, централизованный реестр позволяет приложениям совместно использовать конфигурационную информацию и предоставляет им больше возможностей взаимодействия между собой. Чтобы приложение могло получить статус "Designed for Windows 2000", оно должно активно и правильно использовать реестр, а также содержать утилиту, позволяющую корректно выполнить удаление этого приложения (uninstall utility), не удаляя компонентов, которые могут использоваться другими программами (.DLL, .OCX, и т. д.). Эта утилита использует информацию, хранящуюся в реестре.

Распознаватель (Recognizer). Каждый раз при запуске компьютера под управлением Windows NT/2000 распознаватель аппаратных средств (Hardware Recognizer) помещает в реестр список обнаруженных им устройств. На компьютерах с процессорами Intel распознавание аппаратных средств осуществляется программой Ntdetect.com и ядром Windows NT/2000 (Ntoskrnl.exe).
Ядро Windows NT/2000 (Windows NT/2000 Kernel). При старте системы ядро Windows NT/2000 извлекает из реестра сведения о загружаемых драйверах устройств и порядке их загрузки. Кроме того, программа Ntoskrnl.exe передает в реестр информацию о себе (примером такой информации может служить, например, номер версии).
Драйверы устройств. Драйверы устройств обмениваются с реестром параметрами загрузки и конфигурационными данными. Эти данные аналогичны строкам device=, которые можно найти в файле Config.sys для запуска компьютера под управлением MS-DOS. Драйвер устройства должен сообщить об используемых им системных ресурсах, включая аппаратные прерывания и каналы DMA, чтобы система могла включить эти данные в реестр. Приложения и драйверы устройств могут считывать эту информацию реестра, предоставляя пользователям интеллектуальные программы инсталляции и конфигурирования.
Административные средства Windows 2000. Административные средства Windows 2000, в том числе утилиты панели управления и оснастки, собранные в группу Администрирование (Administrative Tools), представляют собой наиболее удобные и безопасные средства модификации реестра. Редакторы реестра, рассмотрению которых посвящен отдельный раздел данной главы, также полезны для его просмотра и, время от времени, для внесения изменений в конфигурацию системы.
Пользовательские профили (user profiles). Windows NT/2000 обеспечивает возможность создания множества пользовательских профилей. Вся информация, относящаяся к конкретному пользовательскому имени и ассоциированным с ним правам, хранится в реестре. Более подробная информация о пользовательских профилях будет приведена далее в этой главе, здесь же отметим, что пользовательский, профиль определяет индивидуальные параметры настройки дисплея, параметры сетевых соединений, принтеры и многое другое. Пользовательские профили бывают следующих типов: локальные (local user profile), создаваемые автоматически при первой регистрации пользователя на локальном компьютере, перемещаемые (roaming user profile), создаваемые администратором и хранящиеся на сервере, и обязательные (mandatory user profile)'— перемещаемые профили, обязательные для применения. Информация о пользовательских профилях также хранится в реестре.
Аппаратные профили (hardware profiles). Реестр, в отличие от INI-файлов, позволяет хранить множественные аппаратные конфигурации. Так, например, можно создать профили для док-станций (что актуально для пользователей портативных компьютеров), а также профили для съемных устройств. Аппаратный профиль представляет собой набор инструкций, с помощью которого можно указать операционной системе, драйверы каких устройств должны загружаться при запуске компьютера. В процессе установки Windows 2000 создается стандартный аппаратный профиль, который содержит информацию обо всех аппаратных средствах, обнаруженных на компьютере на момент инсталляции.

 

3. Структура реестра

 

Структура реестра

Реестр Windows 2000 состоит из пяти так называемых корневых разделов (root keys):

HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_ MACHINE, HKEY_USERS и HKEY_CURRENT_CONFIG.

Каждый раздел может содержать элементы данных, которые называются параметрами (value entries), а также вложенные разделы (subkeys). Для понимания этой концепции можно провести аналогию с файловой системой. Разделы в структуре реестра аналогичны каталогам, а значимые элементы — файлам. Рис. 14.1 иллюстрирует иерархическую структуру реестра Windows 2000. Все имена корневых разделов начинаются со строки HKEY_, что указывает разработчикам программного обеспечения на то, что это — дескриптор, который может использоваться программой. Дескриптор (handle) — это значение, используемое для уникального описания ресурса, к которому программа может получить доступ. Описания корневых разделов реестра Windows NT/2000 приведены в табл. 1.4.1.

Таблица 14.1. Корневые разделы реестра

Имя корневого раздела

Описание

HKEY_LOCAL_MACHINE

Содержит глобальную информацию о компьютерной системе, включая такие данные об аппаратных средствах и операционной системе, в том числе: тип шины, системная память, драйверы устройств и управляющие данные, используемые при запуске системы. Информация, содержащаяся в этом разделе, действует применительно ко веем пользователям, регистрирующимся в системе Windows NT/2000. На верхнем уровне иерархии реестра для этого раздела имеются три псевдонима: HKEY CLASSES ROOT, HKEY CURRENT CONFIG и HKEY_DYN_DATA

 

HKEY_CLASSES_ROOT

Содержит ассоциации между приложениями и типами файлов (по расширениям имени файла). Кроме того, этот раздел содержит информацию OLE (Object Linking and Embedding), ассоциированную с объектами COM, а также данные по ассоциациям файлов и классов (эквивалент реестра ранних версий. Windows, служивших настройкой над MS-DOS). Параметры этого раздела совпадают с параметрами, расположенными в разделе HKEY_LOCAL_MACHINE\Software\Classes. Подробную информацию о разделе HKEY_CLASSES_ ROOT можно найти в руководстве OLE Programmer's Reference, входящем в состав продукта Windows NT 4.0 Software Development Kit (SDK)

HKEY_CURRENT_CONFIG

Содержит конфигурационные данные для текущего аппаратного профиля. Аппаратные профили представляют собой наборы изменений, внесенных в стандартную конфигурацию сервисов и устройств, установленную данными разделов Software и System корневого раздела HKEY_LOCAL_MACHINE. В разделе HKEY_CURRENT_ CONFIG отражаются только изменения. Кроме того, параметры этого раздела появляются также в разделе HKEY_LOCAL_MACHINE\System \CurentControlSet\HardwareProfites\CuiTent

HKEY_CURRENT_USER

Содержит, профиль пользователя, на данный момент . зарегистрировавшегося в системе, включая переменные окружения, настройку рабочего стола, параметры настройки сети, принтеров и приложений. Этот раздел представляет собой ссылку на раздел HKEY USERS\username, где username — имя пользователя, зарегистрировавшегося в системе на текущий момент

HKEY_USERS

Содержит все активно загруженные пользовательские профили, включая HKEY_CURRENT_USER, а также профиль по умолчанию. Пользователи, получающие удаленный доступ к серверу, не имеют профилей, содержащихся в этом разделе; их профили загружаются в реестры на их собственных компьютерах. Windows NT/2000 требует наличия учетных записей для каждого пользователя, регистрирующегося в системе. Раздел HKEY_USERS содержит вложенный раздел \Default, а также другие разделы, определяемые идентификатором безопасности (Security ID) каждого пользователя

 

 

Рис. 14.1. Реестр имеет иерархическую структуру, и его разделы могут содержать вложенные разделы и параметры

Данные реестра хранятся в виде параметров, расположенных в разделах реестра. Каждый параметр характеризуется именем, типом данных и собственно значением. Три части параметра реестра всегда располагаются в следующем порядке:

В табл. 14.2 перечислены, типы данных, определенные и используемые в системе.

Таблица 14.2. Типы данных для параметров реестра

Тип данных

Описание

REG_BINARY

Двоичные данные. Большинство аппаратных компонентов используют информацию, которая хранится в виде двоичных данных. Редакторы реестра отображают эту информацию в шестнадцатеричном формате

REG_DWORD

Данные представлены в виде значения, длина которого составляет 4 байта. Этот тип данных используют многие параметры драйверов устройств и сервисов. Редакторы реестра могут отображать эти данные в двоичном, шестнадцатеричном и десятичном формате

REG_EXPAND_SZ

Расширяемая строка данных. Эта строка представляет собой текст, содержащий переменную, которая может быть заменена при вызове со стороны приложения

REG_MULTI_SZ

Многострочное поле. Значения, которые фактически представляют собой списки текстовых строк в формате, удобном для восприятия человеком, обычно имеют этот тип данных. Строки разделены символом NULL

REG.SZ

Текстовая строка в формате, удобном для восприятия человеком. Значениям, представляющим собой описания компонентов, обычно присваивается именно этот тип данных

 

1.gif

Изображение: 

4. Хранение данных реестра

 

Хранение данных реестра

В Windows NT/2000 элементы реестра хранятся в виде атомарной структуры. Реестр подразделяется на составные части, которые разработчики этой операционной системы назвали кустами, или ульями (hives) по аналогии с ячеистой структурой пчелиного улья. Куст представляет собой дискретную совокупность разделов, вложенных разделов и параметров, берущую начало в вершине иерархии реестра. Отличие кустов от других групп разделов состоит в том, что они являются постоянными компонентами реестра. Кусты не создаются динамически при загрузке операционной системы и не удаляются при ее остановке. Таким образом, раздел HKEY_LOCAL_MACHINE \Hardware, который строится динамически распознавателем аппаратных средств при запуске Windows NT/2000, кустом не является. Данные кустов реестра хранятся в файлах, находящихся в каталогах %SystemRoot%\System32\Conue и %SystemRoot%\Proules\\Jsername (Windows NT 4.0) и %SystemRoot%\System32\Cohue и %SystemDrive%\Documents and Settings\Username (Windows 2000).

Каждый куст реестра Windows NT/2000 ассоциирован с набором стандартных файлов), В табл. 14.3 перечислены стандартные кусты реестра Windows NT/2000 и поддерживающие их файлы.

Таблица 14.3. Стандартные файлы, обеспечивающие поддержку кустов реестра Windows NT

Ветвь реестра

Имена файлов

HKEY_LOCAL_MACHINE\SAM

Sam, Sam. log, Sam.sav

HKEY_LOCAL_MACHINE\Security

Security, Security.log, Security.sav

HKEY_LOCAL_MACHINE\Software

Software, Software.log, Software.sav

HKEY_LOCAL_MACHINE\System

System, System. alt, System.log, System. sav

HKEY_CURRENT_CONFIG

System, System.alt, System.log, System. sav

HKEY_USERS\.DEFAULT

Default, Default.log, Default.sav

(Файлы, не ассоциированные, с разделами)

Userdiff, Userdiff.bg

HKEY_CURRENT_USER

Ntuser.dat, Ntuser.dat.log

Все файлы кустов реестра, за исключением HKEY_CURRENT_USER, находятся в подкаталоге %SystemRoot%\System32\Conug.

Поддержку куста HKEY_CURRENT_USER выполняют файлы Ntuser.dat и Ntuser.dat.log. В файлах Ntuser.dat хранятся пользовательские профили; файл Ntuser.dat.log отслеживает изменения, которые вносились в файл Ntuser.dat. В Windows NT 4.0 эти файлы располагаются во всех подкаталогах каталога %SystemRoot%\Profiles (за исключением подкаталога \All Users). В Windows 2000 эти файлы располагаются в каталогах % SystemDrive %\Documents and\Settings \%Usemame%.

Файлы Ntuser и Userdiff были впервые введены в Windows NT 4.0:

файл Ntuser.dat, в котором хранится пользовательский профиль, заменил собой файлы usemamexxx и adminxxx из предыдущих версий Windows NT;
файл Ntuser.dat из каталога %SystemRoot%\Proules\Defa.u\t\Jser заменил собой файл Userdef из предыдущих версий Windows NT. Этот профиль используется для построения куста HKEY_CURRENT_USER, когда новый пользователь впервые регистрируется в системе;
файлы Userdiff, которые находятся только в каталоге %SystemRoot% \System32\Config, не ассоциируются ни с одним кустом. Они служат для обновления существующих профилей пользователей, использовавшихся в предыдущих версиях Windows NT, таким образом, чтобы эти профили могли применяться в Windows NT 4.6 и последующих версиях (Windows 2000).

С кустами ассоциируются файлы четырех типов. Все эти типы файлов (с соответствующими расширениями имен файлов) перечислены в табл. 14.4.

Таблица 14.4. Типы файлов, ассоциированных с кустами реестра Windows NT 4.0/Windows 2000

Тип файла

Описание

Без расширения имени файла

Содержит копию куста

alt

Содержит резервную копию жизненно важного куста HKEY_LOCAL_MACHINE\System. Только раздел System имеет соответствующий файл с расширением alt

log

Содержит журнал транзакций, в котором регистрируются все изменения, внесенные в разделы и значимые элементы куста

sav

Содержит копии файлов куста в том виде, который они имели на момент завершения текстовой фазы процесса установки. Файлы с расширением sav имеются для разделов Software, System, SAM, Security и Default.

Windows NT/2000 выполняет резервное копирование содержимого кустов в процессе инсталляции. Процедура инсталляции состоит из двух стадий: стадии текстового режима и стадии графического режима. Когда установка в текстовом режиме завершается, выполняется копирование кустов в файлы с расширением sav. Это делается для того, чтобы защитить кусты от ошибок, которые могут произойти в случае сбоя на графической стадии установки. Если процедура установки даст сбой на графической стадии, то после перезагрузки компьютера будет производиться повтор только графической стадии установки. Sav-файлы используются для перестройки кустов реестра

 

5. Ограничение по размеру реестра

 

Ограничение по размеру реестра

В Windows NT 4.0/Windows 2000 существует возможность установить ограничение на размер, до которого может разрастаться реестр. Чтобы установить ограничение на размер реестра Windows 2000, проделайте следующее:

1. Вызовите утилиту Система (System) панели управления.
2. В окне Свойства системы (System Properties) перейдите на вкладку Дополнительно (Advanced) и нажмите кнопку Параметры быстродействия (Performance Options). В появившемся окне нажмите кнопку Изменить (Change) в группе опций Виртуальная память (Virtual Memory). На экране появится диалоговое окно Виртуальная память, показанное на рис. 14.2, где в группе Размер системного реестра (Registry size) имеется поле Максимальный размер (МБ) (Maximum registry size (MB)). В этом поле можно задать максимально допустимый размер реестра.

Данные реестра, загруженные в память, хранятся в нерезидентном пуле (paged pool), который представляет собой область физической памяти, используемую для хранения данных, которые могут быть сброшены на диск в том случае, когда они долго не используются. Целью установки этого ограничения является предотвращение такой ситуации, когда реестр займет все пространство, необходимое для работы процессов.

Рис. 14.2. Установка ограничения на размер реестра в Windows 2000

 

14.1.gif

Изображение: 

6. Администрирование и поддержка реестра

 

Администрирование и поддержка реестра

Непосредственное редактирование реестра, даже в тех случаях, когда оно необходимо, при неумелом выполнении может привести к большим неприятностям. Поэтому, если вы чувствуете себя неуверенно или просто не можете позволить себе затратить значительное время для проведения восстановительных работ, не ставьте смелых экспериментов над реестром своей операционной системы (будь то Windows NT 4.0 или Windows 2000). Вполне возможно, что единственная ошибка приведет к необходимости переустановки операционной системы.

Предупреждение

Для выполнения задач по конфигурированию системы, по мере возможности, рекомендуется использовать административные утилиты, так как их применение всегда предпочтительнее непосредственного редактирования реестра. Этот метод намного безопаснее, поскольку административные средства не позволяют сохранять в реестре некорректные значения. Если в процессе редактирования реестра с помощью одного из редакторов реестра будет допущена

ошибка, редактор сохранит некорректное значение, а вы не получите даже предупреждения, так как редакторы реестра не распознают и не исправляют такие ошибки.

 

7. Использование редакторов реестра

 

Использование редакторов реестра

Все современные операционные системы из семейства Windows — Windows 95/98, Windows NT 4.0 и Windows 2000 — имеют в своем составе утилиты, предназначенные для просмотра и редактирования реестра, так называемые редакторы реестра. В Windows NT/2000 существует два таких редактора. Традиционная программа редактирования реестра Windows NT носит название Regedt32.exe. Эта программа наследуется от предыдущих версий Windows NT и позволяет редактировать реестр Windows NT/2000 методами, которые не поддерживаются в Windows 95/98. Более новая программа, Regedit.exe, была первоначально написана для Windows 95. Она обладает многими из возможностей Regedt32.exe и снабжена интерфейсом Windows Explorer. Версия Regedit, которая имеется в составе Windows NT/2000, почти полностью идентична аналогичному приложению, имеющемуся в составе Windows 95/98.

 

8. Программа Regedit в Windows 2000

 

Программа Regedit в Windows 2000

Как уже упоминалось, программа Regedit.exe, имеющаяся в составе Windows 2000, почти ничем не отличается от аналогичных программ из состава Windows 95/98 и Windows NT 4.0. Именно поэтому авторы и возьмут на себя смелость отослать читателей, заинтересованных в описании интерфейса этой программы, к специальной литературе, посвященной реестру Windows 95/98 или Windows NT 4.0 (как правило, в любом издании о реестре имеется целая глава, подробно описывающая интерфейс редактора реестра Regedit). Исключение будет сделано только для новой функции Regedit — меню Избранное (Favorites).

Меню Избранное. Хотя программа Regedit в Windows 2000 и очень похожа на свои предыдущие версии, в ней появилось полезное новшество. В Windows 2000 меню Избранное присутствует во многих системных программах, и редактор реестра Regedit — не исключение (рис. 14.3).

Все, кто часто выполняет поиск разделов и значимых элементов в реестре, а также интенсивно занимается его редактированием, по достоинству оценят эту удобную функциональную возможность. С помощью меню Избранное можно создать список наиболее часто редактируемых разделов реестра (и не повторять затем громоздкую процедуру поиска).

Чтобы добавить раздел реестра в список Избранное, проделайте следующее:

1. Выделите раздел реестра, который требуется добавить в список Избранное.
2. В меню Избранное выберите команду Добавить в избранное (Add to Favorites).
3. В раскрывшемся диалоговом окне Добавить в избранное согласитесь с именем раздела, предложенным по умолчанию, или введите новое имя в поле Имя для избранного раздела (Favorite name). Нажмите кнопку ОК, и раздел появится в списке Избранное.

 

Рис. 14.3. В новой версии Regedit появился пункт меню Избранное (Favorites)

Теперь вы в любой момент сможете быстро перейти к нужному разделу, выбрав его имя из списка Избранное. Удалить раздел реестра из списка очень просто — для этого достаточно выбрать из меню Избранное команду Удалить из избранного (Remove Favorite), а затем в раскрывшемся диалоговом окне выбрать удаляемый раздел и нажать кнопку ОК.

 

2.gif

Изображение: 

9. Использование Regedt32

 

Использование Regedt32

Редактор реестра Regedt32, который существует только в Windows NT/2000, имеет интерфейс, абсолютно отличный от интерфейса Regedit. Для каждого из корневых разделов реестра этот редактор открывает отдельное окно (рис. 14.4).

Каждое из окон Regedt32 содержит две панели, но новые возможности, заложенные в Regedit, включая контекстное меню, выводимое по нажатию правой кнопки мыши, отсутствуют. Тем не менее, несмотря на не столь удобный интерфейс и отсутствие некоторых возможностей, делающих Regedit более удобным в использовании, Regedt32 обладает и рядом пре имуществ. Так, хотя доступ к опциям может осуществляться только через меню, сам набор опций является существенно более широким, нежели доступный в Regedit. Одним из преимуществ Regedt32 можно назвать возможность использования этой программы в режиме "только для чтения". Этот режим позволяет защитить реестр от случайных непреднамеренных изменений в процессе его просмотра и знакомства с его структурой. Чтобы перейти в данный режим, выберите опцию Только чтение (Read Only Mode) из меню Параметры (Options). Наличие этой опции делает Regedt32 предпочтительным средством, с помощью которого новички могут знакомиться со структурой реестра.

Рис. 14.4. В отличий от интерфейса Regedit, разработанного по образу и подобию интерфейса Explorer, интерфейс Regedt32 напоминает интерфейс Windows 3.x File Manager

 

3.gif

Изображение: 

10. Манипулирование реестрами и разделами с помощью Regedt32

 

Манипулирование реестрами и разделами с помощью Regedt32

Базовые команды, позволяющие выполнять манипуляции над реестром, можно найти в меню Реестр (Registry).

Ниже приведено краткое описание каждой из команд, доступных в этом меню:

Открыть локальный (Open Local) — эта команда позволяет открыть файлы кустов реестра на локальном компьютере (данное действие выполняется по умолчанию при запуске Regedt32).
Закрыть (Close) — эта команда позволяет закрыть окна активного реестра. Если вы одновременно открыли несколько реестров или имеете несколько представлений одного и того же реестра, то эта команда закроет все окна (каждое из которых соответствует улью), относящиеся к окну, раскрытому на текущий момент.
Загрузит, куст (Load Hive) — данная команда позволяет загрузить в реестр ранее сохраненный файл куста. Данная опция влияет только на разделы HKEY_USERS и HKEY_LOCAL_MACHINE. Эта команда меню будет активна только в тех случаях, если выбраны указанные выше разделы, а во всех остальных случаях она будет недоступна. После того как куст будет загружен в реестр, он станет подразделом одного из указанных выше разделов.
Выгрузить куст (Unload Hive) — с помощью этой команды куст можно выгрузить из реестра. Перед выполнением данной команды куст необходимо сохранить с тем, чтобы впоследствии его можно было восстановить.
Восстановить (Restore) т эта команда используется для восстановления информации из ранее сохраненного файла. При этом информация, содержащаяся в разделах и подразделах выбранного куста, будет переписана.
Сохранить раздел (Save Key) — эта команда применяется для сохранения выбранного раздела в файле (данный файл не является файлом формата ASCII)

 

Примечание

Не путайте файлы кустов, которые вы создаете с помощью команды Сохранить раздел, с файлами кустов, созданными системой для внутреннего использования. Файлы системных кустов на удаленном компьютере обычно хоанятся в каталогах %SystefnRoof%\System32\Config и могут загружаться и восстанавливаться только тогда, когда удаленный компьютер работает под управлением другой операционной системы (не Windows NT420QO).

 

Выбрать компьютер (Select Computer) - эта команда используется для того, чтобы открыть реестр на удаленном компьютере Windows NT/2000 Редактор реестра можно использовать для просмотра и редактирования содержимого реестра удаленного компьютера (если на этом компьютере работает сервис Сервер (Server)). При получении доступа к реестрам удаленных систем можно просматривать только ветви HKEY_IJSERS и HKEY_LOCAL_MACHINE. Вы сможете просматривать и редактировать информацию разделов реестра на удаленном компьютере, если установленные для этого реестра права доступа позволяют выполнять такие операции.
Печатать ветви ;(Рrint Subtree) --как следует из названия этой команды она применяется для распечатки выбранного поддерева.
Сохранить ветвь как (Save Subtree As) — эта команда предназначена для сохранения целых кустбв или выбранных поддеревьев в виде текстовых файлов. Несмотря на то, что эти файлы представляют собой файлы формата ASCII, они отличаются от REG-файлов, получаемых с помощью приложения Regedit. Формат файлов, сохраняемых командой Regedt32 Сохранить ветвь как, отличается от формата файлов, сохраняемых Regedit, хотя и те и другие файлы представляют собой текст ASCII.

 

11. Модификация разделов и параметров

 

Модификация разделов и параметров

Меню Правка (Edit) программы Regedt32 содержит команды, позволяющие добавлять, модифицировать и удалять разделы и значимые элементы реестра.

Для добавления нового раздела в любой куст реестра следует выбрать команду Добавить раздел (Add Key) меню Правка. При выполнении этой команды вам предлагается ввести имя раздела и класс (класс в данном случае относится к типу данных). Диалоговое окно для ввода этой информации показано на рис. 14.5. Списка, из которого можно выбрать тип данных, в этом диалоговом окне не приводится, но предоставляется возможность создать раздел, а тип данных определить при вводе нового параметра в состав созданного раздела.

Рис. 14.5. Диалоговое окно Добавление раздела (Add Key), открываемое при создании нового раздела с помощью Regedt32

Команда Добавить раздел используется для добавления значимых элементов в состав разделов реестра. Раскрывающееся при выполнении этой команды диалоговое окно (рис. 14.6) содержит список, позволяющий выбрать тип данных для значимого элемента: строковые значения (REG_SZ, REG_ MULTI_SZ и REG_EXPAND_SZ) или двоичные значения (REG_DWORD или REG_BINARY).

Рис. 14.6. Диалоговое окно Добавление параметра (Add Value) позволяет добавлять новые значимые элементы в состав разделов реестра

Чтобы удалить из реестра раздел или значимый элемент, выделите объект (раздел или значимый элемент), намеченный для удаления, и выберите команду Удалить (Delete) меню Правка. Вам будет предложено подтвердить свое намерение удалить выбранный раздел или значимый элемент.

Примечание

Как уже неоднократно повторялось, редакторы реестра не поддерживают операций отмены (Undo), поэтому после подтверждения операции удаления в вашем распоряжении не будет никакого другого способа восстановить удаленную информацию, кроме ее восстановления по предварительно созданной резервной копии. Помимо этого, редактор реестра предлагает подтвердить операцию удаления, только если в меню Параметры установлена опция Подтверждение удаления (Confirm On Delete). Поэтому, решившись на удаление разделов из реестра, не пренебрегайте резервным копированием (и не ищите себе лишних задач при уже существующем решении).

Если вы случайно удалите что-либо из раздела реестра HKEY_LOCAL_ MACHINE\System\CurrentControlSet, помните о возможности восстановления содержимого этого раздела с помощью последней успешно загруженной конфигурации (см. главы 2 и 8). Для выполнения этой операции перезагрузите компьютер и сразу же после появления меню загрузчика нажмите клавишу <F8>, а затем выберите из отладочного меню опцию Загрузка последней удачной конфигурации (Last Known Good).

Помимо команд удаления элементов реестра и добавления в его состав новых разделов и параметров, в меню Правка редактора Regedt32 имеется набор команд для редактирования существующих элементов реестра (и следует отметить, что этот набор опций гораздо шире, нежели тот, который предоставляется более новой программой Regedit). Меню Правка редактора реестра Regedt32 содержит команды Двоичные данные (Binary), Строка (String), Двойное слово (DWORD) и Многострочные (Multi String). Выбор каждой из команд запускает редактор значений соответствующего типа — например, выбор команды Двоичные данные запускает редактор двоичных значений — Binary Editor, выбор команды Двойное слово — редактор значений типа DWORD, а выбор команд Строка и Многострочные вызывает соответствую щие редакторы строковых и многострочных значений. Обратите внимание, что таких широких возможностей в редакторе Regedit просто нет.

 

14.2.gif

Изображение: 

14.3.gif

Изображение: 

12. Управление безопасностью

 

Управление безопасностью

Редактор Regedt32, в отличие от Regedit, позволяет обеспечить безопасность реестра. Функции защиты реестра и установки аудита на доступ к реестру устанавливаются при помощи функций меню Безопасность (Security) редактор Regedt32.

Установка прав доступа к разделам реестра. Команда Разрешения (Permissions) из меню Безопасность используется для просмотра и установления

прав доступа к разделам реестра. Права доступа к разделам реестра можно назначать вне зависимости от типа файловой системы на разделе, где содержатся файлы Windows NT/2000.

Предупреждение

Изменение прав доступа к разделу реестра может иметь серьезные последствия. Например, если вы установите права доступа типа запретить полный доступ или запретить чтение (No Access) на раздел, необходимый для конфигурирования сети с помощью опции Сеть и удаленный доступ к сети из панели управления, то эта опция работать не будет. Права полного доступа (Full Access) к разделам реестра должны иметь, как минимум, члены группы Администраторы и сама операционная система (System). Такая установка прав доступа позволяет гарантировать возможность восстановления раздела реестра администратором при запуске системы.

Поскольку установка ограничений по правам доступа к разделам реестра может иметь серьезные последствия, зарезервируйте эту меру для разделов, добавляемых вами с целью настройки отдельных индивидуально разработанных приложений или иных видов индивидуальной настройки. Изменив права доступа к разделам реестра, обязательно установите в системе аудит, а затем проведите наблюдения за различными видами системной активности, регистрируясь в системе с использованием различных пользовательских и административных учетных записей.

Примечание

Для того чтобы получить возможность выполнить эти действия, необходимо зарегистрироваться в системе от имени пользователя, имеющего административные права.

В Regedt32 команды из меню Безопасность по назначению разделам реестра прав владельца и прав доступа работают по такому же принципу, как и аналогичные команды Проводника по установке прав доступа к файлам и каталогам на разделах NTFS (используется обычный редактор списков управления доступом, ACL). Чтобы установить права доступа к конкретному разделу реестра проделайте следующее:

1. Перед внесением изменений выполните резервное копирование тех разделов реестра, на которые будут устанавливаться права доступа.
2. Выделите раздел, на который собираетесь установить права доступа. После этого выберите команду Разрешения меню Безопасность.
3. В открывшемся диалоговом окне Разрешения для (Permissions for) (рис. 14.7) установите нужные права доступа, выбрав флажки в поле Разрешения (Permissions). Права доступа, которые можно установить, перечислены в табл. 14.5.

Таблица 14.5. Права Доступа к разделам реестра

Тип доступа

Описание

Чтение (Read)

Позволяет пользователям, внесенным в список, просматривать содержимое раздела реестра, не позволяя сохранять изменения

Полный доступ (Full Control)

Позволяет пользователям, внесенным в список, получать доступ к разделу, редактировать его содержимое и изменять к нему уровень прав доступа

 

Рис. 14.7. Диалоговое окно Разрешения для (Permissions for)

Можно также установить аудит на доступ к реестру.

При нажатии кнопки Дополнительно (Advanced) раскрывается диалоговое окно Параметры управления доступом (Access Control Settings), в котором можно установить более "тонкие" разрешения для отдельных пользователей или групп, включить аудит и сменить владельца выбранного раздела реестра.

Чтобы выбрать особые разрешения для некоторого пользователя или группы, нужно в окне Параметры управления доступом выделить нужную строку в списке Элементы разрешении (Permissions Entry) и нажать кнопку Показать/Изменить (View/Edit). Появится окно, где можно выбрать требуемые разрешения, устанавливая или сбрасывая соответствующие флажки (рис. 14.8).

Окно Элемент разрешения для содержит десять различных флажков, позволяющих устанавливать различные права доступа к разделам реестра. Краткое

описание этих флажков и устанавливаемых с их помощью прав приведены в табл. 14.6.

Рис. 14.8. Диалоговое окно Эл емент разрешения для (Permission Entry for) позволяет установить индивидуальный набор прав доступа к разделу реестра, назначаемых конкретному пользователю или группе

Таблица 14.6. Флажки диалогового окна Элемент разрешения для

Флажок

Назначаемые права

Запрос значения

(Query Value)

Дает право чтения значимых элементов из раздела реестра

Задание значения

(Set Value)

Дает право модифицировать значимый элемент в разделе реестра

Создание подраздела (Create Subkey)

Дает право создавать подразделы в выбранном разделе реестра

Перечисление подразделов (Enumerate Subkey)

Дает право идентифицировать подразделы выбранного раздела реестра

Уведомление (Notify)

Дает право установить аудит на разделы реестра

Создание связи

(Create Link)

Дает право создавать символические ссылки в конкретном подразделе реестра

Удаление (Delete)

Дает право удаления выделенного раздела

Запись DAC

(Write DAC)

Дает право получать доступ к разделу и создавать/модифицировать для него Список управления доступом (Access Control List, ACL)

Смена владельца

(Write Owner)

Дает право присвоения прав владельца данного раздела

Чтение разрешений

(Read Control)

Дает право просматривать параметры безопасности, установленные для данного раздела

Как системный администратор, вы можете присвоить себе права владельца на раздел реестра и ограничить доступ, к этому разделу. Чтобы присвоить себе права владельца на раздел реестра, выберите в окне Параметры управления доступом вкладку Владелец (Owner), в поле Изменить владельца на (Change owner to) укажите нужного пользователя или группу и нажмите кнопку Применить (Apply).

Пользователь, зарегистрировавшийся на компьютере с правами администратора, может присвоить себе права владельца на любой раздел реестра. Однако если администратор будет иметь права владельца на раздел без прав полного доступа, то раздел не может быть возвращен первоначальному владельцу, а в журнале аудита появится соответствующее сообщение.

Аудит действий в отношении реестра. Чтобы установить аудит на действия в отношении реестра, необходимо выполнить следующие действия:

С помощью оснастки Групповая политика (Group Policy) активизировать в системе политику аудита — аудит доступа к объектам.
Указать пользователей и группы, за действиями которых в отношении выбранных разделов реестра требуется установить аудит. Воспользуйтесь для этого вкладкой Аудит (Auditing) в окне Параметры управления доступом редактора реестра Regedt32.
Результаты аудита просматривайте в Журнале безопасности (Security log) с помощью оснастки Просмотр событий (Event Viewer).

Чтобы иметь возможность выполнить любое из указанных выше действий, необходимо зарегистрироваться на компьютере с использованием учетной записи из группы Администраторы. Политика аудита может устанавливаться локально или с помощью групповых политик домена.

Примечание

Если при установке аудита выбрать опцию Успех (Success) для событий доступа к объектам, то в системном журнале может появляться большое количество записей, не имеющих большой практической значимости. Поэтому нужно либо выбрать опцию Отказ (Failure), либо регистрировать успешные попытки выполнения отдельных критических операций типа изменения значения параметра, удаления/добавления разделов и т. п.

 

14.4.gif

Изображение: 

14.5.gif

Изображение: 

13. Резервное копирование и восстановление реестра

 

Резервное копирование и восстановление реестра

Как уже упоминалось в главе 2, реестр Windows 2000 представляет собой один из жизненно важных компонентов операционной системы, необходимый, в том числе, и при ее загрузке. Именно поэтому при подготовке процедур восстановления системы после сбоев нельзя недооценивать важность роли резервного копирования и восстановления системного реестра. Эту процедуру можно выполнить следующими способами:

Резервное копирование и восстановление реестра осуществляются, в том числе, и при выполнении рассмотренных ранее процедур резервного копирования и восстановления системных данных (System State data).
Резервное копирование реестра может выполняться при изготовлении диска аварийного восстановления (ERD). Для этого при создании ERD необходимо установить флажок Архивировать реестр в папку восстановления (Also backup the registry to the repair directory). Резервное копирование реестра будет произведено в папку %SystemRoot%\Kpair. Процедура аварийного восстановления будет использовать информацию из этой папки, поэтому никогда не следует ни удалять, ни модифицировать ее содержимое.
Резервное копирование и восстановление реестра Windows 2000 может быть выполнено с помощью утилиты Reg, включенной в состав программных продуктов Windows 2000 Resource Kit.
Наконец, резервное копирование и восстановление реестра можно выполнять путем экспорта/импорта реестра с помощью команд Импорт файла реестра (Import Registry File) и Экспорт файла реестра (Export Registry File) программы Regedit или даже вручную.

Процедуры резервного копирования и восстановления системных конфигурационных данных (System State data), а также процедуры изготовления и использования диска аварийного восстановления (ERD), были подробно рассмотрены в главе 8. Однако в ряде случаев вам могут весьма пригодиться альтернативные методы резервного копирования и восстановления реестра, которые и будет рассмотрены в последующих нескольких разделах.

 

14. Импорт и экспорт файлов кустов реестра

 

Импорт и экспорт файлов кустов реестра

Программа Regedit позволяет экспортировать весь реестр целиком или отдельные его разделы. Экспорт может производиться на любое устройство, имеющееся в локальной системе.

Примечание Совет

Экспорт файлов реестра очень удобно выполнять в каталог, созданный специально для этой цели. Этот каталог может располагаться на сетевом диске и иметь индивидуальные подкаталоги, назначенные каждому из пользователей для экспорта файлов реестра. Если этот каталог включить в список каталогов, подлежащих регулярному резервному копированию, то и вы, и все ваши пользователи получат дополнительные гарантии надежности.

Экспортированный файл реестра представляет собой обычный текст в формате ASCII, который можно читать и редактировать при помощи любого текстового редактора.

Экспорт всего реестра или отдельных его разделов представляет собой простейший способ резервного копирования реестра перед тем, как выполнять над ним какие бы то ни было операции. Если в реестр внесены некорректные изменения, можно импортировать в его состав предварительно экспортированный файл, и изменения будут отменены.

Чтобы восстановить разделы реестра с помощью Regedit, выберите из меню Реестр команду Импорт файла реестра.

Примечание

Когда вы хорошо ознакомитесь с реестром, вы сможете экспериментировать над своей системой или решать некоторые проблемы путем редактирования экспортированного файла реестра перед его импортом в систему. Однако перед тем как вносить такие изменения, рекомендуется сделать резервную копию этого файла, чтобы подстраховаться на случай ошибок.

Ниже приведен ряд рекомендаций, по работе с функциями импорта и экспорта реестра:

Если функции импорта и экспорта используются для резервного копирования реестра, то простого импорта реестра в файл на локальном жестком диске недостаточно для полной уверенности в том, что в случае неполадок поврежденный реестр будет-восстановлен. Скопируйте экспортированные файлы реестра на съемный носитель или сетевой диск.
Перед тем как завершить операцию экспорта (нажатием кнопки Сохранить), убедитесь в том, что вы экспортируете именно нужный диапазон разделов. Если установлен переключатель Весь реестра (АН), то будет экспортирован весь реестр. При установленном переключателе Выбранная ветвь (Selected branch) будет экспортирован раздел, имя которого указано в расположенном ниже поле.
Соблюдайте осторожность, работая с экспортированными файлами реестра. Не пытайтесь импортировать несовместимые файлы реестра (например, не следует импортировать в реестр Windows NT 5.0 файлы реестра, экспортированные из Windows NT 4.0 или 3.51 и обратно; и уж тем'более ни к чему хорошему не приведет импорт в Windows NT файлов реестра

Windows 95/98). Скорее всего, в процессе импорта произойдет ошибка, и если процедура импорта до появления ошибки успела записать в реестр некорректные параметры (а это произойдет в большинстве случаев), то нормально работать после этого вы сможете только до первой перезагрузки.

Избегайте выполнять двойной щелчок мышью, указывая при этом на экспортированный файл реестра, происхождение которого является для вас неясным. Файлы реестра по умолчанию имеют расширение reg, которое ассоциировано с приложением Regedit. Если такие действия проделать по отношению к несовместимому файлу реестра, экспортированному из другой операционной системы, то его импорт начнется быстрее, чем вы успеете осознать свою ошибку.

 

Примечание

Будьте осторожны с REG-файлами! Дистрибутивы некоторых приложений включают такие файлы и используют их при инсталляции для установки необходимых параметров реестра. Не пренебрегайте мерами предосторожности! Если вы выполните двойной щелчок мышью, указав на файл с расширением гед, программа Regedit прочтет этот файл и вставит его содержимое в реестр. Если в реестре уже существовали такие же разделы, как в REG-файле, то они будут замещены новыми разделами из REG-файла. Прежде чем переносить содержимое REG-файла в реестр, прочтите его, например, с помощью редактора Notepad. В этом случае вы хотя бы будете знать, что вы добавили в свой реестр.

 

15. Использование утилиты Regedit

 

Использование утилиты Reg

Утилита Reg.exe, входящая в набор утилит Windows 2000 Support Tools, позволяет добавлять, редактировать, удалять и искать разделы и значимые элементы реестра, выполнять их резервное копирование и восстановление, а также выполнять над ними другие операции. Утилита Reg может использоваться из командной строки или применяться в командном файле. Она позволяет выполнять операции над реестрами как локального, так и удаленных компьютеров.

Утилита Reg реализует функциональные возможности следующих утилит для работы с реестром из предыдущих версий Resource Kit: REGCHG.EXE, REGDELEXE, REGDIR.EXE, REGREAD.EXE, REGSEC.EXE, RESTKEY.EXE, RREGCHG.EXE, и SAVEKEY.EXE. В Windows 2000 она замещает собой все эти утилиты.

Для резервного копирования и восстановления реестра используются следующие команды (типы операций) утилиты Reg:

REG SAVE и REG BACKUP

Эти команды копируют указанный элемент, раздел или куст реестра в указанный файл, очень полезны для резервного копирования частей реесгра перед внесением изменений. Команда reg save абсолютно идентична команде REG BACKUP.

Команда reg restore восстанавливает указанный значимый элемент, раздел или куст реестра из файла, созданного с помощью команд reg save или reg

BACKUP.

Команды reg save и reg backup поддерживают следующий синтаксис:

REG SAVE RegistryPath FileName [\\Machine] REG BACKUP RegistryPath FileName [\\Machine]

где:

RegistryPath — это путь к элементу или разделу реестра в формате

[ROOTKEY\]Key.

При этом параметр rootkey указывает корневой раздел реестра, который содержит раздел, подлежащий сохранению (по умолчанию этот параметр получает значение HKEY_LOCAL_MACHINE).

Корневой раздел реестра может указываться в сокращенном формате, с использованием одной из приведенных ниже аббревиатур:

HKEY_LOCAL_MACHINE - HKLM HKEY_CURRENT_USER - HKCU HKEY_CLASSES_ROOT - HKCR HKEY_CURRENT_CONFIGURATION - HKCC

Key — этот параметр указывает полный путь к разделу реестра, расположенному под корневым разделом, обозначенным параметром rootkey.

FileName — данный параметр указывает имя файла (без расширения), в котором должны быть сохранены данные реестра. (На локальном компьютере этот файл сохраняется в текущем каталоге. При работе с удаленными компьютерами данный файл сохраняется в каталоге Windows.)

Machine — этот параметр указывает имя удаленного компьютера (по умолчанию используется локальный компьютер). При указании имен удаленных компьютеров следует использовать имена UNC (например: \\STATION1).

Примечание

На удаленных компьютерах доступны только разделы HKLM и HKU.

Команда reg restore поддерживает следующий синтаксис:

REG RESTORE FileName KeyName [\\Machine]

где:

FileName — имя подлежащего восстановлению файла (без расширения). Файл, указанный этим параметром, должен быть создан командами reg save

ИЛИ REG BACKUP.

KeyName — имя раздела реестра в формате [ROOTKEY\]Key.

Key — полное имя раздела реестра, расположенного в разделе rootkey.

Machine — имя удаленного компьютера в формате ONC (по умолчанию будет использоваться локальный компьютер).

 

16. Ручное резервное копирование и восстановление реестра

 

Ручное резервное копирование и восстановление реестра

Если загрузочный диск Windows NT 4.0 или Windows 2000 отформатирован для использования файловой системы FAT, то резервное копирование реестра с легкостью можно выполнить вручную, загрузив компьютер под управлением другой операционной системы (например, MS-DOS) или Windows 95/98 (в системе с двойной загрузкой или просто с загрузочной дискеты). После этого процедура резервного копирования будет заключаться в обычном копировании файлов кустов реестра, которое может быть выполнено любым способом (из командной строки или с помощью Explorer).

Если загрузочный диск Windows NT 4.0 или Windows 2000 отформатирован для использования файловой системы NTFS, то применение данного метода резервного копирования и восстановления реестра будет затруднено (однако не так уж и невозможно, как утверждается в некоторых источниках). В тех случаях, когда загрузочный диск Windows NT 4.0 или Windows 2000 необходимо форматировать для NTFS (эти требования могут диктоваться правилами безопасности, принятыми на конкретном предприятии, или же необходимостью использования ряда программных продуктов, требующих установки на разделы NTFS), и при этом администратор не хочет отказываться от метода ручного резервного копирования реестра, рекомендуется установить на компьютер избыточную копию Windows NT 4.0 или Windows 2000. Этот совет представляет собой официальную рекомендацию Microsoft по повышению надежности системы, и фигурирует как в сопроводительной документации к программным продуктам из серии Windows NT/2000 Resource Kit, так и в статьях из Microsoft Knowledge Base.

Итак, чтобы выполнить ручное резервное копирование реестров Windows NT 4.0 или Windows 2000, скопируйте содержимое каталога %SystemRoot% \system32\config на другое устройство (носитель ZIP, перезаписываемый компакт-диск или любой другой носитель) — обычной дискеты для этой цели будет недостаточно.

Файлы, которые требуется скопировать из каталога %SystemRoot98\system32 \config, перечислены ниже:

Арр Event. Evt default

default.LOG default.sav

SAM SAMXOG

Sec Event. Evt

Software.LOG

SYSTEM.ALT

SECURITY

Software.sav

System.LOG

SECURITY.LOG

SysEvent.Evt

System.sav

Software

System

userdiff

Процедура восстановления реестра при помощи этого метода резервного копирования требует загрузки компьютера под управлением другой операционной системы. После загрузки компьютера файлы резервной копии следует скопировать обратно в папку %SystemRoot%\system32\conug.

 

Глава 15. Сообщения Windows 2000 и отладчик

Глава 15. Сообщения Windows 2000 и отладчик

1. "Синий экран" и Windows 2000

 

Глава 15

Сообщения Windows 2000 и отладчик

Поговорим о грустном... чтобы, столкнувшись с неприятной неожиданностью — "синим экраном смерти", вы не погрустнели вдвойне. Возможно, вы уже достаточно хорошо знакомы с Windows 2000, но во время работы еще не попадали в такую ситуацию. Хотя эта система и надежнее предыдущих версий Windows NT, это не значит, что "синий экран смерти" — следствие серьезных ошибок — не возникнет никогда. Если даже такие ошибки и не появятся, вы все равно должны быть готовы устранить их!

 

"Синий экран" и Windows 2000

Итак, "синий экран" можно увидеть и в Windows 2000. Когда система выявляет серьезную ошибку, которую не может устранить самостоятельно, она, в зависимости от типа ошибки, генерирует соответствующие системные сообщения, которые и известны под собирательным названием "синий экран". В этом разделе мы рассмотрим основные причины возникновения таких ошибок в Windows 2000 и классифицируем их по типам.

Как и в Windows NT, исполняющая подсистема Windows 2000 (модуль Executive) представляет собой часть операционной системы, работающую в режиме ядра. Режим ядра (kernel mode) — это привилегированный режим работы процессора, в котором поток (thread) имеет доступ к системной памяти и к аппаратным средствам. Режимом пользователя (user mode) называется непривилегированный режим работы процессора, выполняясь в котором поток не имеет прямого доступа к системной памяти и аппаратным средствам, для получения такого доступа он должен обратиться к сервисам операционной системы. Модуль Executive обеспечивает структуру процессов, диспетчеризацию потоков, межпроцессную коммуникацию, управление памятью, управление объектами, безопасность и защиту объектов, обработку прерываний и ввод/вывод.

Ядро Windows NT/2000 представляет собой часть модуля Executive, управляющую процессором. Ядро выполняет диспетчеризацию потоков, обработку исключении и прерываний, а также мультипроцессорную синхронизацию. Кроме того ядро, ядро поставляет модулю Executive объекты-примитивы, из которых он создает объекты режима пользователя.

Итак, существуют два типа системных сообщений Windows 2000:

Сообщения ;STOP. Генерируются в символьном режиме и появляются, когда ядро Windows 2000 выявит противоречивое состояние, из которого оно не способно выйти самостоятельно.
Сообщения о неисправности аппаратуры (Hardware malfunction messages). Как и сообщения STOP, эти сообщения также генерируются в символьном режиме. Их появление указывает на то, что система обнаружила аппаратную ошибку, после которой продолжение работы невозможно.

Практически для каждой ситуации, делающей невозможным продолжение работы системе Windows 2000 предусмотрены соответствующие сообщения. Как правило, для диагностики сообщений Windows 2000 и устранения причин, вызвавших их появление большинству пользователей требуется техническая поддержка. Однако системный администратор должен иметь навыки устранения последствий аппаратных сбоев и уметь интерпретировать сообщения STOP.

 

2. Экран сообщения STOP

 

Экран сообщения STOP

Как уже говорилось, сообщения STOP появляются, когда ядро Windows 2000 выявляет противоречивое состояние, из которого оно не может выйти самостоятельно. Такие сообщения всегда, отображаются в полноэкранном текстовом режиме, а не в окне Windows (рис. 15.1 1 )- Каждое такое сообщение уникальным образом определяется шестнадцатеричным числом и символьной строкой, идентифицирующими возникшую ошибку. Кроме того, за шестнадцатеричным числом, идентифицирующим сообщение STOP, как правило, следуют заключенные в круглые скобки шестнадцатеричные числа, каждое из которых указывает один из параметров возникшей ошибки! Число таких параметров может достигать четырех, как показано в примере:

**** STOP: ОХ0000001Ё (OxCOOOOOOS, OxE±>E38AF9, 0x00000001, Ох7Е8ВОЕВ4) KMODE_EXCEPTtON_NOT_HANDLED * * *

По символьной строке, идентифицирующей ошибку, можно предположительно определить, какой из компонентов системы был затронут ошибкой,

после которой ядро не смогло восстановиться. Тем не менее, возможно, причина ошибки кроется в другом компоненте системы.

Рис. 15.1. Пример экрана сообщения STOP

 

15.1.gif

Изображение: 

3. Составные части сообщения STOP

 

Составные части сообщения STOP

В отличие от предыдущих версий Windows NT, где экран сообщения STOP состоит из пяти основных частей, экран сообщения STOP в Windows 2000 (рис. 15.1) содержит только три части:

Информация кода ошибки (bugcheck information)
Рекомендации пользователю (recommended user action)
Информация отладочного порта (debug port information)

При появлении сообщения STOP рекомендуется в первую очередь ознакомиться с информацией кода ошибки, помогающей ее устранить. Одно из важных нововведений в Windows 2000 — теперь сообщения STOP включают рекомендации пользователю по устранению ошибок. Наконец, третья часть экрана сообщения STOP содержит информацию о сохранении отладочного дампа памяти, который впоследствии может быть использован отладчиком ядра.

 

4. Информация кода ошибки

 

Информация кода ошибки

Первый раздел экрана сообщения STOP называется разделом информации кода ошибки (bugcheck information section). Он содержит код ошибки STOP (STOP code), за которым может следовать до четырех заключенных в скобки параметров, определенных разработчиком, а также символьное имя ошибки.

На рис. 15.1 показан экран с кодом ошибки 0x000000IE (символьное имя KMODE_EXCEPTION_NOT_HANDLED).

Часто (но не всегда) в разделе информации кода ошибки содержится строка указывающая адрес памяти, по которому возникла проблема (в шестнадцатеричном формате), а также имя драйвера или устройства, явившегося причиной ошибки. Эта, информация появляется или не появляется в зависимости от типа возникшей проблемы.

Примечание

Иногда ядро Windowr 2000 отображает только первую строку сообщения STOP Это происходит в случаях, когда возникшая ошибка повлияла даже на системные сервисы, ответственные за вывод сообщения STOP.

 

5. Рекомендации пользователю

 

Рекомендации пользователю

Этот раздел "синего экрана", следующий за информацией кода ошибки содержит рекомендации, следуя которым, пользователь может устранить возникшую проблему. В ряде случаев проблема может бить устранена простой перезагрузкой. Однако если "синий экран смерти" появляется постоянно то, скорее всего, вам придется проводить восстановительные работы (см. главу 8.)

 

6. Информация отладочного порта

 

Информация отладочного порта

Наконец, последний раздел сообщения STOP - это раздел информации отладочного порта (debug port information). В этом разделе содержится информация о коммуникационных параметрах (СОМ-порт и скорость передачи данных на компьютер, с которого будет производиться отладка) Эта ин-4к”рмация выводится, если в системе активизирован отладчик ядра (kernel debugger). Помимо этого, в данном разделе приводится информация о сохранении файла дампа памяти (если эта функция активизирована).

 

7. Подготовка к устранению проблем

 

Подготовка к устранению проблем

Прежде чем приступать к классификации ошибок STOP и обсуждению методов их устранения, необходимо обсудить подготовительные шаги которые помогут ускорить восстановление системы в том случае, если вы все же столкнетесь с проблемой "синего экрана".

Причиной возникновения многих ошибок STOP может быть перезапись системного файла или некорректно работающий драйвер. При этом как правило, ничего не подозревающий пользователь сам создает проблему устанавливая программное обеспечение или драйверы, не совместимые с операционной системой Эта проблема существовала во всех предыдущих версиях Windows NT. В Windows 2000 введены дополнительные средства защиты системных файлов и драйверов с помощью цифровой подписи,

которая гарантирует их совместимость и корректную работу в Windows 2000.-Во избежание возникновения проблем рекомендуется Пользоваться этими средствами, подробно описанными в главе 8. Так вы существенно снизите риск появления ошибок STOP.

Если даже вы сами никогда не будете выяснять причину возникновения ошибки — предположим, за вас это сделает специалист службы технической поддержки, — рекомендуется хотя бы сконфигурировать систему так, чтобы облегчить ему эту задачу. Вызовите утилиту Система (System) на панели управления, в раскрывшемся диалоговом окне Свойства системы (System Properties) перейдите на вкладку Дополнительно (Advanced) и нажмите кнопку Загрузка и восстановление (Startup and Recovery). На экране появится окно Загрузка и восстановление (рис. 15.2).

 

Рис. 15.2. Диалоговое окно Загрузка и восстановление (Startup and Recovery)

Группа Загрузка операционной системы (System startup), расположенная в верхней части окна, позволяет задать операционную систему, загружаемую по умолчанию (в случае, когда на компьютере установлено несколько операционных систем), и временной интервал, в течение которого на экране будет отображаться меню загрузки.

Группа, которая интересует нас в данном случае — Отказ системы (System Failure). Она позволяет определить поведение системы в случае возникновения ошибок STOP. Рассмотрим ее опции более подробно. Системный журнал событий Windows 2000 - хороший источник информации, помогающей выяснить причину возникновения ошибки. Именно поэтому в любом случае рекомендуется установить флажок Записать событие в системный журнал (Write an event to the system log) — тогда при каждом возникновении ошибки STOP в системном журнале событий будет делаться соответствующая запись. Пример такой записи приведен ниже:

Event ID: : 1001 Source: Save Dump Description:

The computer has rebooted from a bugcheck.

The bugcheck was :

0xc000021a (0xel270188, 0x00000001, ,0x00000000, 0x00000000).

Microsoft Windows NT (v15.1381).

A dump was saved in: C:\WINNT\MEMORY.DMP.

Если установить флажок Отправить административное оповещение (Send an administrative alert), то в случае возникновения ошибки STOP на компьютер сетевого администратора будет отправляться административное уведомление.

Наконец, если компьютер, на котором происходит такая ошибка, необходимо как можно скорее привести в рабочее состояние, возможно, вы захотите, чтобы он автоматически перезагружался в случае возникновения ошибок STOP. Для этого установите флажок Выполнить автоматическую перезагрузку (Automatically reboot).

Если ошибки, приводящие к появлению "синего экрана", появляются систематически, то наилучшим источником информации о причине их возникновения будет отладочный дамп. Для конфигурирования системы таким образом, чтобы при ее крахе содержимое физической памяти записывалось в файл на жестком диске, используются опции группы Запись отладочной информации (Write Debugging Information). Поле Файл дампа памяти (Dump File) предназначено для ввода имени файла, в который будет сбрасываться эта информация, а установленный флажок Затирать существующий файл (Overwrite any existing file) определяет, что содержимое существующего файла дампа каждый раз будет замещаться новой информацией. Эти опции используются так же, как и в предыдущих версиях Windows NT.

Однако Windows 2000 предлагает и усовершенствование по сравнению с Windows NT 4.0 при сохранении отладочного дампа. Если у вас есть опыт работы с предыдущими версиями Windows NT, вы наверняка помните, что в Windows NT 4.0 в отладочный дамп можно было записать только содержимое физической памяти компьютера. Объем файла, который при этом генерирует система, всегда несколько больше, нежели объем физической памяти, установленной на компьютере, и при этом значительная часть данных в файле дампа практически бесполезна. Как в Windows NT 4.0, так и в Windows 2000 ошибки STOP представляют собой ошибки ядра. Следовательно, именно информация ядра (состояние системы на момент возникновения ошибки, сведения об активных приложениях, загруженных драйверах устройств и т. д.) и представляет практический интерес при анализе дампа. Данные о режиме пользователя обычно просто увеличивают размер файла дампа и не предоставляют полезной информации.

Именно поэтому в Windows 2000 в диалоговом окне Загрузка и восстановление появилась новая опция, позволяющая регулировать размер файла аварийного дампа. Первый список в группе Запись отладочной информации позволяет выбрать режим сохранения дампа. Наряду с возможностью сохранения полного дампа (как в Windows NT 4.0) в нем есть опция Дамп памяти ядра (Kernel Memory Dump)^ при выборе которой в файле дампа будет сохранена только информация ядра. Средства анализа аварийного дампа; совместимые с Windows 2000, в том числе dumpexam и WinDbg, будут интерпретировать этот файл корректно. Экономия дискового пространства, которой можно добиться, выбрав эту опцию, может отличаться в разных системах (и даже зависеть от типа возникающих ошибок). Тем не менее, на основании практического опыта авторов можно сказать, что на компьютерах с объемом оперативной памяти 128 Мбайт полный дамп составит чуть более 128 Мбайт, а дамп ядра — около 40 Мбайт.

 

15.2.gif

Изображение: 

8. Типы сообщений STOP

 

Типы сообщений STOP

Сообщения STOP можно классифицировать по следующим категориям:

Сообщения, появляющиеся в процессе работы Windows 2000
Сообщения, появляющиеся во время установки Windows 2000
Сообщения, появляющиеся в процессе загрузки Windows 2000
Сообщения, вызванные программными ловушками (software trap)

 

9. Сообщения STOP, появляющиеся в процессе работы с Windows 2000

 

Сообщения STOP, появляющиеся в процессе работы с Windows 2000

Наиболее распространенные сообщения STOP генерируются во время выполнения стандартных повседневных операций. Даже в такой отказоустойчивой операционной системе, как Windows NT/2000, иногда происходит зависание системы с невозможностью продолжения работы, и появляется "синий экран" (сообщение STOP). В Windows NT/2000 появление сообщения STOP может быть вызвано необрабатываемым исключением (unhandled exception) в коде драйвера или файловой системы или выполнением недопустимой инструкции.

Примечание

Подробный список сообщений STOP, которые могут возникнуть а процессе работы с Windows 2000, а также информация об их диагностике и устранении, приведены в Microsoft Knowledge Base в статье Q103059 "Descriptions of Bug Codes for Windows 2000".

 

10. Сообщения STOP, появляющиеся в процессе установки Windows 2000

 

Сообщения STOP, появляющиеся в процессе установки Windows 2000

Одним из вероятных вариантов исхода неудачной попытки установки Windows 2000 может быть появление сообщения STOP. Если это произойдет, в первую очередь проверьте все периферийные устройства компьютера на совместимость с Windows 2000. Для этого возьмите последнюю версию списка совместимых аппаратных средств Windows 2000 (HCL). Все компьютеры и устройства, включенные в этот список, тестировались Microsoft в жестких условиях и были признаны совместимыми с Windows 2000. Список совместимости постоянно обновляется по мере того, как тестирование проходят все новые и новые устройства; его последнюю версию всегда можно найти на веб-сервере Microsoft.

Если используемое вами устройство не указано в HCL, обратитесь к поставщику устройства, т. к. только он может предоставить информацию о вновь тестируемых аппаратных средствах и/или доступных обновлениях BIOS. Кроме того, это сотрудничество позволит свести к минимуму трудозатраты при выявлении конфликтов инсталляции.

 

11. Сообщения STOP, появляющиеся при инициализации исполняющей подсистемы (Executive)

 

Сообщения STOP, появляющиеся при инициализации исполняющей подсистемы (Executive)

Некоторые из сообщений STOP могут появляться только в течение относительно краткого периода инициализации модуля Executive (это — четвертая фаза загрузки Windows 2000). Исполняющая подсистема Windows 2000 (Windows 2000 Executive) — это набор программных компонентов, предоставляющих базовые сервисы операционной системы. Как и при загрузке Windows NT 4.0, загрузку модуля Executive можно разделить на два этапа (этап 0 и этап 1). Во время этапа 0 прерывания блокированы, инициализированы лишь немногие компоненты модуля Executive, такие как уровень аппаратных абстракций (HAL). Во время выполнения этапа 1 система становится полностью работоспособной, и все компоненты Windows NT/2000 проходят инициализацию.

Если вы получите одно из сообщений STOP, появляющихся только на этапе 0 инициализации модуля Executive, запустите программу диагностики аппаратных средств, полученную от поставщика аппаратных средств. Сообщения STOP, появление которых возможно только на этапе 0 инициализации модуля Executive, перечислены в табл. 15.1.

Примечание

Аппаратные сбои в Windows 2000 часто проявляются как ошибки, генерирующие сообщения STOP. Если при диагностике аппаратных средств не будет обнаружено никаких проблем, попытайтесь переустановить Windows 2000. Если сообщение появится вновь, обратитесь в службу технической поддержки.

Таблица 15.1. Сообщения STOP, появляющиеся только на этапе инициализации исполняющей подсистемы Windows 2000

Код сообщения

Символическое имя

0x0031

PHASED JNITIALIZATION_FAILED

0x0050 0x0050 0x00SE 0x00SF 0x0060

HAL_INITIALIZATION_FAILED HEAP_INITIALIZATION_F AILED OBJECT_INmALIZATION_FAILED SECURITY_INITIALIZATION_FAILED PROCESS_INITIALIZATION_FAILED

Сообщения STOP, которые могут появиться на этапе 1 инициализации модуля Executive, перечислены в табл. 15.2. Получив одно из таких сообщений, попытайтесь переустановить Windows 2000, и если сообщение появится снова, обратитесь в службу технической поддержки,

Таблица 15.2. Сообщения STOP, Появляющиеся только на этапе 1 инициализации исполняющей подсистемы Windows 2000

Код сообщения

Символическое имя

0x0032

0x0061

0x0062

0x0063

0x0064

0x0065

0x0066

0x0067

0x0068

0x0069

0х006А

0х006В

0х006С

0x0060

0х006Е

0х006Р

0x0070

0x0071

PHASE 1 _INITIALIZATION_FAILED

HAL1_INITIALIZATION_FAILED OBJECT1

_IN1TIALIZATION_FAILED SECURITY1

JNITIALIZATION_FAILED

SYMBOLIC_INITIALIZATION_FAILED

MEMORY1JNITIALIZATION_FAILED

CHEJNITIALIZATION_FAILED CONFIG

JNITIALIZATION_FAILED

FILE_INITIALIZATION_FAILED

IO1_INITIALIZATION_FAILED

LPCJNITIALIZATION_FAILED

PROCESSt_INITiAUZATION_FAILED

REFMONJNITIALIZATION_FAILED

SESSION1_INITIALIZATION_FAILED

SESSION2JNITIALIZATION_FAILED SESSION

JNmAUZATION_FA|LED

SESSION4JNITIALIZATION_FAILED

SESSION5JNITIALIZATION_FAILED

 

12. Сообщения STOP, вызванные программными прерываниями

 

Сообщения STOP, вызванные программными прерываниями

Эта группа сообщений STOP вызывается программными (или внутренними) прерываниями, или ловушками (software traps). Такие прерывания появляются при возникновении программных ошибок, после которых нормальное продолжение программы невозможно: например, при наличии в команде недопустимых операндов, при попытке деления на нуль, в случае выхода индекса массива за пределы допустимых значений или при обращении к памяти, находящейся за пределами стека.

Пример первой строки сообщения STOP, отображаемой для подобных сообщений STOP:

*** STOP: 0x0000007F (0x00000000n, 00000000, 00000000, 00000000) UNEXPECTED_KERNEL_MODE_TRAP

Ошибка UNEXPECTED_KERNEL_MODE_TRAP указывает на то, что программная ошибка слишком серьезна и не позволяет продолжать работу. Примерами таких ошибок могут быть, например, деление на ноль или ошибка, возникающая в процессе обработки другой ошибки (так называемая двойная ошибка).

Получив одно из таких сообщений, запишите информацию о коде ошибки STOP и перезагрузите компьютер. Если сообщение появится повторно, для устранения проблемы вы можете принять следующие меры:

Выполнить диагностику проблемы, используя информацию и рекомендации, отображенные на экране сообщения STOP (в разделе рекомендаций пользователю). Дополнительная информация по наиболее распространенным сообщениям STOP, методам диагностики и устранения проблем, вызвавших их появление, приведена в сопроводительной документации к программному продукту Microsoft® Windows® 2000 Resource Kit.
Обратиться в службу технической поддержки.

 

13. Сообщения, свидетельствующие о неполадках в работе аппаратных средств

 

Сообщения STOP, вызванные программными прерываниями

Эта группа сообщений STOP вызывается программными (или внутренними) прерываниями, или ловушками (software traps). Такие прерывания появляются при возникновении программных ошибок, после которых нормальное продолжение программы невозможно: например, при наличии в команде недопустимых операндов, при попытке деления на нуль, в случае выхода индекса массива за пределы допустимых значений или при обращении к памяти, находящейся за пределами стека.

Пример первой строки сообщения STOP, отображаемой для подобных сообщений STOP:

*** STOP: 0x0000007F (0x00000000n, 00000000, 00000000, 00000000) UNEXPECTED_KERNEL_MODE_TRAP

Ошибка UNEXPECTED_KERNEL_MODE_TRAP указывает на то, что программная ошибка слишком серьезна и не позволяет продолжать работу. Примерами таких ошибок могут быть, например, деление на ноль или ошибка, возникающая в процессе обработки другой ошибки (так называемая двойная ошибка).

Получив одно из таких сообщений, запишите информацию о коде ошибки STOP и перезагрузите компьютер. Если сообщение появится повторно, для устранения проблемы вы можете принять следующие меры:

Выполнить диагностику проблемы, используя информацию и рекомендации, отображенные на экране сообщения STOP (в разделе рекомендаций пользователю). Дополнительная информация по наиболее распространенным сообщениям STOP, методам диагностики и устранения проблем, вызвавших их появление, приведена в сопроводительной документации к программному продукту Microsoft® Windows® 2000 Resource Kit.
Обратиться в службу технической поддержки.

 

14. Рекомендации по устранению ошибок STOP

 

Рекомендации по устранению ошибок STOP

 

Общая методика

В этом разделе дается общая методика, которой рекомендуется следовать при появлении экранов сообщений STOP, не содержащих конкретных инструкций по устранению возникшей ошибки. Выполняйте эти рекомендации поочередно, приступая к следующему шагу в том случае, если предыдущие не помогли решить проблему. Более подробные инструкции по устранению конкретных ошибок STOP приведены далее в этой главе.

Шаг 1. В первую очередь попробуйте перезагрузить компьютер. В некоторых случаях, если ошибка возникла случайно, этого достаточно. Что делать, если в процессе загрузки Windows 2000 постоянно появляется "синий экран", после чего компьютер автоматически перезагружается, и ошибка появляется снова? Это может происходить, если в процессе подготовки к устранению последствий ошибок STOP вы установите в окне Загрузка и восстановление опцию автоматической перезагрузки компьютера при крахе системы, а ошибка STOP, делающая невозможной дальнейшую работу компьютера, будет возникать вновь и вновь. Легко догадаться, что каждый раз после ее появления компьютер будет перезагружаться, и цикл перезагрузок будет бесконечным. Как же выйти из этого порочного круга и хотя бы получить возможность исследовать, возникающую ошибку, STOP? Данную проблему можно решить, установив на другом разделе жесткого диска этого компьютера еще одну копию Windows 2000 (одна из официальных рекомендаций Microsoft, которая приводится, например, в главах по обеспечению отказоустойчивости системы в продуктах Resource Kit):

1. Загрузите вторую копию Windows 2000, вызовите приложение Regedt32 и перейдите в окно HKEYJLOCALJMACHINE.
2. В меню Реестр (Registry) выберите команду Загрузить куст (Load Hive) и загрузите куст System той копии Windows 2000, в которой возникла проблема (хотя подробная информация о местоположении кустов реестра

приведена в главе 14, напомним, что они располагаются в папке %SystemRoot%\System32\Config).

3. Когда вам будет предложено указать имя для загружаемого куста, введите любую строку, например, oldsystem.

После этого окно HKEY_LOCAL_MACHINE (рис, 15.3) будет содержать список следующих кустов:

  • HARDWARE
  • oldsystem
  • SAM
  • SECURITY
  • SOFTWARE
  • SYSTEM
Рис. 15.3. Окно HKEY_LOCAL_MACHINE после загрузки раздела System из поврежденной копии Windows 2000

 

4. Раскройте куст oldsystem, найдите в составе ключа HKEY_LOCAL_ MACHINE\SYSTEM\Contix)lSetca\Gontrol\CrashControl параметр AutoReboot и установите его значение в 0 (эту операцию надо проделать для всех наборов Con trolSetxxx).
5. Сверните ключ HKEY_LOCAL_Mb\CHINE, выделите куст oldsystem и выберите в меню Реестр команду Выгрузить куст.

Теперь, когда опция автоматической перезагрузки при крахе системы блокирована, вы получили возможность исследовать сообщение STOP.

Предупреждение

При загрузке некоторого куста размер реестра увеличивается и может превысить максимальное допустимое значение. Поэтому перед операцией загрузки рекомендуется проверить текущий размер реестра в окне Виртуальная память (рис. 15.2) и при необходимости увеличить его.

Шаг 2. Если после перезагрузки "синий экран" больше не появляется t то проблема решена (хотя бы временно). Не забудьте после запуска Windows 2000 просмотреть журнал системных событий. (Возможно, именно там вы обнаружите сообщения об ошибках, которые позволят идентифицировать источник проблемы.) Для этого запустите оснастку Просмотр событий (Event Viewer).

Шаг3. Если ошибка STOP появилась при первой же перезагрузке компьютера после установки нового оборудования или Дополнительного программного обеспечения, и вы еще не регистрировались в системе, то попробуйте перезагрузить компьютер, и при появлении списка доступных операционных систем нажмите клавишу <F8>. В появившемся меню выберите опцию Загрузка последней удачной конфигурации (Last Known Good Configuration). Перезагрузка компьютера с использованием последней успешно загруженной конфигурации удалит все конфигурационные изменения, внесенные с момента последней успешной загрузки Windows 2000.

Шаг 4. Если Windows 2000 все же не может нормально стартовать, попробуйте выполнить загрузку в безопасном режиме (safe mode), а затем блокировать или удалить вновь установленные программы и драйверы (подробная информация об опциях отладочного меню, выводимого при загрузке Windows 2000 по нажатии клавиши <F8>, приведена в главе 8). Просмотрите последнюю версию списка совместимых аппаратных средств (Hardware Compatibility List, HCL) и проверьте, все ли аппаратные средства, установленные на компьютере, присутствуют в этом списке. Убедитесь в правильности подключения всех вновь установленных устройств. Попробуйте отключить новые устройства или заменить их (возможно, именно это и решит проблему), а также запустить диагностическое программное обеспечение, полученное от поставщика данного компьютера. Особое внимание следует уделить тестированию памяти.

Шаг 5. Выполните сканирование компьютера на вирусы с помощью новейшей версии антивирусного программного обеспечения, совместимого с Windows 2000. Вирусы могут повреждать как тома FAT, так и тома NTFS, и эти повреждения могут проявляться как ошибки STOP.

Шаг 6. Просмотрите базу знаний Microsoft, выполнив поиск по ключевым словам winnt и конкретному коду ошибки. Более подробная информация о Microsoft Knowledge Base приведена в последнем разделе данной главы, в списке источников дополнительной информации.

 

1.gif

Изображение: 

15. Наиболее распространенные ошибки STOP

 

Наиболее распространенные ошибки STOP

Этот раздел содержит краткую информацию и инструкции по устранению наиболее часто встречающихся ошибок STOP. Представленные здесь материалы собраны на основании статей Microsoft Knowledge Base, а также документации, входящей в состав Windows 2000 Resource Kit. Если, несмотря на все предпринятые вами меры, ошибка продолжает появляться, обратитесь в службу технической поддержки.

 

16. STOP 0х0000000А - IRQL_NOT_LESS_OR_EQUAL

 

STOP 0х00000000А - IRQL_NOT_LESS_OR_EQUAL

Это сообщение STOP, известное также под названием STOP OxA, указывает на то, что процесс режима ядра пытался получить доступ к участку памяти на слишком высоком уровне запроса прерывания (Interrupt Request Level, IRQL), в то время как такие процессы могут получать доступ только к процессам с IRQL не более высоким, чем их собственный,

Рекомендации. Чаще всего эта ошибка бывает вызвана некорректно работающим драйвером устройств, системным сервисом или BIOS. Чтобы попытаться быстро выполнить восстановление после такой ошибки, попробуйте перезагрузить компьютер, при появлении списка доступных операционных систем нажмите клавишу <F8> и выберите опцию Загрузка последней удачной конфигурации.

Примечание

Использование этой опции наиболее эффективно, если установка драйверов, сервисов и устройЬтв производится по одному за раз

Если сообщение появляется во время установки Windows 2000, просмотрите HCL и убедитесь в том, что все установленные на компьютере периферийные устройства перечислены в этом списке.

Более подробная информация об диагностике ошибок STOP 0xA приведена в статье из MicrosQft, Knowledge, Base "Troubleshooting: 'Stop 0x0A' Messages in Windows 2000 которую можно найти по адресу http://support.microsoft.com /supportAb/articles/ql65/8/63.asp

 

17. STOP 0x0000001 Е - KMODE_EXCEPTION_NOT_HANDLED

 

STOP 0x0000001 Е - KMODE_EXGEPTION_NOT_HANDLED

Это сообщение STOP, известное также как STOP Ox IE, указывает на то, что процесс режима ядра пытался выполнить недопустимую инструкцию.

Рекомендации. Проблема может быть вызвана несовместимыми аппаратными средствами, некорректно работающим драйвером или системным сер висом. Как правило, второй параметр этого сообщения идентифицирует проблемный драйвер или устройство его адресом (иногда может указываться имя этого драйвера). Попробуйте загрузить компьютер в безопасном режиме и блокировать указанный драйвер. Если это не поможет, то, как правило проблему можно решить с помощью консоли восстановления (Recovery Console) (см. главу 8).

В ряде случаев может помочь блокирование кэширования памяти через программу BIOS Setup.

 

18. STOP 0x00000024 - NTFS_FILE_SYSTEM

 

STOP 0x00000024 - NTFS_FILE_SYSTEM

Это сообщение, известное также как STOP 0x24, указывает на проблему с драйвером Ntfs.sys, позволяющим системе выполнять чтение информации с томов NTFS и запись на такие тома.

Рекомендации. Чаще всего ошибка вызвана повреждением файловой системы NTFS или сбойными кластерами на жестком диске. Поврежденные драйверы SCSI и IDE также вызывают эту ошибку.

Рекомендации, позволяющие избежать ошибки такого рода приведены в начале главы 8. Если ошибка все же возникла, запустите программу Chkdsk /f /r для устранения повреждений файловой системы.

 

19. STOP 0x0000002E - DATA_BUS_ERROR

 

STOP OX0000002E - DATA_BUS_ERROR

Появление сообщения STOP Ox2E обычно указывает на ошибку четности в системной памяти. Эта ошибка всегда вызывается проблемами с аппаратными средствами, ошибками, допущенными при их конфигурировании, а также несовместимыми или дефектными аппаратными средствами.

Рекомендации. Если ошибка возникла после установки нового аппаратного компонента, попробуйте удалить вновь установленное оборудование. Запустите диагностические утилиты, полученные от поставщика аппаратных средств. Иногда ошибка может быть вызвана повреждением жесткого диска, — в этом случае воспользуйтесь консолью восстановления (Recovery Console).

 

20. STOP 0x00000050 - PAGE_FAULT_IN_NONPAGED_AREA

 

STOP 0x00000050 - PAGE_FAULT_IN_NONPAGED_AREA

Эти сообщения (STOP 0x50) появляются, когда запрошенные данные не найдены в памяти. Система при этом генерирует так называемую страничную ошибку или страничное прерывание (page fault),/которая при обычных условиях означает, что система ищет данные в файле подкачки (paging file), В этом случае, однако, искомые данные идентифицируются системой как находящиеся в резидентном, невыгружаемом пуле (nonpaged pool), а это значит, что они ни при каких обстоятельствах не могли быть сброшены на диск. Таким образом, система не может найти требуемые данные и, следовательно, не может продолжать работу. Этот тип ошибки может быть вызван дефектными аппаратными средствами, некорректно работающим системным сервисом, резидентным антивирусным программным обеспечением, несовместимым с Windows 2000, и повреждениями файловой системы NTFS.

Рекомендации. Если ошибка произошла сразу же после установки нового устройства, попробуйте удалить его, чтобы проверить повторяемость ошибки. Чтобы исключить отказ уже установленных аппаратных средств, запустите диагностическую утилиту, полученную от поставщика компьютера (чаще всего эта ошибка генерируется дефектными микросхемами RAM).

В случае несовместимых или некорректно работающих системных сервисов можно попытаться использовать последнюю успешно загруженную конфигурацию (см. главу 8). Если проблема вызвана повреждением тома NTFS, ее поможет решить запуск программы Chkdsk /f /r. Иногда помогает запрет кэширования памяти в BIOS.

 

21. STOP 0x00000077 - KERNEL_STACKJNPAGEERROR

 

STOP 0x00000077 - KERNEL_STACKJNPAGE_ERROR

Сообщения STOP (STOP 0x77) указывают, что ядро не может прочесть запрошенную страницу из файла подкачки.

Рекомендации. Чаще всего причину возникновения этой ошибки можно определить по второму параметру сообщения (значение этого параметра следует записать). Список наиболее распространенных кодов приведен ниже:

0хС000009А - STATUS_INSUFFICIENT_RESOURCES. Недостаточный объем нерезидентного (выгружаемого) пула.
0хС000009С - STATUS_DEVICE_DATA_ERROR. Чаще всего является результатом появления плохих блоков на жестком диске.
0xC000009D- STATUS_DEVICE_NOT_CONNECTED. Чаще всего указывает на неправильное подключение жесткого диска.
0хС00001бА - STATUS_DISK_OPERATION_FAILED. Чаще всего вызывается плохими блоками на жестком диске.
0Xc0000ISS — STATUS_IO_DEVJCE_ERROR. Чаще всего возникает при неправильном подключении устройств SCSI или при попытке двух устройств использовать одно и то же прерывание.

Это наиболее распространенные коды, полный список можно найти в файле Ntstatus.h, входящем в состав продукта Windows 2000 Device Driver Kit (DDK).

 

22. STOP 0x00000079- MISMATCHED_HAL

 

STOP 0x00000079 - MISMATCHED_HAL

Эти сообщения (STOP 0x79) появляются при несовпадении уровня аппаратных абстракций (HAL) и ядра или типа компьютера, в основном, при смешении конфигурационных файлов однопроцессорной и многопроцессорных систем в пределах одной системы.

Рекомендации. Чаще всего эта ошибка возникает после ручной модификации или переписывания файлов Ntoskrnl.exe и Hal.dll. Эта ошибка может также указывать на несовпадение версий этих файлов (например, версия HAL предназначена для Windows NT 4.0, а версия ядра — для Windows 2000). Возможно также, что на компьютере по ошибке используется мультипроцессорный HAL и однопроцессорное ядро (или наоборот). Для устранения этой проблемы необходимо использовать диск аварийного восстановления (ERD) или консоль восстановления (см. главу 8).

 

23. STOP 0x0000007A - KERNEL_DATAJNPAGE_ERROR

 

STOP 0x0000007А - KERNEL_DATA_INPAGE_ERROR

Это сообщение (STOP 0x7А) указывает на то, что запрошенная страница данных ядра не могла быть считана в память из файла подкачки. Обычно ошибка вызвана появлением плохих блоков в файле подкачки, вирусами, ошибками контроллера жесткого диска или дефектной RAM.

Рекомендации. Выполните сканирование системы на вирусы, проверьте правильность подключения дисков и запустите диагностические утилиты, полученные от поставщика аппаратных средств. В случае необходимости проведите восстановление системы с помощью консоли восстановления.

 

24. STOP 0x00000078 - [NACCESS1BLE_BOOT_DEVICE

 

STOP 0х0000007В - INACCESSIBLE_BOOT_DEVICE

Это сообщение (STOP 0x7B) появляется в процессе запуска системы и указывает на то, что в процессе загрузки ОС Windows 2000 потеряла доступ к загрузочному диску.

Рекомендации. Причиной возникновения ошибки могут быть сбой загрузочного диска, поврежденный драйвер загрузочного устройства, повреждение системного раздела, установка нового адаптера SCSI или контроллера жесткого диска.

Возможно, проблема может быть решена редактированием файла Boot.ini. Более подробную информацию по данному вопросу можно найти в статье из Microsoft Knowledge Base "BOOT.INI and ARC Path Naming Conventions and Usage " (http://support.microsoft.eom/support/kb/articles/ql02/8/73.asp) Если такая ошибка возникает в процессе установки системы, возможно, используется несовместимый жесткий диск или контроллер SCSI. Если программа Setup автоматически распознала контроллер, возможно, при установке системы следует пропустить фазу детектирования (поиска оборудования) и вручную указать драйвер, который должен быть загружен. Для этого: когда система на текстовой фазе инсталляции предложит нажать клавишу <F6>, чтобы указать драйвер накопителя вручную, следует нажать клавишу и вставить дискету с драйвером, полученным от поставщика этого устройства.

Если в системе недавно было установлено новое устройство (особенно жесткие диски или контроллеры), поможет выбор опции Загрузка последней удачной конфигурации в меню, выводимом после нажатия клавиши <F8>.

Наконец, эта ошибка может быть следствием повреждения жесткого диска. Если ошибка появляется раньше, чем вы можете зарегистрироваться в системе, запустите консоль восстановления и дайте команду chkdsk /f /r.

 

25. STOP 0x0000007F - UNEXPECTED_KERNEL_MODE_TRAP

 

STOP OX0000007F - UNEXPECTED_KERNEL_MO0E_TRAP

Сообщения STOP 0x7F указывают на фатальную ошибку, вызванную программным прерыванием. Иногда эти ошибки могут быть вызваны программным обеспечением, но в большинстве случаев они являются следствием аппаратного сбоя.

Рекомендации. Первый и самый главный параметр этого сообщения (0х0000000х) принимает различные значения в зависимости от типа ошибки (полный список всех кодов можно найти в Windows 2000 Device Driver Kit).

Если ошибка происходит после установки нового устройства, и после установки этого устройства вы еще не регистрировались в системе, положение может исправить использование опции Загрузка последней удачной конфигурации.

Убедитесь в том, что все жесткие диски, контроллеры и адаптеры SCSI перечислены в HCL и установлены правильно. Чтобы исключить аппаратный сбой одного из устройств, которое раньше работало нормально (особенно это относится к памяти), запустите диагностические утилиты, полученные от поставщика компьютера. Следует отметить, что эта ошибка может также быть вызвана неумелым разгоном процессора (в этом случае верните процессор к его штатной тактовой частоте).

 

26. STOP 0xC00002IA - STATUS_SYSTEM_PROCESS_TERMINATED

 

STOP ОхС000021 А - STATUS_SYSTEM_PROCESS_TERMINATED

Редкий случай, когда сообщение STOP вызвано сбоем сервиса, работающего не в режиме ядра, а в режиме пользователя. Это сообщение (STOP 0xC21A) появляется когда одна, из подсистем (например, Winlogon или CSRSS), настолько повреждена, что Windows. 2000 не может гарантировать безопасности и переключается в режим ядра с генерацией .этой ошибки.

Рекомендации. Подробную информацию о кодах статуса этой ошибки (первый из трех параметров) можно найти в файле Ntstatus.h, входящем в состав программного продукта Windows 2000 Device Driver Kit (DDK).

Поскольку ошибка STOP OxC21A происходит в режиме пользователя, наиболее .вероятной ее причиной являются плохо работающие приложения третьих фирм. Воспользуйтесь опцией Загрузка последней удачной конфигурации.

 

27. STOP 0xC0000221 - STATUSJMAGE_CHECKSUM_MISMATCH

 

STOP OxC0000221 - STATUS _IMAGE_CHECKSUM_MISMATCH

Это сообщение STOP (STOP OxC221) указывает на повреждение драйвера или системного файла DLL. Как правило, в сообщении STOP указывается имя файла, вызвавшего проблему.

Рекомендации. См. главу 8.

 

28. Отладка ядра

 

Отладка ядра

Отладка ядра оказывается исключительно полезным средством, когда все другие методы устранения ошибок STOP не помогли, или когда проблема повторяется часто. В этих случаях отладка предоставляет способ определить, какой именно код драйвера дает сбой, путем перехватывания точного текста сообщения об ошибке.

В первую очередь необходимо определить некоторые общие термины и процедуры, которые потребуются при отладке сообщений ядра STOP.

 

29. Сообщение STOP, "синий экран" или прерывание

 

Сообщение STOP, "синий экран" или прерывание

Когда операционная система Windows NT/2000 сталкивается с аппаратными проблемами, противоречивостью данных, необходимых для ее работы, или иными подобными ошибками, она обрабатывает эту ситуацию на основании информации, введенной в диалоговом окне Загрузка и восстановление.

Если пользователь в этом диалоговом окне не указал опцию Выполнить автоматическую перезагрузку, Windows NT/2000 отображает синий экран, на который выводится информация об ошибке, после чего работа операционной системы останавливается.

В Базе знаний Microsoft и другой документации по Windows NT/2000 это состояние часто называется "синим экраном" (blue screen), ошибкой ядра (kernel STOP error) или программной ловушкой (software trap). Все эти термины используются для обозначения таких состояний операционной системы, когда ядро, обнаружив ошибку, может выполнить запись в файл Дампа памяти (эта процедура может являться частью процесса обработки ошибки).

 

30. Символы и деревья символов

 

Символы и деревья символов

Как правило, при компиляции кода могут быть созданы две версии исполняемого файла — отладочная версия (debug version, известная также под названием checked version) и обычная (nodebug или free). Отладочная версия содержит дополнительный код, который позволяет разработчику отлаживать программу. Файл отладочной версии имеет больший размер и исполняется медленнее. Обычная версия исполняемого файла компактнее и исполняется быстрее, но не позволяет осуществлять отладку.

Все исполняемые файлы, DLL, драйверы и другие программы представляют собой обычные (неотладочные) версии. Каждому программному файлу ставится в соответствие символьный файл, который содержит отладочный код. Отладочная версия Windows 2000, а также инструкции по ее установке входят в состав программного продукта Windows 2000 Device Driver Kit (DDK). Отладочная версия находится в подкаталоге Symbols, который содержит подкаталоги для файлов каждого типа (exe, dll, sys). Эта структура называется символьным деревом (symbol tree).

Утилитам, используемым для отладки Windows NT/2000 или для интерпретации файлов дампа памяти, требуется символьное дерево, в котором содержатся символьные файлы соответствующей версии Windows NT/2000 (на момент, когда имеет место ошибка ядра STOP). Некоторые утилиты требуют, чтобы подкаталог \Symbols находился на жестком диске в каталоге %SystemRoot%. Некоторые утилиты допускают указание пути к подкаталогу \Symbols в качестве одной из опций командной строки (в режиме командной строки или в диалоговом окне).

Отладка ядра требует наличия двух компьютеров — так называемого целевого компьютера (target machine) и хост-компьютера (host machine).

 

31. Целевой компьютер

 

Символы и деревья символов

Как правило, при компиляции кода могут быть созданы две версии исполняемого файла — отладочная версия (debug version, известная также под названием checked version) и обычная (nodebug или free). Отладочная версия содержит дополнительный код, который позволяет разработчику отлаживать программу. Файл отладочной версии имеет больший размер и исполняется медленнее. Обычная версия исполняемого файла компактнее и исполняется быстрее, но не позволяет осуществлять отладку.

Все исполняемые файлы, DLL, драйверы и другие программы представляют собой обычные (неотладочные) версии. Каждому программному файлу ставится в соответствие символьный файл, который содержит отладочный код. Отладочная версия Windows 2000, а также инструкции по ее установке входят в состав программного продукта Windows 2000 Device Driver Kit (DDK). Отладочная версия находится в подкаталоге Symbols, который содержит подкаталоги для файлов каждого типа (exe, dll, sys). Эта структура называется символьным деревом (symbol tree).

Утилитам, используемым для отладки Windows NT/2000 или для интерпретации файлов дампа памяти, требуется символьное дерево, в котором содержатся символьные файлы соответствующей версии Windows NT/2000 (на момент, когда имеет место ошибка ядра STOP). Некоторые утилиты требуют, чтобы подкаталог \Symbols находился на жестком диске в каталоге %SystemRoot%. Некоторые утилиты допускают указание пути к подкаталогу \Symbols в качестве одной из опций командной строки (в режиме командной строки или в диалоговом окне).

Отладка ядра требует наличия двух компьютеров — так называемого целевого компьютера (target machine) и хост-компьютера (host machine).

 

32. Хост-компьютер

 

Хост-компьютер

Термин "хост-компьютер" (host computer) в данной главе относится к компьютеру, на котором вы запускаете отладчик. Этот компьютер должен работать под управлением версии Windows 2000, по крайней мере такой же (или более новой), как и отлаживаемый компьютер.

 

33. Отладчик ядра

 

Отладчик ядра

Программный продукт Windows 2000 DDK содержит графический отладчик WinDbg, применяемый для отладки драйверов и приложений, работающих как в режиме пользователя, так, и в режиме ядра. Подробная информация об использовании и конфигурировании отладчика содержится в файле справочной системы, поставляемом в комплекте с отладчиком.

Отладчик можно использовать как для локальной, так и для удаленной отладки ядра. Если вы применяете локальную отладку, то хост-компьютер находится в нескольких шагах от целевого и взаимодействует с ним через

нуль-модемный кабель. В случае удаленной отладки хост-компьютер может находиться на любом расстоянии от целевого, поскольку они взаимодействуют через модемы.

Оба компьютера обмениваются отладочной информацией через коммуникационные порты. Порты на обоих компьютерах должны быть сконфигурированы на одну и ту же скорость передачи данных, выраженную в битах в секунду (бит/с).

После появления "синего экрана" запишите всю важную информацию, которая была выведена в сообщении, и перезагрузите компьютер. Возможно, вам потребуется сконфигурировать целевой компьютер для локальной, ил и удаленной отладки и перезагрузить систему еще раз. После этого вы можете работать с Windows 2000 до тех пор, пока сообщение не появится снова. Когда "синий экран" появится еще раз, обратитесь к местному специалисту технической поддержки за помощью. На этом этапе можно решить, как будет проводиться отладка (локально или удаленно). Специалисты технической поддержки могут проинструктировать вас по вопросам конфигурирования системы для отладки.

 

34. Установка отладочного сеанса

 

Установка отладочного сеанса

Если принято решение использовать отладчик ядра для анализа ошибки ядра STOP, вам потребуется установить хост и соединить целевой и хост-компьютеры. Для этого необходимо использовать нуль-модемный кабель (в случае проведения локального отладочного сеанса) или модемный кабель (в случае удаленной отладки).

Прежде чем начинать отладку, выполните подготовительные действия:

1. Установите соединение между двумя компьютерами через модем или нуль-модемный кабель.
2. Сконфигурируйте целевой компьютер для отладки.
3. Установите в хост-системе символьное дерево.
4. Установите в хост-системе отладчик.
5. Запустите отладчик в хост-системе.

Установка сеанса удаленной отладки. Если вы активизируете отладчик ядра на целевом компьютере, он будет отправлять отладочную информацию на хост-компьютер, чтобы ее смог анализировать удаленный пользователь. Выполнение этой процедуры часто требуют специалисты из группы поддержки, чтобы собрать информацию, необходимую им для анализа фатальной ошибки, особенно если эту информацию невозможно получить из файла дампа или файл дампа не создается.

Чтобы сконфигурировать систему для удаленной отладки, необходимо изменить загрузочные опции Windows 2000 таким образом, чтобы на этапе за-

грузки выполнялась загрузка отладчика ядра. На платформах х86 это делается nyfeivr редактирования файла Boot.ini. Кроме того, необходимо подключить внешний модем к соответствующему СОМ-порту целевого компьютера и соединить его с входным (inbound) телефонным каналом.

Установка модема на целевом компьютере. Чтобы установить сеанс удаленной отладки, необходимо подключить к целевому компьютеру внешний модем и переконфигурировать параметры модема таким образом, чтобы они соответствовали требованиям отладчика ядра. Чтобы сконфигурировать модем; необходимо иметь возможность запустить программу Terminal.exe или другую подобную коммуникационную утилиту. Если запуск таких программ на левом компьютере невозможен, сконфигурируйте модем на другом компьютере, имеющем близкие конфигурационные параметры. Подключите сконфигурированный модем к целевому компьютеру и убедитесь, что он работает., Использование внутренних модемов в данном случае невозможно, так ,как при перезагрузке система сбрасывает изменения, внесенные в их конфигурацию.

Модем необходимо подключить к свободному СОМ-порту и установить конфигурационные параметры:

Auto answer mode

Hardware compression

Error detection

Flow control .

On

Disabled

Disabled

Disabled

Рекомендуются скорости передачи данных: 9600 бит/с для систем х86

Просмотрите документацию по модему и найдите правильные значения строк дли процесса удаленного конфигурирования.

Редактирование файла Boot.ini на целевом компьютере. Чтобы сконфигурировать отлаживаемый компьютер для проведения сеанса отладки, необходимо отредактировать опции загрузки в файле Boot.ini таким образом, чтобы Windows NT загрузила отладчик ядра.

Опции отладчика. Ниже перечислены опции отладчика, которые можно использовать при конфигурировании системы для сеанса отладки.

/Debug

Приводит к загрузке отладчика на этапе загрузки системы. Отладчик остается в памяти компьютера в течение всего времени работы. Это означает, что специалист из группы поддержки может через модем вмешаться в работу отладчика, даже если система не зависла и сообщение STOP не появилось

/Debugport

Указывает последовательный порт, который должен использоваться отладчиком ядра. Если последовательный порт не указан, на компьютерах х86 отладчик по умолчанию будет использовать порт COM2

/Crashdebug

Отладчик загружается при загрузке системы, но остается неактивным до тех пор, пока не произойдет сбой. Это позволяет другим приложениям использовать указанный СОМ-порт (по умолчанию используется СОМ1) в течение всего времени, пока система еще работает

/Baudrate

Задает скорость передачи данных, которую будет использовать отладчик ядра. По умолчанию задается скорость 19 200 бит/с, которая является нормальной при удаленной отладке через модем

Чтобы сконфигурировать отлаживаемый компьютер на платформе х86, отредактируйте файл Boot.ini при помощи стандартного текстового редактора и добавьте в этот файл соответствующие опции отладчика.

 

35. Дополнительные источники информации

 

Дополнительные источники информации

К сожалению, здесь невозможно более подробно описать интереснейшую и увлекательнейшую (хотя и весьма сложную) тему устранения ошибок STOP, анализа аварийного дампа и работу с отладочным сеансом.

Авторы считают своим долгом отослать заинтересованных читателей к источникам информации, где они могут получить исчерпывающие ответы на все интересующие их вопросы. Вот список этих источников:

http://msdn.microsoft.com/developer/wmdows2000 — масса полезной информации для разработчиков, в том числе можно загрузить версию Windows 2000 Device Driver Kit.

http://mspress.mkrosoft.com/Reslink — информация о продуктах Resource Kit.

http://www.microsoft.com/hwdev/driver/Ntdebugging.htm ссылки на дополнительные источники с информацией по отладке.

http://www.microsoft.com/HWTEST/sysdocs/ntdebug.htm полный справочник по отладке, начиная с установки отладочного режима и заканчивая подробным списком всех команд отладчика ядра.

http://support.microsoft.com/support/ — статьи Microsoft Knowledge Base, содержащие полную и подробную информацию об устранении ошибок STOP.

 

Глава 16. Сеть и удаленный доступ к сети

Глава 16. Сеть и удаленный доступ к сети

1. Введение

 

Глава 16

Сеть и удаленный доступ к сети


Введение

Папка Сеть и удаленный доступ к сети (Network and Dial-up connections) в Windows 2000 служит для подключения компьютера к Интернету, локальной сети или к другим компьютерам и позволяет использовать сетевые ресурсы и службы в локальной сети или удаленно.

Папка Сеть и удаленный доступ к сети (Пуск | Настройка | Панель управления (Start | Setting | Control Panel)) объединяют средства Dial-up Networking из Windows NT 4.0 и функции, прежде доступные из панели управления (значок Network), например, настройки сетевых протоколов и прочих служебных параметров. Каждое подключение в папке Сеть и удаленный доступ к сети (рис. 16.1) служит для создания и использования связи между данным и другим компьютером или сетью. С помощью таких подключений упрощается настройка сети. Например, изменить набор установленных сетевых протоколов можно выбором пункта Свойства (Properties) контекстного меню и несколькими щелчками в открывшемся окне.

Исходящие подключения (outgoing connections) устанавливают связь с сервером удаленного доступа, используя определенный метод доступа (ЛВС, модем для коммутируемых линий, адаптер и линия ISDN и т. п.) для подключения к сети. В отличие от исходящего, входящее подключение (incoming connection) позволяет компьютеру под управлением Windows 2000 поддерживать подключения, инициализируемые другими компьютерами. Это означает, что этот компьютер может работать как сервер удаленного доступа (remote access server). Вне зависимости от того, является ли связь локальной (ЛВС) или удаленной (телефонная линия, ISDN и т. п.), подключения можно настроить так, чтобы они могли полноценно выполнять все требуемые функции. Например, при помощи любых сетевых подключений можно печатать на сетевых принтерах, получать доступ к сетевым дискам и файлам, просматривать другие сети или получать доступ к Интернету (если подключение поддерживает соответствующие протоколы).



Рис. 16.1. Папка Сеть и удаленный доступ к сети (Network and Dial-up connections)


Поскольку все службы и методы связи настраиваются внутри подключения, для конфигурирования параметров подключения не нужно обращаться к внешним инструментам управления. Например, параметры настройки для телефонного подключения при помощи модема включают те, которые нужно использовать до, в течение и после подключения: тип модема для связи; тип шифрования пароля, необходимый для этого подключения; сетевые протоколы, применяемые после установления соединения. Состояние каждого подключения (продолжительность и быстродействие) можно просматривать непосредственно в окне подключения.

Защита на уровне системы и защита на уровне доменов в Windows 2000, применение хостов безопасности, шифрование данных, аутентификация и ответный вызов обеспечивают безопасный доступ для подключений к сети и удаленного доступа к сети.

 

16.1.gif

Изображение: 

2. Типы сетевых подключений

 

Сетевые подключения Типы сетевых подключений

Существует пять типов сетевых подключений (табл. 16.1).

Таблица 16.1. Типы сетевых подключений

Тип подключения

Технология связи

Пример

Телефонное подключение (Dial-up connection)

Модем, ISDN, X.25

Соединение с корпоративной сетью или Интернетом с использованием телефонного подключения

ЛВС (LAN, Local Area connection)

Ethernet, Token Ring, кабельный модем, xDSL, FDDI, IP no ATM, IrDA, радиомодем, Е1/T1 и т. п.

Типичный корпоративный пользователь

Виртуальная частная сеть (VPN connection, Virtual private network)

Виртуальные частные сети по протоколам РРТР или L2TP, объединяющие или подключающие к корпоративным сетям через Интернет или другую сеть общего пользования (public network)

Безопасное соединение с корпоративной сетью через Интернет

Прямое подключение (Direct Connection)

Последовательное соединение, инфракрасная связь, параллельный кабель (DtrectParaUel)

Соединение карманного или портативного компьютера с настольным компьютером

Входящее подключение (Incoming connection)

Коммутируемая связь, VPN или прямое подключение

Подключение к корпоративному серверу удаленного доступа

 

3. Соответствие возможностей сетевых подключений Windows NT 4.0 и Windows 2000 Server

 

Соответствие возможностей сетевых подключений Windows NT 4.0 и Windows 2000 Server

Windows 2000, базирующаяся на технологиях Windows NT, изменилась по сравнению с Windows NT 4.0 и предыдущими версиями. В табл. 16.2 перечислены общие задачи при работе с сетью и удаленным доступом к сети (интерфейс пользователя для выполнения этих задач Windows 2000 отличается от Windows NT 4.0).

Таблица 16.2. Общие задачи при работе с подключениями и пути их выполнения

 

Задача

Windows NT 4.0

Windows 2000

Подключиться к серверу удаленного доступа

Выбрать значок Dial-Up Networking (Удаленный доступ) в папке My Computer (Мой компьютер)

Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Установление подключения к сети"

Подключиться к сети с помощью модема или линии ISDN

Выбрать значок Dial-Up Networking в папке My Computer, нажать кнопку New (Новое)

Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Создание телефонного подключения"

Подключиться к сети с использованием виртуальной частной ceти (VPN)

Выбрать значок Dial-Up Networking в папке My Computer, нажать кнопку New

Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Создание VPN-подключения"

Настроить компьютер для входящих подключений

Выбрать значок Network (Сеть) на панели управления

Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Создание входящего подключения"

Настроить протокол TCP/IP

Выбрать значок Network на панели управления

Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Настройка TCP/IP"

Изменить настройки подключения

Выбрать значок Dial-Up Networking в папке My Computer, нажать кнопку More (Больше)

Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Настройка подключений к сети и удаленного доступа к сети"

Добавить клиента или сетевую службу

Выбрать значок Network на панели управления

Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Добавление сетевого компонента"

Добавить протокол

Выбрать значок Network на панели управления

Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Добавление сетевого компонента"

Добавить дополнительные сетевые компоненты

Выбрать значок Network на панели управления

Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе Добавление дополнительных сетевых компонентов"

Просматривать состояние входящего или исходящего подключения

Выбрать значок Dial-Up Monitor (Монитор удаленного доступа) на панели управления

Открыть папку Сеть и удаленный доступ к сети и выполнить действия, указанные в разделе "Просмотр состояния подключения"

 

4. Рекомендации

 

Рекомендации

Ниже перечислены рекомендации, с которыми желательно ознакомиться перед использованием подключений к сети и удаленного доступа к сети:

Перед созданием подключения к Интернету необходимо получить у провайдера (поставщика) услуг Интернета параметры настройки подключения. Установление соединения с поставщиком услуг Интернета может потребовать установки одного или нескольких параметров:
  • Заданный IP-адрес
  • Использование сжатия заголовков IP-пакетов (для РРР)
  • Адрес DNS-сервера
  • Дополнительные параметры настройки, например, настройки протокола безопасности Интернета (IPSec) и т. п.
Необходимо использовать автоматическую настройку параметров IP (с использованием протокола DHCP), где это только возможно, по следующим причинам:
  • DНСР разрешен по умолчанию
  • При изменении конфигураций сети не потребуется изменять параметры настройки IP
  • Автоматическая настройка IP используется для всех подключений, что устраняет потребность в ручном конфигурировании параметров (например, адреса DNS-сервера, WlNS-сервера и т. д.)
Windows 2000 автоматически обнаруживает установленные сетевые адаптеры и для каждого сетевого адаптера создает подключение к локальной сети в папке Сеть и удаленный доступ к сети.
  • Если установлено более одного сетевого адаптера, можно устранить возможный беспорядок в именах подключений, переименовав каждое локальное подключение в соответствии с функциональным назначением или расположением сети, с которой это подключение связывает компьютер,
  • Необходимо добавить или разрешить сетевых клиентов, службы и протоколы, которые требуются для каждого подключения.
Можно создать несколько коммутируемых, VPN- или прямых подключений, копируя их в пределах папки Сеть и удаленный доступк сети; можно переименовывать подключения и изменять параметры настройки подключения; можно легко создавать различные подключения для использования нескольких модемов, для подключения к разным Интернет-провайдерам, для использования различных конфигураций по набору номера и т. д.
Если компьютер имеет один сетевой адаптер, но требуется установить соединение с несколькими локальными сетями (например, во время поездки в филиал), нужно разрешать или запрещать компоненты подключения к ЛВС при каждом подключении к сети.
Windows 2000 использует поставщиков услуг и протоколы в том порядке, который установлен в диалоговом окне Дополнительные параметры (Advanced Settings). Изменяя порядок поставщиков услуг и порядок протоколов, с которыми они связаны, можно повысить производительность сети.

Например, если через подключение к ЛВС можно обратиться к Novell NetWare и к сетям на базе Microsoft Windows, использующим IPX и TCP/IP, но основное подключение к сети Microsoft Windows использует TCP/IP, то можно переместить службу доступа Сеть Microsoft Windows (Microsoft Windows Network) наверх списка служб на вкладке Порядок служб доступа (Provider Order) и передвинуть выше привязку к TCP/IP на вкладке Адаптеры и привязки (Bindngs and Adapters) для компонента Служба доступа к файлам и принтерам сетей Microsoft (File and Printer Sharing for Microsoft Networks).

Нужно установить и разрешить только необходимые сетевые протоколы по следующим причинам:
  • Увеличивается производительность сети и сокращается сетевой трафик.
  • Если при работе с сетью у Windows 2000 возникает проблема соединения, то операционная система пытается восстановить подключение, используя каждый из установленных сетевых протоколов. Если установлены и разрешены только реально применяемые протоколы, Windows 2000 не будет пытаться использовать для подключения лишние протоколы, что улучшит параметры передачи информации и позволит получить более четкую картину происходящего в сети.

 

5. Управление общими настройками подключений

 

Управление общими настройками подключений

 

Установление подключения к сети

Для установления соединения с сетью при помощи подключения откройте папку Сеть и удаленный доступ к сети.

Затем сделайте двойной щелчок на значке того подключения, при помощи которого нужно подключиться к сети. В открывшемся диалоговом окне Подключение: имя подключения (Connect имя подключения) введите имя пользователя, пароль и домен для входа в сеть (рис. 16.2). Как только подключение к сети установлено, можно свернуть окно подключения и использовать электронную почту, проводник Windows и т. д.

Рис. 16.2. Задание аутентификационной информации для подключения

Примечание

Подключения к сети и удаленного доступа к сети используют идентификационную информацию для проверки наличия у пользователя права физически обращаться к сети. Сеть и удаленный доступ к сети фактически не производит регистрацию в сети. Следовательно, после того как соединение установлено, может потребоваться вход в систему (после нажатия комбинации клавиш <Ctrl>+<Alt>+<Del> для Windows 2000) для обращения к защищенным сетевым ресурсам. Можно обойти этот этап, войдя с данной учетной записью из домена при запуске компьютера под управлением Windows 2000 (до установления соединения при помощи удаленного доступа).

  • Домен, имя которого необходимо ввести для входа в систему, должен быть доменом Windows 2000, в котором находится сервер удаленного доступа Windows 2000. Это не имя домена DNS, которое предоставляется некоторыми поставщиками услуг доступа через PPP/SLIP.
  • Подключение к локальной сети производится автоматически.
  • Если при соединении с ЛВС и при коммутируемом подключении используется протокол IP, то после установления подключения компьютеры в локальной сети станут недоступны. Это происходит, поскольку установленное подключение становится маршрутом по умолчанию для пересылки IP-трафика. Следовательно, после подключения можно будет видеть компьютеры в удаленной сети, а также другие компьютеры в том же самом сегменте ЛВС, к которому подключен компьютер. Невозможно будет связаться с компьютерами, находящимися в сетях, которые были до этого доступны через, маршрутизатор в локальной сети.
  • Вместо выполнения двойного щелчка на подключении можно из контекстного меню этого, подключения выбрать пункт Подключить (Connect, рис. 16.3).



Рис. 16.3. Контекстное меню подключения

 

16.2.gif

Изображение: 

16.3.gif

Изображение: 

6. Отключение от сети

 

Отключение от сети

Для отключения от сети в папке Сеть и удаленный доступ к сети выберите команду Отключить (Disconnect) контекстного меню подключения.

 

7. Добавление дополнительных сетевых компонентов

 

Добавление дополнительных сетевых компонентов

В Windows 2000 можно добавлять или удалять дополнительные сетевые компоненты (Optional Networking Components) — различные сетевые службы, которые могут работать под управлением Windows 2000, но не устанавливаются автоматически во время установки Windows 2000. Примеры: Простые службы TCP/IP .(Simple TCP/IP Services), Протокол SNMP (Simple Netowrok Management Protocol), Службы печати для, Unix (Printing Services for Unix) и т. п.

Дополнительные сетевые компоненты-можно добавить как для всего компьютера целиком, так и для отдельного подключения.

Примечание

О добавлении дополнительных сетевых компонентов для отдельных подключений к сети и удаленного доступа к сети см. раздел "Сетевые компоненты" этой главы.

Устанавливать только те сетевые компоненты, в которых есть реальная необходимость, нужно по следующим причинам:

В этом случае пропускная способность используемых каналов увеличивается за счет снижения ненужного служебного трафика.
В случае возникновения проблем при подключении к локальной сети или телефонного модемного подключения система Windows 2000 не будет пытаться произвести подключение на основе лишних протоколов, следовательно она быстрее получит информацию о состоянии подключения.
Лишние службы, установленные на компьютере, могут уменьшать производительность компьютера, занимая ресурсы — память, процессор, жесткий диск и т. п.



Рис. 16.4. Дополнительные сетевые компоненты для всего компьютера


Для добавления дополнительных сетевых компонентов в меню Дополнительно (Advanced) в папке Сеть и удаленный доступ к сети выберите команду Дополнительные сетевые компоненты (Optional Networking Components, рис. 16.4). Затем выполните одно из следующих действий:

Чтобы добавить все дополнительные сетевые компоненты, установите флажки для тех компонентов, которые необходимо добавить, и нажмите кнопку Далее (Next).
Чтобы добавить отдельные подкомпоненты дополнительных сетевых компонентов, установите флажок для того компонента, который необходимо установить частично, и нажмите кнопку Состав (Details). В списке подкомпонентов дополнительного сетевого компонента установите флажки рядом с нужными компонентами и нажмите кнопку ОК.

 

16.4.gif

Изображение: 

8. Управление сетевыми компонентами

 

Управление сетевыми компонентами

Дополнительные компоненты (вкладка Сеть (Networking) окна свойств подключения, рис. 16.5) можно разрешить и настроить как для всего компьютера целиком, так и для отдельного подключения.



Рис. 16.5. Сетевые компоненты для подключения


Добавление сетевого компонента. Для добавления сетевого компонента:

1. В контекстном меню соответствующего подключения в папке Сеть и удаленный доступ к сета выберите пункт Свойства (Properties) (рис. 16.5) и выполните одно из следующих действий:

Если это локальное подключение, то в появившемся окне нажмите кнопку Install (Установить).

Если это коммутируемое, VPN- или входящее подключение, то в появившемся окне на вкладке Сеть (Networking) нажмите кнопку Установить (Install).

2. В диалоговом окне Выбор типа сетевого компонента (Select Network Component Type) выберите в списке Клиент (Client), Служба (Service) или Протокол (Protocol), затем нажмите кнопку Добавить (Add) и выполните одно из следующих действий:

Если инсталляционного диска для данного компонента нет (компонент входит в состав Windows), выберите соответствующий компонент (клиента, службу или протокол) и нажмите кнопку ОК.

Если есть инсталляционный диск для данного компонента, выберите соответствующий компонент (клиента, службу или протокол), нажмите кнопку Установить с диска (Have Disk), вставьте инсталляционный диск в указанный дисковод и нажмите кнопку ОК.

Удаление сетевого компонента. Для удаления сетевого компонента:

1. В контекстном меню подключения в папке Сеть и удалённый доступ к сети выберите команду Свойства (Properties) и выполните одно из следующих действий:

Если это локальное подключение, в списке Отмеченные компоненты используются этим подключением (Network components used in this connection), выберите клиента, службу или протокол, которые требуeтся удалить, и нажмите кнопку Удалить (Uninstall).

Если это коммутируемое, VPN- или входящее подключение, в списке Отмеченные компоненты используются этим подключением на вкладке Сеть выберите клиента, службу или протокол, которые требуется удалить, и нажмите кнопку Удалить.

2. В открывшемся диалоговом окне нажмите кнопку Да (Yes).

Разрешение сетевого компонента. Для разрешения сетевого компонента:

1. В контекстном меню подключения в папке Сеть и удаленный доступ к сети выберите команду Свойства.
2. Выполните одно из следующих действий:

Если это локальное подключение, в списке сетевых компонентов, используемых этим подключением, установите флажок рядом “ клиентом., службой или протоколом, которые требуется разрешить.

Если это коммутируемое, VPN- или входящее подключение, на вкладке Сеть (Networking) в списке сетевых компонентов, используемых этим подключением, установите флажок рядом с клиентом, службой или протоколом, которые требуется разрешить.

Запрещение сетевого компонента. Для запрещения сетевого компонента:

1. В контекстном меню подключения в папке Сеть и удаленный доступ к сети выберите команду Свойства.
2. Выполните одно из следующих действий:

Если это локальное подключение, в списке сетевых компонентов, используемых этим подключением, снимите флажок рядом с клиентом, службой, или протоколом, которые требуется запретить.

Если это коммутируемое, VPN- или входящее подключение, на вкладке Сеть в списке сетевых компонентов, используемых этим подключением, снимите флажок рядом с клиентом; службой или протоколом, которые требуется запретить.

 

16.5.gif

Изображение: 

9. Изменение порядка привязки протоколов

 

Изменение порядка привязки протоколов

Для изменения порядка привязки протоколов:

1. В меню Дополнительно папки Сеть и удаленный доступ к сети выберите команду Дополнительные параметры.

Рис. 16.6. Привязка протоколов


2. На вкладке Адаптеры и привязки (Adapters and Bindings, рис. 16.6) в списке Привязка длят имя_подключения (Bindings for имя_подключения) выберите

протокол, который требуется переместить в списке выше или ниже, и на-г жмите кнопку со стрелкой вверх или вниз.

Примечание

Чтобы изменять порядок привязки протоколов, необходимо иметь полномочия администратора.

 

16.7.gif

Изображение: 

10. Изменение порядка служб доступа

 

Изменение порядка служб доступа

Для изменения порядка служб доступа к сети:

1. В папке Сеть и удаленный доступ к сети выберите команду Дополнительные настройки меню Дополнительно.
2. На вкладке Порядок служб доступа (Provider Order, рис. 16.7) в списке Службы доступа к сети (Network providers) выберите службу доступа, которую требуется переместить в списке выше или ниже и нажмите кнопку со стрелкой вверх или вниз.

Примечание

  • Обращение к службам доступа к сети производится в порядке этого списка.
  • Для изменения порядка служб доступа к сети необходимо иметь полномочия администратора.
Рис. 16.7. Порядок поставщиков услуг


16.8.gif

Изображение: 

11. Типы подключений

 

Типы подключений

Локальное подключение

Как правило, компьютеры под управлением Windows 2000 подключены к локальной сети (ЛВС). При инсталляции операционная система обнаруживает сетевой адаптер и создает локальное сетевое подключение для данного адаптера. Это подключение отображается, как и все другие подключения, в папке Сеть и удаленный доступ к сети. По умолчанию локальное подключение всегда активно. Локальное подключение — единственный тип подключения, которое автоматически становится активным после запуска компьютера или установки ОС.

Если разъединить локальное подключение, оно больше не активизируется автоматически (информация об этом хранится в профиле оборудования — hardware profile). В соответствии с требованиями мобильного пользователя происходит автоматическая подстройка оборудования. Например, если пользователь переезжает в удаленный офис корпорации и создает для этого местоположения отдельную конфигурацию оборудования, которая не содержит средств доступа к ЛВС, то Windows 2000 не тратит время впустую на ожидание готовности сетевого адаптера. Адаптер даже не будет производить попыток подключения к несуществующей ЛВС.

Если в компьютере имеется более одного сетевого адаптера, в папке Сеть и удаленный доступ к сети появится значок локального подключения для каждого адаптера.

Для установления локальных подключений применяются среды Ethernet, Token Ring, кабельные модемы, xDSL, FDDI, IP no ATM, IrDA (инфракрасная связь), радио- и эмулированные ЛВС на базе ATM. Эмулированные локальные сети используют драйверы виртуальных адаптеров, например, драйверы, поддерживающие протокол LANE (LAN Emulation, эмуляция ЛВС).

Если в сети произошли изменения, можно настроить существующее локальное подключение, чтобы это отразить. Выбирая в контекстном меню сетевого или коммутируемого подключения пункт Состояние (Status), можно просматривать информацию о подключении (продолжительность и быстродействие подключения, объемы переданных и полученных данных), а также использовать диагностические средства, применимые для конкретного подключения.

При установке на компьютер нового устройства для подключения к ЛВС, после перезапуска Windows 2000 в папке Сеть и удаленный доступ к сети появится новый значок локального подключения. Можно установить сетевой адаптер PCMCIA при включенном компьютере, перезапуск Windows 2000 не потребуется — значок локального подключения немедленно появится в указанной папке.

Для настройки устройства, используемого для подключения, и связанных с ним клиентов, служб и протоколов служит пункт Свойства контекстного

меню. Клиенты определяют доступ через это подключение к компьютерам и файлам в соответствующей сети. Службы предоставляют доступ к ресурсам, например к совместно используемым принтерам и файлам, Протоколы, например TCP/IP, определяют "язык" для связи между компьютерами.

Можно конфигурировать адаптеры ЛВС при помощи пункта Дополнительные параметры (Advanced Settings) меню Дополнительно (Advanced) папки Сеть и удаленный доступ к сети. Можно изменять порядок адаптеров, используемых подключением и связанными с ними клиентами, службами и протоколами.

Создание подключения к ЛВС. Как правило, большинство пользователей Windows 2000 подключены к локальной сети. При запуске Windows 2000 обнаруживает сетевой адаптер и автоматически создает подключение к ЛВС. В отличие от других типов подключений, подключение к ЛВС выполняется автоматически.

 

12. Виртуальные частные сети (VPNJ)

 

Виртуальные частные сети (VPN)

Протоколы РРТР или L2TP, по умолчанию установленные на компьютере, обеспечивают надежный доступ к ресурсам в сети, соединяясь с сервером удаленного доступа Windows 2000 через Интернет или другую сеть. Если для создания сетевого подключение к частной (private) сети используется обще доступная (public) сеть, то совокупность таких подключений называется виртуальной частной сетью (Virtual Private Network, VPN). Достоинства таких сетей перечислены в табл. 16.3, а их особенности и способы использования подробно рассматриваются в следующих разделах главы.

Таблица 16.3. Достоинства Использования сетей VPN

Преимущество

Пример

Меньшая стоимость

Для подключения используется Интернет (вместо установления телефонного подключения с использованием дорогой междугородной связи). Поскольку Интернет-провайдер сам поддерживает оборудование связи (модемы, адаптеры ISDN и т. п.), при развертывании сети нужно закупать и сопровождать меньшее количество оборудования

Аутсорсинг (Передача третьим лицам, outsourcing) забот по поддержке телефонных подключений

Пользователь может по городскому номеру подключиться к телефонной компании или ISP, который затем подключит его к серверу удаленного доступа Windows 2000 и к корпоративной сети. Телефонная компания или ISP управляет модемами и телефонными линиями, выделенными для коммутируемого доступа. ISP поддерживает сложную инфраструктуру коммуникационного оборудования, а сетевой администратор корпорации занимается централизованным управлением учетными записями пользователей на сервере удаленного доступа

Расширенная безопасность

Подключение через Интернет (если используются протоколы PPTP/L2TP) является шифрованным и безопасным, поскольку сервер удаленного доступа поддерживает современные протоколы аутентификации и шифрования. Конфиденциальные данные надежно защищены от пользователей Интернета, но доступны для пользователей виртуальной частной сети.

Поскольку данные, передаваемые по VPN-подключению зашифрованы, используемые адреса защищены от просмотра извне; в сети Интернет "видны" только внешние IP-адреса (концов соединения). Это особо важно для корпораций с внутренними IP-адресами, поскольку исключаются административные затраты на изменение IP-адресов для удаленного доступа через Интернет

Поддержка сетевых протоколов

Поскольку поддерживаются широко распространенные сетевые протоколы (включая TCP/IP, IPX и NetBEUI), с использованием VPN можно дистанционно выполнять любое приложение, зависящее от конкретного сетевого протокола

Как показано в следующих примерах, есть два способа создать VPN-подключение: устанавливая соединение с ISP, или соединяясь с Интернетом напрямую.

Пример 1. VPN-подключение сначала производит запрос к Интернет-провайдеру. После того как это подключение произведено, VPN-подключение делает другой запрос к серверу удаленного доступа, который устанавливает туннель L2TP или РРТР. После аутентификации можно получать доступ к корпоративной сети, как это показано на рис. 16.8.



Рис. 16.8. VPN-подключение на основе подключения к Интернет-провайдеру


Пример 2. Пользователь, имеющий выход в Интернет, соединяется с сервером удаленного доступа при помощи VPN-подключения (рис. 16.9). Таким

пользователем может быть тот, чей компьютер подключен к локальной сети, пользователь кабельного модема или абонент службы типа ASDL, где протокол IP доступен сразу после включения компьютера. Драйвер РРТР или L2TP создает туннель через Интернет и производит подключение к серверу удаленного доступа, использующему РРТР или L2TP. После аутентификации пользователь может получить доступ к корпоративной сети, как и в предыдущем примере.



Рис. 16.9. VPN-подключение, использующее существующее подключение к Интернету


Меньшая стоимость. При помощи VPN мобильные пользователи и сотрудники-надомники (telecommuters) могут получить доступ к корпоративной локальной сети через Интернет за меньшую плату, чем при традиционных решениях по поддержке удаленного доступа. гораздо эффективнее использовать мощную коммуникационную инфраструктуру телефонной компании, чем прокладывать собственную сеть, устанавливать телефонные линии и закупать коммутаторы.

Подключение к виртуальной частной сети через сетевой адаптер подобно набору номера при помощи модема для подключения к обычному ceрверу удаленного доступа, VPN освобождает корпорацию от эксплуатационных расходов и затрат на покупку модемных пулов и специально предназначенных для этого аналоговых телефонных линий. Модемы и сопутствующая инфраструктура находятся в ведении поставщика услуг Интернета, при этом не страдают ни безопасность, ни возможности управления удаленным доступом. В то же время, очевидны преимущества безопасности доступа к частным данным, обеспечиваемой дополнительной аутентификацией, шифрованием и сжатием данных пользователя.

Аутсорсинг телефонных подключений. Коммуникационное оборудование, необходимое для телефонных подключений, достаточно сложно. На большом предприятии создание сервера удаленного доступа для поддержки телефонных подключений на базе Windows 2000 требует установки модемов; контроллеров, а также прокладки множества коммуникационных кабелей. Кроме того, большинство решений не обеспечивает эффективную поддержку технологий ISDN, V.34 и V.90.

Корпорации часто выбирают аутсорсинг (outsourcing) коммутируемого доступа к своим базовым корпоративным сетям при помощи рентабельного, не зависящего от протокола, безопасного способа, который не требует никаких изменений в существующем адресном пространстве. Поддержка виртуальных глобальных сетей на основе VPN-подключений — один из путей, при помощи которого Интернет-провайдер может обеспечивать потребности корпораций. Таким образом, обслуживающая компания поддерживает и управляет модемами удаленного доступа и каналами связи, оставляя системному администратору корпорации управление пользователями и их аутентификацию. В этом решении воплощены все преимущества аутентификации РРР, шифрования и технологий сжатия (рис. 16.10).



Рис. 16.10. Пример сети, использующей аутсорсинг


В подключении не участвует драйвер РРТР; клиент просто устанавливает РРР-подключение к серверу удаленного доступа или модемному пулу. В свою очередь, сервер или пул модемов должен осуществить подключение с помощью РРТР для связи с сервером удаленного доступа.

Улучшенная безопасность. VPN-подключения, использующие РРТР и L2TP, аутентифицируются по методам аутентификации протокола РРР на уровне пользователя, включающим PAP, CHAP, SPAP, MS-CHAP и, дополнительно, ЕАР.

Благодаря возможностям протокола ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) и средств безопасности IP (IPSec), виртуальная частная сеть предоставляет улучшенную безопасность для удаленных пользователей. Пользуясь преимуществом аутентификации РРР и параметрами шифрования, задавая РРТР-фильтрацию на сервере удаленного доступа и ограничивая сервер удаленного доступа работой только с аутентифицированными РРТР-клиентами, которые используют шифрованные данные, системный администратор может укрепить безопасность данных и управлять удаленными пользователями намного эффективнее.

В некоторых средах данные являются строго конфиденциальными и может потребоваться, чтобы они были физически отделены и скрыты от большинства корпоративных пользователей. Финансовые или личные данные — это данные, требующие максимальной защищенности. Пользователи в корпоративной интрасети, которым предоставлены соответствующие разрешения, могут устанавливать удаленное VPN-соединение с VPN-сервером и получать доступ к защищенным ресурсам частной сети отдельных подразделений корпорации. Весь обмен данными через VPN шифруется, что обеспечивает конфиденциальность данных. Пользователи, не имеющие соответствующих разрешений по установлению VPN-подключения с VPN-сервером, не могут увидеть этот "скрытый" сервер.

Поддержка сетевых протоколов. Поскольку технология организации VPN поддерживает наиболее распространенные сетевые протоколы, клиентам сетей Ethernet, TCP/IP, IPX и NetBEUI не требуются дополнительные затраты на использование VPN. Любой сетевой протокол, поддерживаемый службой удаленного доступа, поддерживается и в технологии VPN. Это означает, что можно удаленно выполнять приложения, зависящие от определенных сетевых протоколов. В свою очередь, это снижает затраты по созданию и поддержке VPN-подключений.

Безопасность IP-адресов. Если в корпоративной сети используется незарегистрированный IP-адрес (или адрес, зарезервированный InterNIC для частных сетей, например, из диапазона Ю.аДэ.с), то можно направлять трафик через Интернет, указывая только один реальный внешний IP-адрес. Внутри VPN-пакета содержится как этот реальный адрес, так и частный адрес получателя. Поскольку пакет зашифрован, адреса абонентов удаленной частной сети защищены от просмотра. В Интернете видны только внешние IP-адреса. Преимущество VPN наиболее очевидно для корпораций с частными внутренними IP-адресами, поскольку им не требуются административные затраты на изменение IP-адресов для организации удаленного доступа.

Администрирование VPN. При помощи Active Directory (на Windows 2000 Server) администратор системы может настраивать VPN для пользователя, значительно усиливая безопасность сети, например, задавать уровни шифрования данных и паролей, а также аутентификацию. Эти требования могут применяться к индивидуальным пользователям или к группе однотипных пользователей (при помощи групповой политики). Например, администратор системы может настроить удаленный доступ, задав такую групповую политику, чтобы для всех пользователей группы, которой она назначена, требовалась аутентификация с использованием протокола ЕАР и сильное шифрование данных (128-битное). При наличии групповой политики критерии безопасности автоматически устанавливаются по отношению к любому пользователю, которому назначена эта групповая политика, когда он соединяется с сервером удаленного доступа.

Создание VPN-подключения. Чтобы создать подключение для виртуальной частной сети:

1. В папке Сеть и удаленный доступ к сети сделайте двойной щелчок на значке Создание нового подключения (Make New Connection) и нажмите

кнопку Далее (Next).

2. Установите переключатель Подключение к виртуальной частной сети через

Интернет (Gormect to a private network through the Internet, рис. 16.11), нажмите фюпку Далее и выполните одно из следующих действий:

  • Если :перед установкой "туннельного" доступа к нужному компьютеру или сети требуется произвести подключение к провайдеру услуг Интернет или другой сетью, выберите положение переключателя Набрать номер для следующего предварительного подключения (Automatically dial this initial connection) и, выбрав нужное подключение в списке нажмите кнопку Next (рис. 16.12).
  • Если не требуется автоматически производить начальное подключение то выберите положение переключателя Не набирать номер для предварительного подключения (Do not dial the initial connection) и нажмите кнопку Далее.
3. Введите имя хоста или IP-адрес компьютера или сети, с которой происходит соединение, и нажмите кнопку Далее (рис. 16.13).
4. Выполните одно из следующих действий:
  • Если необходимо, чтобы подключение было сделано общим для всех пользователей, выберите положение переключателя для всех пользователей (For all users) и нажмите кнопку Далее (рис. 16.14).
  • Если данное подключение предназначено только для текущего пользователя, выберите положение только для меня (Only for myself) переключателя и нажмите кнопку Далее.
5. Если нужно разрешить совместный доступ к ресурсам с других компьютеров через это телефонное подключение, установите флажок Разрешить общий доступ для этого подключения (Enable shared access for this connection), а также укажите, нужно ли производить автоматическое установление данного подключения, если другой компьютер в вашей локальной сета попытается получить доступ к внешним ресурсам установив, по необходимости, флажок Разрешить вызов по требованию (Enable on-demand dialing) и нажмите кнопку Далее, затем введите название этого подключения и нажмите кнопку Завершить (Finish).

Примечание

    • Чтобы сделать подключение доступным для всех пользователей, нужно войти в систему с административными полномочиями.
    • Можно создавать множественные виртуальные подключения к сети копируя их в папке Сеть и удаленный доступ к сети. Можно переименовывать подключения и настраивать их параметры, легко создавая различные подключения, для разных соединений с разными параметрами безопасности и т. д.



Рис. 16.11. Выбор типа подключения




Рис. 16.12. Выбор способа подключения




Рис. 16.13. Ввод имени/адреса удаленного компьютера




Рис. 16.14. Разрешение использования подключения другим пользователям

 

16.10.gif

Изображение: 

16.11.gif

Изображение: 

16.12.gif

Изображение: 

16.13.gif

Изображение: 

16.14.gif

Изображение: 

16.8b.gif

Изображение: 

16.9.gif

Изображение: 

13. Телефонные (коммутируемые) подключения

 

Телефонные (коммутируемые) подключения

Телефонное (коммутируемое) подключение (dial-up connection) соединяет компьютер с корпоративной сетью или с сетью Интернет при помощи устройств, подключаемых к коммутируемой телефонной сети. Такими устройствами могут быть: модем (стандартная телефонная линия), платы ISDN (линии ISDN) или оборудование для подключения к сети Х.25 по соответствующему каналу.

Обычно у пользователя имеется одно или два модемных подключения, например, с Интернетом и со своей корпоративной сетью. Windows 2000 Server позволяет создавать несколько телефонных коммутируемых подключений, чтобы осуществить более сложную схему подключений.

Можно создать несколько телефонных модемных подключений, копируя их в папке Сеть и удаленный доступ к сети. Переименовывая подключения и настраивая их параметры, можно легко создавать различные подключения для различных модемов, конфигураций дозвона и т. д.

Использование телефонных линий и модемов. Наиболее часто телефонное подключение производится с помощью модемов и стандартных аналоговых телефонных линий, которые есть везде и удовлетворяют большинству требований мобильного пользователя. Стандартные аналоговые телефонные линии также называются PSTN (Public Switched Telephone Network, коммутируемая телефонная сеть общего пользования) или POTS (Plain Old Telephone Service, простая старая телефонная служба).

С Windows 2000 совместимы сотни модемов, соответствующих промышленным стандартам. Однако проблемы возникают при обнаружении и идентификации модемов с помощью стандартных средств Windows. Проверить совместимость устанавливаемого модема можно по списку аппаратной совместимости (Hardware Compatibility List) на сайте Microsoft (http://www.mkrosoft.com) или в файле Hcl.txt на компакт-диске Windows 2000 Server.

Система Windows обнаруживает модемы автоматически, что особенно удобно пользователям, которые не знают, какой модем установлен в их компьютере (например, если это внутренний модем). Для установления телефонного подключения можно использовать общедоступные сетевые модемы (при помощи программного обеспечения сторонних производителей).

Создание телефонного подключения. Для создания телефонного подключения:

1. Выполните двойной щелчок в папке Сеть и удаленный доступ к сети на значке Создание нового подключения (Make New Connection) и нажмите кнопку Далее (Next).
2. Установите переключатель Телефонное подключение к частной сети (Dial-up to private network), нажмите кнопку Далее и следуйте командам Мастеpa сетевого подключения (Network Connection Wizard), которому нужно будет указать номер телефона (рис. 16.15) и прочие параметры подключения.



Рис. 16.15. Окно программы-мастера сетевых подключений


Копирование телефонного подключения. В контекстном меню телефонного, VPN- или прямого подключения в папке Сеть и удаленный доступ к сети выберите команду Создать копию (Duplicate).

Примечание

  • Подключения к ЛВС и входящие подключения нельзя копировать.
  • Можно создать сколько угодно коммутируемых, VPN- или прямых подключений, копируя их в папке Сеть и удаленный доступ к сети. Можно также переименовывать и настраивать их, создавая отдельные подключения для различных модемов, поставщиков услуг Интернет, параметров набора номера и т. д.

Настройка модема для телефонного подключения. Чтобы настроить модем для телефонного подключения:

1. В папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите команду Свойства (Properties).
2. В списке Подключить через (Connect using) выберите модем, который необходимо настроить, и нажмите кнопку Настроить (Configure).
3. В группе Параметры оборудования (Hardware features) установите флажки для разрешения необходимых функций (аппаратное управление потоком, обработка ошибок модемом или сжатие данных модемом, рис. 16.16).
4. В группе Инициализация (Initialization) установите флажки для выбора тех параметров, которые необходимо разрешить (вывод окна терминала и сценарий).
5. Если требуется активизировать динамик модема, установите флажок Включить динамик модема (Enable modem speaker).

Примечание

  • Чтобы гарантировать совместимость, желательно использовать тот же тип модема, что и на сервере удаленного доступа, выбрать ту же начальную скорость и разрешить те же функциональные возможности оборудования; Если используется другая модель модема, то, по крайней мере, необходимо выбрать модем с поддержкой тех же стандартов ITU-T, что поддерживаются модемом на сервере.
  • Разрешение функциональных возможностей, не поддерживаемых модемом; не влияет на его производительность.



Рис. 16.16. Настройка модема для подключения

 

16.15.gif

Изображение: 

16.16.gif

Изображение: 

14. Прямые подключения

 

Прямые подключения

Папка Сеть и удаленный доступ к сети позволяет создавать физическое соединение с другим компьютером через последовательный кабель, кабель прямого параллельного подключения (DirectParallel), модем, устройство ISDN или другим способом. Например, можно объединить две (или больше) физически не связанные сети, находящиеся в одном здании.

Примечание

Создание прямого подключения с помощью мастера сетевых подключений возможно только на компьютере, не входящем в домен; иначе нужно использовать службу маршрутизации и удаленного доступа (RRAS).

Если требуется доступ к ресурсам обеих сетей с одного компьютера, можно использовать последовательное подключение по нуль-модемному кабелю RS-232C (кабель длиной до 15 м). Подключив кабель RS-232C к СОМ-портам компьютера и сервера удаленного доступа, можно предоставить доступ к сети.

Драйвер прямого параллельного порта поддерживает подключения "компьютер компьютер", используя стандартные и расширенные параллельные порты, соединенные параллельными кабелями разного типа.

Примечание

Чтобы создавать или изменять прямое подключение, необходимо иметь полномочия администратора.

Создание прямого сетевого подключения. Для создания прямого сетевого подключения:

1. В папке Сеть и удаленный доступ к сети дважды щелкните на значке Создание нового подключения (Make New Connection) и нажмите кнопку Далее (Next).
2. Установите переключатель Прямое подключение к другому компьютеру

(Connect directly to another computer), нажмите кнопку Далее, затем следуйте подсказкам мастера сетевого подключения (Network Connection Wizard) (рис. 16.17).

Примечание

Чтобы создать прямое сетевое подключение, делающее компьютер ведомым (host), нужно иметь полномочия администратора. Ведущее (guest) прямое сетевое подключение не требует полномочий администратора.

После создания подключения его значок появляется в папке Сеть и удаленный доступ к сети ведомого компьютера как Входящее подключение.

Можно создавать множество прямых подключений копированием в папке Сеть и удаленный доступ к сети, переименовывать и настраивать их, легко адаптируя под разные нужды.

Прямые подключения могут обходиться без аутентификации (для этого нужно настроить входящее подключение на ведомом компьютере). Это полезно для устройств, подобных palmtop-компьютерам.



Рис. 16.17. Создание прямого подключения


Если создается прямое подключение через последовательный кабель RS-232C, то порт, выбранный при создании нового подключения, будет разрешен для подключения с использованием нуль-модема.

Если пользователь имеет в системе полномочия администратора, то при создании прямого подключения ему будет предоставлен список устройств для выбора, включая параллельные порты данного компьютера, установленные и разрешенные порты инфракрасной связи и последовательные порты. Если пользователь вошел в систему как обычный пользователь, то при создании прямого подключения список устройств будет включать параллельные порты, установленные и разрешенные порты инфракрасной связи и только те последовательные порты, которые администратор сконфигурировал для использования с нуль-модемом. Если для прямого подключения требуется CQM-порт, попросите администратора настроить один из коммуникационных портов на этом компьютере на работу с нуль-модемом, используя Параметры телефона. и модема (Phone & Modem Properties) на панели управления

 

16.17.gif

Изображение: 

15. Входящие подключения

 

Входящие подключения

При наличии входящего подключения компьютер под управлением Windows 2000 может служить сервером удаленного доступа. Можно создавать входящие подключения для приема вызовов посредством: телефонного подключения (модем, ISDN, X.25), виртуальной частной сети (РРТР, L2TP) или прямого подключения (последовательный, параллельный кабель, инфракрасная связь). Для Windows 2000 Professional входящее подключение может

принимать до трех входящих вызовов для каждого из указанных типов средств. На Windows 2000 Server число входящих вызовов ограничено только возможностями компьютера (его аппаратным обеспечением).

Для настройки нескольких модемов или адаптеров ISDN на работу со входящими телефонными подключениями можно использовать возможности многоканальной связи (multilink).

При создании подключения определяются пользователи, которые могут соединяться с данным входящим подключением, и сетевые протоколы, по которым они могут работать. Для каждого пользователя, подключающегося к входящему подключению, должна существовать локальная учетная запись.

Примечание

  • При большом количестве входящих подключений на компьютере под управлением Windows 2000 Server, который входит в состав корпоративной сети или является контроллером домена, для управления сервером удаленного доступа нужно использовать оснастку Маршрутизация и удаленный доступ (Routing and Remote Access) Windows 2000 Server.
  • Чтобы создать входящее подключение, необходимо иметь полномочия администратора.

Клиенты входящих подключений. Windows 2000 поддерживает подключение к входящему подключению клиентов следующих операционных систем (помимо клиентов Windows 2000):

Клиенты Windows NT 4.0 — могут использовать все возможности входящего подключения, кроме динамического распределения многоканального соединения, расширяемого протокола аутентификации (ЕАР), клиента защиты передаваемых данных IPSec, а также L2TP для туннелирования через глобальные сети.
Клиенты Windows NT 3.1, 3.5 и 3.51 — могут использовать те же возможности входящего подключения, что и клиенты Windows NT 4.0, кроме многоканальных функциональных возможностей. Клиент Windows NT 3.1 не поддерживает протокол двухточечного соединения (РРР), введенный в Windows NT 3.5.
Клиенты Windows 98— могут использовать все возможности входящего подключения, кроме динамического распределения многоканального подключения и расширяемого протокола аутентификации (ЕАР).
Клиенты Windows 95 — могут использовать все возможности входящего подключения, кроме многоканального соединения, динамического распределения многоканального соединения и расширяемого протокола аутентификации (ЕАР).
Клиенты Macintosh— могут соединяться с Windows2000 Server и обращаться к файловым томам и принтерам Macintosh и AppleTalk, используя

протокол удаленного доступа AppleTalk (ARAP). Поддерживаются клиенты удаленного доступа AppleTalk 1.0, 2.x и 3.x

Клиенты Windows for Workgroups, MS-DOS и LAN Manager— Windows 2000 Server поставляется с Microsoft Network Client for MS-DOS и TCP/IP-32 for Windows for Workgroups, которые поддерживают удаленный доступ. Поставляемые самостоятельно продукты Windows for Workgroups и LAN Manager также могут соединяться с входящим подключением. Чтобы использовать полную систему переадресации, необходимо установить Microsoft Network Client for MS-DOS (настройка по умолчанию). Если используется базовая (basic) система переадресации, удаленный доступ не сможет использовать программу rasphone, а входящее подключение не сможет быть установлено. Компьютеры под управлением Windows for Workgroups, MS DOS и LAN Manager могут, используя удаленный доступ, обращаться через шлюз NetBIOS к серверам NetBIOS, использующим TCP/IP, IPX или NetBEUI, но не могут выполнять приложения, использующие TCP/IP или IPX на клиентской стороне. Эти клиенты также не поддерживают протокол РРР, введенный в Windows NT 3.5.
Клиенты РРР. Клиенты РРР под управлением ОС сторонних поставщиков, использующие TCP/IP, IPX, NetBEUI или ARAP, могут устанавливать входящее подключение. Входящее подключение автоматически аутентифицирует клиентов РРР; специальные настройки РРР для таких клиентов не требуются.

Создание входящего подключения. Для создания входящего подключения;

1. В папке Сеть и удаленный доступ к сети дважды щелкните на значке Создание нового подключения (Make New Connection) и нажмите кнопку Далее (Next).
2. Выберите положение Принимать входящие подключения (Accept incoming connections) переключателя, нажмите кнопку Далее и следуйте командам мастера, которому надо указать используемые для установления входящих подключений устройства (рис. 16.18).

Примечание

  • Если при создании входящего сетевого подключения повторно используется мастер сетевых подключений, то изменяются настройки существующего входящего сетевого подключения.
  • Чтобы создавать входящие сетевые подключения, необходимо иметь полномочия администратора. .
  • Если входящее подключение и Microsoft Fax некорректно работают совместно, например звонки не принимаются через модем, разрешенный для приема факсов, может оказаться, что модем не поддерживает адаптивный ответ. Изучите документацию модема, чтобы проверить возможность адаптивного ответа. Возможно, для корректной работы со входящим подключением-фй-дется запретить работу с факсом.



Рис. 16.18. Создание входящего подключения


Предоставление разрешений на установление входящего подключения. Для предоставления разрешения на установление входящего подключения:

1. В папке Сеть и удаленный доступ к сети в контекстном меню значка Входящие подключения (Incoming Connections) выберите команду Свойства (Properties).
2. Перейдите на вкладку Общие (General) и выполните одно или несколько следующих действий:
  • В списке Устройства (Devices) установите флажки устройств, через которые может быть установлено входящее подключение.
  • Если выбрано более одного устройства и нужно разрешить многоканальную связь, то установите флажок Многоканальное подключение (Enable mulitlink).
  • По необходимости выберите флажок Разрешить другим пользователям устанавливать частные подключения к моему компьютеру с помощью туннеля в Интернете или в другой сети (Allow others to make private connections to my computer by tunneling through the Internet or other network).
  • Если значок должен отображаться на панели задач, когда входящее подключение установлено, установите флажок Вывести значки соединений на панель задач (Show icons on taskbar when connected).
3. На вкладке Пользователи (Users) выполните одно или несколько следующих действий:
  • Чтобы разрешить пользователю производить подключение, установите флажок рядом с его именем.
  • Чтобы запретить пользователю производить подключение, снимите флажок рядом с его именем.
  • Чтобы добавить пользователя, имеющего разрешение для подключения, нажмите кнопку Новый (New).
  • Чтобы удалить пользователя, нажмите кнопку Удалить (Delete).
  • Чтобы изменить имя пользователя, пароль и разрешение ответного вызова сервера, нажмите кнопку Свойства (Properties).
  • Если требуется, чтобы все пользователи подключались с надежно зашифрованными паролями и данными, установите флажок Все пользователи должны держать в секрете свои пароли и данные (Require all users to secure their passwords their passwords and data).
  • Если требуется, чтобы устройство, соединенное напрямую\ можно было подключать без указания пароля, установите флажок Всегда разрешать подключение без пароля устройствам с прямым соединением, таким как карманные компьютеры (palmtop PC) (Always allow directly connected devices such as palmtop computers to connect without providing a password).
4. На вкладке Сеть (Networking) выполните одно или несколько следующих действий:
  • Чтобы разрешить функционирование сетевого компонента, в списке сетевых компонентов установите флажок рядом с названием компонента.
  • Чтобы запретить функционирование сетевого компонента, в списке сетевых компонентов снимите флажок рядом с названием компонента.
  • Чтобы добавить сетевой компонент, нажмите кнопку Установить (Install).
  • Чтобы удалить сетевой компонент, нажмите кнопку Удалить (Uninstall).
  • Чтобы сконфигурировать сетевой компонент, нажмите кнопку Свойства (Properties).

Примечание

  • Если на вкладке Пользователи доступ к входящему подключению разрешен, то теоретически, не дать пользователю установить входящее подключение могут другие факторы: учетная запись пользователя может быть запрещена или заблокирована, попытка подключения произведена вне дозволенного времени и т. п.
  • Чтобы изменить входящее подключение, необходимо иметь полномочия администратора.
  • Если протоколы TCP/IP, NetBEUI, ARAP или NWLINK (PX/SPX/NetBIOS/ Compatible Transport Protocol будут разрешены или запрещены для какого-либо входящего подключения, то параметры настройки этих протоколов воздействуют только на входящие подключения. Другие протоколы, например AppleTalk, разрешаются или запрещаются сразу же для всех типов подключения.

Настройка входящего подключения для использования TCP/IP. Чтобы настроить входящее подключение для использования TCP/IP:

1. В папке Сеть и удаленный доступ к сети в контекстном меню значка Входящие подключения (Incoming Connections) выберите пункт Свойства (Properties).
2. На вкладке Сеть (Networking) в списке выберите пункт Протокол Интер-иета (TCP/IP) (Internet Protocol (TCP/IP)) и нажмите кнопку Свойства. Если требуется, чтобы звонящие пользователи могли обращаться к локальной сети, в которой находится данный компьютер, установите флажок Разрешить звонящим доступ к локальной сети (Allow callers to access my local area network).
3. Выполните одно из следующих действий:
  • Если нужно автоматически назначить адрес TCP/IP, выберите переключатель Назначать адреса TCP/IP автоматически по DHCP (Assign

    TPC/IP addresses automatically using DHCP).

  • Если нужно задать адреса TCP/IP вручную, выберите переключатель Указать адреса TCP/IP явным образом (Specify TCP/IP addresses), в поле С (Start address) введите IP-адрес начала диапазона, а в поле По (End address) — IP-адрес конца диапазона.
4. Чтобы входящие подключения могли бы использовать конкретный адрес TCP/IP, установите флажок Разрешить звонящему указать свой адрес IP

(Allow calling computer to specify its own IP address).

Настройка входящего соединения для использования IPX. Чтобы настроить входящее соединение для использования IPX:

1. В папке Сеть и удаленный доступ к сети в контекстном меню значка Входящие подключения выберите пункт Свойства.
2. На вкладке Сеть в списке выберите NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол и нажмите кнопку Свойства.
3. Чтобы звонящие пользователи могли обращаться к локальной сети, в которой находится данный компьютер, установите флажок Разрешить звонящим доступ к локальной сети.
4. Чтобы постоянно использовался один и тот же сетевой номер, установите флажок Присвоить единый номер сети всем компьютерам (Assign same network number to all computers) и выполните одно из следующих действий:
  • Чтобы входящее .соединение использовало протокол RIP для определения сетевого номера IPX, который не используется в сети, выберите

    положение переключателя Назначить номер сети автоматически (Assign network number automatically).

  • Чтобы управлять назначением сетевого номера вручную в целях безопасности или управления, выберите положение переключателя Назначить указанный номер сети (Assign specified network number) и введите

    номер сети.

5. Если нужно задавать различные сетевые номера, снимите флажок Присвоить единый номер сети всем компьютерам и выполните одно из следующих действий:
  • Для назначения уникальных номеров сетей установите переключатель Назначать номера сети последовательно из (Assign network numbers sequentially from) и введите первый номер сети. Сетевые номера будут назначаться последовательно, начиная с этого номера.
  • Если нужно, чтобы входящие соединения могли использовать определенные ими номера узлов, установите флажок Разрешать звонящим указывать их собственные номера узлов (Allow callers to specify their own node numbers).

Примечание

Разрешение удаленным клиентам выбирать собственные номера узлов — потенциальная угроза для безопасности сети: клиент может притвориться подключавшимся ранее клиентом и получить доступ к сетевым ресурсам, к которым обращался другой клиент.

 

При изменении состояния флажка Разрешить звонящим доступ к локальной сети или Разрешать звонящим указывать их собственные номера узлов изменение немедленно вступает в силу.

При изменении состояния флажка (и переключателей) Присвоить единый номер сети всем компьютерам, Назначить номер сети автоматически или Назначить указанный номер сети изменение вступает в силу, как только не окажется ни одного подключенного вызывающего абонента.

Настройка ответного вызова для входящих соединений. Чтобы настроить ответный вызов для входящих соединений:

1. В папке Сеть и удаленный доступ к сети в контекстном меню значка Входящие подключения выберите пункт Свойства.
2. На вкладке Пользователи (Users) выберите пользователя, для которого необходимо настроить ответный вызов, и нажмите кнопку Свойства.
3. На вкладке Ответный вызов сервера (Callback) выполните одно из следующих действий:
  • Если не нужно использовать ответный вызов для входящих соединений, выберите положение переключателя Запретить ответный вызов (Do not allow callback).
  • Чтобы разрешить входящим соединениям определять настройки номера, выберите переключатель Звонящий может выбирать номер ответного вызова (Allow the caller to set the callback number).
  • Чтобы использовать конкретный номер, выберите переключатель Только этот номер для ответного вызова (Always use the following callback number) и введите номер.

 

16.18.gif

Изображение: 

16. Настройка подключений

 

Настройка подключений

Подключения к сети и удаленного доступа к сети можно настраивать. Параметры настройки телефонного соединения, например номер телефона подключения, число попыток повторного набора и т. д., задаются для каждого подключения. Они являются атрибутами подключения и не действуют на настройку других подключений. Например, можно создать коммутируемое подключение, которое пытается дозвониться до занятого сервера 15 раз. Можно создать второе коммутируемое подключение, которое пытается дозваниваться до более свободного сервера. Настройка повторного набора для первого подключения не повлияет на параметры повторного набора второго подключения — они автономны, т. е. вне собственных параметров телефонного подключения настройка не требуется.

Однако некоторые параметры сетевых подключений могут воздействовать на другие подключения. Например, если добавить протокол AppleTalk к списку протоколов для одного подключения, этот протокол также будет доступен другим подключениям на том же компьютере.

Можно изменять параметры настройки и переименовывать подключение, даже когда оно установлено. Однако, чтобы изменения вступили в силу, подключение нужно повторно установить.

Каждое подключение создается с общими параметрами настройки, предоставляющими минимальную информацию, необходимую для успешного установления подключения. Эти параметры отражены на вкладке Общие (General): например, для локального подключения достаточно указать сетевой адаптер, для телефонного подключения — устройство для подключения, код города, номер телефона и код страны.

Для исходящего подключения можно задавать дополнительные настройки на вкладках Параметры (Options), Безопасность (Security), Сеть (Networking), Общий доступ (Shared Access). Для входящего подключения можно устанавливать дополнительные настройки на вкладках Пользователи (Users) и Сеть (Networking).

Для улучшения производительности подключений можно дополнительно настраивать параметры в окне команды Дополнительные параметры (Advanced Settings) меню Дополнительно (Advanced) папки Сеть и удаленный доступ к сети. Например, Windows 2000 получает доступ к службам доступа к сети и протоколам в порядке, установленном в этом окне. Если локальному подключению разрешено обращаться к Novell NetWare и сетям Microsoft Windows, использующим TCP/IP и IPX, но базовым подключением является подключение к сети Microsoft Windows с использованием TCP/IP, можно переместить опцию Сеть Microsoft Windows (Microsoft Windows Network) в начало списка Службы доступа к сети (Network Providers) на вкладке Порядок служб доступа (Provider Order) и переместить Протокол Интернета (TCP/IP) (Internet Protocol (TCP/IP)) в начало списка Служба доступа к файлам и принтерам сетей Microsoft (File and Printer Sharing for Microsoft Networks) на вкладке Адаптеры и привязки (Adapters and Bindings). Изменяя порядок провайдеров и порядок протоколов, можно улучшить производительность работы.

Дополнительные возможности настройки набора номера, позволяющие упростить конфигурирование телефонного подключения, приведены в табл. 16.4.

Таблица 16.4. Настройка параметров телефонного подключения

Функциональные возможности набора номера

Функция

Ответный вызов сервера

(CallBack)

Уменьшает затраты на телефонную связь с помощью сервера, производящего ответный вызов

Автонабор номера (Autodial)

Помнит сетевые адреса, что позволяет автоматически производить подключение, когда приложение или команда, введенная в командной строке, обращается к удаленной сети

Использование нескольких устройств (Dial multiple devices)

Объединяет несколько физических соединений, что увеличивает общую ширину полосы пропускания для этого подключения, и динамически устанавливает и разрывает подключения внутри многоканального подключения по требованию

Модификаторы телефонного номера (Phone number modifiers)

Символы, делающие набор номера более гибким (функции: пауза, приостановка набора номера до ввода требуемых данных и т. д.)

Параметры повторного звонка

(Redial options)

Определяют, сколько раз автоматически повторно будет производиться подключение, если сервер удаленного доступа недоступен. Можно также настроить эту функциональную возможность для повторного звонка в случае разрыва подключения

Дополнительные номера телефонов (Multiple phone numbers)

Назначение более одного номера телефонному подключению. Это полезно, если производится подключение к модемному пулу, содержащему ряд телефонных номеров

Набор номера через оператора

(Operator-assisted dialing)

Отменяет автоматическое подключение в случае, если требуется вмешательство пользователя (оператора). Например, это нужно при звонке через коммутационный узел с ручным управлением

Примечание

Можно конфигурировать параметры телефонных подключений, применяемые ко всем подключениям в пределах одного местоположения (например, набор "9" для выхода на внешнюю линию, использование импульсного или тонального набора номера и т. д.), с помощью опции Параметры телефона и модема (Phone and Modem options) из панели управления.

 

17. Параметры повторного набора

 

Параметры повторного набора

Можно задать количество повторных попыток подключения к серверу удаленного доступа. Можно также настроить повторное автоматическое подключение в случае разрыва связи.

По умолчанию телефонное подключение совершает попытки подключения 3 раза подряд через 1 мин, если соединение с сервером удаленного доступа по какой-либо причине невозможно. Также, по умолчанию, подключение может неопределенно долго бездействовать и не будет повторно устанавливаться при обрыве связи.

Чтобы настроить параметры повторного набора номера:

1. В папке Сеть и удаленный доступ к сети в контекстном меню телефонного подключения выберите пункт Свойства (Properties).
2. На вкладке Параметры (Options) (рис. 16.19) счетчик Число повторений

набора номера (Redial attempts) установите в значение, соответствующее числу автоматических попыток подключения при неудачном вызове.

3. В списке Интервал между повторениями (Time between redial attempts) задайте продолжительность паузы между концом одной попытки и началом другой.
4. В списке Время простоя до разъединения (Idle time before hanging up) задайте длительность простоя, после которого необходимо разорвать подключение.
5. Если требуется, чтобы подключение автоматически восстанавливалось после обрыва связи, установите флажок Перезвонить при разрыве связи (Redial if line is dropped).

Примечание

Функция повторного набора номера при обрыве работает только при запущенной службе Диспетчера автоподключений удаленного доступа (Remote Access Auto Connectrion Manager). Для ее запуска можно воспользоваться оснасткой Службы (Services).

Пауза между звонками позволяет устройству произвести инициализацию непосредственно перед повторным набором. Значение по умолчанию — 1 мин. Если этого недостаточно, увеличьте значение. Можно также экспериментировать с более короткими паузами, но при слишком короткой паузе устройству не хватит времени на сброс.

Не забывайте, что сервер удаленного доступа тоже может иметь установку по тайм-ауту. Если значение параметра Время простоя до разъединения достаточно велико, нет гарантии, что подключение не будет разорвано до истечения этого времени — сервер может разорвать подключение, руководствуясь собственными настройками.



Рис. 16.19. Настройка параметров набора номера

 

16.19.gif

Изображение: 

18. Настройка многоканального соединения

 

Настройка многоканального соединения

Возможность многоканальной связи для подключений с использованием РРР позволяет устанавливать соединения через несколько линий ISDN,

Х.25 или телефонных линий. Эта возможность позволяет объединить множественные физические линии связи в единый логический канал. Полученное составное соединение имеет суммарную ширину полосы пропускания, равную сумме полос пропускания входящих в него каналов. Чтобы устанавливать соединения через несколько устройств, как клиент, так и сервер удаленного доступа должны иметь возможность многоканальной связи (multilink), и эта возможность должна быть разрешена.

Подключения динамически управляют многоканальными линиями, т. е. линии используются только тогда, когда они реально требуются. Следовательно, ширина полосы пропускания многоканального соединения в случае необходимости будет автоматически уменьшена. Настраивая параметры подключений, можно сконфигурировать состояния, при которых дополнительные линии подключаются, а недогруженные линии отключаются.

Если для подключения к серверу удаленного доступа, который требует ответного вызова, используется многоканальная связь, то только одно из их устройств в составе многоканального соединения произведет ответ. Причина в том, что в учетной записи пользователя можно записать только один номер. Следовательно, только одно устройство установит соединение, а все другие устройства будут не в состоянии завершить установление соединения, и соединение потеряет функциональные возможности многоканального соединения. Этой проблемы можно избежать:

Если запись телефонной книги для многоканального соединения использует модем стандартной конфигурации, а сервер удаленного доступа имеет многоканальный телефонный номер (то есть более одной телефонной линии на один номер телефона).
Если запись телефонной книги для многоканального соединения служит для подключения к номеру ISDN с двумя каналами, которые имеют один и тот же телефонный номер.

Для разрешения установления соединения при помощи нескольких устройств:

1. В папке Сел. и удаленный доступ к сети в контекстном меню соединения выберите пункт меню Свойства.
2. На вкладке Параметры (Options) в группе Использование нескольких устройств (Multiple devices) выполните одно из следующих действий:
  • Если требуется, чтобы ОС Windows 2000 устанавливала соединение только через первое доступное устройство, выберите в списке Задействовать первое из доступных устройств (Dial only first available device).
  • Если требуется, чтобы ОС Windows 2000 использовала все устройства, выберите в списке Задействовать все устройства (Dial all devices).
  • Если требуется, чтобы ОС Windows 2000 динамически набирала номер и разрывала соединение, только когда это нужно, выберите в списке

    Лишь необходимые устройства (Dial devices only as needed) и нажмите кнопку Настроить (Configure).

  • В группе Автоматическое подключение (Automatic dialing) задайте значения активности (в процентах) в поле Активно не менее (Activity at least) и продолжительности (не менее) в поле Продолжительность не менее (Duration at least). Будет осуществлено соединение при помощи дополнительной линии, если активность соединения достигает этого уровня в течение заданного количества времени.
  • В группе Автоматический разрыв соединения (Automatic hangup) задайте значения активности в поле Активно не более (Activity no more than) и продолжительности (не менее) в поле Продолжительность не менее. Устройство разорвет соединение, когда активность соединения уменьшится до указанного уровня и продержится по крайней мере заданное количество времени.

Примечание

Если выбрана опция Лишь необходимые устройства, то последнее использованное устройство игнорирует установку Автоматический разрыв соединения, и вместо этого задается значение 20-минутного тайм-аута.

 

19. Настройка подключения

 

Настройка подключения

Для настройки подключения в папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите команду Свойства и выполните одно или несколько действий:

Чтобы настроить устройство, номера телефона, адрес узла, код страны или правила набора номера, перейдите на вкладку Общие (General).
Чтобы настроить набор номера, повторный набор, многоканальное соединение или параметры Х.25, перейдите на вкладку Параметры (Options).
Чтобы настроить аутентификацию, шифрование данных или терминальное окно и параметры сценариев, перейдите на вкладку Безопасность (Security).
Чтобы настроить сервер удаленного доступа и протоколы, используемые для этого подключения, перейдите на вкладку Сеть (Networking).
Чтобы разрешить или запретить совместное иЬпользование подключения и набор номера по требованию, перейдите на вкладку Общий доступ (Shared Access).

Примечание

В зависимости от типа подключения отображаются различные параметры настройки. Например, для локального подключения будет видна только вкладка Общие.

 

20. Настройка TCP/IP

 

Настройка TCP/IP

Чтобы настроить протокол TCP/IP для подключения:

1. В папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите пункт Свойства и выполните одно из следующих действий:
  • Если подключение является подключением к ЛВС, то в списке Отмеченные компоненты используются этим подключением (Components checked are used in this connection) выберите элемент Протокол Интернет (TCP/IP) (Internet Protocol (TCP/IP)) и нажмите кнопку Свойства.
  • Если подключение является коммутируемым, VPN- или входящим подключением, то на вкладке Сеть (Networking) в списке Отмеченные компоненты используются этим подключением (Components checked are used in this connection) выберите элемент Протокол Интернет (TCP/IP) (Internet Protocol (TCP/IP)) и нажмите кнопку Свойства.
2. Выполните одно из следующих действий:
  • Чтобы параметры настройки IP были назначены автоматически, выберите положение переключателя Получить IP-адрес автоматически (Obtain an IP address automatically) и нажмите кнопку ОК.
  • Чтобы задать определенный IP-адрес или адрес сервера DNS:

    установите переключатель Использовать следующий IP-адрес (Use

    following IP address) и в поле IP-адрес (IP address) введите нужный IP-адрес;

    установите переключатель Использовать следующие адреса DNS-cep-веров (Use following DNS server addresses) и в полях Предпочитаемый DNS-сервер (Preferred DNS server) и Альтернативный DNS-сервер

    (Alternate DNS server) введите адреса первичного и вторичного серверов DNS.

3. Чтобы настроить параметры DNS, WINS и прочие параметры, нажмите кнопку Дополнительно (Advanced).

Автоматическую настройку IP-адресов (DHCP) желательно использовать всегда, когда это возможно, по следующим причинам:

Dynamic Host Configuration Protocol (Протокол автоматического конфигурирования хостов, DHCP) разрешен по умолчанию.
Если расположение компьютеров изменилось, не требуется производить различные настройки IP, поскольку все действия производятся автоматически.
Автоматическая настройка IP может использоваться для всех типов подключений, следовательно, не требуется настройка различных параметров этих подключений, например адресов DNS, WINS и т. д.

 

21. Автоматический набор номера

 

Автоматический набор номера

Для настройки повторного набора номера при разрыве соединения:

1. В меню Дополнительно папки Сеть и удаленный доступ к сети выберите пункт Параметры удаленного доступа (Dial-up Preferences).
2. На вкладке Автонабор номера (AutoDial) установите флажок, соответствующий тому местоположению, для которого нужно разрешить автонабор, и нажмите кнопку ОК.

 

22. Настройка номера телефона

 

Настройка номера телефона

Для настройки номера телефона:

1. В папке Сеть и удаленный доступ к сети в контекстном меню соединения выберите пункт Свойства.
2. Введите номер телефона, используя один или более знаков из приведенного списка (табл. 16.5).

Таблица 16.5. Модификаторы набора номера

Знак

Функция

, (запятая)

Короткая пауза (2 секунды для большинства модемов)

Р

Переключает набор номера с тонового на импульсный

Т

Переключает набор номера с импульсного на тоновый

$

Ожидание гудка для ввода номера телефонной карты

Например, если номер телефона набирается в офисе с установленной офисной АТС, вероятно, к нему придется добавить "9" для выхода на внешнюю линию. В результате номер может выглядеть, например, так:

9,123-4567.

Запятая после "9" дает паузу, достаточную чтобы выйти на внешнюю линию перед набором оставшейся части номера.

 

23. Назначение нескольких телефонных номеров одному подключению

 

Назвачение нескольких телефонных номеров одному подключению

Для назначения нескольких телефонных номеров одному подключению:

1. В папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите команду Свойства.
2. На вкладке Общие нажмите кнопку Другой (Alternates).
3. Если нужно, чтобы набирались разные номера в случае, если попытка звонка по первому номеру в списке не удалась, установите флажок При сбое пытаться соединиться по следующему номеру (If number fails try next number).
4. Если нужно, чтобы первый успешный номер перемещался в начало списка телефонных номеров и использовался в следующий раз при попытке подключения, установите флажок Переносить успешно набранный номер в начало списка (Move successful number to top of list) (рис. 16.20).
5. Чтобы добавить к списку новый телефонный номер, нажмите кнопку Добавить (Add) и в поле Номер телефона (Phone number) введите номер телефона. Чтобы использовались заданные код города и правила набора номера, установите флажок Использовать правила набора номера (Use area code and dialing rules). По окончании добавления нового телефонного номера нажмите кнопку ОК.
6. Если требуется изменить положение или удалить телефонный номер из списка, выберите нужный номер и нажмите кнопку со стрелкой вверх (вниз) или кнопку Удалить (Delete).

Примечание

Если известен дополнительный номер телефона для данного подключения, то его можно задать во время подключения.



Рис. 16.20. Назначение нескольких номеров подключению

 

16.20.gif

Изображение: 

24. Ручной набор номера

 

Ручной набор номера

Для разрешения ручного набора номера:

1. В меню Дополнительно папки Сеть и удаленный доступ к сети выберите команду Набор номера через оператора (Operator-Assisted Dialing).
2. Дважды щелкните на соединении, которое требуется установить. Поднимите телефонную трубку и наберите нужный номер или попросите оператора сделать это. Номер, назначенный соединению, отображается в диалоговом окне для справки.
3. Сразу после того, как набор номера закончен, нажмите кнопку Вызов (Dial) и положите трубку (после того, как модем поднимет трубку и возьмет управление линией на себя). Лучше всего класть трубку, как только коммутируемое соединение начнет проверять имя пользователя и его пароль.

 

25. Просмотр состояния подключения

 

Просмотр состояния подключения

Об активном подключении можно получить информацию при помощи пункта Состояние (Status) его контекстного меню.

В окне Состояние можно просматривать:

Продолжительность подключения.
Начальное быстродействие.
Число байт, переданных (Sent) и полученных (Received) во время активности подключения, коэффициент сжатия (Compression) и количество ошибок (Errors).
Диагностические средства, которые можно применить к данному подключению. Например, Windows Network Troubleshooter, TCP/IP Autoping и TCP/IP Windows IP Configuration.

Для одноканального подключения и для индивидуальных подключений в многоканальном подключении быстродействие определяется во время установления подключения. Для многоканальных подключений быстродействие равно сумме скоростей индивидуальных подключений. Для многоканальных подключений быстродействие может изменяться, если подключения, входящие в его состав, будут удалены или будут добавлены новые подключения.

Если компьютер настроен на прием входящих подключений, значок подключения с именем пользователя, присвоенным этому подключению, автоматически появляется в папке Сеть и удаленный доступ к сети, как только данный пользователь подключается к компьютеру. Можно просматривать состояние входящего подключения, выбирая в его контекстном меню пункт Состояние.

Можно также управлять подключением, выбирая пункт Состояние меню Файл (File) или используя значок на панели задач. Если необходимо просмотреть общее состояние всех подключений, в меню Вид (View) выберите пункт Таблица (Details). Также можно разрывать активные подключения нажатием кнопки Отключить (Disconnect) в диалоговом окне Состояние (или при помощи команды Отключить или Запретить в контекстном меню подключения).

 

26. Протоколирование и просмотр команд модема

 

Протоколирование и просмотр команд модема

Для регистрации в журнале и просмотра команд модема:

1. На панели управления выберите опцию Параметры телефона и модема (Phone and modem options).
2. На вкладке Модемы (Modems) выберите модем, для которого нужно настроить регистрацию, и нажмите кнопку Свойства.
3. В открывшемся окне перейдите на вкладку Диагностика (Troubleshooting). В группе Ведение журнала (Logging) установите флажок Добавить в журнал (Append to the end of the log) (для Windows 2000 Professional) или Вести журнал (Record to log file) (для Windows 2000 Server).
4. Чтобы просмотреть журнал, нажмите кнопку Просмотр журнала (View Log). Процедура регистрации записывает команды, переданные модему, в файл %SystemRoot%\ModemLog_Model.txt, где Model — название модема в том виде, как оно отображено в списке установленных модемов на вкладке Модемы.

В Windows 2000 Professional регистрация включена всегда, а файл регистрации перезаписывается в начале каждого сеанса связи, если не установлен флажок Добавить в журнал. В Windows 2000 Server регистрация по умолчанию выключена, если не установлен флажок Вести журнал.

 

27. Безопасность

 

Безопасность

Для телефонных и VPN-подключений можно задавать различные методы аутентификации и уровни шифрования данных: в простейшем случае используются незашифрованные имена и пароли, в более сложных — специальные протоколы аутентификации (например, протокол ЕАР). ЕАР обеспечивает гибкую поддержку широкого диапазона методов аутентификации, включая такие механизмы, как жетонная карта (token card), одноразовый пароль и открытый ключ. Можно устанавливать шифрование данных в подключении в зависимости от выбранного уровня аутентификации пароля (MS CHAP или ЕАР). Наконец, можно настраивать параметры ответного вызова для повышения безопасности коммутируемого подключения.

 

28. Настройка ответного вызова

 

Настройка ответного вызова

Для настройки ответного вызова:

1. В меню Дополнительно (Advanced) папки Сеть н удаленный доступ к сети выберите пункт Параметры удаленного доступа (Dial-up Preferences).

Рис. 16.21. Настройка ответного вызова


2. На вкладке Ответный вызов сервера (Callback) выполните -одно из следующих действий (рис. 16.21):
  • Если ответный вызов не нужен, установите переключатель Ответный вызов не выполняется (No callback).
  • Если вопрос о том, нужен ответный вызов или нет, решается во время установления подключения, установите переключатель Иногда. Выдавать запрос при подключении к серверу (Ask me during dialing when the server offers).
  • Если требуется постоянно использовать ответный вызов, установите переключатель Всегда выполнять ответный вызов по указанным номерам (Always call me back at the number(s) below) и укажите модем или устройство, которое будет осуществлять ответный вызов.
3. Если для выбранного устройства поле Номер телефона (Phone numbe'r) не заполнено, нажмите кнопку Изменить (Edit) и введите нужный номер.
4. Если нужно удалить модем или устройство из списка устройств ответного вызова, укажите модем или устройство и нажмите кнопку Удалить (Delete).

Примечание

  • Разрешения ответного вызова задаются администратором. Администратор может запретить использование ответного вызова, разрешить пользователю устанавливать параметры ответного вызова или потребовать выполнить ответный вызов по заданному телефону.
  • Для того чтобы использовать ответный вызов, нужно установить флажок Включить расширения LCP (Enable LCP Extensions) в свойствах соединения (вкладка Сеть, кнопка Настройка, в окне Параметры РРР).

 

16.21.gif

Изображение: 

29. Настройка аутентификации и шифрования данных телефонного подключения

 

Настройка аутентификации и шифрования данных телефонного подключения

Для настройки аутентификации и шифрования данных:

1. В папке Сеть и удаленный доступ к сети выберите команду Свойства контекстного меню телефонного подключения.
2. На вкладке Безопасность (Security) выполните одно из следующих действий:
  • Для применения заранее заданных комбинаций методов аутентификации и требований шифрования данных выберите положение Обычные (рекомендуемые параметры) (Typical (recommended settings)) переключателя и в списке Производить проверку с использованием (Validate my identity as follows) выберите метод проверки. В зависимости от выбора можно установить или снять флажки Использовать автоматически имя входа и пароль из Windows (и имя домена, если существует) (Automatically use my Windows logon name and password (and domain if any)) и Требуется шифрование данных (иначе отключаться) (Require data encryption (disconnect if none)). В табл. 16.6 показаны возможные комбинации параметров.
  • Для индивидуальной настройки и разрешения методов аутентификации и требований шифрования выберите положение переключателя

Дополнительные (особые параметры) (Advanced (custom settings)) и нажмите кнопку Настройка (Settings).

Примечание

Если флажок Требуется шифрование данных (иначе отключаться) не установлен, то шифрование необязательно. Чтобы запретить шифрование, выберите положение переключателя Дополнительные (особые параметры) и нажмите кнопку Настройка. В списке Шифрование данных (Data encryption) (рис. 16.22) выберите опцию не разрешено (отключиться, если требуется шифрование) (No encryption allowed (disconnect if server required encryption)).

Изменение параметров при выборе положения Дополнительные (особые параметры) переключателя требует знания протоколов безопасности.

Таблица 16.6. Возможные параметры настройки безопасности телефонного подключения

Значение в списке Производить проверку с использованием (Validate my identity as follows)

Состояние флажка Использовать автоматически имя входа и пароль из Windows (и имя домена, если существует) (Automatically use my Windows logon name and password (and domain if any)

Состояние флажка Требуется Шифрование данных (иначе отключаться)

(Require data encryption (disconnect if none))

Небезопасный пароль (Allow unsecured password)

Недоступен

Недоступен

Безопасный пароль

(Require secured password)

Доступен

Доступен

Смарт-карта

(Use smartcard)

Недоступен

Доступен

 

30. Настройка аутентификации и шифрования данных VPN-подключения

 

Настройка аутентификации и шифрования данных VPN-подключения

Чтобы настроить аутентификацию и шифрование данных для VPN-подключения:

1. В папке Сеть и удаленный доступ к сети выберите пункт Свойства контекстного меню VPN-соединения.
2. . На вкладке Безопасность (Security) выполните одно из следующих действий:
  • Для выбора заранее заданных комбинаций методов аутентификации и требований шифрования данных выберите положение Обычные

    (рекомендуемые параметры) (Typical (recommended settings) переключателя и в списке Производить проверку с использованием (Validate my identity as follows) выберите метод проверки. В зависимости от выбора можно установить или снять флажки Использовать автоматически имя входа и пароль из Windows (и имя домена, если существует) (Automatically use my Windows logon name and password (and domain if any) и Требуется шифрование данных (иначе отключаться) (Require data encryption (disconnect if none)). В табл. 16.7 показаны возможные комбинации параметров.

  • Для индивидуальной настройки и разрешения методов аутентификации и требований шифрования выберите положение Дополнительные (особые параметры) (Advanced (custom settings)) переключателя и нажмите кнопку Настройка (Settings).



Рис. 16.22. Настройка аутентификации и шифрования

Примечание

Если флажок Требуется шифрование данных (иначе отключаться) не установлен, то шифрование необязательно. Чтобы запретить шифрование, выберите положение Дополнительные (особые параметры) переключателя и нажмите кнопку Настройка (Settings). В списке Шифрование данных (Data encryption) выберите опцию не разрешено (отключиться, если требуется шифрование) (No encryption aHowed (disconnect if server required encryption)).

Изменение параметров при выборе положения Дополнительные (особые параметры) переключателя требует знания протоколов безопасности.

Таблица 16.7. Возможные параметры настройки безопасности VPN-подключеия

Значение в списке Производить проверку с использованием

(Validate my identity as follows)

Состояние флажка Использовать автоматически имя входа и пароль из Windows (и имя домена, если существует) (Automatically use my Windows logon name and password (and domain if any)

Состояние флажка Требуется шифрование данных (иначе отключаться) (Require data encryption (disconnect if none))

Безопасный пароль (Require secured password)

Доступен

Доступен (разрешен по умолчанию)

Смарт-карта

(Use smartcard)

Недоступен

Доступен (разрешен по умолчанию)

 

16.22.gif

Изображение: 

31. Разрешение аутентификации при помощи смарт-карты

 

Разрешение аутентификации при помощи смарт-карты

Для разрешения аутентификации при помощи смарт-карт:

1. В папке Сеть и удаленный доступ к сети выберите команду Свойства контекстного меню соединения.
2. На вкладке Безопасность выполните одно из следующих действий:
  • Для выбора заранее заданных комбинаций методов аутентификации и требований шифрования данных установите переключатель Обычные (рекомендуемые параметры) и в группе Производить проверку с использованием выберите вариант Смарт-карта (Use smartcard).
  • Для индивидуальной настройки и разрешения метддов аутентификации и требований шифрования установите переключатель Дополнительные (особые параметры), нажмите кнопку Настройка и выберите нужные значения.
3. В группе Безопасный вход (Logon security) выберите переключатель Расширяемый протокол идентификации (ЕАР) (Use Extensible Authentication Protocol (ЕАР) и в списке выберите вариант Смарт-карта или иной сертификат (шифрование включено) (Smartcard or other certificate (TLS) (encryption enabled)), затем нажмите кнопку Свойства и выполните следующие действия:
  • Если требуется использовать сертификат, находящийся на емарт-кар-те, выберите опцию использовать мою смарт-карту (Use my smartcard).
  • Если требуется использовать сертификат, постоянно находящийся на компьютере, выберите использовать сертификат на этом компьютере

    (Use a certificate on this computer).

  • Если требуется проверить, что серверный сертификат, предоставленный компьютеру, все еще действителен, установите флажок Проверять сертификат сервера (Validate server certificate).
  • Если нужно устанавливать соединения только с серверами в пределах заданного домена, установите флажок Подключаться только если имя сервера заканчивается на (Connect only if server name ends in) и введите имя домена.
  • Чтобы использовались только сертификаты, для которых задан центр сертификации (поставщик сертификатов), выберите в списке Доверенный корневой центр сертификации (Trusted root certificate authority) соответствующий центр сертификации.
  • Если имя пользователя отличается от полученного при помощи смарт-карты, или если имя пользователя в смарт-карте или в другом сертификате отличается от имени пользователя в домене, установите флажок Использовать для подключения другое имя пользователя (Use a different user name for the connection).

Примечание

Если, например, нужно устанавливать соединения только с серверами в домене MyFirm.com, введите MyFirm.com в поле Подключаться только если имя сервера заканчивается на.

 

32. Использование окна терминала и сценариев входа

 

Использование окна терминала и сценариев входа

При подключении к серверу удаленного доступа стороннего производителя может понадобиться предоставить информацию, для входа в систему в отдельном окне терминала. Данное подключение должно быть соответствующим образом настроено для использования этой возможности.

Существует два метода создания сценария автоматизации входа в систему при помощи терминала. Метод с использованием файла Switch.inf был разработан для ранних версий Windows NT. Можно также использовать более простой, чем Switch.inf, язык сценариев Windows 95.

 

33. Использование терминала для входа

 

Использование терминала для входа

При подключении к серверу РРР или SLIP удаленный компьютер, к которому производится подключение, может потребовать входа в систему с использованием терминального окна. При этом, после установления подключения к удаленной системе, в терминальном текстовом окне будет отображаться последовательность команд входа в систему на удаленном компьютере. Кроме того, можно автоматизировать процесс входа в систему, используя сценарий Switch.inf.

Примечание

Если удаленный, компьютер — сервер удаленного доступа Windows, то вход с использованием терминального окна не требуется. Процесс входа в систему полностью автоматизирован для пользователя.

Для разрешения входа при помощи терминала:

1. В папке Сеть и удаленный доступ к сети выберите пункт Свойства (Properties) контекстного меню сетевого подключения, затем на вкладке Безопасность (Security) установите флажок Вывести окно терминала (Show terminal window).
2. После подключения появляется окно Терминал после набора номера (After Dial Terminal window), в котором выполняется диалог с пользователем для входа в систему. После завершения входа на удаленный компьютер нажмите кнопку Готово (Done). После этого происходит аутентификация на сервере удаленного доступа.

Если последовательность входа в систему постоянна, можно написать сценарий, автоматически передающий информацию на удаленный компьютер во время входа в систему, что позволит полностью автоматизировать подключение.

Для задания сценария в папке Сеть и удаленный доступ к сети выберите пункт Свойства (Properties) контекстного меню подключения. На вкладке Безопасность (Security) установите флажок Сценарий (Execute script). Затем:

  Чтобы использовать существующий файл сценария, нажмите кнопку Обзор (Browse).
  Чтобы использовать файл Switch.inf, нажмите кнопку Изменить (Edit).

Примечание

Если вы нажали кнопку Изменить, и файл Switch.inf загрузился в программу Блокнот (Notepad), необходимо сразу же сохранить его с другим именем, чтобы не изменить исходный файл Switch.inf.

 

34. Сетевые коммуникации

 

Сетевые коммуникации

Сетевые протоколы, методы доступа и серверные протоколы обеспечивают взаимодействие между компьютером и сетью.

Независимо от того, передается ли информация от компьютера к серверу по прямому последовательному кабелю или по безопасному VPN-подключению

через поставщика услуг Интернета к корпоративной сети, для передачи информации используются различные комбинации методов доступа и протоколы (табл. 16.8).

Таблица 16.8. Используемые протоколы и методы доступа

Сетевые транспортные протоколы

TCP/IP, IPX/SPX, NetBEUI, AppleTalk

Методы доступа

Телефонные линии и модемы, ISDN, X.25, последовательный кабель (RS-232C), параллельный кабель (DirectParatlel)

Серверные протоколы

РРР, SLIP, РРТР, L2TP, ARAP, АТСР

 

35. TCP/IP

 

TCP/IP

Протокол управления передачей/Протокол Интернета (Transmission Control Protocol/Internet Protocol, TCP/IP) - наиболее популярный протокол, который является основой сети Интернет. Его возможности маршрутизации трафика обеспечивают максимальную гибкость в сетях в масштабе предприятия.

В сетях на базе TCP/IP необходимо выделять IP-адреса клиентам. Клиентам также может потребоваться наличие службы имен или другого метода разрешения имен (файлы HOSTS, LMHOSTS).

Назначение IP-адресов подключению. В Windows 2000 каждому удаленному компьютеру, подключающемуся к серверу удаленного доступа, который использует TCP/IP, выделяется IP-адрес. IP-адрес автоматически предоставляется службой DHCP или выбирается из статического диапазона, назначенного серверу удаленного доступа.

Если используется IP-адрес, заданный в конфигурации для данного телефонного подключения сервер удаленного доступа Windows 2000 должен быть настроен так, чтобы пользователям было разрешено запрашивать предопределенный адрес.

Разрешение имен для подключения. В дополнение к требованию выделения IP-адреса, сетевому или телефонному подключению в сети на основе TCP/IP может потребоваться механизм разрешения имен компьютеров в IP-адреса. В сети на базе Windows 2000 можно использовать четыре способа разрешения имен: службу доменных имен (Domain Name System, DNS), службу Интернет-имен Windows (Windows Internet Name System, WINS), широковещательное разрешение имен и разрешение имен с помощью файлов HOSTS и LMHOSTS.

Можно назначать подключению К сети и подключениям удаленного доступа к сети те же серверы имен WINS и DNS, которые назначены серверу уда ленного доступа. Параметры настройки сети TCP/IP и телефонного подключения могут отменить эти назначения по умолчанию. В малых сетях, где IP-адреса не изменяются, подключения к сети и подключения удаленного доступа к сети могут использовать файлы HOSTS или LMHOSTS для разрешения имен. Поскольку эти файлы размещены на локальном диске, не требуется передавать запрос на разрешение имен серверу WINS или серверу DNS и ждать ответ на этот запрос через телефонное подключение.

Утилиты Интернета. В состав утилит TCP/IP в Windows 2000 входят программы Ftp и Telnet. Ftp — консольная утилита, позволяющая устанавливать соединение с FTP-серверами и передавать файлы. Утилита Telnet — графическое приложение, позволяющее входить на отдаленные компьютеры и выполнять команды так, будто они введены с клавиатуры удаленного компьютера. Сюда же относится ряд диагностических утилит, например Ping, Tracert и PathPing. Эти утилиты позволяют проверять доступность удаленных компьютеров и диагностировать соединение. Утилита Ping — консольная программа, позволяющая по заданному имени или адресу определить время задержки передачи до указанного компьютера. Утилита Tracert диагностирует последовательность межсетевых соединений (хопов, hop) на пути между двумя компьютерами. Она показывает все маршрутизаторы на пути сигнала и указывает время задержки до каждого из них. Утилита PathPing вмещает в себя средства двух упомянутых утилит и .имеет дополнительные возможности.

 

36. IPX/SPX

 

IPX/SPX

Internetwork Packet Exchange/Sequenced Packet Exchange (Протокол обмена пакетами/Последовательный обмен пакетами, IPX/SPX) — протокол, изначально предназначенный для сетей на базе Novell NetWare.

В среде Windows компьютер должен использовать (помимо протокола IPX/SPX) редиректор (redirector) для NetWare, чтобы получить доступ к per сурсам Novell NetWare. На компьютерах под управлением Windows 2000 Professional этот редиректор называется Client Service for NetWare (CSNW, Клиентская служба для NetWare). На компьютерах под управлением Windows 2000 Server этот редиректор (не путать с Client Service!) входит в состав Gateway Service for NetWare (GSNW, Служба шлюза для NetWare).

Сервер удаленного доступа в Windows 2000 является и маршрутизатором IPX/SPX, и агентом SAP (Service Advertising Protocol, протокол объявления служб) (только для клиентов удаленного доступа к сети). Серверы удаленного доступа и клиенты удаленного доступа к сети используют протокол IPXCP (IPX Control Protocol, протокол конфигурации IPX для РРР) в соответствии с RFC 1552 для настройки линии удаленного доступа на использо : вание IPX/SPX. После того как сервер удаленного доступа настроен, он обеспечивает поддержку служб обмена файлами и печати и позволяет ис пользовать приложения Windows Sockets no IPX/SPX в сети NetWare совместно с подключениями к сети и удаленным доступом к сети.

Адресация IPX для удаленных клиентов. Клиентам сетевых и коммутируемых соединений адрес IPX всегда выдается сервером удаленного доступа. Номер сети IPX генерируется автоматически сервером удаленного доступа, либо серверу удаленного доступа задается статический пул сетевых номеров для назначения сетевым и коммутируемым соединениям.

Для автоматически сгенерированных номеров сети IPX сервер удаленного доступа под управлением Windows 2000 использует протокол RIP (Routing Information Protocol, Информационный протокол маршрутизации) для IPX NetWare, чтобы определить номер сети IPX, который не используется в сети IPX. Сервер удаленного доступа назначает этот номер соединению.

 

37. NetBEUI

 

NetBEUI

Расширенный интерфейс пользователя для NetBIOS (NetBIOS Extended User Interface, NetBEUI) подходит для использования в малых рабочих группах или несегментированных локальных сетях. Можно устанавливать шлюз NetBIOS (NetBIOS gateway) и клиентский протокол NetBEUI на всех серверах удаленного доступа Windows 2000 и на большинстве сетевых клиентов Windows. Клиенты удаленного доступа Windows NT/2000, LAN Manager, MS-DOS и Windows for Workgroups могут использовать NetBEUI.

 

38. AppleTalk

 

AppleTalk

Работа с сетью в Apple Macintosh основана на протоколе AppleTalk. Приложения и процессы могут взаимодействовать при помощи одиночной сети AppleTalk или совокупности связанных AppleTalk сетей (ApplTalk internet). Используя AppleTalk, приложения и процессы могут передавать данные и обмениваться информацией, а также совместно использовать ресурсы, например принтеры и файловые серверы. Удаленный доступ AppleTalk поддерживается в соответствии с AppleTalk Remote Access Protocol (Протокол удаленного доступа AppleTalk, ARAP) и AppleTalk Control Protocol (Протокол управления AppleTalk, ATCP).

ARAP — протокол коммутируемого соединения для компьютеров Apple Macintosh. Пользователи Macintosh с помощью ARAP могут удаленно подключаться к компьютеру с поддержкой AppleTalk под управлением Windows 2000, получать доступ к файловым томам Macintosh и принтерам \ppleTalk. Поддерживаются клиенты удаленного доступа AppleTalk (AppteTalk Remote Access client) версий 1.0, 2.x и 3.x.

При помощи ATCP клиенты Macintosh могут работать с сетевым протоколом AppleTalk поверх РРР, а удаленный пользователь может получить доступ к веб-серверам поверх TCP/IP, печатать документы на принтерах

AppleTalk, а также соединяться с файловым сервером Macintosh (по TCP/IP или AppleTalk) по одному коммутируемому РРР-соединению.

 

39. Доступ через ISDN

 

Доступ через ISDN

Для повышения быстродействия сетевого подключения можно использовать линию ISDN (Integrated Services Digital Network) — цифровую сеть с интегрированными службами. Стандартные телефонные линии обычно позволяют осуществлять обмен со скоростями до 56 Кбит/с, по линии ISDN можно достичь скоростей 64 и даже 128 Кбит/с.

Линия ISDN должна быть установлена телефонной компанией как на сервере, так и на противоположном конце соединения. -Работа ISDN также требует, чтобы на обоих концах были установлены платы ISDN. Затраты на оборудование и линии ISDN могут быть выше, чем на установку стандартных модемов и прокладку телефонных линий. Однако быстродействие связи уменьшает время соединения, что сокращает денежные затраты.

Линия ISDN состоит из двух В-каналов, передающих данные со скоростью 64 Кбит/с, и одного D-канала для передачи управляющих сигналов со скоростью 16 Кбит/с. Можно конфигурировать каждый канал В, чтобы он работал как отдельный порт. При помощи некоторых драйверов ISDN-устройств можно объединять каналы. Это означает, что можно получить большую ширину полосы пропускания, настроив работу обоих В-каналов в качестве единственного порта. При конфигурации такого рода скорость линии увеличивается до 128 Кбит/с.

Функция многоканальной связи (multilink) в Windows 2000 логически объединяет части канала ISDN. Многоканальная связь объединяет несколько физических линий в логическую совокупность (пучок, bundle) с увеличенной шириной йолосы пропускания. Кроме того, можно распределять многоканальную связь динамически, используя линии только тогда, когда они реально требуются. Эта функция устраняет избыточность ширины полосы пропускания, представляя существенное преимущество для пользователей.

Настройка параметров ISDN. Для настройки параметров ISDN:

1. В папке Сеть и удаленный доступ к сети в контекстном меню соединения, использующего ISDN, выберите пункт Свойства.
2. На вкладке Общие в списке Подключить через (Connect using) выберите требуемое устройство ISDN и нажмите кнопку Настроить (Configure).
3. В открывшемся диалоговом окне Настройка ISDN (ISDN Configure) выполнить одно или оба действия:
  • В списке Тин линии (Line type) выберите нужный тип линии. Линии более высокого качества указаны ближе к началу списка.
  • Если требуется установить соединение с выбранным типом линии, а затем повторно установить соединение с более низким качеством в зависимости от состояния линии, установите флажок Согласование типа линии (Negotiate line type).

Примечание

В зависимости от типа используемого ISDN-адаптера может появиться окно настройки параметров модема.

 

40. SLIP

 

SLIP

Протокол последовательной линии (Serial Line Internet Protocol, SLIP) — старый стандарт удаленного доступа, ранее использовавшийся серверами удаленного доступа UNIX. Подключения к сети и удаленный доступ к сети в Windows 2000 поддерживают SLIP и могут соединяться с любым сервером удаленного доступа по стандарту SLIP. Это позволяет клиентам Windows 2000 соединяться с большим количеством серверов UNIX.

Когда производится подключение к серверу SLIP, появляется окно терминала Терминал для входа SLIP (SLIP Logon Terminal Window) для интерактивного входа на сервер SLIP. Вход в систему UNIX замещает и предотвращает обычный вход в систему удаленного доступа. После установления соединения служба удаленного доступа становится прозрачной для пользователя.

Примечание

  • Компьютер под управлением Windows 2000 не может служить сервером SLIP. Поддерживаются только клиенты Windows 2000, которые соединяются с серверами SLIP третьих фирм.
  • Чтобы соединяться с сервером SLIP, нужно использовать протокол TCP/IP и последовательный СОМ-порт.

41. Подключение Х.23

 

Подключения Х.25

Сеть Х.25 передает данные, используя протокол коммутации пакетов; при этом данные передаются не по обычным зашумленным телефонным линиям, а по специальной глобальной сети коммутации пакетов.

Подключения к сети и удаленный доступ к сети поддерживают Х.25, используя сборщик/разборщик пакетов (Packet Assembler/Disassembler, PAD) и смарт-карты Х.25. Можно также использовать модем и специальный коммутируемый доступ к Х-25 (например, Sprintnet или Infonet) вместо PAD или смарт-карты Х.25.

Для установления соединения клиент удаленного доступа Windows 2000 Server может использовать смарт-карту Х.25 или производить телефонное подключение к Х.25 PAD. Чтобы принимать входящие подключения с использованием Х.25 на компьютере под управлением Windows 2000 Server, необходимо использовать смарт-карту Х.25.

Создание коммутируемого соединения с использованием Х.25. Для создания коммутируемого соединения с использованием Х.25:

1. В папке Сеть и удаленный доступ к сети дважды щелкните на значке Создание нового подключения и нажмите кнопку Далее.
2. Выберите Телефонное подключение к частной сети, нажмите кнопку Далее и следуйте командам мастера сетевых соединений.
3. Когда мастер закончит работу, в контекстном меню нового соединения выберите команду Свойства и выполните следующие действия:
  • На вкладке Параметры (Options) установите переключатель Х.25.
  • В списке Сеть (Network) выберите своего поставщика Х.25.
  • В поле Адрес Х.121 (Х.121 Address) введите адрес X. 121 (эквивалент номера телефона в Х.25) для сервера, который нужно вызывать.
  • В поле Данные пользователя (User Data) введите дополнительную информацию о соединении, если этого требует хост Х.25.
  • В поле Услуги (Facilities) введите значения дополнительных параметров услуг, которые нужно запросить у провайдера сети Х.25.

42. Протокол РРР

 

Протокол РРР

Протокол "точка-точка" (РРР) — набор стандартных протоколов, обеспечивающих взаимодействие программного обеспечения удаленного доступа от различных поставщиков. При помощи подключения с поддержкой РРР можно производить подключения к удаленным сетям через любой сервер РРР, поддерживающий этот промышленный стандарт. РРР также позволяет компьютеру, на котором функционирует служба удаленного доступа Windows 2000 Server, принимать запросы и обеспечивать доступ к сети клиентам с программным обеспечением удаленного доступа третьих фирм, соответствующим стандартам РРР.

Стандарты РРР также открывают дополнительные возможности, недоступные при более старых стандартах, например SLIP. РРР поддерживает несколько методов аутентификации, сжатие и шифрование данных.- Большинство реализаций РРР позволяет полностью автоматизировать последовательность входа в систему.

РРР также поддерживает несколько сетевых протоколов, в качестве которых могут выступать TCP/IP, IPX или NetBEUI.

РРР — основа для протоколов РРТР и L2TP, которые используются в VPN-соединениях. РРР — эталон для большинства приложений удаленного доступа.

Работа РРР и протоколы. Реализация протокола двухточечного соединения (Point-to-Point Protocol, РРР) должна твердо придерживаться стандартов, установленных в RFC по РРР. Ниже дан краткий обзор механизмов функционирования РРР и протоколов, используемых в РРР-соединении.

Последовательность установления соединения РРР. После начального соединения с удаленным сервером РРР производятся следующие переговоры по установлению РРР-соединения:

Установление протоколов управления связью (Link Control Protocols, LCP). Протоколы LCP служат для установления и настройки связи и параметров окон передачи данных, например, максимальный размер окна.
Установление протоколов аутентификации. Протоколы аутентификации служат для определения используемого сервером удаленного доступа уровня безопасности. Уровень безопасности может изменяться от незашифрованного (аутентификация при помощи пароля, передаваемого открытым текстом) до сильно зашифрованного (аутентификация при помощи смарт-карт).
Установление протоколов управления сетью (Network Control Protocols, NCP). Протоколы NCP служат для установления и настройки различных параметров сетевых протоколов (IP, IPX и NetBEUI) (параметры сжатия заголовков протокола и протоколы управления сжатием).

Установленное в результате переговоров соединение будет оставаться активным до его разрыва по одной из следующих причин:

Пользователь явно разорвал соединение
Истекло время простоя
Администратор разорвал соединение
Произошла неустранимая ошибка связи

Протоколы управления связью. Протоколы управления связью (Link Control Protocols, LCP) устанавливают и настраивают кадрирование (framing) РРР. Кадрирование РРР определяет, как формируются данные перед передачей по глобальной сети. Стандарт кадрирования РРР гарантирует, что программное обеспечение удаленного доступа любых производителей может передавать и распознавать пакеты данных от любого программного обеспечения удаленного доступа, которое твердо придерживается стандартов РРР. РРР и Windows 2000 используют модификацию кадрирования HDLC (Высокоуровневое управление каналом передачи данных, High-level Data Link Control) для последовательного доступа или ISDN.

Протоколы управления сетью. Протоколы управления сетью (табл. 16.9) устанавливают и настраивают различные параметры сетевых протоколов (TCP/IP, IPX, NetBEUI и AppleTalk).

Таблица 16.9. Протоколы управления сетью

Протокол управления сетью

Описание

IP Control Protocol (Протокол управления IP, IPC)

Служит для конфигурирования, разрешения и запрещения модулей IP на обоих концах соединения

IPX Control Protocol (Протокол управления IPX, IPXCP)

Служит для конфигурирования, разрешения и запрещения модулей IPX на обоих концах соединения

NetBEUI Control Protocol (Протокол управления NetBEUI, NBTP)

Служит для конфигурирования, разрешения и запрещения модулей NetBEUI на обоих концах соединения

AppleTalk Control Protocol (Протокол управления AppleTalk, ATCP)

Служит для конфигурирования, разрешения и запрещения модулей AppleTalk на обоих концах соединения

Использование РРР для подключения к Интернету. Протокол РРР используется в Windows 2000 по умолчанию. Автономный компьютер под управлением Windows 2000 Server, настроенный на прием входящих подключений, не требует никаких специальных настроек для поддержки входящих подключений с использованием РРР. Если подключение сконфигурировано должным образом, запрос на подключение по РРР автоматически будет удовлетворен.

Если происходит подключение к удаленному РРР-серверу, обычно подходят настройки по умолчанию и не требуется дополнительное конфигурирование. Однако, если требуется, можно настраивать дополнительные параметры РРР для исходящего или входящего подключения.

 

43. Подключение к Интернету

 

Подключение к Интернету

Доступ к Интернету легко реализуется при помощи сетевых подключений. Для этого требуется выполнение следующих условий:

Наличие протокола TCP/IP.
Если пользователь принадлежит домену, то учетная запись пользователя должна иметь разрешения удаленного доступа.
Наличие модема или другого соединения с Интернет-провайдером (Internet Service Provider, ISP).
Наличие учетной записи у Интернет-провайдера.

Подключение к Интернету производится путем установления прямого подключения к Интернет-провайдеру и регистрации в его системе. Последовательность входа зависит от требовании провайдера. Подключения по протоколу РРР обычно полностью автоматизированы. Подключения по протоколу

SLIP могут потребовать входа в систему при помощи терминального окна; этот процесс можно (или нельзя) автоматизировать с применением сценария в файле Switch.inf.

Прежде чем подключение к Интернету будет создано, необходимо связаться с представителем Интернет-провайдера, чтобы проверить параметры настройки подключения:

Заданный IP-адрес
Опцию сжатия заголовков IP (для РРР)
Адрес DNS и имя домена
Дополнительные параметры настройки, например, использование протокола защиты Интернета (IPSec)

Подключение к Интернет-провайдеру может использовать модем и телефонную линию, адаптер ISDN и линию ISDN, протокол удаленного доступа AppleTalk (ARAP), протокол управления AppleTalk (АТСР), сеть Х.25, протокол туннелирования "точка-точка" (РРТР) или протокол туннелирования второго уровня (L2TP).

По модему желательно использовать самое надежное (устойчивое) и, по возможности, самое быстрое соединение, что снизит время загрузки данных из Интернета. Рекомендуется использовать модем со скоростью 28,8 Кбит/с или выше, имеющий также поддержку протоколов V.34, V.90 и т. п.

После установления соединения с провайдером пользователь получает доступ к Интернету и любым другим услугам, например к электронной почте, предоставляемым этим провайдером.

Создание подключения к Интернату. Для создания подключения:

1. В папке Сеть и удаленный доступ к сети дважды щелкните на значке Создание нового подключения (Make New Connection) и нажмите кнопку Далее (Next).
2. Выберите положение Телефонное подключение к Интернету (Dial-up to the Internet) переключателя, нажмите кнопку Далее и следуйте командам мастера сетевого подключения.

 

44. Совместное использование Интернет-подключения

 

Совместное использование Интернет-подключения

Возможность совместного использования Интернет-подключения (Internet Connection Sharing, ICS) позволяет применять Windows 2000 для подключения домашней или малой офисной сети к Интернету. Например, можно создать домашнюю сеть, которая соединяется с Интернетом с помощью телефонного соединения. Если разрешить совместное использование подключения на компьютере, соединенном по телефонной линии, то этот компьютер предоставит службы преобразования сетевых адресов (Network Address

Translation, NAT), выдачи адресов (DHCP) и разрешения имен (DNS) всем компьютерам домашней сети.

Можно настраивать приложения и службы, которые должны работать через Интернет. Например, если пользователи домашней сети хотят получить доступ к ресурсам SQL Server корпоративной сети, можно настроить приложение SQL Server для подключения, которому разрешено совместное использование. Услуги, предоставляемые домашней сетью, можно настроить так, чтобы к ним могли получить доступ пользователи Интернета. Например, если в домашней сети есть веб-сервер, то, чтобы пользователи Интернета могли соединяться с ним, нужно на совместно используемом подключении настроить службу WWW.

Возможность совместного использования удобна в малом офисе или в домашней сети, где конфигурирование сети и подключение к Интернету выполняет компьютер под управлением Windows 2000, на котором располагается данное подключение. Считается, что в этой сети данный компьютер — единственное подключение к Интернету, единственный шлюз в Интернет, и что он назначает все сетевые адреса.

Примечание

Чтобы настраивать совместное использование Интернет-подключения, необходимо иметь полномочия администратора.

ICS недоступно в сети с контроллерами доменов Windows 2000 Server, серверами DNS, шлюзами, серверами DHCP или системами, настроенными для использования статического IP. Если используется Windows 2000 Server и существует один (или несколько) из этих компонентов, то, чтобы достичь того же результата, необходимо использовать возможности NAT из состава службы маршрутизации и удаленного доступа (RRAS). Компьютеру с ICS требуется два подключения. Первое, обычно адаптер ЛВС, служит для связи с компьютерами в домашней сети, второе подключает домашнюю сеть к Интернету. Необходимо проверить, что совместный доступ разрешен для подключения, которое соединяет домашнюю сеть с Интернетом. При этом домашнее сетевое подключение правильно распределяет адреса TCP/IP внутренним пользователям, а общедоступное подключение будет правильно соединять домашнюю сеть с Интернетом. Пользователи вне домашней сети ограждены от опасности получения пакетов с адресами из домашней сети. Разрешая совместное использование для подключения, компьютер удаленного доступа становится DHCP-сервером для домашней сети. DHCP динамически назначает TCP/IP-адреса компьютерам при их запуске. Если совместное использование ошибочно разрешено на внешнем сетевом адаптере (подключающем сеть к Интернету), домашний сервер DHCP может предоставлять адреса TCP/IP пользователям вне домашней сети, что приведет к проблемам в других сетях.;

Когда разрешается совместное использование подключения, сетевой адаптер, связанный с домашней или малой офисной сетью, получает новый ста тический IP-адрес. Существующие подключения, использующие TCP/IP на компьютере с совместным использованием соединения, будут потеряны и должны быть восстановлены вручную.

Настройка ICS. При разрешении совместного использования подключения некоторые протоколы, службы, интерфейсы и маршруты будут сконфигурированы автоматически (табл. 16.10).

Таблица 16.10. Настройки совместного использования подключения

Сконфигурированные элементы

Состояние

IP-адрес =169.254.0.1

Настроен с маской подсети 255.255.0.0 на адаптере ЛВС, который связан с домашней сетью или сетью малого офиса

Возможность автоматического вызова (AutoDial)

Разрешена

Статический IP-маршрут по умолчанию

Создается, когда производится телефонное подключение

Служба совместного использования

Запущена

Служба распределения DHCF (DHCP allocator)

Разрешена с заданным по умолчанию диапазоном адресов 169.254.0.0 и маской подсети 255.255.0.0.

Посредник DNS (DNS proxy)

Разрешен

Разрешение совместного использования Интернет-подключения. Для разрешения совместного использования Интернет-подключения:

1. В папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите пункт Свойства.
2. На вкладке Общий доступ (Internet Connection Sharing) установите флажок Разрешить общий доступ для этого подключения (Enable Internet Connection Sharing for this connection).
3. . Если требуется, чтобы это подключение автоматически активизировалось, когда другой компьютер в ЛВС пытается обратиться к внешним ресурсам, установите флажок Разрешить вызов по требованию (Enable on-demand dialing).

Примечание

  • Нельзя использовать эту возможность в сети с другими контроллерами доменов Windows 2000 Server, серверами DNS, шлюзами, серверами DHCP или системами, сконфигурированными для использования статических IP-адресов.
  • Чтобы разрешить совместное использование подключения, необходимо иметь полномочия администратора.

Настройка приложений и служб для ICS. Чтобы настроить совместное использование для приложений и служб:

1. В папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите пункт Свойства.
2. Убедитесь, что на вкладке Общий доступ установлен флажок Разрешить общий доступ для этого подключения и нажмите кнопку Параметры (Settings).
3. Если для компьютеров, совместно использующих подключение, нужно настроить сетевые приложения, то на вкладке Приложения (Applications) нажмите кнопку Добавить (Add) и выполните следующие действия:
  • В поле Имя приложения (Name of application) введите легко запоминающееся имя этого приложения (рис. 16.26).
  • В поле Порты удаленного сервера (Remote server port number) введите номер порта удаленного сервера, который использует данное приложение, а затем выберите протокол — TCP или UDP.
  • В поле TCP или UDP, или в обоих полях введите номер порта в той сети, с которой соединится приложение. Некоторые приложения требуют использования и TCP и UDP.
4. . Если нужно настроить службу, которая будет доступна пользователям в удаленных сетях, на вкладке Службы (Services) нажмите кнопку Добавить (Add) и выполните следующие действия:
  • В поле Имя службы (Name pf service) введите легко запоминающееся название для данной службы.
  • В поле Номер порта службы (Service port number) введите номер порта на том компьютере, на котором функционирует данная служба, а затем переключателем выберите протокол TCP или UDP.
  • В поле Имя или адрес сервера в частной сети (Name or address of server computer on private network) введите имя или IP-адрес компьютера в частной сети, на котором функционирует данная служба.


Пример настройки приложения — широко известная игра Diablo. Если вы хотите разрешить пользователям в домашней сети играть в Diablo с другими пользователями в сети Интернет, введите Diablo в качестве имени приложения, не — в качестве номера порта удаленного сервера, а 6112 — для ответного порта U DP.

Пример настройки службы — веб-сервер. Если пользователь в домашней сети поддерживает веб-сервер на компьютере с именем michael, к которому необходимо предоставить доступ пользователям Интернета, введите web server в качестве имени службы, во — в качестве номера порта TCP ( поле Номер порта службы) и michael — в качестве имени компьютера-сервера в частной сети (поле Имя или адрес сервера в частной сети).

 

45. Построение сетей TCP/IP на базе Windows 2000

 

Построение сетей TCP/IP на базе Windows 2000

 

Архитектура TCP/IP в Windows 2000

Семейство TCP/IP — стандартный набор сетевых протоколов, предназначенных для управления передачей данных между сетевыми компьютерами. Реализация TCP/IP от Microsoft, позволяет осуществлять взаимодействие компьютеров с Windows 2000 и устройств с другим ПО компании Microsoft, а также с системами под управлением ОС, созданных не фирмой Microsoft (например, UNIX). TCP/IP — основной набор протоколов для множества частных глобальных сетей, которые объединяют локальные сети корпораций.

Протокол TCP/IP вообще и его реализация в Windows 2000 имеют следующие достоинства:

Стандартный, маршрутизируемый сетевой протокол, который является наиболее полным и доступным общепринятым протоколом. Все современные операционные системы поддерживают TCP/IP, и самые крупные сети используют TCP/IP для организации их основного трафика.
Технология объединения разнородных систем. Доступно множество стандартных утилит для организации взаимодействия и передачи данных между разнородными системами, включая протокол передачи файлов FTP и протокол эмуляции терминала (Telnet). Некоторые стандартные утилиты поставляются с Windows 2000.
Технология, позволяющая подключать сеть или одиночный компьютер на базе Windows NT к глобальной сети Интернет. TCP/IP, протокол "точка-точка" (РРР), протокол туннелирования "точка-точка" (РРТР) и архитектура Windows Sockets обеспечивают необходимую основу для организации подключения к Интернету и использования всех служб Интернета.
Основа для организации устойчивого, масштабируемого, межплатформенного, клиент-серверного взаимодействия. В TCP/IP поддерживается интерфейс Windows Sockets, который является реализацией в среде Windows широко распространенного интерфейса Berkeley Sockets, используемого для создания сетевых приложений.

 

46. TCP/IP и сетевая архитектура Windows 2000

 

TCP/IP и сетевая архитектура Windows 2000

Архитектура TCP/IP в операционной системе Windows 2000 (рис. 16.23) обеспечивает интегрированную, не зависящую от протоколов поддержку работы с сетями: работу прикладных программ, работу с файлами, печать и другие услуги поверх любого сетевого протокола, который поддерживает Интерфейс транспортного драйвера (Transport Driver Interface, TDI). Протоколы отвечают за упаковку сетевых запросов к приложениям в соответствующие форматы и отправку этих запросов на соответствующий сетевой адаптер посредством интерфейса NDIS. NDIS позволяет использовать несколько сетевых протоколов поверх разнообразных типов сред и сетевых адаптеров.

В сочетании с транспортно-независимой архитектурой Windows 2000 протоколы TCP/IP могут предоставлять системам на базе Windows возможности работы с сетями. TCP/IР-протоколы дают компьютерам под управлением

Windows 2000, Windows NT, Windows 9x и Windows for Workgroups прозрачный доступ друг к другу и позволяют связываться с другими системами, входящими в сети предприятий. В Windows NT использовались версии 3.1— 4.0 NDIS. Новая версия 5.0, которую поддерживает Windows 2000, обладает рядом преимуществ перед версиями 3.1 и 4.0.



Рис. 16.23. Архитектура TCP/IP в Windows 2000


Основные возможности NDIS 5.0:

Поддержка данных, передаваемых вне полосы пропускания (что требуется для широковещания)
Расширение для средств WirelessWAN
Высокоскоростные передача и прием пакетов (что приводит к значительному повышению производительности)
Расширение для средств высокоскоростных портов инфракрасной передачи IrDA
Автоматическое определение среды (требуется для получения эмблемы "Разработано для Windows" в соответствии с руководством по построению аппаратных средств спецификации РС'98)
Фильтрация пакетов (предотвращает монопольный захват процессора утилитой Сетевой монитор (Network Monitor))
Многочисленные новые системные функции интерфейса NDIS (требуются для двоичной совместимости мини-порта Windows 95 и Windows NT)
Управление питанием NDIS (требуется для сетевого управления питанием и включения компьютера через сеть)
Поддержка Plug and Play
Поддержка инструментария управления Windows (Windows Management Instrumentation, WMI), что обеспечивает создание совместимых с WBEM (Управление предприятием на основе технологии Web) средств управления аппаратурой мини-портов NDIS и связанных с ними адаптеров
Поддержка единого формата INF для всех операционных систем Windows. Новый формат INF основан на формате INF, принятом в Windows 95.
Распараллеленный мини-порт для поддержки улучшенной производительности
Механизмы разгрузки процессора для служебных процессов типа расчета контрольной суммы пакетов протоколов TCP и UDP, а также для быстрой пересылки пакетов
Расширение для средств широковещания (необходимо для широковещательных служб в Windows)
Поддержка механизмов установления логического соединения (требуется для сетей ATM и ADSL, а также для работы WDM-CSA (Windows Driver Model-Connection Streaming Architecture) — модели драйвера потоковой архитектуры соединения для Windows поверх всех сред с установлением логического соединения)
Поддержка для реализации служб качества обслуживания (Quality of Service, QoS)
Поддержка промежуточных драйверов (требуется для широковещания PC, виртуальных ЛВС, планирования пакетов дли QoS и для поддержки сетевых устройств IEEE-1394)

 

16.23.gif

Изображение: 

47. Основные технологии и программное обеспечение сторонних производителей

 

Основные технологии и программное обеспечение сторонних производителей

TCP/IP компании Microsoft — полная реализация стека протоколов TCP/IP и набора утилит. Стек TCP/IP в Windows 2000 включает следующие функции:

Поддержка основных протоколов TCP/IP, включая протокол управления передачей (TCP), протокол Интернета (IP), протокол пользовательских да-таграмм (UDP), протокол разрешения адресов (ARP) и протокол управляющих сообщений Интернет (ICMP). Этот набор межсетевых протоколов является основой для связи компьютеров и взаимодействия сетей.
Поддержка таких сетевых интерфейсов программирования, как Windows Sockets, удаленный вызов процедур (RPC), интерфейс NetBIOS и сетевой динамический обмен данными (Network DDE).
Базовые утилиты связи TCP/IP, включая Finger, Ftp, Lpr, Rep, Rexec, Rsh, Telnet и Tftp. Эти утилиты позволяют пользователям, работающим с Windows 2000, использовать ресурсы и взаимодействовать с компьютерами под управлением операционных систем производства не фирмы Microsoft (например, UNIX).
Диагностические инструменты TCP/IP, включая Arp, Hostname, Ipconfig, Lpq, Nbtstat, Netstat, Ping, Route и Tracert. Системные администраторы могут использовать эти утилиты, чтобы обнаружить и решить проблемы работы с сетями TCP/IP.
Поддержка служб интранет и прикладных средств их администрирования, включая следующие службы для сетевых компьютеров: службы Internet Information Services, используемые для публикации информации в Интернете, служба DHCP для автоматического конфигурирования TCP/IP, служба WINS (Windows Internet Name Service) для динамической регистрации и ответов на запросы имен компьютеров NetBIOS, DNS-сервер для регистрации и ответов на запросы имен DNS, а также службы печати через TCP/IP для доступа к принтерам, подключенным к компьютерам под управлением UNIX, или к принтерам, подключенным непосредственно к сети и использующим специализированные аппаратные средства сетевого адаптера.
Агент простого протокола управления сетью (Simple Network Management Protocol, SNMP). Этот компонент позволяет дистанционно управлять компьютером с Windows 2000 при помощи инструментов типа Sun Net Manager или HP Open View. TCP/IP в Windows 2000 также включает поддержку SNMP для DHCP- и WINS-серверов.
Серверное программное обеспечение для простых сетевых протоколов, включая генератор символов (Chargen), Daytime, Discard, Echo, и Quote of The Day. Эти протоколы позволяют компьютеру под управлением Win-

dows 2000 отвечать на запросы других систем, которые поддерживают эти протоколы.

Определение максимального размера передаваемого блока (Maximum Transfer Unit, MTU) для заданного пути, что позволяет вычислить оптимальный размер датаграммы для всех маршрутизаторов на пути между компьютером с Windows 2000 и любой другой системой глобальной сети. TCP/IP в Windows 2000 также поддерживает протокол IGMP (Internet Group Management Protocol, межсетевой протокол управления группами), используемый программным обеспечением рабочих групп.

TCP/IP в Windows 2000 не включает полный набор утилит связи TCP/IP или серверных служб (демонов, daemons). Существует много прикладных программ и утилит такого рода, совместимых с реализацией TCP/IP производства Microsoft из состава Windows 2000,1- как свободно распространяемых, так и сторонних производителей.

 

48. Новые возможности TCP/IP в Windows 2000

 

Новые возможности TCP/IP в Windows 2000

Протокол TCP/IP претерпел ряд изменений в Windows 2000 по сравнению с предыдущей версией операционной системы. Усовершенствована работа с широкополосными локальными и глобальными вычислительными сетями:

Поддержка окна передачи большого размера. Эта возможность улучшает производительность TCP/IP в случае, когда передается большое количество данных или не требуется передача подтверждения при связи, между двумя компьютерами в течение длительного периода времени. При связи на основе протокола TCP окно (максимальное число пакетов, переданных в виде непрерывного потока до первого пакета подтверждения) обычно имеет фиксированный размер и устанавливается в начале сеанса связи между принимающим и передающим компьютерами. С поддержкой больших окон фактический размер окна может быть динамически вычислен повторно и соответственно увеличен в течение более длинных сеансов. Это позволяет передать большее количество пакетов данных за один раз и увеличивает эффективную полосу пропускания.
Выборочные подтверждения. Эта возможность позволяет сетям быстро восстанавливать свою работоспособность после сетевого конфликта или временного сбоя в физической среде. Получатель может выборочно подтверждать или требовать повторную передачу у отправителя только для тех пакетов, которые были опущены или повреждены во время передачи данных. В предыдущих реализациях TCP/IP, если компьютер-получатель не смог получить одиночный TCP-пакет, отправитель был вынужден повторно передавать не только поврежденный или отсутствующий пакет, но и всю последовательность пакетов, идущую после неподтвержденного пакета. С новой возможностью будут повторно посланы только действительно поврежденные или пропущенные пакеты. Это приводит к передаче меньшего количества пакетов, т. е. к лучшему использованию сети.
Лучшая оценка времени кругового пути (Round Trip Time, RTT). Эта возможность повышает эффективность стека протоколов TCP/IP, позволяя точно оценивать время, затрачиваемое на путешествие пакета туда и обратно (RTT) между двумя хостами сети. (RTT — количество времени, которое требуется для кругового прохождения пакета между отправителем и получателем в установленном TCP-соединении.) Повышение точности оценки RTT позволяет установить более точное значение тайм-аута, до истечения которого компьютеры не будут перезапрашивать пакет. Лучшая синхронизация приводит к повышению эффективности работы в сетях с большими значениями RTT (например, в глобальных сетях), покрывающих большие расстояния (нередко, целые континенты), или при использовании TCP/IP в беспроводных или спутниковых каналах.

 

49. Архитектура WinSock 2

 

Архитектура Win Sock 2

Обеспечивая полную совместимость с предыдущими версиями, WinSock 2 расширяет первоначальную реализацию интерфейса в ряде областей:

Улучшенная эффективность работы
Дополнительная поддержка разрешения имен
Параллельный доступ к нескольким сетевым транспортам
Поддержка процедур управления качеством обслуживания (QoS)
Поддержка многоточечного и многоадресного вещания

В дополнение к поддержке доступа к нескольким сетевым транспортам и механизмам разрешения имен по сравнению со спецификацией WinSock 1.1 изменилась и архитектура Windows Sockets 2, которая теперь включает два основных уровня: уровень динамических библиотек (DLL), обеспечивающих интерфейс Windows Sockets API, и уровень поставщиков услуг, которые располагаются ниже библиотек API и взаимодействуют с ними через интерфейс поставщика услуг (Service Provider Interface, SPI). Описание Windows Sockets 2 включает три отдельных спецификации: описание Windows Sockets 2 API, описание Windows Sockets 2 SPI и приложение (Appendix), описывающее особенности протокола транспортного уровня.

DLL-библиотека Windows Sockets 2 (WS2-32.DLL) включает все API, используемые разработчиками приложений. Она включает существующий Windows Sockets 1.1 API, а также новый API для расширенных средств обмена данными и API обобщенной службы имен. Многие поставщики теперь предлагают параллельный доступ к их собственным транспортам, создавая DLL поставщика услуг, которая соответствует спецификации Windows Sockets 2 SPI. Это означает, что можно разработать приложение, обращающееся через новый API, например, к TCP/IP и IPX/SPX одновременно.

Интерфейс SPI пространства имен позволяет обращаться к нескольким службам разрешения имен (Name Resolution Services) через единый API. Поскольку производители поставляют программные модули уровня поставщика услуг для DNS, для службы каталогов NetWare (NDS) и Х.500 все их функции разрешения имен будут доступны через API пространства имен Windows Sockets 2.

 

50. Сетевой монитор

 

Сетевой монитор

Сетевые администраторы могут использовать Сетевой монитор (Network Monitor) Microsoft Windows 2000 для перехвата и отображения кадров (также называемых пакетами или фреймами) при обнаружении и решении проблем в локальных сетях. Например, с помощью сетевого монитора можно диагностировать аппаратные и программные проблемы в случае, если два (или более) компьютера не могут связаться друг с другом. Можно также зафиксировать (перехватить) сетевой трафик, а затем файл с полученными данными послать специалистам по сетям или организации, занимающейся поддержкой сети. Разработчики сетевых приложений могут использовать сетевой монитор для того, чтобы контролировать и отлаживать сетевые приложения во время разработки.

Сервер Microsoft Systems Management Server (SMS) также включает в себя версию сетевого монитора. В дополнение к функциональным возможностям, описанным в этой главе, версия из состава SMS может перехватывать пакеты, посланные с любого компьютера в сети, редактировать и передавать пакеты по сети, а также дистанционно перехватывать пакеты (например, посредством удаленного доступа по телефонной линии) с других компьютеров в сети, в которой работает Агент сетевого монитора (Network Monitor Agent) (включая компьютеры под управлением Windows 2000 Professional/NT Workstation и Windows 95).

 

51. Краткий обзор возможностей сетевого монитора

 

Краткий обзор возможностей сетевого монитора

Сетевой монитор контролирует сетевой поток данных, т. е. всю информацию, передаваемую по сети в любой заданный момент времени. До передачи эта информация разделяется сетевым программным обеспечением на меньшие части (пакеты, кадры или фреймы). Каждый кадр содержит следующую информацию:

Адрес компьютера, пославшего кадр
Адрес компьютера, получившего кадр
Заголовки каждого протокола, используемого для пересылки данного кадра
Данные или их часть

Чтобы гарантировать безопасность сети на базе Windows 2000, сетевой монитор показывает только те кадры, которые посланы на/с компьютер(а) пользователя, широковещательные кадры и кадры группового (multicast) вещания.

Сетевой монитор может перехватить и запомнить только тот объем информации, который сможет поместиться в доступной памяти компьютера. Обычно не требуется фиксировать большой объем информации, нужно только записать небольшое подмножество кадров, передаваемых в сети. Чтобы выделить подмножество кадров, можно разработать фильтр сбора данных, функционирующий подобно запросу базы данных. Возможна фильтрация на основе адресов источника и адресата, протоколов, свойств протокола или по образцу смещения.

Для того чтобы способ сбора данных отвечал событиям, происходящим в сети, как только они будут обнаружены, разрабатывают триггер сбора данных, который выполняет определенное действие (например, запускает исполняемый файл), когда сетевой монитор обнаруживает в сети набор условий, соответствующий триггеру. Сетевой монитор поддерживает множество популярных протоколов, включая NetBIOS (NetBEUI), IPX, SPX и большую часть протоколов из набора TCP/IP.

После того как данные зафиксированы (и факультативно сохранены в файле сбора данных), их можно просмотреть. Сетевой монитор проделает большую часть работы по анализу данных, формируя из необработанных собранных данных кадр согласно его логической структуре.

Основные функциональные возможности сетевого монитора, описанные в этой главе, поддерживаются службами поддержки продуктов Microsoft (Microsoft Product Support Services, MPSS,). Службы поддержки не решают задачи, зависящие от конкретной сети, такие как интерпретация данных, которые перехватываются и сохраняются в сети.

 

52. Безопасность в сетевом мониторе

 

Безопасность в сетевом мониторе

Из соображений безопасности сетевой монитор в Windows 2000 перехватывает только те кадры (включая широковещательные кадры и кадры группового вещания), которые посланы с локального компьютера или адресованы ему. Сетевой монитор также отображает полную сетевую статистику сегмента для широковещательных кадров, кадров многоадресного вещания, коэффициент использования сети, общее число байтов, полученных за секунду, и общее число кадров, полученных за секунду.

Сетевой монитор в Windows 2000 использует новую особенность спецификации NDIS 4.0 для копирования всех обнаруженных кадров в буфер сбора данных (область памяти переменной длины, предназначенная для хранения данных). Процесс, в ходе которого сетевой монитор копирует кадры, называется фиксацией (перехватом).

Примечание

Поскольку сетевой монитор использует NDIS 4.0 вместо разнородного режима (где плата сетевого адаптера передавала все кадры, посланные в сеть), можно использовать сетевой монитор, даже если плата сетевого адаптера не поддерживает разнородный режим. На производительности работы сети не сказывается использование драйвера NDIS 4.0 для перехвата кадров. (Использование платы сетевого адаптера в разнородном режиме может более чем на 30% увеличить загрузку центрального процессора.)

Кроме того, чтобы защитить сеть от несанкционированного использования инсталлированного сетевого монитора, сетевой монитор обеспечивает:

Защиту с использованием пароля
Возможность обнаружить другие инсталляции сетевого монитора в локальном сегменте сети

Если драйвер сетевого монитора установлен и запущен на компьютере, а пароль не задан, то любой, кто использует на другом компьютере сетевой монитор из поставки Systems Management Server, может подсоединиться к первому компьютеру и использовать его для перехвата данных в сети.

В некоторых случаях архитектура сети может подавить обнаружение одной установленной копии сетевого монитора другой. Например, если установленная копия сетевого монитора отделяется от второй копии маршрутизатором, который не пропускает многоадресные посылки, то вторая копия сетевого монитора не сможет обнаружить первую.

 

53. Поддерживаемые парсеры протоколов

 

Поддерживаемые парсеры протоколов

Так называемый парсер, то есть синтаксический анализатор протокола — динамическая библиотека (DLL), которая идентифицирует протоколы передачи кадров по сети. Информацию об этих протоколах можно увидеть, просматривая перехваченные кадры в окне просмотра кадров. Для каждого протокола, который поддерживается сетевым монитором, имеется соответствующий парсер.

Вот список протоколов, поддерживаемых сетевым монитором (сетевой монитор из состава SMS поддерживает также дополнительные синтаксические анализаторы, см. документацию по SMS):

AARP

FINGER

NBT

RPC

ADSP

FRAME

NCP

RPL

AFP

FTP

NDR

RTMP

ARP и RARP

ICMP

NetBIOS

SAP

ASP

IGMP

NETLOGON

8MB

АТР

IP

NFS

SMT

BONE

IPCP

NMPI

SNAP

BPDU

IPX

NSP

SPX

BROWSER

IPXCP

NWDP

TCP

СВСР

LAP

OSPF

TMAC

ССР

LCP

PAP

TOKEN RING

DDP

C

PPP

UDP

DHCP

MSRPC

PPPCHAP

XNS

DNS

NBFCP

PPPPAP

ZIP

ETHERNET

NBIPX

RIP

 

 

FDDI

NBP

RIPX

 

 

Если требуется перехватывать данные, посылаемые по протоколу, не поддерживаемому сетевым монитором, необходимо использовать сетевой монитор из состава SMS или добавить собственный синтаксический анализатор.

 

54. Перехват кадров из сети

 

Перехват кадров из сети

Как уже упоминалось, фиксация происходит тогда, когда сетевая плата передает подмножество кадров в сеть, и они одновременно поступают в сетевой монитор. Сетевой монитор сохраняет эти кадры в буфере сбора данных — специально выделяемой области памяти. Если происходит переполнение буфера сбора данных, самый новый кадр, добавленный в буфер, заменяет самый старый кадр. Для предотвращения переполнения буфера сбора данных и для того, чтобы сделать анализ кадров проще, используют фильтры сбора данных, применяемые для фиксирования только кадров, соответствующих определенным критериям. Чтобы собирать данные в соответствии с событиями, происходящими в сети, разрабатывают триггер сбора данных.

Окно сбора данных сетевого монитора

Поскольку кадры собираются из сети, статистика о кадрах отображается в окне сбора данных сетевого монитора.

Перехват и просмотр кадров

Кадры, перехваченные в сети, копируются в буфер сбора данных (зарезервированную область памяти). Информация об этих кадрах появляется по мере их получения в окне сбора данных сетевого монитора (Capture Window). Для управления состоянием сбора данных выберите команду Запустить (Start), Остановить (Stop), Остановить и просмотреть (Stop and capture), Приостановить (Pause) или Продолжить (Resume) меню Запись (Capture).



Примечание

Сетевой монитор отображает статистику сеанса по первым 100 уникальным сетевым сеансам, которые он обнаруживает. Для сброса статистики и просмотра информации по следующим 100 обнаруженным сетевым сеансам используйте команду Очистить статистику (Clear Statistics) меню Запись.

 

55. Настройка параметров буфера сбора данных

 

Настройка параметров буфера сбора данных

Перехваченные кадры сохраняются в буфере сбора данных. Когда происходит переполнение буфера сбора данных, каждый новый кадр заменяет самый старый кадр в буфере.

На быстроту заполнения буфера, кроме интенсивности сетевого трафика и сложности используемых фильтров, влияют следующие факторы:

Размер буфера сбора данных

Буфер сбора данных хранится в памяти, а не на диске. Хотя сетевой монитор может использовать виртуальную память, чтобы сохранить буфер сбора данных, лучше использовать достаточно большой буфер для гарантии того, что критические кадры не будут потеряны. Однако он должен быть не слишком большим, чтобы предотвратить подкачку части буфера сбора данных с диска и на диск. (Заданный по умолчанию максимальный размер буфера сбора данных на 8 Мбайт меньше, чем объем оперативной памяти, установленной на компьютере.)

Размер кадра

Хотя; изменять размер кадра нельзя, можно сохранять только часть кадра для экономии места в буфере сбора данных. Например, если нужны только данные из заголовка кадра, надо установить размер сохраняемого кадра (в байтах) равным размеру заголовка кадра.

 

56. Формирование базы данных адресов

 

Формирование базы данных адресов

Иногда нужно перехватывать только кадры, приходящие с определенных компьютеров. Для этого нужно знать сетевой адрес компьютера. Сетевой монитор может сопоставить шестнадцатеричный адрес компьютера более привычному имени. После того как это соответствие установлено, можно сохранить имя в базе данных адресов (файл *.adr), которую потом использовать для разработки фильтров сбора данных и фильтров отображения.

В дополнение к выбору достаточного размера буфера и созданию фильтра сбора данных можно перевести сетевой монитор в специализированный режим сбора данных, в котором окно сбора данных с динамически изменяющейся статистикой сетевого монитора заменено сокращенным диалоговым окном.

Если на компьютере функционирует несколько сетевых адаптеров, то можно при помощи сетевого монитора получать данные со всех сетевых адаптеров, переключаясь между адаптерами или запустив несколько экземпляров сетевого монитора.

 

57. Фильтры сбора данных

 

Фильтры сбора данных

Функции фильтра сбора данных подобны функциям запросов к базе данных. Их можно использовать для определения типа отслеживаемой информации о сети. Например, чтобы видеть только заданное подмножество компьютеров или протоколов, можно создать базу данных адресов, добавить адреса из базы данных в фильтр, а затем сохранить фильтр в файле. Фильтрация кадров экономит ресурсы буфера сбора данных и время. Позже, при необходимости, можно загрузить файл фильтра сбора данных и использовать фильтр снова.

Проектирование фильтров сбора данных

Для разработки фильтра сбора данных надо задать инструкции принятия решения в диалоговом окне Фильтр записи (Capture Filter). В диалоговом окне Фильтр записи отображается дерево принятия реше-

ния фильтра, графически представляющее логику фильтра. При включении или исключении информации из определения фильтра сбора данных дерево принятия решения отражает такого рода изменения.




Фильтрация в соответствии с протоколом

Чтобы перехватывать кадры, посланные с использованием специфического протокола, надо задать этот протокол в фильтре SAP/ETYPE = "хххх". Например, чтобы собирать только IP-пакеты, нужно отключить все протоколы и затем разрешить перехват IP ETYPE 0x800 и SAP IP 0x6. По умолчанию разрешены все протоколы, поддерживаемые сетевым монитором.

Фильтрация по адресу

Чтобы сохранять кадры, полученные (переданные) с (на) заданных компьютеров в сети, нужно определить одну или более пар адресов в фильтре сбора данных, при этом можно задать до четырех пар адресов одновременно.

Фильтрация по образцу данных

Задавая соответствие образцу в фильтре сбора данных, можно:

  • Ограничить сбор данных только теми кадрами, которые содержат образец данных, заданный кодом ASCII или в шестнадцатеричном виде.
  • Задать число байтов в кадре (смещение), которые должны быть просмотрены на соответствие образцу.

Когда выполняется фильтрация трафика в соответствии с образцом, необходимо задать положение образца в кадре (количество байтов с начала или с конца).

Триггер сбора данных

Триггер— это набор условий, при выполнении которых инициируется некоторое действие. Например, перед использованием сетевого монитора при сборе данных в сети можно установить триггер, который остановит процесс сбора данных или запустит некоторую программу, или выполнит командный файл.

 

58. Сохранение записанных данных

 

Сохранение записанных данных

Перехваченные данные из буфера сбора данных записываются для сохранения в файл перехвата данных (с расширением cap). Необходимо сохранять собранные данные в следующих случаях:

Перед запуском другого процесса сбора данных (чтобы предотвратить потерю собранных данных)
Когда данные будут проанализированы позже
Когда требуется задокументировать использование сети или возникшей проблемы

 

59. Просмотр собранных данных

 

Просмотр собранных данных

Сетевой монитор упрощает анализ данных, интерпретируя необработанные данные, собранные в течение сеанса сбора данных, и отображая их в окне просмотра кадров.

Использование фильтра отображения

Как и фильтр сбора данных, фильтр отображения работает подобно запросу к базе данных, позволяя выделять информацию заданного типа. Поскольку фильтр отображения использует уже собранные данные, он не воздействует на содержимое буфера сбора данных сетевого монитора.

Фильтрация в соответствии с протоколом

При отображении собранных данных вся доступная информация о перехваченных кадрах появляется в окне просмотра кадров (Frame Viewer). Для отображения только кадров, представляющих какой-то специфический протокол, надо отредактировать строчку, задающую протокол, в диалоговом окне Фильтр отображения (Display Filter).

Фильтрация по свойствам протокола

Свойства протокола — информационные элементы, которые определяют цель протокола. Поскольку цели протоколов различны, свойства меняются от одного протокола к другому.




Фильтрация по адресам компьютеров

При отображении сохраненных данных все адреса, информация от которых была перехвачена, появляются в окне просмотра кадров. Чтобы отобразить только кадры, отправленные с конкретного компьютера, надо отредактировать строчку Any ¬ ® Any в диалоговом окне фильтра отображения.

 

Глава 17. Серверы DHCP, DNS и WINS

Глава 17. Серверы DHCP, DNS и WINS

1. Служба DHCP

 

Глава 17

Серверы DHCP, DNS и WINS

Служба DNS является одним из ключевых компонентов, обязательным для работы доменов Windows 2000. Применение DNS-сервера, входящего в поставку Windows 2000, необязательно (т. е, можно использовать другие серверы и на других платформах, отвечающие определенным требованиям), но "штатный" сервер упрощает конфигурирование и сопровождение доменов Windows 2000. В противном случае неизбежны дополнительные операции по настройке "стороннего" DNS-сервера и велика вероятность периодического ручного конфигурирования при каких-то изменениях в сети (добавлении компьютеров, изменении адресов и т. п.).

Удобным дополнением к службе DNS в системах Windows 2000 является служба DHCP, упрощающая управление IP-адресами.

Служба WINS в Windows 2000 может использоваться по-прежнему, хотя в доменах Windows 2000, благодаря наличию серверов DNS, это становится необязательным.

 

Служба DHCP

В операционной системе Microsoft Windows 2000 Server поддерживается широко известный протокол DHCP (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста). Это — открытый промышленный стандарт, который упрощает управление сетями на базе TCP/IP. Каждому хосту (компьютеру), подключенному к сети на базе TCP/IP, должен быть назначен уникальный IP-адрес. Протокол DHCP освобождает сетевых администраторов от необходимости настраивать все компьютеры вручную.

DHCP может автоматически конфигурировать настройки TCP/IP во время загрузки компьютера. Это позволяет хранить все доступные IP-адреса в центральной базе данных вместе с соответствующей информацией о конфигурации, такой как маска подсети, адрес шлюза и адреса серберов DNS и WINS. DHCP упрощает работу системных администраторов. При этом чем больше сеть, тем выгоднее применять протокол DHCP. Без динамического назначения адресов администратору пришлось бы настраивать клиентов вручную, последовательно назначая адреса. Изменения должны производиться для каждого клиента по отдельности. Чтобы избежать двойного использования, IP-адреса должны распределяться централизованно. Информация о конфигурации без протокола DHCP распределена по клиентам; в этом случае трудно получить представление о конфигурациях всех клиентов.

 

2. Новые возможности DHCP в Windows 2000 Server

 

Новые возможности DHCP в Windows 2000 Server

Протокол DHCP в Microsoft Windows 2000 Server был дополнен новыми функциями, что упростило развертывание, интеграцию и настройку сети.

Интеграция с DNS. Серверы DNS обеспечивают разрешение имен для сетевых ресурсов и тесно связаны со службой DHCP. В Windows 2000 серверы DHCP и клиенты DHCP могут регистрироваться в DNS.

Технические требования предложенной реализации взаимодействия DHCP-DNS описаны в черновом документе (http://www.ietf.cnri.reston.va.ns /internetdrafts/draft-ietf-dhc-dhcp-dns-08.txt, этот документ может не полностью описывать заключительную реализацию DHCP-DNS). Этот проект IETF определяет то, как сервер DHCP может регистрировать и модифицировать ресурсные записи DNS типа PTR (указатель) и А (адрес) от имени DHCP. В нем также определено, как назначить дополнительную опцию DHCP (код 81), предназначенную для обратного действия — возврата клиенту DHCP его полного имени DNS.

Улучшенное управление и мониторинг. Новая возможность обеспечивает уведомление об уровне использования пула IP-адресов. Оповещение производится при помощи соответствующего значка либо при помощи передачи сообщения.

Сервер DHCP поддерживает SNMP и MIB, что обеспечивает графическое представление статистических данных. Это помогает администратору отслеживать состояние сети, например, число доступных и занятых адресов, число арендных договоров, обрабатываемых за секунду и т. п.

Распределение групповых адресов. Добавлена возможность назначения групповых адресов. Типичные приложения для групповой работы — конференции или радиотрансляция требуют специальной настройки групповых адресов.

Защита от появления неправомочных серверов DHCP. Наличие нескольких серверов DHCP в одном сегменте сети может привести к конфликту. Новые механизмы позволяют обнаружить конфликт такого рода и деактивизировать работу сервера, обеспечив правильную работу DHCP.

Защита от подмены серверов. Регистрация уполномоченных (авторизированных) серверов DHCP выполняется при помощи Active Directory. Если сервер не обнаружен в каталоге, то он не будет функционировать и отвечать на запросы пользователей.

Кластеризация. Кластерные службы, работающие на Windows 2000 Advanced Server и Datacenter поддерживают DHCP-сервер в качестве ресурса кластера, что позволяет повысить доступность DHCP-сервера.

Автоматическая настройка клиентов. Клиенты с поддержкой DHCP, начинающие работу в сети, могут конфигурироваться самостоятельно с использованием временной конфигурации IP (если сервер DHCP недоступен). Клиенты продолжают попытки связаться с сервером DHCP для получения арендного договора в фоновом режиме каждые 5 мин. Автоматическое назначение всегда прозрачно для пользователей. Адреса для такого рода клиентов выбираются из диапазона частных сетевых адресов TCP/IP и не используются в Интернете.

Новые специализированные опции и поддержка пользовательских классов. Сервер DHCP в Windows 2000 может назначать специализированные опции, сокращая время на получение одобрения новой стандартной опции в IETF. Механизм пользовательских классов позволяет применять DHCP в заказных приложениях для сетей масштаба предприятия. Оборудование большинства поставщиков сетевого аппаратного обеспечения также может использовать различные номера опций для различных функций.

 

3. Обзор DHCP

 

Обзор DHCP

DHCP — развитие протокола ВООТР (RFC 951 и 1084), позволявшего динамически назначать IP-адреса (в дополнение к удаленной загрузке бездисковых станций). При этом DHCP предоставляет все данные для настройки стека протоколов TCP/IP и дополнительные данные для функционирования определенных серверов.

 

4. Понятия DHCP

 

Понятия DHCP

Область DHCP. Область (scope) DHCP — административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP.

Пул адресов. Если определена область DHCP и заданы диапазоны исключения, то оставшаяся часть адресов называется пулом доступных адресов

(address pool) (в пределах области). Эти адреса могут быть динамически назначены клиентам DHCP в сети.

Диапазоны исключения. Диапазон исключения (exclusion range) — ограниченная последовательность IP-адресов в пределах области, которые должны быть исключены из предоставления службой DHCP.

Резервирование. Резервирование (reservation) позволяет назначить клиенту постоянный адрес и гарантировать, что указанное устройство в подсети может всегда использовать один и тот же IP-адрес.

Суперобласти. Это понятие, используемое в Диспетчере DHCP, которое задает множество областей, сгруппированных в отдельный административный объект — суперобласть (superscope). Суперобласти полезны для решения различных задач службы DHCP.

Арендные договоры. Арендный договор (lease) — отрезок времени, определяющий период, во время которого клиентский компьютер может использовать назначенный IP-адрес. При выдаче арендного договора он становится активным. В момент половины срока действия арендного договора клиент должен возобновить назначение адреса, обратившись к серверу повторно. Продолжительность арендного договора влияет на частоту обновления арендных договоров (интенсивность обращений к серверу).

Опции DHCP. Опции DHCP — дополнительные параметры настройки клиентов, которые сервер DHCP может назначать при обслуживании арендных договоров клиентов DHCP. Например, IP-адреса маршрутизатора или шлюза по умолчанию, серверов WINS или серверов DNS обычно предоставляются для каждой области или глобально для всех областей, управляемых сервером DHCP. Кроме стандартных опций, сервер DHCP Microsoft позволяет определять и добавлять пользовательские опции.

 

5. Как работает DHCP

 

Как работает DHCP

Протокол упрощает работу сетевого администратора, который должен вручную конфигурировать только один сервер DHCP. Когда новый компьютер подключается к сети, обслуживаемой сервером DHCP, он запрашивает уникальный IP-адрес, а сервер DHCP назначает его из пула доступных адресов. Этот процесс (рис. 17.1) состоит из четырех шагов: клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение), DHCP-сервер предлагает адрес (DHCP Offer, предложение), клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение). Чтобы адрес не "простаивал", сервер DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор. Это означает, что когда машина пре-

кращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования.

Рис. 17.1. Функционирование DHCP

 

17.1.gif

Изображение: 

6. Состав DHCP в Windows 2000

 

Состав DHCP в Windows 2000

Служба DHCP в Windows 2000 состоит из трех основных компонентов.

Серверы DHCP. В состав сервера DHCP входит оснастка DHCP — удобный в работе графический инструмент, который позволяет администратору настраивать конфигурации для клиентов DHCP. Сервер DHCP также содержит базу данных для назначения IP-адресов и других параметров настройки. Сервер DHCP поддерживает более 30 опций DHCP согласно RFC 2132. Параметры конфигурации TCP/IP, которые могут быть назначены серверам DHCP, включают: IP-адрес для каждого сетевого адаптера на клиентском компьютере, маску подсети, шлюзы по умолчанию, дополнительные параметры конфигурации, например, IP-адрес сервера DNS или WINS. Один или более компьютеров в сети должны работать под управлением Windows 2000 Server с протоколом TCP/IP и установленным сервером DHCP. Если служба сервера DHCP установлена на компьютере, то сразу после задания и активизации областей автоматически создается база данных DHCP (рис. 17.2).

Клиенты DHCP. Клиентами сервера DHCP из состава Windows 2000 могут быть компьютеры, работающие на любой платформе. Компьютеры под управлением ОС производства Microsoft могут действовать как клиенты DHCP: Windows NT Server/Workstation (все версии), Windows 98/95, Windows for Workgroups 3.11 (с установленным 32-разрядным протоколом TCP/IP), Microsoft Network Client 3.0 for MS-DOS (с установленным драйвером реального режима), LAN Manager версии 2,2с.

Рис. 17.2. Компоненты DHCP

Агенты ретрансляции BOOTP/DHCP. Работа протоколов ВООТР и DHCP основана на механизмах широковещания. Маршрутизаторы обычно по умолчанию не ретранслируют широковещательные посылки, поэтому передача таких посылок выполняется агентом ретрансляции. Агент ретрансляции DHCP — это маршрутизатор, либо хост, который слушает широковещательные сообщения DHCP/BOOTP и переадресовывает их на заданный сервер (серверы) DHCP. Использование агентов ретрансляции избавляет от необходимости устанавливать сервер DHCP в каждом физическом сегменте сети. Агент не только обслуживает прямые локальные запросы клиента DHCP и перенаправляет их на удаленные серверы DHCP, но также возвращает ответы удаленных серверов DHCP клиентам DHCP.

Администратор может отменить параметры динамической настройки, настроив их вручную. Любая информация, вручную введенная на клиенте, отменяет параметры динамической настройки.

 

17.2.gif

Изображение: 

7. Использование DHCP

 

Использование DHCP

Работа с DHCP в Windows NT 4.0 и Windows 2000

В табл. 17.1 перечислены общие задачи по работе с серверами DHCP и показано, как можно выполнить эти задачи и Windows NT и в Windows 2000 Server.

Таблица 17.1. Работа с DHCP в Windows NT4.0 и Windows 2000

Задача

Windows NT 4.0

Windows 2000

Установить сервер DHCP на компьютере

Значок Network (Сеть) на панели управления

Установка и удаление программ (Add/Remove Program) на панели управления

Запустить консоль управления DHCP

Start | Administrative tools (Common) | DHCP Manager

Оснастка DHCP

Авторизовать сервер DHCP для использования в Active Directory

Недоступно

Имея права члена группы Enterprise Administrators, выберите команду Список авторизованных серверов (Browse authorized servers) меню Действие (Actions) оснастки DHCP; в открывшемся диалоговом окне нажмите кнопку Добавить (Add) и введите имя или адрес авторизуемого сервера

Запустить или остановить сервер DHCP

Значок Services (Службы) на панели управления

В окне оснастки Управление компьютером (Computer Management) в контекстном меню службы DHCP-сервер выберите команду Запустить (Start) или Остановить (Stop)

Добавить сервер в средстве управления DHCP

Меню Server в DHCP Manager

Оснастка DHCP

Добавить и конфигурировать область для сервера DHCP

Пункт Create меню Scope в DHCP Manager

Оснастка DHCP

 

8. Установка и настройка DHCP

 

Установка и настройка DHCP

Для установки и настройки сервера DHCP:

1. Изучите требования к серверу DHCP и спланируйте конфигурацию: области, арендные договоры и опции.
2. Определите диапазон IP-адресов или диапазоны, для которых необходим DHCP, для поддержки службы конфигурации сети.
3. Вручную настройте свойства TCP/IP для компьютера, на котором будет располагаться сервер DHCP.
4. Установите службу DHCP: запустите мастер компонентов Windows (Windows Component Wizard) (значок Установка и удаление программ на панели управления, затем кнопка Добавление и удаление компонентов Windows (Add/Remove Windows Components)). Другой вариант — в окне Сеть и

удаленный доступ к сети в меню Дополнительно выбрать команду Дополнительные сетевые компоненты.

5. В списке Компоненты (Components) выберите Сетевые службы (Networking Services).
6. Нажмите кнопку Состав (Details).
7. В списке Сетевые службы — состав (Subcomponents of Networking Services) установите флажок у элемента DHCP (Dynamic Host Configuration Protocol (DHCP)) и нажмите кнопку ОК.
8. Если потребуется, введите полный путь к файлам дистрибутива Windows 2000 и нажмите кнопку Продолжить (Continue). Требуемые файлы будут скопированы на жесткий диск; программное обеспечение сервера можно использовать после перезапуска системы.

Примечание

Для DNS-сервера нужно использовать статический IP-адрес.

9. Запустите службу DHCP-сервер (через оснастку Службы).
10. Авторизуйте сервер DHCP в Active Directory.
11. Если сервер DHCP подключен к нескольким сетям, отключите привязку службы к тем подключениям, которым не требуется поддержка DHCP (через оснастку DHCP, рис. 17.3).
12. Настройте обновление информации в DNS.
13. При использовании нескольких областей настройте опции по умолчанию для сервера, которые должны быть унаследованы всеми областями.
14. Создайте новую область.
15. Настройте, если это необходимо, дополнительные типы опций для области.
16. Добавьте резервирование для клиентов, которым требуются зарезервированные IP-адреса.
17. Исключите диапазоны IP-адресов для этой области, не сдаваемые в аренду, если это необходимо.
18. Активизируйте область.
19. Настройте и назначьте классы опций, если требуется.
20. Определите новые дополнительные типы опций, если требуется.
21. Корректируйте продолжительность арендного договора, если требуется.
22. Создайте суперобласти для поддержки множественных логических подсетей сервера, подключенного физически к одной сети.
23. Создайте области для клиентов группового вещания, если требуется.
Рис. 17.3. Оснастка управления DHCP
24. Настройте таблицу ВООТР, если требуется поддержка для ВООТР-кли-ентов.
25. Проверьте функционирование службы DHCP.
26. Для клиентов Windows 2000 отключите автоматическую конфигурацию адресов, если требуется.
27. Периодически производите мониторинг состояния сервера и использования адресов.

 

17.3.gif

Изображение: 

9. Служба DNS

 

Служба DNS

Система доменных имен (Domain Name System) — служба имен Интернета, стандартная служба TCP/IP. Служба DNS дает возможность клиентским компьютерам в сети регистрировать и разрешать доменные имена. Доменные имена используются, чтобы находить ресурсы в сети и обращаться к ним.

 

10. Новые возможности DNS в Windows 2000 Server

 

Новые возможности DNS в Windows 2000 Server

Служба DNS в Microsoft Windows 2000 Server дополнена новыми функциями, улучшающими совместимость компонентов сети и расширяющими диапазон применения DNS.

Интеграция с Active Directory. В Windows 2000 Server служба DNS тесно интегрирована со службой каталогов Active Directory.

Поддержка Unicode. Первоначально, стандартная служба DNS в Интернете допускала использование имен, состоящих только из первых 128 символов ASCII. Это требование содержится в RFC 1035 — одном из основных стандартов DNS. Чтобы применять DNS в различных странах, потребовалось расширить этот стандарт. Microsoft в службе DNS для Windows 2000 Server

включила поддержку Unicode-символов UTF-8, что расширяет стандарт RFC 1035.

Интеграция с WINS. Взаимодействие со службой WINS для поиска имен DNS, которые не могут быть разрешены при помощи просмотра пространства имен DNS.

 

11. Обзор DNS

 

Обзор DNS

 

Что такое DNS

Домен DNS (рис. 17.4) основан на концепции дерева именованных доменов. Каждый уровень дерева может представлять или ветвь, или лист дерева. Ветвь — это уровень, содержащий более одного имени и идентифицирующий набор именованных ресурсов. Лист — имя, указывающее заданный ресурс (терминологию см. в табл. 17.2).

Рис. 17.4. Структура DNS на примере

Таблица 17.2. Структура DNS

Тип имени

Описание

Пример

Корневой домен

Корень дерева именованных доменов, задает неименованный уровень; часто указывается в виде двойных пустых кавычек (" "). При использовании в доменном имени указывается точкой в конце имени. Определяет, что имя расположено в корневом, самом высоком, уровне доменной иерархии

Точка (.) или точка, стоящая в конце имени, например, "sample.mydomain.org."

Домен верхнего уровня

Имя, состоящее из двух или трех символов, обычно указывающее страну (Россия — ш, Нидерланды — nl, Украина — иа и т. п.) или тип организации, использующей имя (com — коммерческая, mil — военная, США и т. д.)

".com" означает, что имя зарегистрировано фирмой или другой организацией для коммерческого использования в Интернете

Домен второго уровня

Имя переменной длины, зарегистрированное частным лицом или организацией для использования в Интернете. Такие имена всегда основаны на домене верхнего уровня, в зависимости от типа организации или географического местоположения

"mydomain.org" — имя домена второго уровня (вымышленное)

L

Субдомен

Дополнительные имена, которые организация может создавать в пределах домена второго уровня. Применяются для указания различных организационных единиц или территориальных подразделений больших организаций

"sample.mydomain.org." — субдомен домена второго уровня "mydomain.org."

Имя хоста или ресурса

Листья дерева имен DNS, задают определенный ресурс или хост

"host.sampte.mydbmain.org.", где host— имя хоста или какого-либо ресурса в сети

На рис. 17.5 изображена схема взаимодействия клиента и сервера DNS.

Рис. 17.5. Работа сервера DNS

 

17.4.gif

Изображение: 

17.5.gif

Изображение: 

12. Возможности серверов DNS

 

Возможности серверов DNS

Служба DNS под управлением Windows 2000 Server обеспечивает следующие возможности:

DNS-cepeep, соответствующий стандартам RFC. Служба DNS поддерживает открытый протокол и соответствует промышленным стандартам (RFC).
Способность взаимодействовать с другими реализациями серверов DNS. Поскольку служба DNS соответствует стандартам DNS и "понимает" форматы стандартных файлов данных DNS и форматы ресурсных записей, она успешно работает совместно с большинством других реализаций DNS, например, использующих программное обеспечение Berkeley Internet Name Domain (BIND).
Поддержка Active Directory. Служба DNS обязательна для работы Active Directory. При установке Active Directory на компьютере под управлением Windows 2000 Server операционная система автоматически (но с согласия пользователя) устанавливает и конфигурирует службу DNS для поддержки Active Directory.
Интеграция с другими сетевыми службами Microsoft. Служба DNS обеспечивает интеграцию с другими службами Windows 2000 и содержит функции, не описанные в RFC. Это касается интеграции со службами WINS иОНСР.
Улучшенные административные инструменты. Windows 2000 предоставляет оснастку с улучшенным графическим интерфейсом пользователя для управления службой DNS. Windows 2000 Server содержит несколько новых мастеров конфигурации для выполнения повседневных задач по администрированию сервера. Также имеется ряд дополнительных средств, помогающих управлять и поддерживать серверы DNS и клиентов в сети (рис. 17.6).
Рис. 17.6. Оснастка DNS
Поддержка протокола динамического обновления в соответствии с RFC. Служба DNS позволяет клиентам динамически обновлять ресурсные записи при помощи динамического протокола обновления DNS (стандарт RFC 2136). Это облегчает администрирование DNS, избавляя от необходимости вносить эти записи вручную. Компьютеры под управлением Windows 2000 могут динамически регистрировать свои имена DNS и IP-адреса.

а Поддержка инкрементных зональных передач между серверами. Зональные передачи используются между серверами DNS для частичного копирования информации. Инкрементная зональная передача используется, чтобы копировать только измененные части зоны. Зона — набор записей, относящихся к одному домену.

Поддержка новых типов ресурсных записей. Служба DNS включает поддержку нескольких новых типов ресурсных записей (RR): записи SRV (расположение службы) и АТМА (адрес ATM), что значительно расширяет возможности использования DNS в глобальных сетях.

 

17-6.jpg

Изображение: 

13. Возможности клиентов DNS

 

Возможности клиентов DNS

Клиентская служба DNS под управлением Windows 2000 служит для разрешения доменных имен DNS и предоставляет следующие возможности:

Клиентское кэширование. Ресурсные записи (RR), полученные как ответы на запросы, добавляются в клиентский кэш. Эта информация хранится в пределах заданного времени и может использоваться для ответа на последующие запросы.
Кэширование отрицательных ответов. В дополнение к кэшированию положительных ответов на запросы от серверов DNS, служба DNS также кэширует отрицательные ответы на запросы. Отрицательный ответ приходит, если ресурсная запись с запрошенным именем не существует. Кэширование отрицательных ответов предотвращает повторные запросы для несуществующих имен, снижающие производительность клиентской службы.
Блокировка неотвечающих серверов DNS. Клиентская служба DNS использует список поиска серверов, упорядоченных по предпочтению. Этот список включает все серверы DNS, настроенные для каждого из активных сетевых подключений в системе. Windows 2000 перестраивает этот список, основываясь на следующих критериях: предпочтительные серверы DNS имеют высший приоритет, а остальные серверы DNS чередуются. Неотвечающие серверы временно удаляются из списка.

 

14. Использование DNS

 

Использование DNS

Работа с DNS в Windows NT 4.0 и Windows 2000 Server

В табл. 17.3 приведены отличия при работе с сервером DNS в этих ОС.

Таблица 17.3. Работа с DNS в Windows NT4.0 и Windows 2000 Server

Задача

Windows NT 4.0 Server

Windows 2000 Server

Установить сервер DNS на компьютере

Значок Network на панели управления

Значок Установка и удаление программ на панели управления

Запустить DNS Manager

Start | Administrative Tools (Common) | DNS Manager

Пуск | Администрирование | DNS (Start | Administrative Tools | DNS)

Запустить или остановить сервер DNS

Значок Services на панели управления

Оснастка Службы (Services)

Добавить удаленный сервер в DNS Manager

Узел Server в окне утилиты DNS Manager

Контекстное меню узла DNS в оснастке DNS, команда Подключение к компьютеру

 

15. Установка сервера DNS

 

Установка сервера DNS

Для установки сервера DNS необходимо выполнить следующие действия:

1. Запустите Мастер компонентов Windows (Windows Component Wizard) (значок Установка и удаление программ (Add/remove programs) на панели управления, затем нажмите кнопку Добавление и удаление компонентов Windows (Add/remove Windows Components)).
2. Нажмите кнопку Далее (Next).
3. В списке Компоненты (Components) выберите пункт Сетевые службы

(Networking Services).

4. Нажмите кнопку Состав (Details).
5. В списке Сетевые службы — состав (Subcomponents of Networking Services) установите флажок у элемента DNS (Domain name system (DNS)) и нажмите кнопку ОК.
6. При необходимости введите полный путь к файлам дистрибутива Windows 2000 и нажмите кнопку Продолжить (Continue). Требуемые файлы будут скопированы на жесткий диск, программное обеспечение сервера можно использовать после перезапуска системы.

Примечание

  • Установив сервер DNS, необходимо решить, как будут управляться сервер и файлы зон базы данных DNS. Хотя изменения в файлах базы данных можно вносить и при помощи текстового редактора, этот метод не рекомендуется. Лучше обслуживать сервер DNS и файлы зон базы данных средствами оснастки DNS.
  • После управления зонами при помощи оснастки DNS файлы зон нельзя снова редактировать вручную.

16. Планирование

 

Планирование

Перед использованием DNS в сети необходимо тщательно спланировать пространство имен DNS. При этом нужно определить, как будет применяться служба DNS и какие цели ставятся при ее развертывании. Вот вопросы, которые необходимо решить до установки службы:

Выбор и предварительная регистрация имени домена, используемого в Интернете
В какой сети будут установлены серверы DNS — в частной сети или в Интернете
Нужно ли использовать DNS для поддержки работы Active Directory О Требования к выбору доменных имен для компьютеров.

 

17. Настройка сервера

 

Настройка сервера

Настройка и изменение конфигурации сервера DNS могут понадобиться по разным причинам, например:

При изменении имени компьютера-сервера
При изменении имени домена для компьютера-сервера
При изменении IP-адреса компьютера-сервера
При удалении сервера DNS из сети
При изменении основного сервера (primary server) зоны

 

18. Управление клиентами

 

Управление клиентами

Для клиентов Windows конфигурация DNS при настройке свойств TCP/IP для каждого компьютера включает следующие задачи:

Установка имени хоста DNS для каждого компьютера или сетевого подключения.
Установка имени родительского домена, которое помещается после имени хоста, чтобы формировать полное (fully qualified) имя домена для каждого клиента.
Установка основного DNS-сервера и списка дополнительных DNS-cepверов, которые будут использоваться, если основной сервер недоступен.
Установка очередности списка поиска доменов, используемого в запросах для дополнения не полностью заданного имени компьютера.

 

19. Управление зонами

 

Управление зонами

После добавления зоны при помощи оснастки DNS можно управлять следующими общими свойствами зоны:

Запрещать или разрешать использование зоны
Изменять или преобразовывать тип зоны
Разрешать или запрещать динамическое обновление зоны

Также можно настраивать начальные записи зоны (Start Of Authority, SOA), ресурсные записи, делегирование зон, списки оповещения, использование просмотра WINS, а также управлять зонами обратного просмотра (reverse zone), необходимыми для обратного разрешения имен — из адреса в имя.

 

20. Мониторинг и оптимизация

 

Мониторинг и оптимизация

В Windows 2000 Server можно производить мониторинг и по его результатам оптимизировать настройки службы DNS при помощи:

Системного монитора (Performance Monitor)

 

Опций протоколирования

 

Статистики по DNS-серверу

 

Настройки дополнительных параметров

 

 

21. Служба WINS

 

Служба WINS

 

Обзор WINS

Служба WINS (Windows Internet Name Service, служба имен Windows) обеспечивает поддержку распределенной базы данных для динамической регистрации и разрешения имен NetBIOS для компьютеров и групп, используемых в сети. Служба WINS отображает пространство имен NetBIOS и адресное пространство IP друг на друга и предназначена для разрешения имен NetBIOS в маршрутизируемых сетях, использующих NetBIOS поверх TCP/IP.

Имена NetBIOS используются более ранними версиями операционных систем Microsoft для идентификации компьютеров и других общедоступных ресурсов.

Хотя протокол NetBIOS может применяться с другими сетевыми протоколами, помимо TCP/IP (например, NetBEUI или IPX/SPX), служба WINS была разработана для поддержки NetBIOS поверх TCP/IP (NetBT). WINS упрощает управление пространством имен NetBIOS в сетях на базе TCP/IP.

WINS применяется для распознавания имен NetBIOS, но для ускорения разрешения имен клиенты должны динамически Добавлять, удалять или модифицировать свои имена в WINS.

На рис. 17.7 показаны основные процессы, производимые клиентами WINS.

Рис. 17.7. Обмен информацией между клиентом и сервером WINS

 

17.7.gif

Изображение: 

22. Новые возможности WINS в Windows 2000

 

Новые возможности WINS в Windows 2000

В Windows 2000 WINS обеспечивает следующие расширенные возможности:

Постоянные соединения. Теперь можно настроить каждый WlNS-сервер на обслуживание постоянного соединения с одним или большим количеством партнеров репликации. Это увеличивает скорость репликации и снижает затраты на открытие и завершение соединений.
Управление "захоронением". Можно вручную отмечать записи для захоронения (отметка для дальнейшего удаления, tombstoning). Состояние "захоронения" записи копируется для всех серверов WINS, что предотвращает восстановление копии из баз данных других серверов.
Улучшенная утилита управления. Утилита управления WINS реализована в виде оснастки ММС, что упро'щает использование WINS для администратора.
Расширенная фильтрация и поиск записей. Улучшенная фильтрация и новые поисковые функции помогают находить записи, показывая только записи, соответствующие заданным критериям. Эти функции особенно полезны для анализа очень больших баз данных WINS.
Динамическое стирание записей и множественный выбор. Эти особенности упрощают управление базой данных WINS. При помощи оснастки WINS можно легко манипулировать с одной (или более) записью WINS динамического или статического типа.
Проверка записей и проверка правильности номера версии. Эти возможности проверяют последовательность имен, сохраненных и скопированных на серверах WINS. Проверка записей сравнивает IP-адреса, возвращаемые по запросу по имени NetBIOS с различных серверов WINS. Проверка правильности номера версии проверяет номер владельца таблицы отображения "адресверсия".
Функция экспорта. При экспорте данные WINS сохраняются в текстовом файле с запятыми в качестве разделителей. Можно импортировать этот файл в Microsoft Excel и другие программы для анализа и составления отчетов.
Увеличенная отказоустойчивость клиентов. Клиенты под управлением Windows 2000 или Windows 98 могут использовать более двух серверов WINS (максимально — 12 адресов) на интерфейс. Дополнительные адреса серверов WINS будут использоваться, если первичные и вторичные серверы WINS не отвечают на запросы.
Динамическое обновление клиентов. От клиентов WINS больше не требуется перезапуск компьютера после использования WINS для возобновления регистрации локальных имен NetBIOS. Команда Nbtstat имеет новую опцию -гг, которая обеспечивает эту возможность. Если Windows NT 4.0 обновлена пакетом Service Pack 4 или выше, то опция -гг может также использоваться на компьютерах-клиентах WINS под управлением Windows NT 4.0.
Консольный доступ только для чтения к WINS Manager. Эта возможность предоставляется группе Пользователи WINS (WINS Users), которая автоматически создается при установке сервера WINS. Добавляя членов к этой группе, можно предоставить доступ только для чтения к информации о WINS. Это позволяет пользователю-члену группы просматривать, но не изменять информацию и свойства, хранящиеся на определенном сервере WINS.

 

23. Компоненты службы WINS

 

Компоненты службы WINS

Основные компоненты WINS — сервер WINS и клиенты WINS, а также посредники WINS (WINS proxy).

Серверы WINS. Сервер WINS обрабатывает запросы на регистрацию имен от клиентов WINS, регистрирует их имена и IP-адреса и отвечает на запросы разрешения имен NetBIOS от клиентов, возвращая IP-адрес по имени, если это имя находится в базе данных сервера (рис. 17.8). Сервер WINS поддерживает базу данных WINS.

Клиенты WINS. Клиенты WINS регистрируют свои имена на сервере WINS, когда они запускаются или подключаются к сети.

Microsoft поддерживает клиентов WINS на платформах Windows 2000 Server/Professional, Windows NT Server/Workstation, Windows 9x, Windows for Workgroups, Microsoft LAN Manager, MS-DOS, OS/2, Linux/Unix (с установленной службой Samba).

Клиенты WINS обращаются к серверу WINS, чтобы зарегистрировать/обновить/удалить имя клиента в базе данных WINS, а также для разрешения имен пользователей, имен NetBIOS, имен DNS и адресов IP.

Рис. 17.8. Серверы WINS

Посредники WINS. Посредник WINS — клиентский компьютер WINS, настроенный так, чтобы действовать от имени других хостов, которые не могут непосредственно использовать WINS (рис. 17.9).

Рис. 17.9. Посредник WINS

 

Рис. 17.10. Пример репликации

 

17.10.gif

Изображение: 

17.8.gif

Изображение: 

17.9.gif

Изображение: 

24. Репликация WINS

 

Репликация WINS

Если в сети используется несколько серверов WINS, они могут быть настроены для регистрации в своей базе данных записей с других серверов. На рис. 17.10 показаны два сервера WINS, настроенные для полной репликации записей между ними.

С помощью дублирования между этими серверами информация WINS распределяется по сети. Например, на рис. 17.10 клиент WINS (computer!) в Подсети 1 регистрирует свое имя на первичном сервере WINS (WINS-A). Другой клиент WINS (computer2) в Подсети 3 регистрирует свое имя на первичном сервере WINS (WINS-B). Если любой из этих компьютеров, например, computerl, пытается найти другой компьютер, используя WINS, запрос на нахождение IP-адреса для computer2 поступает на сервер WINS-B, который, в результате репликации, уже располагает такой информацией.

 

25. Использование WINS

 

Использование WINS

 

Работа с WINS в Windows NT 4.0 и Windows 2000

В табл. 17.4 перечислены основные задачи по управлению серверами WINS и показаны отличия при работе в Windows 2000 и Windows NT 4.0.

Таблица 17.4. Работа с WINS в Windows NT4.0 и Windows 2000

Задача

Windows NT 4.0

Windows 2000

Установить сервер WINS на компьютере

Значок Network на панели управления

Значок Установка и удаление программ на панели управления

Задача

Windows NT 4.0

Windows 2000

Запустить средство управления WINS

Start | Administrative Tools (Common) I WINS Manager

Пуск | Администрирование | WINS

(Start | Administrative Tools | WINS)

Запустить или остановить сервер WINS

Значок Services на панели управления

Оснастка Службы (Services)

Добавить удаленный сервер в WINS Manager

Пункт меню Add WINS Server меню Server в утилите WINS Manager

Локальный сервер регистрируется автоматически, к удаленному серверу можно подключиться через контекстное меню

Добавить и настроить партнера репликации

Команда Replication Partner (Партнер репликации) меню Server WINS Manager

Папка Партнеры репликации

(Replication Partners) расположена внутри узла сервера в оснастке WINS. В меню Действие (Action) выберите команду Создать партнера репликации (New Replication j Partner)

 

26. Установка сервера WINS

 

Установка сервера WINS

Для установки сервера WINS необходимо выполнить следующие действия:

1. Запустите Мастер компонентов Windows (Windows Component Wizard) (щелкните на значке Установка и удаление программ на панели управления, затем нажмите кнопку Добавление и удаление компонентов Windows).
2. Нажмите кнопку Далее (Next).
3. В списке Компоненты (Components) выберите Сетевые службы (Networking Services).
4. Нажмите кнопку Состав (Details).
5. В списке Сетевые службы — состав (Subcomponents of Networking Services) выберите опцию WINS (Windows Internet Name Service (WINS)) и нажмите кнопку ОК.
6. При необходимости введите полный путь к файлам дистрибутива Windows 2000 и нажмите кнопку Продолжить (Continue). Требуемые файлы будут скопированы на жесткий диск, программное обеспечение сервера можно использовать после перезапуска системы.

Примечание

Для WINS-сервера необходимо использовать статический IP-адрес.

 

27. Планирование сети с использованием WINS

 

Планирование сети с использованием WINS

Перед установкой серверов WINS в сети необходимо решить следующие задачи:

Определить число необходимых серверов WINS
Спланировать партнеров репликации
Оценить влияние трафика WINS на самых медленных соединениях
Оценить уровень отказоустойчивости в пределах сети для WINS
Составить и оценить план инсталляции WINS

До настройки репликации нужно тщательно спроектировать топологию репликации WINS. В глобальных сетях это очень важно для успешного развертывания и использования WINS.

 

28. Настройка статического отображения

 

Настройка статического отображения

Запись, отображающая имя в IP-адрес, может быть добавлена в базу данных WINS двумя способами:

Динамически (клиентами WINS, непосредственно при связи с сервером WINS).
Статически (вручную, администратором, при помощи оснастки WINS или утилит командной строки).

Статические (добавляемые администратором вручную) записи полезны, когда нужно добавить отображение "имя-адрес" к базе данных сервера для компьютера, который непосредственно не использует WINS. Например, в некоторых сетях серверы под управлением других операционных систем не могут регистрировать имя NetBIOS непосредственно на сервере WINS. Хотя эти имена можно было бы добавить с помощью файла Lmhosts или через запрос к серверу DNS, вместо этого можно просто статически отобразить их на сервере WINS.

 

29. Управление базой данных WINS

 

Управление базой данных WINS

Оснастка WINS обеспечивает поддержку, просмотр, копирование и восстановление базы данных WINS. Основные задачи по работе с базой:

Сжатие базы
Резервное копирование базы
Проверка целостности базы

 

30. Переход от WINS к DNS

 

Переход от WINS к DNS

В сетях, использующих только Windows 2000, можно уменьшить или даже устранить применение WINS. Удаление установленных серверов WINS из сети называется отзывом (decommissioning).

После развертывания сервера DNS в сети отзыв сервера WINS выполняется в такой последовательности:

Клиентские компьютеры перенастраиваются, чтобы они не использовали WINS, а только DNS.
На каждом сервере WINS по отдельности запускается процесс отзыва:
  • В дереве WINS выберите сервер WINS, который нужно отозвать, затем выберите опцию Активные регистрации (Active Registrations).
  • В меню Действие (Action) выберите пункт Найти по владельцу (Show records for the sleeted owner).
  • В появившемся окне в списке только для выбранного владельца (only for selected owner) выберите сервер WINS, который необходимо отозвать, и нажмите кнопку ОК.
  • В подокне подробного просмотра выделите все элементы.
  • В меню Действие (Action) выберите команду Удалить (Delete).
  • В диалоговом окне Подтверждение удаления записей (Confirm WINS Record Delete) установите переключатель Реплицировать удаление записи на другие серверы (Tombstone WINS records on all WINS servers) переключателя и нажмите кнопку ОК.
  • Подтвердите удаление, нажав кнопку Да (Yes) в окне запроса.
  • В дереве выберите элемент Партнеры репликации (Replication Partners).
  • В меню Действие (Action) выберите команду Запустить репликацию

    (Replicate Now).

  • После проверки репликации выбранных записей на другие серверы остановите и удалите службу WINS на отозванном сервере.
Делается необязательная настройка для уменьшения и переадресации трафика WINS. Может потребоваться настроить дополнительное разрешение имен DNS через WINS.

После заключительного шага процесса отзыва WINS можно настроить клиентские компьютеры под управлением Windows 2000, чтобы они не использовали поддержку NetBIOS поверх TCP/IP (NetBIOS over TCP/IP). Этот шаг нужен, только если надо уменьшить трафик запросов имени NetBIOS и трафик регистрации WINS. Однако в большинстве сетей ограниченное применение WINS какое-то время еще будет необходимо.

 

Глава 18. Дополнительные сетевые службы

Глава 18. Дополнительные сетевые службы

1. Управление качеством обслуживания (QoS)

 

Глава 18

Дополнительные сетевые службы

Система Windows 2000 располагает множеством дополнительных сетевых служб, позволяющих решать разнообразные задачи, возникающие в сложных, разнородных сетях; некоторые из этих служб рассматриваются в данной главе.

 

Управление качеством обслуживания (QoS)

Windows 2000 включает важную технологию управления качеством обслуживания (Quality of Service, QoS), которая поддерживается и в Windows 98. Эта технология позволяет администраторам сети использовать новое поколение приложений, которые интенсивно используют среду передачи данных и требуют строгих временных характеристик, при сохранении возможности управления использованием сети. Независимые поставщики программного обеспечения могут использовать преимущества прикладных интерфейсов для того, чтобы получить лучшее качество сетевого обслуживания для своих критических по времени или потоковых приложений.

Поддержка QoS в Windows особенно важна, поскольку растущая ширина полосы пропускания, доступная при использовании Fast Ethernet и новейшей технологии Gigabit Ethernet, поощрила разработку и развертывание приложений, работающих с потоковым видео, звуком в реальном масштабе времени, видеоконференц-связью, интерактивной связью, и других приложений, интенсивно использующих ширину полосы пропускания, которые требуют доставки данных с малым временем ожидания. Кроме того, есть много приложений, критических по времени, которые не являются приложениями мультимедиа, но требуют жесткой гарантии качества обслуживания.

Windows QoS включает поддержку протокола резервирования ресурсов (Resourse Reservation Protocol, RSVP), разработанного проектной целевой группой Интернета (Internet Engineering Task Force, IETF), и другие элементы, обеспечивающие тот тип качества обслуживания (QoS), который мог бы

иначе быть получен только при сквозном использовании сетей с асинхронным режимом передачи (Asynchronous Transfer Mode, ATM). Кроме того, Windows QoS может функционировать поверх сетей разнородной топологии, включая, например, Ethernet и ATM.

Windows QoS обеспечивает основу для доставки интенсивного и требовательного ко времени доставки трафика и предоставляет администраторам сети полный контроль над использованием полосы пропускания. Администраторы сети могут применять Windows QoS для следующих целей:

Предотвращение нарушения режима эксплуатации сетевых ресурсов неадаптивными протоколами (типа UDP).
Распределение ресурсов между трафиком с наилучшим возможным качеством (best-effort) и между более или менее приоритетным трафиком.
Резервирование ресурсов для выделенных пользователей.
Разделение доступа к ресурсам по приоритетам, основанным на пользователях.

Технология QoS в Windows 2000 позволяет стратегически управлять качеством обслуживания, распределяя ширину полосы пропускания: например, равномерно — для всех отделов в течение определенного периода времени или по приоритетам — для разных типов трафика. Такое распределение гарантирует, что приложениям, требующим предоставления QoS, будет выделена та часть полосы пропускания, в которой они нуждаются, без превышения заданных администратором ограничений ширины полосы пропускания.

Windows QoS также поддерживает управление качеством обслуживания для приложений, при этом заданная администратором ширина полосы пропускания может быть выделена критическим приложениям, таким как ночная инвентаризация или банковские транзакции.

Windows QoS поддерживает:

Службу управления допуском (Admission Control Service) — для распределения сетевых ресурсов на основе топологии, доступности ресурса и политики, связанной с пользователями или приложениями.
RSVP (Resourse Reservation Protocol, протокол резервирования ресурсов) — протокол передачи сигналов, который позволяет отправителю и получателю в сеансе связи запросить ресурсы, получить и сообщить своим соседям информацию об используемой стратегии сети.
Базовое управление трафиком:
  • Охрана трафика, формирование и управление порядком следования пакетов (включая уменьшение времени ожидания на медленных линиях).
  • Управление битами старшинства в IP для определения уровня приоритета сетевых устройств уровня 3.
  • Установление приоритета согласно стандарту 802.1р для определения уровня приоритета сетевых устройств уровня 2.
  • Трансляция между передачей сигналов уровня 3 служб управления QoS (типа RSVP) и передачей сигналов уровня 2 управления QoS, например, преобразование из RSVP в ATM.

Реализацию QoS в среде Windows могут легко расширять независимые поставщики программного обеспечения (Independent Software Vendors, ISV) и аппаратного обеспечения (Independent Hardware Vendors, IHV). Кроме того, администраторы сети сами могут легко управлять QoS.

Общий прикладной интерфейс качества обслуживания WinSock 2 (Generic QoS API, GQoS API) позволяет приложениям использовать QoS, не имея представления о базовой сети или о специфических механизмах QoS, доступных в сети. Созданный при непосредственном участии поставщиков программных средств GQoS API позволяет облегчить развертывание в одной сети приложений и решений, использующих QoS, от нескольких поставщиков. Прикладной интерфейс управления трафиком (Traffic Control API, TC API) позволяет осуществить полный доступ к управлению трафиком и вызывать QoS от имени устаревших приложений. Вызываемый интерфейсом GQoS поставщик услуг (Service Provider, SP) QoS обеспечивает передачу сигналов RSVP по сети и равноподчиненным компонентам, обеспечивает обратную связь с приложениями и вызывает службу управления трафиком. Поставщик услуг QoS также взаимодействует с сервером службы управления допуском (ACS), чтобы предотвратить блокирование сетевых ресурсов и реализовать политику, полученную из Active Directory.

Потоки мультимедиа, подобные используемым в IP-телефонии или видеоконференц-связи, могут быть чрезвычайно чувствительны к задержкам доставки, что требует уникального качества обслуживания от сетей, по которым они передаются. Поскольку мультимедиа и приложения с критическими заданиями обычно используют модель доставки с наилучшим возможным качеством (best-effort), они практически не используют возможности гарантированной доставки пакетов. Чтобы развернуть приложения реального масштаба времени поверх IP и других сетей с приемлемым уровнем качества, нужно обеспечить заданную ширину полосы пропускания, время ожидания и требования к флуктуации так, чтобы разрешить трафику мультимедиа сосуществовать с традиционным трафиком данных в той же самой сети, не подавляя его.

 

2. Состав Windows QoS

 

Состав Windows QoS

Операционная система Microsoft Windows 2000 обеспечивает полную и надежную реализацию технологии QoS. Она позволяет сетевым администраторам использовать преимущества мощности приложений, применяющих QoS, сохраняя возможность управления шириной полосы пропускания сети.

Приложение QoS использует интерфейс WinSock 2 GQoS, чтобы передать свои требования к QoS поставщику услуг WinSock 2 QoS. QoS SP no очереди

вызывает различные механизмы QoS нижележащих уровней и сети, соответствующие приложению, чтобы гарантировать требуемый сквозной уровень QoS (рис. 18.1).

Рис. 18.1. Архитектура QoS в Windows 2000

Ключевые элементы QoS в Windows 2000:

Службы управления допуском (Admission Control Services, ACS)

Службы управления допуском базируются на платформе SBM (Subnet Bandwidth Management, управление полосой пропускания на уровне подсетей), определенной консорциумом IETF. SBM описывает запросы резервирования полосы пропускания. В соответствии с проектом IETF, SBM вставляет себя в путь резервирования для того, чтобы проверить сообщения резервирования и определить доступность ресурсов.

Служба управления допуском, основанная на политиках (Policy-based ACS)

Администратор сети может использовать политику из Active Directory, чтобы ограничить объем трафика, который любое лицо может зарезервировать в любой отдельной подсети в любое заданное время. Применение политики к группам пользователей, как к отдельным пользователям, облегчает администрирование при помощи Active Directory.

API

Технология Windows QoS делает проще разработку для ISV, обеспечивая обобщенный QoS (GQoS) API и API управления трафиком (ТС API).

  • Обобщенный QoS API (Generic QoS API)

    GQoS API позволяет приложениям описывать качество обслуживания, требуемого для передачи потока данных.

  • API управления трафиком (Traffic Control API, TC API)

    API управления трафиком дает приложениям сторонних производителей возможность управления трафиком, а поставщикам услуг QoS — управления трафиком от имени приложений. Также приложения управления трафиком сторонних производителей могут применяться для управления трафиком от имени приложений, которые не могут это делать сами.

    Кроме того, API управления трафиком позволяет объединять части трафика от нескольких источников (на одном и том же компьютере) в один поток управления трафиком. Обобщенный QoS API ограничивает использование потока управления трафиком только трафиком одиночного "диалога" (диалог задается адресами и портами источника и получателя).

Поставщик услуг QoS (QoS SP)

Технология QoS в Windows включает поставщика услуг (Service Provider, SP) QoS, который отвечает на вызовы GQoS API. Как часть операционной системы, QoS SP реализует протокол передачи сигналов RSVP и взаимодействует с ACS. Приложения QoS могут вызывать эти услуги через WinSock 2 GQoS API. QoS SP также вызывает локальное управление трафиком от имени приложений.

Передача сигналов RSVP (RSVP signalling)

Протокол резервирования ресурса разработан для того, чтобы передавать запросы резервирования ресурсов через сети с изменяющейся топологией и различными носителями. При помощи RSVP требование пользователя на заданное качество обслуживания распространяется через все RSVP-безопасные сетевые устройства на пути данных (включая серверы управления допуском), позволяя пользователю резервировать ресурсы, которые разрешают применение RSVP на всех уровнях сети. Это позволяет достигать в сети желаемого уровня качества обслуживания.

Политика

Полная реализация ACS также допускает использование политики. В такой форме ACS рассматривает параметры запроса ресурсов отдельно от запрошенных ресурсов (типа идентификатора пользователя, запрашивающего ресурсы). Затем ACS обращается к Active Directory, чтобы определить политику, применяемую к этому пользователю. Решение о допуске, принимаемое службой ACS, будет основано на доступности ресурсов и на политике, относящейся к пользователю, который произвел запрос.

Вызовы управления трафиком

QoS SP преобразует абстрактные запросы QoS от приложений в семантическую форму управления трафиком, вызывая управление трафиком от имени приложения в соответствии с доступностью ресурсов в сети (как это задано механизмом передачи сигналов RSVP).

Базовое управление трафиком

API управления трафиком обеспечивает тонкое базовое управление трафиком, включающее охрану и формирование трафика, управление порядком следования пакетов, поддержку стандарта 802.1р, старшинство IP и передачу сигналов уровня 2 (типа ATM). Базовое управление трафиком может вызываться приложениями третьих фирм для управления трафиком, чтобы обеспечить QoS для устаревших приложений.

  • Стандарт 802.1р

    Windows QoS обеспечивает поддержку тэгов 802.1р, помогая обеспечить работу служб QoS в сети, использующей коммутаторы второго уровня. Можно использовать управление трафиком для определения значения приоритета пользователя по стандарту 802.1р, передаваемого в поле MAC-заголовка и задающего относительный приоритет пакета.

  • Старшинство IP (IP prioritizing)

    Старшинство IP обеспечивает возможность разделить трафик на несколько классов обслуживания. С помощью управления трафиком можно установить биты в заголовках IP-пакетов в отдельных потоках. Эти биты интерпретируются сетевыми устройствами уровня 3 так, что в итоге пакеты, принадлежащие потоку, будут соответственно обрабатываться следующими устройствами в сети. Эти поля аналогичны приоритетным установкам в 802.1р, но интерпретируются сетевыми устройствами более высокого уровня.

  • Формирование трафика (Traffic shaping)

    Планировщик пакетов отыскивает пакеты и передает их согласно параметрам QoS, которые в общем случае включают планируемую скорость и некоторый внутренний приоритет. Планировщик определяет порядок, в котором поставленные в очередь пакеты должны быть посланы в сеть, когда происходит перегрузка.

Медленные линии

Обеспечиваются специальные механизмы формирования трафика на медленных линиях, например, на модемных линиях со скоростью 28,8 Кбит/с. На таких линиях большие пакеты могут занимать связь достаточно долго, что может привести к задержке малых пакетов со звуковыми данными, которые должны быть переданы по этой же самой линии, и снизить качество звука. Чтобы избежать этой проблемы, управление трафиком на канальном уровне фрагментирует большие пакеты, посылая только один

фрагмент в единицу времени. Чувствительные ко времени ожидания звуковые пакеты можно вставлять между фрагментами большего пакета, уменьшая таким образом время ожидания звукового пакета и повышая качество звука.

Обеспечение дополнительных механизмов передачи сигналов уровня 2 QoS

Поставщик услуг QoS может вызывать дополнительные механизмы управления трафиком в зависимости от конкретного базового уровня передачи данных. Он может, например, потребовать от базовой сети ATM установить соответствующий виртуальный канал для каждого потока. Он может также сгенерировать соответствующую передачу сигналов для кабельных модемов или другой среды уровня 2.

 

18.1.gif

Изображение: 

3. Службы для Novell NetWare

 

Службы для Novell NetWare

Windows 2000 поддерживает службы, позволяющие компьютерам под управлением Windows сосуществовать и совместно функционировать с сетями и серверами на базе Novell NetWare. Некоторые из этих служб включены в Windows 2000 Server и Windows 2000 Professional, другие доступны как отдельные продукты:

NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол (NWLink IPX/SPX/NetBIOS Compatible Transport Protocol), включен в состав Windows 2000 Server и Windows 2000 Professional и является реализацией протокола IPX/SPX в Windows 2000. NWLink поддерживает взаимодействие компьютеров под управлением Windows и компьютеров под управлением NetWare, а также других совместимых систем. NWLink может также использоваться как протокол, объединяющий несколько компьютеров под управлением Windows NT, Windows 2000, Windows for Workgroups, Windows 95/98 с установленным сетевым клиентским программным обеспечением Microsoft для компьютеров под управлением MS-DOS.
Службы шлюза для NetWare (Gateway Services for NetWare, GSNW) включены в состав Windows 2000 Server и позволяют компьютеру под управлением Windows 2000 устанавливать соединение с серверами NetWare версий от 4.дг и выше, на которых функционирует либо Служба каталогов Novell (Novell Directory Service, NDS), либо служебная база данных Bindery. Также включена поддержка сценария входа в сеть. Кроме того, можно использовать GSNW для создания шлюзов к ресурсам NetWare. Создание шлюзов позволяет компьютерам, испрльзующим только клиентское программное обеспечение Microsoft, обращаться к ресурсам NetWare.
Службы клиента для NetWare (Client Services for NetWare, CSNW) включены в состав Windows 2000 Professional и позволяют клиентским компьютерам устанавливать непосредственные соединения с файловыми ресурсами и принтерами на серверах под управлением NetWare версий 2.x и выше. CSNW поддерживает серверы NetWare 4.x или выше, на которых функционирует или Bindery, или NDS. Также в CSNW включена поддержка сценария входа в сеть.
Службы синхронизации каталогов (Microsoft Directory Synchronization Services, MSDSS) включены в состав Services for NetWare v. 5 (см. главу 24) и дают возможность переносить учетные записи пользователей и групп с серверов NetWare в Active Directory. Сервер NetWare, с которого происходит миграция, может использовать NDS, либо Bindery типа NetWare 3.x.
Утилита переноса файлов (Microsoft File Migration Utility, MSFMU) включена в состав Services for NetWare v. 5 (см. главу 24) и предназначена для переноса общих ресурсов NetWare в среду Windows 2000.
Службы доступа к файлам и принтерам сетей NetWare (File and Print Services for NetWare, FPNW) — отдельный продукт. Службы FPNW позволяют компьютеру под управлением Windows 2000 Server предоставлять службы печати и файлов непосредственно клиентам NetWare и совместимым с ними. Клиенты NetWare видят такого рода сервер, как любой другой сервер NetWare, и могут обращаться к его томам, файлам и принтерам. Никакие изменения в программном обеспечении клиента NetWare не требуются.

 

4. Протокол NWLink

 

Протокол NWLink

NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол — реализация протоколов Novell Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX) и NetBIOS. NWLink могут использовать клиенты Windows для обращения к клиент-серверным приложениям на серверах Novell NetWare, a также клиенты NetWare для обращения к клиент-серверным приложениям на серверах Windows. NWLink позволяет компьютерам под управлением Windows связываться с другими сетевыми устройствами, например, принтерами, использующими IPX/SPX. NWLink можно также применять в малых сетях, где есть только клиенты Microsoft (Windows и др.).

NWLink соответствует спецификации интерфейса сетевого драйвера (Network Driver Interface Specification, NDIS) (рис. 18.2), он является 32-разрядной реализацией протокола Novell IPX/SPX. NWLink поддерживает два прикладных сетевых интерфейса (API): NetBIOS и Windows Sockets. Эти два API поддерживают взаимодействие между компьютерами под управлением Windows NT/2000 и между компьютерами под управлением Novell NetWare и Windows NT/2000.

Транспортный драйвер NWLink — реализация протоколов NetWare низшего уровня, включающих IPX, SPX, RIPX (RIP поверх IPX) и NBIPX (NetBIOS поверх IPX). IPX управляет адресацией и маршрутизацией пакетов данных внутри и между сетями, SPX обеспечивает надежную доставку, поддерживая порядок следования пакетов и подтверждений. NWLink обеспечивает совместимость NetBIOS с уровнем NetBIOS поверх IPX.

Рис. 18.2. Место NWLink в архитектуре Windows

 

18.2.gif

Изображение: 

5. Взаимодействие с ресурсами NetWare

 

Взаимодействие с ресурсами NetWare

В зависимости от используемых платформ и требуемых ресурсов может появиться необходимость применения NWLink вместе с другими средствами (табл. 18.1).

Таблица 18.1. Возможности взаимодействия различных платформ при использовании NWLink

Платформа

На которой функционирует

Может взаимодействовать

Компьютер на базе Windows

NWLink

С приложениями типа "клиент-сервер", работающими на сервере NetWare

Компьютер на базе Windows

NWLink и CSNW или NWLink и GSNW

С серверами NetWare для служб печати и файлов

Клиент NetWare

IPX с NetBIOS, Named Pipes или поддержка Windows Sockets

С компьютерами на базе Windows с установленным NWLink, на которых работают приложения IPX, например, Microsoft SQL Server

Клиент NetWare

IPX

С сервером Windows с NWLink и установленным компонентом FPNW для служб печати и файлов

Для того чтобы клиент Windows мог обратиться к ресурсам печати и файлам на сервере NetWare, на клиенте Windows в дополнение к NWLink должна быть установлена служба клиента для NetWare (CSNW).

Компьютеры в сети, управляемые другими системами (не NetWare) и не использующие NWLink или другой транспорт IPX/SPX, могут обращаться к ресурсам печати и файлов NetWare через компьютер под управлением Windows 2000 Server с установленной службой шлюза для NetWare (GSNW) и протоколом NWLink.

Если клиенту Novell NetWare требуется доступ к файловым ресурсам и ресурсам печати на компьютере Windows 2000, в качестве отдельного продукта существует служба FPNW; ей требуется, чтобы на компьютере под управлением Windows был установлен протокол NWLink.

 

6. Взаимодействие с ресурсами Microsoft

 

Взаимодействие с ресурсами Microsoft

По умолчанию компоненты совместного использования файлов и принтеров в Windows работают с протоколом NetBIOS поверх IPX, чтобы посылать сообщения совместного использования файлов и принтеров. В качестве альтернативы можно отключать NetBIOS так, чтобы сообщения совместного использования файлов и принтеров посылались непосредственно по протоколу IPX. Такая практика называется прямым выполнением Функции (direct hosting). Хотя по времени прямое выполнение функций более эффективно, оно вызывает проблему совместной работы: такого рода клиент может устанавливать связь только с аналогичным сервером (табл. 18.2) Клиенты с прямым выполнением функций: Microsoft Network Client for MS-DOS, Windows for Workgroups, Windows 95/98. Серверы такого рода' Microsoft Network Client for MS-DOS, Windows for Workgroups, Windows 95/98 и Windows NT/2000.

Таблица 18.2. Возможности подключения к различным ресурсам при использовании NWLink

Платформа

На которой функционирует

Может взаимодействовать с

Microsoft Network Client for MS-DOS, Windows for Workgroups и Windows 95/98

Только IPX (прямое выполнение функций)

Совместно используемыми файловыми ресурсами и ресурсами печати компьютеров Microsoft Network Client for MSDOS, Windows for Workgroups, Windows 95/98 и Windows NT/2000

Microsoft Network Client for MS-DOS, Windows for Workgroups, Windows 95/98 и Windows NT/2000

NetBIOS поверх IPX

Совместно используемыми файловыми ресурсами и ресурсами печати компьютеров Microsoft Network Client for MSDOS, Windows for Workgroups, Windows 95/98 и Windows NT/2000

Нельзя использовать прямое выполнение функций для обращения к ресурсам на компьютере Windows NT/2000 с другого компьютера Windows NT/2000. У компьютеров на базе Windows NT/2000 нет клиента с поддержкой прямого выполнения функций.

 

7. Служба GSNW

 

Служба GSNW

С помощью Службы шлюза для NetWare (Gateway Service for NetWare, GSNW) можно создавать шлюзы, через которые клиенты Microsoft без установленного программного обеспечения клиента Novell NetWare могут обращаться к файловым ресурсам и ресурсам печати NetWare. Можно создать шлюз для ресурсов, размещенных в дереве службы каталогов Novell (NDS), как и для ресурсов на серверах под управлением NetWare 2.x или выше с Bindery. Такого рода ресурсы включают тома, каталоги, объекты отображения каталогов, принтеры и очереди печати.

GSNW также дает возможность пользователям, работающим локально на компьютере под управлением Windows 2000, непосредственно обращаться к файловым ресурсам и ресурсам печати NetWare и из деревьев NDS, и на серверах с Bindery.

GSNW зависит от и работает совместно с NWLink. Служба GSNW действует как мост между протоколом Server Message Block (8MB, блок сообщений

сервера), используемым сетью Windows, и протоколом ядра NetWare (NetWare Core Protocol, NCP), используемым сетью на базе NetWare. Когда шлюз функционирует, сетевые клиенты с программным обеспечением клиента Microsoft могут обращаться к файлам и принтерам NetWare (рис. 18.3), при этом не требуется локальное выполнение программного обеспечения клиента NetWare.

Рис. 18.3. Пример конфигурации шлюза

Для доступа к файлам шлюз переназначает один из собственных дисков как том NetWare и затем предоставляет этот диск в совместное пользование другим клиентам Microsoft. Файловый шлюз использует учетную запись NetWare на компьютере под управлением Windows 2000 Server, чтобы создать авторизованное соединение с сервером NetWare.

Это соединение на компьютере под управлением Windows 2000 Server видно как переназначенный дисковод. Когда переназначенный диск используется совместно, на компьютере под управлением Windows 2000 Server он выглядит и функционирует подобно любому другому общему ресурсу. Поскольку запросы от сетевых клиентов Microsoft обрабатываются через шлюз, доступ происходит медленнее, чем прямой доступ при помощи клиента для сетей Novell NetWare. Клиенты, требующие частого доступа к ресурсам NetWare, для повышения производительности должны работать под управлением Windows 2000 Professional с установленной службой CSNW.

 

18.3.gif

Изображение: 

8. Службы ATM

 

Службы ATM

Понятие Asynchronous Transfer Mode (ATM, асинхронный режим передачи) описывает ряд связанных и стандартизованных технологий. ATM отличается от других существующих технологий ЛВС и ГВС по многим параметрам. Технология ATM была специально разработана для поддержки быстродействующих коммуникаций. ATM позволяет эксплуатировать высокоскоростные сети, наиболее эффективно управляя использованием полосы пропускания, сохраняя при этом гарантированное качество обслуживания для пользователей и приложений со строгими требованиями к обслуживанию. Рассмотрим понятие "асинхронный режим передачи".

Асинхронный

Это означает, что доступная ширина полосы пропускания сети не разделена на фиксированные каналы или слоты, задаваемые при помощи механизма синхронизации. Устройства, взаимодействующие через асинхронные коммуникации, не ограничены точным значением скорости передачи. Отправитель и получатель договариваются о скорости обмена информацией исходя из аппаратных ограничений и собственной способности поддерживать надежную передачу.

Режим передачи

Этот термин описывает способ организации обмена информацией. В ATM для структурирования и упаковки данных для передачи используется концепция малых ячеек фиксированной длины. Механизм ATM с использованием ячеек, в отличие от механизма передачи пакетов переменной длины, который применяется в наиболее старых из существующих на данный момент сетевых технологий, гарантирует установление и управление соединениями так, чтобы никакой поток данных или соединение не могло бы монополизировать путь передачи данных.

 

9. Достоинства ATM

 

Достоинства ATM

ATM обеспечивает управление качеством обслуживания в тех сетях, где должны присутствовать несколько типов информации (например, данные, голос, а также видео и звук в реальном времени). ATM позволяет передавать поток каждого из этих типов информации через одно сетевое соединение.

Преимущества ATM:

Высокоскоростная связь

В отличие от традиционных технологий работы с сетями типа ЛВС на базе Ethernet и служб уровня Т в WAN, технология ATM не имеет физических или архитектурных ограничений, которые не позволяют (или, по крайней мере, усложняют этот переход) перейти к более высоким скоростям передачи данных. Современные продукты ATM обеспечивают поддержку передачи данных на скоростях от 25 Мбит/с по неэкранированной витой паре (UTP) и экранированной витой паре (STP), 155 Мбит/с по среде UTP и оптоволокну, и от 622 Мбит/с до 4,8 Гбит/с (только по оптоволоконной среде).

Служба с установлением логического соединения, подобно традиционной телефонии.

Подобно традиционным телефонным службам, ATM использует модель обслуживания с установлением логического соединения. Поскольку стандарты ATM формализованы организацией ITU, телефонные компании во всем мире могут применять высокоскоростную технологию ATM вместо сетевых инфраструктур с гарантией, что все существующие телефонные службы и все приложения могут быть приспособлены к новой сети. В настоящее время телефонные компании в Соединенных Штатах перевели более 70% внутренних сетей на ATM. Технология ATM направлена на то, чтобы стать в скором времени глобальным стандартом для телефонии.

Чтобы сохранить полную поддержку традиционных телефонных служб (голос, факс и различные услуги АТС), службы ATM с установлением логического соединения гарантируют, что все используемые в настоящее время приложения телефонии, которые поддерживаются Общественными коммутируемыми телефонными сетями (Public Switched Telephony Networks, PSTN), будут поддерживаться и в дальнейшем.

Быстрая аппаратная коммутация

Поскольку весь трафик ATM передается в малых ячейках фиксированной длины (точно 53 байта), процесс маршрутизации трафика во взаимосвязанных сетях может происходить быстро, в отличие от других моделей взаимосвязи сетей, например, TCP/IP. В ATM весь трафик передается с использованием коммутации, а не маршрутизации. Коммутация ячеек в ATM является более простым и более однородным процессом по сравнению с традиционной маршрутизацией, используемой в сетях передачи пакетов, например Ethernet и TCP/IP.

В сетях с передачей пакетов маршрутизаторы должны использовать программное обеспечение для правильной обработки ряда изменений в потоке передачи, например, для определения издержек различных маршрутов, для измерения длины пакета, для фрагментирования пакета, для передачи пакетов в правильном порядке и для пересборки пакетов.

В качестве замены традиционных методов маршрутизации ATM использует простой процесс коммутации, основанный на концепции виртуальных каналов (Virtual Circuit Connections, VCC). VCC формируются при помощи ряда назначенных идентификаторов виртуального пути (Virtual Path Identifier, VPI) и идентификаторов виртуального канала (Virtual Ciruit Identifier, VCI) между коммутаторами. Фактические пути и каналы, используемые каждым коммутатором, идентифицируются зарезервированным числом битов в заголовке каждой ячейки ATM.

Поскольку информация VPI/VCI всегда появляется в одном и том же месте каждой ячейки, коммутаторы ATM могут быстро считывать числа VPI/VCI входящей ячейки, коммутировать эту ячейку, заменяя эти числа на новые числа VPI/VCI, и немедленно передавать эту ячейку через вы-

ходной порт. Поскольку поток ячеек ATM может быть более однородным и предсказуемым, то для выполнения функций коммутации может использоваться аппаратный механизм синхронизации.

Единый универсальный сетевой транспорт

ATM поддерживает единый способ передачи данных, позволяющий связывать сети любых размеров и масштабировать их в будущем.

При использовании ATM в качестве глобального транспорта для всех сетей не нужно обеспечивать дополнительную трансляцию и шлюзы между традиционными транспортами для ЛВС (типа Ethernet или Token Ring) и транспортами для ГВС (типа Х.25, Frame Relay и Т1 или выделенных линий), что создает единую "бесшовную" сеть, полностью реализуемую на основе ATM.

Хотя чистые ATM-сети в настоящее время встречаются не так уж часто, ATM обеспечивает возможность взаимодействия с существующими сетевыми технологиями типа Ethernet и Token Ring при помощи службы Эмуляции ЛВС (LAN Emulation, LANE) и поддержки новых стандартов TCP/IP поверх ATM, которые позволяют перейти к ATM, сохраняя прозрачные соединения с клиентами, использующими унаследованные технологии.

Например, удаленный пользователь с домашнего компьютера, используя новые технологии типа Asymmetric Digital Subscribers Line (ADSL, асимметричная Цифровая абонентская линия) или кабельный модем, мог бы устанавливать соединение с корпоративной частной ЛВС на базе ATM в удаленном офисе и обмениваться информацией, используя только ATM. Такая схема возможна, поскольку сети ГВС, в настоящее время развернутые телефонными компаниями в США и в других странах, для обеспечения традиционных телефонных служб переведены на ATM.

Тот же домашний пользователь мог бы средствами ATM реализовать прямое быстродействующее подключение к Интернету. ATM изначально был разработан для того, чтобы стать международным стандартом для объединения телефонии, ЛВС и ГВС.

В одном сетевом подключении можно безболезненно смешивать данные разных типов

В большинстве случаев голос, видео и обычные данные передаются по раздельным сетям из-за специфических требований и характеристик для каждого из этих типов информации. В ATM все эти типы информации могут надежно передаваться через единое сетевое подключение. ATM использует концепцию категорий обслуживания (service categories) и установление договоров (контрактов) на определенное качество обслуживания (Quality of Service, QoS) между конечными пользователями ATM и коммутаторами для того, чтобы получить надежную службу передачи данных.

Гибкое и эффективное распределение ширины полосы пропускания сети

Даже при том, что технология ATM обеспечивает реальную ширину полосы пропускания наиболее требовательным современным приложениям мультимедиа, она также позволяет быстро выбрать нужную ширину полосы пропускания для тех соединений, где это необходимо более всего. ATM использует категории обслуживания, чтобы назначить уровни производительности для каждого соединения.

Это позволяет использовать ATM для того, чтобы определить приоритет и качество обслуживания для каждого сетевого соединения ATM с требуемой точностью. Все категории обслуживания ATM на основе параметров QoS измеряют производительность канала и качество обслуживания, которое предписано на аппаратном уровне адаптерами и коммутаторами ATM.

 

10. Состав служб ATM в Windows 2000

 

Состав служб ATM в Windows 2000

Ниже кратко описаны компоненты (рис. 18.4), входящие в состав служб ATM:

Диспетчер вызова UNI ATM (UNI ATM Call Manager), соответствующий спецификациям ATM Forum для передачи сигналов ATM и поддерживающий создание коммутируемых виртуальных каналов (Switched Virtual Circuits, SVC) и постоянных виртуальных каналов (Permanent Virtual Circuits, PVC).
Обновленные драйверы мини-порта NDIS 5.0 ATM, проверенные Лабораторией качества аппаратных средств Windows (Windows Hardware Quality Laboratory, WHQL) и обеспечивающие ограниченную поддержку установленного адаптера ATM.
Модуль клиента эмуляции ЛВС (LANE Client Module), соответствующий спецификации ATM Forum LANE 1.0. Технология ATM LANE (LAN Emulation, эмуляция ЛВС) позволяет существующим приложениям и протоколам, разработанным для применения в ЛВС Ethernet/Token Ring, работать без изменений в сети ATM.
Служба ARP/MARS (ARP/MARS service), позволяющая стеку TCP/IP отображать адреса ATM в аппаратные адреса для более прямого и эффективного использования среды ATM. Модуль IP поверх ATM соответствует спецификациям RFC для протокола разрешения адресов (Address Resolution Protocol, ARP) поверх среды ATM, и содержит поддержку для службы разрешения групповых адресов (Multicast Address Resolution Service, MARS).
Расширенные средства для приложений и служб TAPI: "грубая" фильтрация доступа к каналу, который может использоваться в прикладных средах с поддержкой DirectStreaming.

Расширенная поддержка сети удаленного доступа для удаленного доступа по РРР поверх среды ATM, что позволяет создавать и использовать соединение РРР поверх любого поддерживаемого адаптера ATM, установленного под Windows 2000. Эта возможность включает поддержку передачи ATM по линиям ADSL и кабельным модемам и другие возможности для установления соединения ATM по требованию.

 

Рис. 18.4. Архитектура ATM в Windows 2000

 

18.4.gif

Изображение: 

11. Службы терминалов

 

Службы терминалов

 

Обзор служб терминалов

Службы терминалов (Terminal Services) обеспечивают удаленный доступ к рабочему столу на сервере при помощи программного обеспечения тонкого клиента, функционирующего в качестве эмулятора терминала. Службы терминалов передают клиенту только пользовательский интерфейс программы. Клиент передает нажатия клавиш на клавиатуре и перемещения мыши для обработки сервером (рис. 18.5). Когда пользователь входит в систему, он видит процессы только своего индивидуального сеанса связи, управляемые серверной операционной системой и не зависящие от других клиентских сеансов. Клиентское программное обеспечение может работать на разных платформах, включая компьютеры и терминалы под управлением ОС Windows разных версий. Другие устройства, например компьютеры Macintosh или рабочие станции UNIX, также могут подключаться к службам терминалов при помощи программного обеспечения, поставляемого фирмой Citrix.

Службы терминалов можно развернуть на сервере в режиме сервера приложений (application server) или в режиме удаленного управления (remote administration). В качестве сервера приложений службы терминалов обеспечивают эффективный и надежный способ совместного использования приложений Windows на сетевом сервере. Службы поддержки сервера приложений для терминального сервера (сервера, на котором функционируют службы терминалов) позволяют использовать рабочий стол Windows 2000 и наиболее современные приложения Windows на компьютерах, не работающих под управлением Windows. В режиме удаленного управления службы терминалов предоставляют удаленный доступ для администрирования сервера.

Рис. 18.5. Работа с клиентом служб терминалов

 

18.6.gif

Изображение: 

12. Функциональные возможности

 

Функциональные возможности

 

Простота использования
  • Автоматизированная поддержка локальных принтеров. Службы терминалов Windows 2000 Server могут автоматически устанавливать принтеры, подключенные к клиентскому компьютеру.
  • Переназначение буфера обмена. Пользователи могут осуществлять обмен данными (вырезать и вставлять) через буфер обмена между программами, работающими на локальной машине и на терминальном сервере.
  • Улучшенная производительность. Усовершенствованное кэширование обеспечивает существенное улучшение производительности служб терминалов.
  • Поддержка отключения от сервера. Поддержка временного отключения позволяет пользователям отключаться от сеанса связи, не завершая его. Сеанс может остаться активным, в то время как пользователь отключен от системы, что позволяет пользователю повторно соединяться с существующим сеансом с другой машины или позднее Для повторного подключения требуется такой же вход в систему, как и для нового подключения, что обеспечивает безопасность и сохранность установленного сеанса.
  • Поддержка нескольких одновременных подключений. Пользователи могут подключаться к нескольким сеансам одновременно с одного или нескольких клиентских компьютеров, к нескольким серверам на базе Windows 2000 или к одному серверу. В результате пользователь может выполнять несколько задач одновременно.
Управляемость
  • Удаленное управление сеансами. Обеспечивается возможность просмотра и управления другими сеансами связи с терминальным сервером. Ввод с клавиатуры, движения мыши и отображаемая графика разделяются между двумя сеансами, давая специалисту из службы цоддерж-ки возможность диагностировать и решать проблемы и обучать пользователя работе. Эта возможность особенно полезна для организаций с филиалами.
  • Интеграция со службами Windows 2000 Server. Службы терминалов поддерживают и расширяют компоненты Windows 2000 Server и тесно интегрированы с ними
  • Терминалы на базе Windows. Существует ряд терминалов на базе Windows сторонних производителей, функционирующих под управлением ОС Windows СЕ и основанных на реализации протокола Remote Desktop Protocol (RDP, протокол удаленного рабочего стола).
  • Диспетчер клиентских подключений. Администраторы и пользователи могут создавать предопределенные сеансы с серверами как для одной программы, так и для полного доступа к рабочему столу. Диспетчер клиентских подключений (Client Session Manager) создает значок на клиентском рабочем столе, чтобы сеанс можно было установить при помощи одного щелчка мышью. Администраторы, которые хотят предоставить доступ к одному программному продукту всем пользователям, могут создавать сеансы и распространять их вместе с клиентским программным обеспечением для служб терминалов.
  • Лицензирование служб терминалов. Службы терминалов имеют средства лицензирования, что помогает администраторам отслеживать работу клиентов и их лицензии.
  • Поддержка распределенной файловой системы (DPS). Поддержка распределенной файловой системы позволяет пользователям подключаться к ресурсам DFS, а администраторам — создавать и управлять ресурсами DFS на терминальном сервере.
  • Диспетчер служб терминалов. Администраторы могут использовать Диспетчер служб терминалов (Terminal Services Manager) для управления сеансами служб терминалов, пользователями и процессами на терминальном сервере Windows 2000.
  • Конфигурация служб терминалов. Средство конфигурации служб терминалов (Настройка служб терминалов (Terminal Services Configuration)) используется для создания, изменения и удаления сеансов на сервере Windows 2000 и настройки параметров доступа сервера.
  • Интеграция с оснастками Windows 2000 Локальные пользователи и группы (Local Users and Groups) u Active Directory—пользователи и компьютеры (Active Directory Users and Computers). Администраторы могут создавать учетные записи для пользователей служб терминалов таким же способом, как создаются учетные записи для пользователей Windows 2000. Существуют дополнительные вкладки для задания информации, относящейся к службам терминалов, например пути к конфигурации служб терминалов и основного каталога.
  • Интеграция со средствами контроля производительности Windows 2000 — Системным монитором (Performance Monitor). Интеграция со средствами контроля производительности Windows 2000 позволяет администраторам отслеживать работу служб терминалов, включая использование процессора, распределение памяти и использование страничной памяти и подкачки для сеансов пользователей.
  • Поддержка передачи сообщений. Администраторы могут оповещать пользователей о важной информации, например, о выключении системы, об обновлениях или об установке новых программ.
  • Удаленное администрирование. Любой пользователь с административными полномочиями и доступом к службам терминалов может удаленно управлять сервером, на котором установлены службы терминалов, при помощи административных утилит.
  • Время ожидания завершения сеанса. Администраторы могут сократить использование ресурсов сервера, настраивая время ожидания конца сеанса. Администраторы могут задавать продолжительность и время простоя сеанса.
Защита
  • Шифрование. Многоуровневое шифрование позволяет администраторам зашифровать все или часть данных, передаваемых между Windows 2000 Server и клиентом служб терминалов, при помощи одного из трех уровней (низкое, среднее или высокое шифрование), в зависимости от требований к безопасности. Кроме того, процесс входа в систему для служб терминалов включает механизмы изменения паролей, разблокирования рабочего стола и хранителя экрана. Процесс входа в систему зашифрован, что гарантирует безопасную передачу имени пользователя и пароля. Службы терминалов поддерживают шифрование данных между сервером и клиентом с ключом 40 бит и 128 бит (доступно только в США и Канаде).
  • Ограничение числа попыток входа в систему и времени соединения. Администраторы могут ограничить число входов в систему для пользователя, чтобы предотвратить несанкционированный доступ к серверу.

    Также можно ограничить время соединения для каждого пользователя или для группы пользователей.

13. Службы терминалов Windows 2000 и Windows 4.0, Terminal Server Edition

 

Службы терминалов Windows 2000 и Windows 4.0, Terminal Server Edition

В табл. 18.3 перечислены общие задачи, которые необходимо выполнять при работе со службами терминалов. Интерфейс пользователя для выполнения этих задач в Windows 2000 отличается от того, который был в Windows NT 4.0, Terminal Server Edition.

Таблица 18.3. Работа со службами терминалов в Windows NT4.0 и в Windows 2000

Задача

Windows NT 4.0, Terminal Server Edition

Windows 2000

Создать или изменить соединение служб терминалов

Утилита Terminal Server Connection Configuration в Administrative Tools

Оснастка Настройка служб терминалов (Terminal Services Configuration)

Просматривать сеансы связи, пользователей и процессы и управлять службами терминалов

Утилита Terminal Server Administration в Administrative Tools

Оснастка Диспетчер служб терминалов (Terminal Services Manager)

Управлять лицензиями служб терминалов

Утилита Terminal Server Lincese Manager в Administrative Tools

Оснастка Лицензирование служб терминалов (Terminal Services Licensing)

Управлять учетными записями пользователей служб терминалов

Утилита User Manager в Administrative Tools

Для учетной записи пользователя домена открыть оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers); для локальной учетной записи пользователя — Локальные пользователи и группы (Local Users and Groups)

 

14. Подготовка системы для установки служб терминалов

 

Подготовка системы для установки служб терминалов

 

Ресурсы

Большинство пользователей компьютеров можно отнести к одной из трех категорий:

Пользователи, решающие частные задачи. Такой пользователь обычно работает с единственной программой, используемой для ввода данных, например, с программой учета отпуска товара на рабочем месте продавца.
Типичные пользователи. Типичный пользователь работает с одной или несколькими (двумя-тремя) программами, обычно только по отдельности. Требования к системе по обработке данных этих программ (например, текстовый редактор и браузер) не очень велики.
Пользователи-профессионалы. Такие пользователи работают с тремя и более программами, часто с несколькими одновременно. К этому классу относятся также пользователи, использующие в терминальной сессии ресурсоемкие приложения (типа баз данных), и приложения, которые требуют интенсивной обработки графики.

При выяснении требуемой мощности серверов нужно определить, какие типы пользователей будут с ними работать. Пользователи, решающие частные задачи, — наиболее легкая нагрузка для сервера, в то время как пользователи профессионалы потребляют наибольшее количество вычислительных ресурсов.

Для адекватной производительности серверу терминалов требуется процессор класса Pentium или более мощный. Для работы служб терминалов требуется ОЗУ 64 Мбайт плюс дополнительно от 4 до 10 Мбайт на каждого пользователя для поддержки работы пользовательских программ на сервере Пользователям, решающим частные задачи, требуется меньший объем ОЗУ, опытным пользователям — больший.

Вообще, для оценки требований к производительности процессоров и их числу, а также к объему памяти можно руководствоваться линейной зависимостью: можно предоставить ресурсы вдвое большему числу пользователей на многопроцессорной системе на базе Pentium, удваивая число процессоров и удваивая объем памяти. По этой причине имеет смысл купить систему, поддерживающую несколько процессоров (даже если первоначально куплен только один процессор), поскольку она позволит легко нарастить мощности, как только возрастет потребность. При реальной эксплуатации ситуация может оказаться более сложной. Количество памяти линейно определяет число пользователей, которых сервер может обслуживать одновременно. Эта зависимость является объективной, т. к. каждый сеанс требует вполне конкретных объемов памяти. Если объем физической памяти окажется меньше необходимого, система будет производить постоянный процесс подкачки, или свопинга (swapping). Количество процессоров влияет на общую производительность машины, на скорость выполнения инструкций Нельзя также не учесть и производительность, например, дисковой подсистемы. В результате, в реальной ситуации зависимость допустимого количества сеансов от объема памяти и количества и производительности процессоров не является линейной и должна оцениваться экспериментально.

Типовые конфигурации и число поддерживаемых пользователей каждого типа показаны в табл. 18.4. Эта информация носит рекомендательный характер. Производительность может зависеть от программ, работающих на терминальном сервере. Нужно проверить систему, запуская каждую из них, чтобы оценить степень нагрузки на процессор и объем ОЗУ, требуемый каждому пользователю. Для достижения максимальной производительности в многопроцессорной конфигурации рекомендуется использовать компьютеры с шиной типа PCI.

Таблица 18.4. Число пользователей в зависимости от конфигурации компьютера и типа пользователей для работы служб терминалов

Конфигурация Пользователи, решающие частные задачи Типичные пользователи Пользова- тели профес- сионалы
Однопроцессорный Pentium Pro 200 МГц ОЗУ 128 Мбайт 25 15 8
Двухпроцессорный Pentium Pro 200 МГц ОЗУ 256 Мбайт 50 30 15
Четырехпроцессорный Pentium Pro 200 МГц ОЗУ 51 2 Мбайт 100 60 30

 

15. Периферийные устройства

 

Периферийные устройства

Производительность жесткого диска также влияет на производительность терминального сервера. Накопители на магнитных дисках и адаптеры SCSI, особенно устройства, совместимые с Fast SCSI, SCSI-2, Wide и Ultra-Wide SCSI, имеют значительно лучшую производительность, чем диски с интерфейсом IDE (EIDE, АТА) или накопители на магнитных дисках и адаптеры SCSI.

Высшую производительность дает SCSI-контроллер RAID. Контроллеры RAID (Redundant Arrai of Independent Disks, избыточный массив независимых дисков) автоматически размещают данные на нескольких накопителях на магнитных дисках, что увеличивает производительность дисковых операций и повышает надежность хранения данных за счет избыточности. Хотя протокол RDP, используемый службами терминалов, минимально нагружает сеть, рекомендуется установить высокопроизводительную сетевую плату (NIC). Это особенно важно, если требуются: поддержка большого количества пользователей; доступ к данным, хранящимся на сетевых серверах; работа клиент/серверных приложений.

Если для поддержки удаленных пользователей установлен многопортовый асинхронный адаптер, необходимо убедиться, что он является интеллектуальным (построенным на базе микропроцессора), что уменьшает количество вырабатываемых прерываний и увеличивает производительность.

 

16. Прикладные системы

 

Прикладные системы

Windows 2000 Server— 32-разрядная среда, а, например, Windows 3.11 — 16-разрядная. Сервер Windows 2000 выполняет 16-разрядные программы при помощи процесса Windows-e- Windows (Windows On Windows, WOW), интерпретирующего 16-разрядные программы в расширенном режиме. Этот процесс, выполняя 16-разрядные программы, потребляет дополнительные ресурсы системы. Выполнение 16-разрядных программ на сервере терминалов может на 40% уменьшить число пользователей, одновременно поддерживаемых процессором, и на 50% увеличить память, необходимую для пользователя. По этой причине всегда, когда это возможно, нужно использовать 32-разрядные версии программ.

 

17. Производительность

 

Производительность

Контроль производительности системы и влияния изменения конфигурации на производительность необходимо выполнять средствами системного монитора (Performance Monitor), входящего в состав Windows 2000. Среди наиболее важных параметров, измерение которых может потребоваться:

Использование процессора
Интенсивность ввода/вывода с жесткого диска
Использование памяти
Активность работы с файлом подкачки

Хороший способ оценить, сколько пользователей сервер может поддерживать одновременно, — измерить производительность системы с двумя-пятью пользователями, а затем подсчитать результаты для большего числа пользователей.

Службы терминального доступа добавляют к набору объектов собственные объекты и их счетчики, которые можно наблюдать при помощи системного монитора.

 

18. Балансировка нагрузки

 

Балансировка нагрузки

Средства балансировки сетевой нагрузки объединяют несколько компьютеров, работающих в качестве серверов и использующих сетевой протокол TCP/IP. Можно применять эту службу совместно с группой компьютеров, на которых функционируют службы терминалов, чтобы масштабировать производительность этих служб, распределяя клиентские запросы на несколько серверов. Однако при использовании балансировки нагрузки для терминальных серверов имеются ограничения. Поскольку пользователи могут быть явно связаны с различными терминальными серверами в пределах группы, сеансы связи пользователей могут быть нарушены, если они будут перераспределены на другой терминальный сервер. Нужно принять меры, чтобы удостовериться, что информация о пользователе и его настройки остаются доступными для пользователей при использовании служб терминалов с балансировкой нагрузки.

Балансировка сетевой нагрузки может использоваться совместно/без определения подобия клиентов (affinity). Для служб терминалов нужно использовать подобие клиентов так, чтобы балансировка, сетевой нагрузки направляла несколько запросов с одного и того же IP-адреса клиента на один, и тот же терминальный сервер. Пока клиент имеет один и тот же IP-адрес, он всегда будет соединяться с одним и тем же терминальным сервером, и данные пользователя и его настройки будут доступны.

Однако IP-адрес не всегда остается прежним. Если для распределения адресов используется протокол DHCP, клиент может получать новый IP-адрес при каждом подключении к сети. Кроме того, если клиент устанавливает соединение из разных мест (из дома, с работы, через Интернет), определение подобия клиентов не будет работать, поскольку IP-адреса будут разными.

 

19. Установка служб терминалов

 

Установка служб терминалов

Службы терминалов первоначально разрешены, если они были выбраны для установки в качестве дополнительного компонента при установке Windows 2000 Server, или если система была обновлена с Windows NT 4.0, Terminal Server Edition. Если службы терминалов не были разрешены во время установки Windows 2000, можно разрешить их позже с помощью значка Установка и удаление программ на панели управления. Если службы терминалов разрешены для использования в режиме Сервера приложений (Application Server), нужно помнить, что их отключение может вызвать ряд осложнений и повлиять на работу приложений и на установки для многопользовательской работы. Если службы терминалов разрешаются в режиме Удаленного управления (Remote Administration), то отключение служб терминалов не повлияет на установленные приложения.

Старые приложения, не ориентированные на многопользовательскую работу, для правильного функционирования на терминальном сервере нужно настраивать. Если службы терминалов в режиме сервера приложений отключить, то приложения, установленные и настроенные для работы на терминальном сервере, не будут выполняться корректно в следующий раз, когда службы терминалов будут разрешены. Необходимо будет сконфигурировать или переустановить эти приложения.

Некоторые приложения, специально созданные для многопользовательской работы, работают должным образом, когда службы терминалов разрешаются или запрещаются.

Примечание

Если нужно отключить службы терминалов временно (например, для установки приложения), можно использовать опцию Отключите подключение (Disable Connection) в оснастке Настройка служб терминалов (Terminal Services Configuration).

 

20. Работа со службами терминалов

 

Работа со службами терминалов

 

Состав служб терминалов

Все входящие в состав Windows 2000 Server административные средства доступны для управления и администрирования сервера терминалов. В состав служб терминалов входят следующие дополнительные инструменты управления службами терминалов:

Диспетчер служб терминалов (Terminal Services Manager)
Настройка служб терминалов (Terminal Services Configuration)
Расширение для оснасток Active Directory—пользователи и компьютеры (Active Directory Users and Computers) и Локальные пользователи и группы

(Local Users and Groups)

Лицензирование служб терминалов (Terminal Services Licensing)
Счетчики для системного монитора (Performance Monitor)
Дополнительные поля в диспетчере задач (Task Manager)
Создатель клиента служб терминалов (Terminal Services Client Creator)
Диспетчер клиентских подключений (Client Connection Manager)
Многопользовательская поддержка в утилите Установка и удаление прoграмм
Утилиты командной строки

 

21. Серверные административные утилиты

 

Серверные административные утилиты

Диспетчер служб терминалов (Terminal Services Manager). Требуется администратору, чтобы просматривать информацию о серверах терминалов в доверенных доменах. Эта утилита служит для управления пользователями, сеансами связи и приложениями на терминальных серверах (рис. 18.6).

Когда пользователь устанавливает сеанс, подключаясь к терминальному серверу с клиентского компьютера, то подключение (Session) появляется в списке сеансов в окне Диспетчер служб терминалов. Кроме того, имя пользова теля, который вошел в систему в данном сеансе, появляется в списке пользователей (Users). Любые приложения, работающие в сеансе связи пользователя, отражаются в списке процессов (Processes). Таким образом, можно наблюдать за всеми пользователями, сеансами связи и процессами на терминальном сервере при помощи одной утилиты. Диспетчер служб терминалов также позволяет управлять терминальным сервером при помощи команд меню Действие (Actions).

Рис. 18.6. Окно оснастки Диспетчер служб терминалов (Terminal Services Manager)

Настройка служб терминалов (Terminal Services Configuration). Во время инсталляции Windows 2000 Server и установки служб терминалов автоматически настраивается соединение по протоколу TCP/IP для работы со службами терминалов. Это соединение обеспечивает клиентам вход в систему на сервер и установление сеанса. После завершения инсталляции можно изменить свойства этого соединения или добавить новые соединения с помощью оснастки Настройка служб терминалов (рис. 18.7).

Рис. 18.7. Окно оснастки Настройка служб терминалов (Terminal Services Configuration)

С помощью оснастки Настройка служб терминалов можно:

Изменить имя соединения
Задать тип соединения
Определить транспортные протоколы для соединений и их свойств
Установить максимальное число одновременных сеансов связи
Разрешить/запретить вход через соединение
Установить тайм-аут для соединения
Установить уровень шифрования
Восстановить разорванное соединение
Разрешить/запретить удаленное управление сеансом
Разрешить/запретить автоматический вход
Задать программу, автоматически запускаемую при входе в систему
Задать "обои" для пользователя
Установить разрешения для соединения
Отобразить клиентские устройства и настроить параметры соединения

Расширения оснасток Active Directory—пользователи и компьютеры (Active Directory Users and Computers) и Локальные пользователи и группы (Local Users and Groups). Службы терминалов добавляют в оснастки управления пользователями новые страницы свойств (вкладки в диалоговом окне), позволяя управлять настройками работы со службами терминалов для каждого пользователя (рис. 18.8). При помощи расширений служб терминалов для управления пользователями можно:

Установить пути к профилю пользователя для служб терминалов
Разрешить/запретить вход в систему
Установить временные ограничения
Восстановить разорванные соединения
Разрешить/запретить удаленное управление сеансом
Задать программу, автоматически запускаемую при входе в систему
Отобразить клиентские устройства и принтеры при входе в систему

Лицензирование служб терминалов (Terminal Services Licensing). Это средство позволяет управлять лицензиями клиентов служб терминалов (рис. 18.9) и регистрировать их.

Счетчики Системного монитора (Performance Monitor). Службы терминалов расширяют возможности системного монитора, добавляя объекты Сеанс службы терминалов (Terminal Services Session) и Службы терминалов (Terminal Services) и соответствующие счетчики. Можно использовать эти объекты

и счетчики, чтобы следить за ресурсами, которые потребляет служба или сеанс. Службы терминалов также добавляют дополнительные счетчики к объектам Процесс (Process) и Система (System).

Рис. 18.8. Расширения оснастки Локальные пользователи и группы (Local Users and Groups)

 

Рис. 18.9

Дополнительные поля диспетчера задач (Task Manager). Службы терминалов добавляют в диспетчер задач два дополнительных поля для управления и завершения процессов для всех сеансов (рис. 18.10).

Создатель клиента служб терминалов (Terminal Services Client Creator). Создатель клиента служб терминалов можно использовать для создания дисков, предназначенных для установки клиентского ПО (рис. 18.11).

Многопользовательская поддержка в утилите Установка и удаление программ.

Использование утилиты Установка и удаление программ гарантирует, что приложения будут установлены для использования в многопользовательской среде.

Рис. 18.10. Дополнительные поля диспетчера задач (Task Manager)

 

Рис. 18.11. Окно утилиты Создатель клиента служб терминалов (Terminal Services Client Creator)

Утилиты командной строки. Набор команд предназначен для управления сервером из командной строки и автоматизации процессов управления сервером.

 

18-9.jpg

Изображение: 

18.5.gif

Изображение: 

18.6.gif

18.7.gif

Изображение: 

18.8.gif

Изображение: 

18.9.gif

Изображение: 

22. Клиентские утилиты

 

Клиентские утилиты

При установке на компьютере клиента служб терминалов устанавливается и оснастка Диспетчер клиентских подключений. Она служит для автоматизации установки соединения со службами терминалов и входа на сервер. Можно также задать программу, запускаемую автоматически после установления соединения.

 

23. Установка программ

 

Установка программ

Сценарии поддержки совместимости

 

Совместимость многих часто используемых приложений и служб терминалов была проверена. Для корректной работы на терминальном сервере некоторые приложения требуют незначительных изменений после инсталляции. Для этих приложений доступны сценарии, которые должны быть применены после установки программы. Сценарии расположены в каталоге %Systemftoot%\App[ication Compatibility Scripts\Install.

Примечание

Не нужно использовать сценарии совместимости для приложений, если службы терминалов были установлены в режиме удаленного администрирования.

Назначаемые и публикуемые программы. В состав Windows 2000 входит Windows Installer (Инсталлятор программного обеспечения), предназначенный для установки приложений. Программы можно назначать (assign) компьютерам или пользователям для принудительной установки или же публиковать (publish), чтобы пользователи могли бы их устанавливать по желанию. Поскольку при использовании служб терминалов к программам имеют доступ пользователи с разными полномочиями и требованиями/необходимо учесть дополнительные требования к развертыванию приложений в средах, которые содержат в своем составе службы терминалов.

Все приложения на компьютере, где функционируют службы терминалов, устанавливаются так, что доступны любому пользователю, имеющему доступ к данному терминальному серверу. Службы терминалов не позволяют запускать публикуемые и назначаемые пользователю программы, поскольку такие программы "привязываются" к конкретному пользователю. Поэтому программы, инсталлируемые для работы через службы терминалов, нужно назначать компьютеру,

При установке назначенных программ любой пользователь с полномочиями администратора на терминальном сервере может установить программу из консоли или удаленного сеанса.

Предупреждение

Инсталляция программного обеспечения часто требует перезагрузки системы. Перед началом инсталляции любой программы необходимо убедиться, что на терминальном сервере нет работающих пользователей. Если программа устанавливается из удаленного сеанса, сеанс будет завершен, если инсталляция лрограммы требует перезагрузки сервера. Когда сервер пе-резагрузится, сеанс не будет восстановлен, и администратор снова должен будет войти на терминальный сервер, чтобы гарантировать корректную установку программы.

Рекомендуется производить установку программного обеспечения с консоли компьютера.

 

24. Подготовка к установке программы

 

Подготовка к установке программы

Рекомендуется устанавливать программы до предоставления доступа клиентам на сервер. Это позволит проверить работу программы до обращения к ней пользователей. Если программа устанавливается после того, как клиентам был предоставлен доступ к серверу, необходимо убедиться, что на сервере нет пользователей, зарегистрированных во время инсталляции. Можно послать клиентам сообщение, в котором будут указаны время и продолжительность инсталляции, а затем разорвать все подключения перед запуском установки ПО.

Примечание

При установке программ нужно войти на сервер с полномочиями администратора.

 

25. Запуск установки

 

Запуск установки

Можно использовать любой из приведенных ниже методов установки программ, чтобы данное приложение было доступно на терминальном сервере приложений в многотерминальном режиме:

Значок Установка и удаление программ на панели управления
Команда change user до и после установки программы

Одна из первичных функций команды change user — гарантировать, что программные файлы будут установлены в корневом каталоге системы, а не в подкаталоге Windows основного каталбга пользователя (%homepath%\windows). Это делает программы доступными в многотерминальном режиме.

Прежде чем программа будет установлена, команда change user /install переводит систему в режим установки и выключает отображение ini-файлов. Система записывает первоначальную установку программы, отслеживая API-вызовы установки.

После установки программы команда change user /execute возвращает систему в режим выполнения, восстанавливает отображение ini-файлов и переадресовывает пользовательские данные в основной каталог пользователи.

Когда пользователь запускает программу, пользовательские установки в системном реестре, файлы настройки (*.ini, *.dll, *.осх и т. д.) по необходимости автоматически копируются в домашний каталог пользователя.

Установка и удаление программ автоматически выполняет команду change user и является предпочтительным методом. Введите в командной строке change user, только когда устанавливается программа, использующая нестандартный метод установки и если необходимо гарантировать возможность доступа к этой программе в многотерминальном режиме.

Примечание

Не копируйте программные файлы из одного каталога в другой и не редактируйте вручную системный реестр во время инсталляции.

Чтобы установить программу с помощью значка Установка и удаление программ:

1. Войдите на сервер терминалов с полномочиями администратора и закройте все работающие программы.
2. Запустите утилиту Установка и удаление программ из панели управления.
3. В окне Установка и удаление программ нажмите кнопку Установка новой программы (Add New Program).
4. Выберите метод установки программы и следуйте командам мастера.
5. В диалоговом окне Пользовательская настройка (Change User Options) выберите положение Все пользователи начинают с одинаково настроенного приложения (All users begin with common application settings) переключателя, чтобы установить приложение для всех пользователей. Выберите положение Задать настройку приложения исключительно для данного пользователя (Install application settings for this user only) переключателя, если не нужно конфигурировать устанавливаемую программу для нескольких пользователей. Нажмите кнопку Готово (Finish).

Мастер выполнит оставшуюся часть инсталляционного процесса. Для безопасности программа должна быть установлена в разделе, отформатированном под файловую систему NTFS.

6. В открывшемся диалоговом окне После установки (After installation) нажмите кнопку Далее (Next), инсталляция будет завершена.
7. В открывшемся диалоговом окне Завершение административной установки (Finish admin install) нажмите кнопку Завершить (Finish).
8. После установки, при необходимости, отредактируйте и выполните сценарий инсталляции программы.

Примечание

Если требуется перезапустить компьютер, чтобы закончить инсталляцию, нажмите кнопку Завершить (Finish) в диалоговом окне Установка и удаление программ перед нажатием кнопки, вызывающей перезагрузку компьютера. Может понадобиться войти в систему в качестве того же самого пользователя, как только сервер будет перезагружен, чтобы корректно закончить инсталляцию программного обеспечения. Нельзя допускать подключение пользователей до завершения этого шага.

Чтобы установить Программу С ПОМОЩЬЮ команды change user:

1. Войдите в систему на сервер терминалов с полномочиями администратора и закройте все работающие приложения.
2. В меню Пуск | Программы | Стандартные (Start | Programs | Accessories) выберите Командная строка (Command prompt). Откроется окно Командная строка.
3. Введите команду change user /install и нажмите клавишу <Enter>.
4. Установите программу на локальной файловой системе NTFS в соответствии с программой установки.
5. По завершении инсталляции в командной строке введите команду change

user /execute.

6. После установки программы, если это требуется, отредактируйте и выполните сценарий инсталляции программы.

 

26. Проверка инсталляции

 

Проверка инсталляции

Некоторые программы, установленные с помощью команды change user, не могли бы работать сначала из-за того, что система находится в заблокированном состоянии. Некоторые 16-разрядные программы должны иметь доступ на запись в каталог, где программа хранит ini-файлы. Некоторые 32-разрядные программы создают в системном реестре записи, необходимые для правильной работы системы.

Для правильной работы приложения:

1. Разрешите регистрацию событий.
2. Зарегистрируйтесь на сервере, используя временную учетную запись пользователя, созданную, чтобы сымитировать работу пользователя или пользователей, которые будут работать с данной программой.
3. Запустите программу и смоделируйте основные процедуры ее использования.
4. Просмотрев журнал событий, определите, к каким файлам и каталогам пользователю для правильной работы нужен доступ для записи и к каким ключам реестра — доступ для чтения.

Можно создать две учетные записи пользователя и проверить каждую на правильную работу приложения. Это позволит сделать изменения и настроить установки и шаблоны пользователей и проверить, чтобы эти изменения не затронули других пользователей той же группы. Необходимо следить за всеми файлами и проблемами, которые возникают при работе приложений.

 

27. Настройка служб терминалов

 

Настройка служб терминалов

Управление соединениями

 

Для управления соединениями служит оснастка Диспетчер клиентских подключений (Client Connection Manager) (рис. 18.12). С ее помощью можно создавать, удалять и редактировать подключения к службам терминалов.

Рис. 18.12. Окно оснастки Диспетчер служб терминалов

 

18.11.gif

Изображение: 

28. Создание нового соединения

 

Создание нового соединения

 

1. Запустите Диспетчер клиентских подключений (Пуск | Программы [Клиент служб терминалов (Диспетчер клиентских подключений (для 16-разрядного клиента в окне диспетчера программ дважды щелкните на значке Клиент служб терминалов).
2. В меню Файл (File) выберите пункт Создать подключение (New Connection) и следуйте командам мастера.

Примечание

Если установлен переключатель входа в систему (Автоматический вход со следующими параметрами (Automatic logon)), то при создании подключения у пользователя будет запрошен ввод имени пользователя, пароля и имени домена.

 

29. Управление клиентским ПО

 

Управление клиентским ПО

Создание клиентских дисков

Для создания дисков с дистрибутивом клиентского ПО выполните следующие действия:

1. Откройте окно программы Создатель клиента служб терминалов (рис. 18.12).
2. В списке Сетевой клиент или служба (Network Client or Service) укажите клиента служб терминалов, которого требуется создать.
3. Вставьте дискету и нажмите кнопку ОК.

 

30. Создание файла соединения

 

Создание файла соединения

Для создания файла сценария установите клиента служб терминалов на сервере, а затем выполните следующие действия:

1. Запустите утилиту Диспетчер клиентских соединений.
2. В меню файл выберите пункт Создать подключение. Следуя командам мастера, создайте новое соединение, которое требуется для клиента.
3. Выделите требуемое соединение, затем в меню Файл выберите пункт Экспортировать (Export) (если имеется более одного соединения и необходимо экспортировать все, выберите пункт Экспортировать все (Export All)).
4. Определите каталог, в котором нужно сохранить файл соединений. Файл с расширением ens рекомендуется сохранить на инсталляционном диске клиента (для 16-разрядных клиентов рекомендуется поместить файл на Диск 1) или в папке, где хранятся общие инсталляционные файлы.

Примечание

Если производится экспорт в существующий файл, соединения автоматически будут добавлены в конец файла, а не записаны поверх содержимого файла.

 

31. Установка 16-разрядного клиента

 

Установка 16-разрядного клиента

Для установки 16-разрядного клиента выполните следующие действия:

1. В командной строке введите <десж>: setup (где <диск> — имя дисковода, содержащего инсталляционную дискету, или путь к файлам дистрибутива клиента служб терминалов) и нажмите клавишу <Enter>. Откроется диалоговое окно Установка клиента служб терминалов (Terminal Services Client Setup).
2. Закройте все приложения и нажмите кнопку ОК.
3. В открывшемся окне в поле Имя пользователя (Name) введите полное имя. В поле Организация (Organization) введите имя организации.
4. Нажмите кнопку ОК, откроется диалоговое окно Лицензионное соглашение (License agreement).
5. Прочитайте соглашение и при согласии с лицензионным соглашением нажмите кнопку Я согласен (I Agree).
6. Откроется диалоговое окно Установка клиента служб терминалов (Terminal Services Client Setup). Чтобы начать/ инсталляцию, нажмите большую кнопку.
7. Откроется диалог выбора Выберите программную группу (Choose Program group). Выберите программную группу в списке или введите имя новой группы и нажмите кнопку Продолжить (Continue). .
8. По окончании инсталляции откроется диалоговое окно Установка клиента служб терминалов (Terminal Services Client Setup). Нажмите кнопку OK, чтобы завершить инсталляцию.

 

32. Установка 32-разрядного клиента

 

Установка 32-разрядного клиента

Для установки 32-разрядного клиента выполните следующие действия:

1. В командной строке введите <диск>:setup (где <диск> — имя дисковода, содержащего инсталляционную дискету, или путь к файлам Дистрибутива клиента служб терминалов) и нажмите клавишу <Enter>.
2. Откроется диалоговое окно Установка клиента служб терминалов (Terminal Services Client Setup). Прочитайте информацию и нажмите кнопку Continue (Продолжить).
3. В появившемся окне введите имя и наименование организации. Нажмите кнопку ОК.
4. Подтвердите в открывшемся окне правильность, ввода.
5. Откроется диалоговое окно Установка клиента служб терминалов (Terminal Services Client Setup). Обратите внимание на идентификатор программы и нажмите кнопку ОК.
6. Откроется диалоговое окно Лицензионное соглашение (License agreement). Подтвердите согласие с лицензионным соглашением, нажав кнопку Я согласен (I Agree).
7. Откроется диалоговое окно Установка клиента служб терминалов (Terminal Services Client Setup). Чтобы начать инсталляцию, нажмите большую кнопку.
8. Если нужно установить клиентское программное обеспечение для всех пользователей, нажмите кнопку Да (Yes), только для текущего пользователя — кнопку Нет (No).
9. Откроется диалоговое окно Установка клиента служб терминалов (Terminal Services Client Setup). Нажмите кнопку ОК, чтобы завершить инсталляцию.

 

33. Использование клиента служб терминалов

 

Использование клиента служб терминалов

Подключение из 32-разрядного клиента

Для подключения из 32-разрядного клиента:

1. Запустите Клиент служб терминалов (Terminal Services Client) (Пуск | Программы | Клиент служб терминалов | Клиент служб терминалов (Start | Programs | Terminal Services Client | Terminal Services Client)).
2. В поле Сервер (Server) введите имя терминального сервера или адрес TCP/IP. Можно также выбрать сервер в списке Доступные серверы (Available Servers).
3. Из списка Область экрана (Resolution) выберите размер окна клиента служб терминалов.
4. Нажмите кнопку Подключить. (Connect).
5. Откроется диалоговое окно Вход в Windows (Logon Information).
6. Введите имя пользователя, пароль и имя домена (если требуется) и нажмите кнопку ОК.

 

34. Подключение из 16-разрядного клиента Windows for Workgroups

 

Подключение из 16-разрядного клиента Windows for Workgroups

Для подключения с 16-разрядного клиента для Windows for Workgroups (3.11):

1. В окне Диспетчер программ (Program Manager) откройте группу TSClient.
2. В окне TSClient сделайте двойной щелчок на значке TSClient.
3. Откроется диалоговое окно Клиент служб терминалов.
4. В поле Сервер (Server) введите имя терминального сервера или адрес TCP/IP. Можно также выбрать сервер в списке доступных серверов (Available Servers).
5. Из списка Область экрана (Resolution) выберите размер окна клиента служб терминалов.
6. Нажмите кнопку Подключить (Connect).
7. Откроется диалоговое окно Вход в Windows (Logon Information).
8. Введите имя пользователя, пароль и имя домена (если требуется) и нажмите кнопку ОК.

 

35. Горячие клавиши

 

Горячие клавиши

В табл. 18.5 приведен список клавиш быстрого доступа — "горячих клавиш" (hotkeys), которые можно использовать при работе с клиентом служб терминалов.

Таблица 18.5, Горячие клавиши для клиента служб терминалов

Сочетание клавиш

Описание действия

<Alt>+<PageUp>

Переключение между программами слева направо

<Alt>+<PageDown>

Переключение между программами справа налево

<Alt>+<lns>

Циклический перебор программ в том порядке, в котором они были запущены

<Alt>+<Home>

Отображение меню Пуск (Start)

<Ctrl>+<Alt>+<Break>

Переключение между оконным и полноэкранным режимом

<Ctrl>-i-<Alt>+<End>

Вызов диалогового окна Безопасность Windows (Windows Security) (появляющегося в консольном сеансе по нажатию сочетания клавиш <Ctrl>+<Alt>+<Detete>)

<Alt>+<Delete>

Вызов контекстного меню Windows

<Ctrl>+<Alt>+<-> на цифровой клавиатуре

Снимает копию активного окна с экрана клиентского компьютера и помещает ее в буфер обмена терминального сервера (как нажатие клавиш <Alt>+<Print Screen> в консольном сеансе)

<Ctrl>+<Alt>+<+> на цифровой клавиатуре

Снимает копию экрана клиентского компьютера и помещает ее буфер обмена терминального сервера (как нажатие клавиши <Print Screen> в консольном сеансе)

 

36. Отключение без завершения сеанса

 

Отключение без завершения сеанса

 

1. В окне Клиент служб терминалов нажмите кнопку Пуск, затем нажмите кнопку Завершение работы. Откроется диалоговое окно Завершение работы Windows, в котором нужно выбрать из списка команду Отключение сеанса и нажать ОК.
2. Нажмите кнопку ОК.

 

37. Управление службами терминалов

 

Управление службами терминалов

 

Управление при помощи Диспетчера служб терминалов

Управление при помощи Диспетчера служб терминалов (Terminal Services Manager) кратко описано в табл. 18.6.

Таблица 18.6. Основные действия по управлению службами

Действие

Описание

Требуемое разрешение

Подключить (Connect)

Позволяет пользователю подключаться к другому сеансу. Подключение к сеансу, в настоящее время используемому другим пользователем, может привести к потере данных пользователя. При установлении соединения с другим сеансом происходит отключение от предыдущего сеанса. Если на сервере создано несколько сеансов, с помощью этой опции можно переключаться между ними. Невозможно подключиться к другому сеансу с консоли

Пользовательский доступ (User Access) или Полный доступ (Full Control)

Отключить (Disconnect)

Отключает пользователя от сеанса. Сеанс остается на сервере терминалов в отключенном состоянии и выполняющиеся в это время приложения продолжают работать. При попытке повторного соединения с сервером повторное подключение Происходит с использованием того же сеанса, от которого было выполнено отключение, даже если повторное соединение инициализируется с другого компьютера. Незакрытые перед отключением приложения продолжают работать и когда происходит повторное подключение к сеансу, без потери данных. Это полезно, при изменении местоположения (например, при переезде пользователя с работы домой)

Полный доступ

Послать сообщение (Send message)

Позволяет пользователю послать сообщение сеансу другого пользователя. Например, администратор может послать сообщение пользователю перед отключением или выходом пользователя из сеанса

Пользовательский доступ или Полный доступ

Удаленное управление (Remote Control)

Позволяет пользователю наблюдать или удаленно управлять сеансом другого пользователя, управлять действиями сеанса и взаимодействовать с ним по необходимости. Пользователя, сеансом которого требуется управлять, можно предупредить до начала управления его сеансом

Полный доступ

Сброс (Reset)

Позволяет немедленно удалить сеанс. Сброс сеанса пользователя без предупреждения может привести к потере данных в этом сеансе. Необходимо сбросить сеанс, только если он работает со сбоями или прекращает отвечать. Если вы сбрасываете сеанс-слушатель (listener session), все сеансы, использующие это соединение (connection), будут сброшены

Полный доступ

Состояние (Status)

Позволяет просматривать связанные с сеансом счетчики, например количество приходящих и исходящих байтов и кадров. Информацию о состоянии для консоли и сеансов слушателя нельзя отобразить

Пользовательский доступ или Полный доступ

Выход (Exit)

Заставляет пользователя завершить сеанс работы на сервере. Выход пользователя без предупреждения может привести к потере данных сеанса. Когда работу с сеансом завершат все пользователи, все процессы завершатся, а сеанс будет удален с сервера

Полный доступ

Завершить процесс (End process)

Позволяет завершить процесс, который выполняется в сеансе пользователя. Это полезно, когда приложение прекратило отвечать. Окончание процесса без предупреждения может привести к потере данных сеанса

Полный доступ

 

Подключение к другому сеансу. Для подключения к другому сеансу откройте оснастку Диспетчер служб терминалов.

В дереве консоли или в подокне подробного просмотра щелкните правой кнопкой мыши на сеансе, к которому нужно подключиться, а затем выберите из появившегося контекстного меню команду Подключить (Connect). Произойдет подключение к другому сеансу и отключение от предыдущего сеанса.

Примечание

  • Всегда можно подключиться к сеансу, в котором был произведен вход с той же самой учетной записью. Чтобы подключиться к сеансу другого пользователя, нужно иметь разрешение Полный доступ или Пользовательский доступ на подключение к другому сеансу.
  • Можно подключиться к сеансу в активном или разъединенном состоянии.
  • Невозможно подключиться к другому сеансу из консольного сеанса.

38. Посылка сообщения пользователю

 

Посылка сообщения пользователю

Для посылки сообщения пользователю откройте оснастку Диспетчер служб терминалов.

1. На вкладке Пользователи (Users) или Сеансы (Sessions) щелкните правой кнопкой мыши сеанс или пользователя, которому необходимо послать сообщение, а затем в контекстном меню выберите команду Отправить сообщение (Send Message). Откроется диалоговое окно Отправка сообщения.
2. В поле Заголовок сообщения (Title) введите заголовок сообщения.
3. В поле Сообщение-(Message) введите информацию, которую нужно послать пользователю. Если нужно ввести больше одной строки, нажмите клавиши <Ctrl>+<Enter> для разрыва строки.
4. Чтобы отправить сообщение, нажмите кнопку ОК.

Примечание

  • Чтобы послать сообщение пользователю нужно иметь разрешение Пользовательский доступ или Полный доступ.
  • Эта возможность полезна, чтобы сообщить пользователю о его отключении от сервера, о состоянии сервера или другую системную информацию.
  • Можно посылать сообщения подключенным пользователям или пользователям, сеансы которых находятся в активном состоянии, в том числе пользователю консольного сеанса.
  • Послать сообщение пользователю можно также с помощью команды msg.

Отключение от сеанса. Для отключения от сеанса откройте оснастку Диспетчер служб терминалов.

В дереве консоли или в правом подокне щелкните правой кнопкой мыши на сеансе, от которого требуется отключить пользователя, а затем нажмите кнопку Отключить (Disconnect).

Примечание

  • Всегда можно отключиться от собственного сеанса, но, чтобы отключить другого пользователя от сеанса, нужно иметь разрешение Полный доступ.
  • При отключении сеанс продолжает функционирование на сервере терминалов в отключенном состоянии, а все приложения, выполняющиеся в этом сеансе, работают и продолжат работать без потери данных, когда к сеансу будет произведено повторное подключение.
  • Пользователи автоматически повторно подключаются к тому же сеансу, от которого были отключены. Если пользователь создал несколько сеансов на сервере, то при подключении будет отображен список всех сеансов, в котором пользователь выберет нужный.
  • Отключиться от сеанса можно также с помощью команды tsdiscon.

Завершение сеанса. Для завершения сеанса пользователя откройте оснастку Диспетчер служб терминалов.

1. На вкладке Пользователи выберите пользователя, сеанс которого необходимо завершить, и в контекстном меню выберите пункт Выход из системы (Log Off).
2. Нажмите кнопку ОК, чтобы завершить сеанс пользователя.

Примечание

  • Всегда можно завершить собственный сеанс, но, чтобы завершить сеанс другого пользователя, нужно иметь разрешение Полный доступ.
  • Завершение сеанса пользователя без предупреждения может привести к потере данных. Нужно послать сообщение, чтобы предупредить пользователя. После выхода пользователя все процессы будут завершены, и сеанс будет удален с сервера.
  • Можно также использовать команду logoff, чтобы заставить пользователя выйти из сеанса.
  • Невозможно завершить консольный сеанс.

Сброс сеанса. Для сброса сеанса откройте оснастку Диспетчер служб терминалов.

В дереве консоли или на вкладке Сеансы щелкните правой кнопкой мыши на сеансе, который требуется сбросить, а затем в контекстном меню выберите команду Сброс (Reset). Сеанс будет немедленно удален с сервера.

Примечание

  • Всегда можно сбросить собственный сеанс, но для сброса сеанса другого пользователя нужно иметь разрешение Полный доступ.
  • Сброс сеанса пользователя без предупреждения может привести к потере данных. Сеанс рекомендуется сбрасывать только в случае, когда он работает со сбоями или не отвечает.
  • Если вы сбрасываете сеанс слушателя (listener), все сеансы, использующие это соединение, будут сброшены.
  • Сбросить сеанс можно также с помощью команды reset session.

Просмотр состояния сеанса. Для просмотра состояния сеанса откройте оснастку Диспетчер служб терминалов.

1. В дереве консоли или в правом подокне щелкните правой кнопкой мыши на сеансе, информацию о состоянии которого требуется просмотреть, а затем выберите пункт меню Состояние (Status).
2. Будут отображены счетчики, связанные с сеансом.
3. Чтобы обновить информацию, нажмите кнопку Обновить (Refresh Now).
4. Чтобы сбросить счетчики, нажмите кнопку Сброс счетчиков (Reset Counters).
5. Просмотрев информацию о состоянии сеанса, нажмите кнопку Закрыть (Close).

Примечание

  • Всегда можно просматривать информацию о состоянии собственного сеанса, но для просмотра информации о состоянии сеанса другого пользователя нужно иметь разрешение Полный доступ или Пользовательский доступ.
  • Невозможно просматривать информацию о состоянии для консольного сеанса и сеанса-слушателя (listener).

Удаленное управление сеансом. Для удаленного управления сеансом откройте оснастку Диспетчер служб терминалов.

1. В дереве консоли или на вкладке Сеансы щелкните правой кнопкой мыши на сеансе, которым требуется управлять, и выберите в контекстном меню команду Удаленное управление (Remote control). Откроется одноименное диалоговое окно.
2. В поле Комбинация клавиш (Hot key) выберите клавиши, которые будут использоваться для завершения сеанса удаленного управления, и нажмите кнопку ОК. Заданная по умолчанию комбинация клавиш — <Ctrl>+<*> на цифровой клавиатуре.
3. До начала управления сервер предупреждает пользователя, что данный сеанс будет управляться удаленно, если прием предупреждения не запрещен. Сеанс блокируется в течение нескольких секунд, пока ожидается ответ пользователя.
4. После начала сеанса удаленного управления текущий сеанс совместно использует каждую операцию ввода/вывода с управляемым сеансом.
5. По окончании удаленного управления нажмите клавиши <Ctrl>+<*> (или заданную в поле Комбинация клавиш комбинацию).

Примечание

  • Для удаленного управления другим сеансом необходимо иметь разрешение Полный доступ.
  • Чтобы настраивать параметры удаленного управления для подключения, используйте оснастку Настройка служб терминалов. Можно также настроить удаленное управление для каждого пользователя при помощи расширений терминальных услуг в оснастках управления пользователями.
  • Текущий сеанс должен иметь разрешение экрана не меньшее, чем используемое сеансом, которым необходимо удаленно управлять, иначе такое управление будет невозможно!
  • Консольный сеанс не может ни удаленно управлять, ни удаленно управляться другим сеансом.
  • Удаленно управлять другим сеансом можно также с помощью команды

    shadow.

Завершение процесса. Для завершения процесса, выполняющегося на сервере терминалов, откройте оснастку Диспетчер служб терминалов.

На вкладке Процессы щелкните правой кнопкой мыши процесс, который требуется завершить, а затем выберите команду Завершить процесс (End Process).

Предупреждение

Завершение процесса без предупреждения может привести к потере пользовательских данных.

Подключение к серверам. Для подключения к серверу или нескольким серверам откройте оснастку Диспетчер служб терминалов.

1. В дереве консоли разверните домен| содержащий серверы, к которым необходимо подключиться.
2. Чтобы подключиться к определенному терминальному серверу, щелкните правой кнопкой мыши на этом сервере, а затем выберите команду Подключить (Connect).
3. Чтобы подключиться ко всем терминальным серверам в домене, щелкните правой кнопкой мыши на домене, а затем в контекстном меню выберите команду Подключение ко всем серверам в домене (Connect to All Servers in Domain).WS

Примечание

  • Рекомендуется подключаться только к одному серверу одновременно. Когда подключение к серверу установлено, диспетчер служб терминалов периодически запрашивает сервер для получения информации о сеансах и процессах. Одновременное подключение к большему числу серверов может перегрузить ресурсы системы.
  • Чтобы соединяться со всеми серверами во всех доменах в сети, щелкните правой кнопкой мыши узел Все серверы из списка (All listed servers), а затем выберите в контекстном меню команду Подключиться ко всем серверам (Connect to all servers).

39. Поиск серверов в домене

 

Поиск серверов в домене

Для поиска серверов в домене откройте оснастку Диспетчер служб терминалов.

В подокне консоли щелкните правой кнопкой мыши на домене, службы терминалов которого требуется найти, а затем выберите команду Поиск серверов в домене (Find Servers in Domain).

Отключение от серверов. Для отключения от сервера или нескольких серверов откройте оснастку Диспетчер служб терминалов.

1. В дереве консоли разверните узел домена, содержащего серверы, от которых нужно отключиться.
2. Чтобы отключиться от определенного терминального сервера, щелкните правой кнопкой мыши сервер, а затем выберите в контекстном меню команду Отключиться (Disconnect).
3. Чтобы отключиться от всех терминальных серверов в домене, щелкните правой кнопкой мыши домен, а затем выберите в контекстном меню команду

Отключиться от всех серверов в домене (Disconnect from All Servers in Domain).

Примечание

Чтобы отключиться от всех серверов во всех доменах сети, щелкните правой кнопкой мыши узел Все серверы из списка (All listed servers), а затем в контекстном меню выберите команду Отключиться от всех серверов (Disconnect from All Servers).

 

40. Использование утилит командной строки

 

Использование утилит командной строки

В табл. 18.7 кратко описано назначение утилит командной строки при работе со службами терминалов. Для получения большей информации о синтаксисе использования этих команд обратитесь к подсказке по данной команде (через справочную систему Windows или введя в командной строке

<мия команды> /?).

Таблица 18.7. Использование утилит командной строки

Команда

Действие

change logon

Временно отключает/разрешает вход в систему на сервер терминалов

change port

Изменяет отображение СОМ-порта для совместимости программ MS-DOS

change user

Изменяет отображение ini-файлов для текущего пользователя

cprofile

Удаляет определенные пользователем файловые ассоциации из профиля пользователя

dbgtrace

Разрешает/запрещает отладку

flattemp

Разрешает/запрещает "плоские" временные каталоги пользователей

logoff

Завершает сеанс клиента

msg

Посылает сообщение одному или более клиентам

query process

Отображает информацию о процессах

query session

Отображает информацию о сеансах, установленных на терминальном сервере

query termserver

Отображает список терминальных серверов в сети

query user

Отображает информацию о пользователях, зарегистрированных в системе

reset session

Сбрасывает сеанс связи

shadow

Служит для управления сеансом другого пользователя

tscon

Служит для подключения к другому существующему сеансу связи с терминальным сервером

tsdiscon

Отключает клиента от сеанса связи

tskill

Завершает процесс

tsprof

Копирует конфигурацию пользователя и изменяет путь конфигурации

tsshutdn

Завершает работу терминального сервера

 

Глава 19. Коммуникационные службы

Глава 19. Коммуникационные службы

1. Служба удаленного доступа

 

Глава 19

Коммуникационные службы

Служба удаленного доступа

Служба удаленного доступа, входящая в состав Microsoft Windows 2000, позволяет удаленным или мобильным работникам подключаться к корпоративным вычислительным сетям, например, по телефонной коммутируемой линии и работать с ресурсами сети как обычно. Удаленный доступ также обеспечивает поддержку виртуальных частных сетей (Virtual Private Network, VPN), чтобы пользователи могли устанавливать безопасное соединение с корпоративной сетью через общественные сети, например, через Интернет.

Сервер удаленного доступа в Windows 2000 Server является частью интегрированной службы маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS). Пользователи устанавливают соединение с сервером удаленного доступа с помощью клиентского программного обеспечения удаленного доступа. Сервер удаленного доступа — компьютер с ОС Windows 2000 Server и установленной службой маршрутизации и удаленного доступа — аутентифицирует как пользователей, так и сеансы связи удаленных маршрутизаторов. Все службы, доступные пользователю, подключенному к LAN (включая совместное использование файлов и принтеров, доступ к веб-серверам и передачу сообщений по электронной почте), доступны и пользователю, подключенному удаленно.

Клиент удаленного доступа использует стандартные средства для доступа к ресурсам. Например, на компьютере под управлением Windows 2000 подключение дисков и принтеров выполняется при помощи Проводника. Подключения постоянны: пользователи не должны повторно подключать сетевые ресурсы в течение сеанса удаленного доступа. Поскольку имена дисков и имена UNC (Universal Naming Convention, универсальное соглашение об именовании) полностью поддерживаются при удаленном доступе, большинство обычных действий пользователей и работа приложений остаются неизменными при работе через удаленный доступ.

Сервер удаленного доступа под управлением Windows 2000 предоставляет два различных типа соединения удаленного доступа:

Коммутируемый доступ. Это соединение, при котором клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя службу-посредник для передачи данных, например аналоговый телефон, ISDN или Х.25. Наиболее типичный пример коммутируемого доступа — установление соединения клиентом удаленного доступа при помощи модема, то есть путем набора телефонного номера одного из портов сервера удаленного доступа.
Виртуальное частное соединение (VPN-соединение). Это защищенное соединение типа "точка-точка" через сеть общего пользования (например, Интернет) или большую корпоративную сеть. Чтобы послать виртуальный запрос к виртуальному порту на VPN-сервере, VPN-клиент использует специальные протоколы на базе стека TCP/IP, которые называются протоколами туннелирования (tunneling protocols). Наиболее типичный пример организации виртуальной частной сети — установление соединения VPN-клиента с частной сетью через сервер удаленного доступа, который подключен к Интернету. Сервер удаленного доступа отвечает на виртуальный запрос, затем аутентифицирует вызывающую программу и осуществляет обмен данными между клиентом VPN и корпоративной сетью. В отличие от коммутируемого доступа, VPN-соединение не является непосредственным, "прямым" соединением между VPN-клиентом и VPN-сервером. Чтобы гарантировать безопасность, данные, передаваемые по соединению, нужно шифровать.

 

2. Новые возможности удаленного доступа в Windows 2000

 

Новые возможности удаленного доступа в Windows 2000

Новые возможности службы удаленного доступа Windows 2000 Server перечислены в табл. 19.1.

Таблица 19.1. Удаленный доступ в Windows 2000 Server

Возможность

Описание

Интеграция с Windows 2000 Active Directory

Сервер удаленного доступа на Windows 2000 Server, являющийся частью домена Windows 2000 и зарегистрированный в Active Directory, может обращаться к параметрам настройки удаленного доступа для пользователя (например, к разрешениям удаленного доступа и параметрам ответного вызова), которые хранятся в Active Directory. После регистрации сервера удаленного доступа в Active Directory им можно управлять и отслеживать его состояние при помощи средств на базе Active Directory, например, при помощи оснастки Маршрутизация и удаленный доступ

MS CHAP версии 2

MS CHAP (Microsoft Challenge Handshake Authentication Protocol, Протокол проверки подлинности запроса-подтверждения Microsoft) версии 2 предназначен для обмена идентификационной информацией и порождения ключей шифрования во время установления соединения удаленного доступа. MS CHAP версии 2 поддерживает VPN

EAR

Расширяемый протокол идентификации (ЕАР, Extensible Authentication Protocol) позволяет использовать новые методы проверки подлинности для удаленного доступа, включая реализацию защиты, основанную на смарт-картах. Интерфейс ЕАР позволяет подключать модули проверки подлинности сторонних производителей

ВАР

ВАР (Bandwidth Avocation Protocol, Протокол распределения полосы пропускания) и ВАСР (Bandwidth Allocation Control Protocol, Протокол управления распределением полосы пропускания) повышают эффективность работы многоканальных РРР-соединений, динамически подключая или отключая дополнительные каналы, приспосабливаясь к изменению трафика

Политика удаленного доступа (Remote Access Policy)

Политика удаленного доступа — набор условий и параметров настройки соединения, которые предоставляют большую гибкость сетевым администраторам по установке и настройке разрешений удаленного доступа и атрибутов соединений

L2TP

Помимо РРТР, сервер удаленного доступа Windows 2000 поддерживает протокол L2TP (Layer 2 Tunneling Protocol, Протокол туннелирования второго уровня), являющийся промышленным стандартом, который используется вместе с протоколом IPSec для создания безопасных VPN-соединений

Поддержка клиентов удаленного доступа Apple Macintosh

Удаленный доступ в Windows 2000 поддерживает подключение клиентов удаленного доступа Apple Macintosh, которые используют протокол AppleTalk вместе с протоколом удаленного доступа AppleTalk (AppleTalk Remote Access Protocol, ARAP) или с протоколом PPP

Поддержка широковещания IP (IP Multicast)

Используя tGMP router and proxy версии 2 (маршрутизатор и посредник IGMP), сервер удаленного доступа поддерживает обмен групповым IP-трафиком между клиентами удаленного доступа и Интернетом или корпоративной сетью

Блокировка учетной записи (Account lockout)

Блокировка учетной записи — функция защиты, которая отменяет разрешение удаленного доступа для учетной записи Пользователя после определенного числа неудавшихся попыток проверки подлинности, например, в случае попыток подбора пароля по словарю

 

3. Сравнение средств удаленного доступа в Windows 2000 и Windows NT 4.0

 

Сравнение средств удаленного доступа в Windows 2000 и Windows NT 4.0

В табл. 19.2 перечислены общие задачи конфигурирования удаленного доступа в Windows 2000. Интерфейс пользователя для выполнения этих задач в Windows 2000 отличается от интерфейсов Windows NT 4.0 и Windows NT 4.0 с установленной службой маршрутизации и удаленного доступа (RRAS).

Таблица 19.2. Настройка удаленного доступа Windows 2000 и Windows NT 4.0

Действия

Windows NT 4.0

Windows NT 4.0 с установленной службой RRAS

Windows 2000

Установка, конфигурирование и удаление службы удаленного доступа

Control Panel | Network, вкладка Services

Control Panel | Network, вкладка Services

Оснастка Маршрутизация и удаленный доступ (Routing and Remote Access)

Настройка проверки подлинности и параметров шифрования

Control Panel I Network, вкладка Services

Control Panel | Network, вкладка Services

Оснастка Маршрутизация и удаленный доступ

Управление серверами и клиентами удаленного доступа

Утилита Remote Access Admin

Утилита Routing and RAS Admin

Оснастка Маршрутизация и удаленный доступ

Разрешение удаленного доступа для учетной записи пользователя

Утилита Remote Access Admin или User Manager for Domains

Утилита User Manager for Domains

Оснастка Локальные пользователи и группы (Local Users and Groups) или Active Directory - пользователи и компьютеры (Active Directory Users and Computers)

 

4. Базовые понятия п

 

Базовые понятия

На сервере удаленного доступа под управлением Windows 2000 установленное сетевое оборудование отображается в виде ряда устройств и портов.

Устройство — аппаратура или программное обеспечение, которое предоставляет службе удаленного доступа порты для установки соединений "точка-точка". Устройства бывают физические, например модем, или виртуальные, например VPN-соединение. Устройства могут поддерживать один порт, например модем, или несколько портов, например банк модемов, который может предоставить 64 независимых входящих аналоговых коммутируемых соединений. Протоколы РРТР или L2TP — примеры виртуальных многопортовых устройств. Каждый из этих туннельных протоколов поддерживает несколько одновременных VPN-соединений.

Порт - отдельный Канал устройства, который может поддерживать одно соединение "точка-точка". Для однопортовых устройств типа модемов "устройство" и "порт" не различаются. Для многопортовых устройств порт — часть устройства, при помощи которого может быть установлено отдельное соединение "точка-точка". Например, адаптер ISDN имеет два В-канала: адаптер ISDN — устройство; каждый В-канал — порт, поскольку соединение "точка-точка" может быть установлено раздельно по каждому В-каналу.

Виртуальное частное соединение, иначе называемое VPN-соединением (Virtual Private Network Connection, соединение виртуальной частной сети) эмулирует соединение "точка-точка". Для эмуляции прямого соединения данные инкапсулируются специальным способом, т. е. снабжаются специальным заголовком, который предоставляет информацию о маршрутизации, чтобы пакет мог достигнуть адресата. Получателем пакета является VPN-клиент, либо VPN-сервер. Часть пути, по которому данные следуют в инкапсулированном виде, называется туннелем.

Для организации безопасной виртуальной частной сети перед инкапсуляцией данные шифруются. Перехваченные по пути следования пакеты невозможно прочитать без ключей шифрования. Участок VPN-соединения, на котором данные передаются в зашифрованном виде, и называется, собственно, виртуальной частной сетью.

VPN-соединения создаются, управляются и уничтожаются с использованием специальных туннельных протоколов или протоколов туннелирования. VPN-клиент и VPN-сервер должны поддерживать один и тот же протокол туннелирования, чтобы создать VPN-соединение. Сервер удаленного доступа под управлением Windows 2000 — VPN-сервер, работающий по протоколам РРТР и L2TP.

 

5. Транспортные протоколы и удаленный доступ

 

Транспортные протоколы и удаленный доступ

Необходимо учитывать протоколы, используемые в настоящий момент в сети — это может повлиять на планирование, интеграцию и настройку удаленного доступа. Удаленный доступ в Windows 2000 поддерживает транспортные протоколы TCP/IP, IPX/SPX, AppleTalk и NetBEUI. Это означает, что можно интегрировать сервер удаленного доступа на базе Windows 2000 в существующую сеть Microsoft, UNIX, Apple Macintosh или Novell NetWare (по протоколу удаленного доступа РРР) или в сеть Apple Macintosh (по протоколу удаленного доступа ARAP). Клиенты удаленного доступа Windows 2000 могут также подключаться к серверам удаленного доступа SLIP (вероятнее

всего, на базе UNIX). При установке удаленного доступа любые протоколы, уже установленные на компьютере (TCP/IP, IPX, AppleTalk и NetBEUI) автоматически разрешаются к использованию для удаленного доступа на входящих и исходящих соединениях. Для каждого протокола нужно задать доступ ко всей сети или только к серверу удаленного доступа (по умолчанию разрешен доступ ко всей сети). Если предоставляется доступ ко всей сети с использованием TCP/IP или IPX, нужно также настроить IP-адрес или номер сети для IPX (для NetBEUI настройка не требуется).

 

6. TCP/IP

 

TCP/IP

TCP/IP— один из наиболее популярных транспортных протоколов. Его возможности маршрутизации и масштабирования предоставляют максимальную гибкость при организации корпоративной сети. Каждый удаленный компьютер, который подключается к серверу удаленного доступа под управлением Windows 2000 при помощи РРР и TCP/IP, автоматически получает IP-адрес. Сервер удаленного доступа предоставляет клиенту удаленного доступа IP-адрес, который выделен сервером DHCP или выбран из статического диапазона IP-адресов, назначенных серверу удаленного доступа администратором.

Если сервер удаленного доступа использует для получения IP-адресов DHCP, то он запрашивает 10 IP-адресов от сервера DHCP. Сервер удаленного доступа использует первый IP-адрес, полученный от сервера DHCP, для себя и распределяет оставшиеся адреса клиентам удаленного доступа по мере установления соединений. IP-адреса освобождаются после отключения клиентов и используются многократно. Когда сервер удаленного доступа использовал все 10 IP-адресов, он получает еще 10 адресов. Если сервер DHCP недоступен, то автоматически выделяются частные IP-адреса в диапазоне от 169.254.0.1 до 169.254.255.254. Другой источник адресов — статический пул IP-адресов, который задается в виде IP-адреса и маски.

В сети TCP/IP, кроме предоставления IP-адресов, клиентам может также потребоваться механизм сопоставления имен IP-адресам и наоборот — служба имен. В сети на базе Windows 2000 используются следующие методы: DNS и файл HOSTS для разрешения (resolution) имен хостов; WINS и файл LMHOSTS для разрешения имен NetBIOS. Серверы удаленного доступа поддерживают все эти методы разрешения имен. Сервер удаленного доступа предоставляет клиентам IP-адреса серверов DNS и WINS. Клиенты удаленного доступа в малых сетях, где IP-адреса не изменяются, могут использовать файлы HOSTS или LMHOSTS для разрешения имен.

 

7. IPX

 

IPX

IPX — протокол, применяемый в сетях на базе Novell NetWare. Будучи маршрутизируемым, протокол IPX подходит для организации глобальных корпоративных сетей. Сервер удаленного доступа под управлением Windows 2000 может выполнять функции IPX-маршрутизатора, обеспечивающего передачу данных по протоколам RIP и SAP между сервером удаленного доступа и клиентом удаленного доступа, а также поддержку NetBIOS поверх IPX. Серверы удаленного доступа и их клиенты используют протокол конфигурации IPX (IPX Configuration Protocol, IPXCP), который описан в RFC 1552 и позволяет конфигурировать соединение удаленного доступа для IPX. После того как соединение сконфигурировано, сервер удаленного доступа позволяет клиентам удаленного доступа использовать службы доступа к файлам и печати NetWare и приложения Windows Sockets no IPX в глобальной IPX-сети.

Серверы удаленного доступа предоставляют клиентам удаленного доступа, которые подключаются к сети IPX, номер сети IPX и номер узла. Номер сети IPX генерируется автоматически сервером удаленного доступа или статически выделяется из пула сетевых номеров, сконфигурированного администратором.

 

8. NetBEUI

 

NetBEUI

NetBEUI — протокол, предназначенный для применения в малых рабочих группах или локальных сетях. Он может быть установлен на сервере удаленного доступа под управлением Windows 2000. Клиентам удаленного доступа на базе Windows NT 3.1, LAN Manager, MS-DOS и Windows for Workgroups требуется наличие протокола NetBEUI для установления соединения.

 

9. AppleTalk

 

AppleTalk

Windows 2000 предоставляет клиентам удаленного доступа AppleTalk две возможности:

Клиенты Apple Macintosh могут звонить на сервер удаленного доступа под управлением Windows 2000, используя протокол удаленного доступа AppleTalk (ARAP) и транспортный протокол AppleTalk.
Клиенты Apple Macintosh могут устанавливать соединение с сервером удаленного доступа под управлением Windows 2000 при помощи протокола удаленного доступа РРР и транспортный протокол AppleTalk. В такой конфигурации клиенты удаленного доступа получают параметры настройки AppleTalk от сервера удаленного доступа с использованием протокола управления AppleTalk (ATCP), как это задано в RFC 1378.

Функциональные возможности удаленного доступа AppleTalk в Windows 2000 предназначены для поддержки клиентов удаленного доступа Apple Macintosh. Клиент удаленного доступа под управлением Windows 2000 не может использовать AppleTalk по ARAP или AppleTalk по РРР для установления исходящего соединения.

 

10. Установка сервера удаленного доступа

 

Установка сервера удаленного доступа

Установка программного обеспечения

При инсталляции Windows 2000 Server по умолчанию устанавливается и служба маршрутизации и удаленного доступа (RRAS). Однако изначально она не активизирована.

Примечание

Чтобы устанавливать и конфигурировать сервер удаленного доступа, нужно быть членом группы Администраторы (Administrators).

Чтобы активизировать службу RRAS, в дереве оснастки необходимо развернуть узел Маршрутизация и удаленный доступ (Routing and remote access). Затем в контекстном меню компьютера, для которого нужно запустить службу RRAS, выберите команду Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access). В окне Мастер настройки сервера маршрутизации и удаленного доступа (Routing and Remote Access Configuration Wizard) нажмите кнопку Далее (Next) и выберите опцию, соответствующую той функции, которую будет выполнять служба RRAS, например, переключатель Сервер удаленного доступа (Enable remote access only) или Сетевой маршрутизатор (Enable routing and remote access). Нажмите кнопку Далее (Next) и следуйте командам мастера. В окне запроса нажмите кнопку Да (Yes), чтобы запустить службу маршрутизации и удаенного доступа.

XA XQ

Функции службы RRAS, заданные изначально с помощью мастера настройки, можно изменять и расширять, для этого в дереве оснастки Маршрутизация и удаленный доступ разверните, узел Маршрутизация и удаленный доступ. Затем в контекстном меню компьютера, для которого нужно активизировать удаленный доступ, выберите команду Свойства (Properties). Например, чтобы включить сервер удаленного доступа, на вкладке Общие (General) (рис. 19.1) установите флажок сервер удаленного доступа (Remote access server).

Чтобы настроить порт для удаленного доступа, в дереве оснастки выберите узел Порты (Ports), в контекстном меню узла Порты выберите команду Свойства. В появившемся диалоговом окне Свойства: Порты (Ports Properties) (рис. 19.2) выберите устройство и нажмите кнопку Настроить (Configure).

Рис. 19.1. Включение сервера удаленного доступа
Рис. 19.2. Порты удаленного доступа

В диалоговом окне Настройка устройства — имя_устройства (Configure Device — имя_устройства) выполните следующие действия (рис. 19.3):

1. Чтобы активизировать удаленный доступ, установите флажок Подключения удаленного доступа (только входящие) (Remote access connections (inbound only)).
2. Чтобы разрешить маршрутизацию с установлением соединения по требованию, установите флажок Подключения по требованию (входящие и исходящие) — Demand-dial routing connections (inbound and outbound).
Рис. 19.3. Настройка порта удаленного доступа

 

19.1.gif

Изображение: 

19.2.gif

Изображение: 

19.3.gif

Изображение: 

11. Аппаратные требования

 

Аппаратные требования

Перед установкой сервера удаленного доступа необходимо подключить все аппаратные средства и проверить их функционирование. В зависимости от размеров и конфигурации сети и требований к удаленному доступу, могут понадобиться:

Сетевой адаптер с драйвером, соответствующим спецификации NDIS П Один или несколько модемов и свободные СОМ-порты
Многопортовый адаптер для достижения требуемой производительности (если необходимо поддерживать несколько соединений одновременно)
Адаптер ISDN (если используется линия ISDN) О Смарт-карта Х.25 (для сетей Х.25)

 

12. Установка и настройка оборудования

 

Установка и настройка оборудования

Модемы

Модемы наиболее часто применяются для установления коммутируемого соединения. Модемы предоставляют возможность установления соединения на скорости до 33,6 Кбит/с по обычной аналоговой телефонной линии или 57,6 Кбит/с при наличии специального оборудования на сервере. Чтобы гарантировать правильное функционирование модемов совместно с сервером удаленного доступа Windows 2000, нужно выбрать их из списка аппаратной совместимости Microsoft Windows (MS Windows Hardware Compatibility List). Модемы этого списка были протестированы совместно с сервером удаленного доступа Windows 2000. Модемы от различных производителей и даже различные модели одного производителя могут оказаться частично или полностью несовместимыми.

Примечание

Для гарантии совместимости модемов желательно, чтобы и клиенты, и серверы удаленного доступа использовали модемы одного типа. Если модемы соответствуют одним и тем же промышленным стандартам, они, скорее всего, будут совместимы, но все-таки безопаснее использовать одну модель как для клиентов, так и для сервера.

Хотя модемы, не включенные в список совместимого оборудования, могут работать с сервером удаленного доступа, они еще не проверены на совместимость с программным обеспечением. Если устанавливаются неподдерживаемые модемы, убедитесь, что они используют один из современных протоколов модуляции, компрессии и коррекции ошибок.

Модемы, поддерживаемые Windows 2000, определяются системой автоматически.

Чтобы установить неподдерживаемый модем, необходимо выбрать Панель управления | Параметры телефона и модема (Control Panel | Phone and Modem Options) и в открывшемся диалоговом окне нажать кнопку Добавить (Add). Далее, в окне Установка модема (Install New Modem) мастера установки оборудования установить флажок Не определять тип модема (выбор из списка) (Don't detect my modem; I will select it from a list) и нажать кнопку Далее (Next).

В списках Изготовители (Manufacturers) и Модели (Models) выбрать изготовителя и модель, наиболее соответствующие устанавливаемому модему, а затем нажать кнопку Далее (Next) и следовать дальнейшим командам мастера.

 

13. Прямое соединение

 

Прямое соединение

Можно объединить два компьютера без модема при помощи прямого последовательного соединения. Для него не требуется сетевой адаптер, но это очень медленное соединение. Конфигурация "нуль-модем" функционирует лучше всего на компьютерах, физически расположенных близко друг от друга.

Чтобы сконфигурировать прямое последовательное соединение, необходимо выбрать значок Панель управления | Параметры телефона и модема и в открывшемся диалоговом окне нажать кнопку Добавить.

В окне Установка модема мастера установки оборудования выбрать флажок Не определять тип модема (выбор из списка), а затем нажать кнопку Далее.

В списке моделей выбрать Последовательный кабель для связи компьютеров

(Communications cable between two computers), затем нажать кнопку Далее, далее следовать дальнейшим указаниям мастера.

 

14. Совместно используемые модемы

 

Совместно используемые модемы

Служба удаленного доступа Windows 2000 может работать с модемами, совместное использование которых обеспечивается программными и/или аппаратными средствами от сторонних поставщиков. Таким образом, работа службы удаленного доступа возможна и с модемами, не установленными физически в компьютере.

 

15. ISDN

 

ISDN

Цифровая сеть с интеграцией служб (Integrated Services Digital Network, ISDN) предоставляет намного более быструю связь, чем обычная аналоговая телефонная линия. Аналоговая телефонная линия позволяет устанавливать соединение со скоростями до 57,6 Кбит/с, a ISDN — со скоростями 64 или 128 Кбит/с.

Чтобы использовать линии ISDN совместно с удаленным доступом Windows 2000, необходимы:

Последовательный порт
Адаптер ISDN, подключенный к последовательному порту

Линия ISDN состоит из двух В-каналов и одного D-канала. Каждый В-канал передает данные со скоростью 64 Кбит/с. D-канал является служебным и передает данные со скоростью 16 Кбит/с.

Необходимо установить адаптеры ISDN как на сервере, так и на каждом клиенте. Можно настроить каждый В-канал, чтобы он функционировал как отдельный порт, или настроить оба В-канала, чтобы они функционировали как один порт. Если установленный адаптер ISDN так настроить нельзя, то для логического объединения В-каналов в единый порт можно использовать многоканальное соединение (multilink).

 

16. Х.25

 

Х.25

Х.25 — сеть, основанная на технологии коммутации пакетов, которая осуществляет надежную передачу данных. Можно подключаться к сети Х.25 при помощи прямого соединения с сетью или через асинхронное соединение, которое представляет собой коммутируемое соединение с PAD (Packet Assembler/Disassembler, сборщик/разборщик пакетов). Сервер удаленного доступа Windows 2000 поддерживает только прямое соединение с сетью Х.25 при помощи смарт-карт Х.25.

 

17. Многоканальные соединения

 

Многоканальные соединения

Удаленный доступ Windows 2000 поддерживает многоканальное соединение и протокол ВАР. При помощи многоканального соединения несколько физических линий представляются в виде одного логического соединения, которое используется для приема и передачи данных. Один из примеров — объединение В-каналов ISDN. Многоканальное соединение должно поддерживаться на обоих концах логического соединения. Многоканальное соединение не обеспечивает механизма адаптации к изменению условий, например, добавления дополнительных линий связи при необходимости или отключения ненужных. Эта возможность обеспечивается протоколом ВАР, который динамически управляет многоканальным соединением.

Например, многоканальное соединение с поддержкой ВАР позволяет клиенту и серверу удаленного доступа создать соединение, состоящее из единственного канала. Клиент удаленного доступа может использовать сообщение запроса по протоколу ВАР, чтобы запросить подключение дополнительного канала. Сообщение запроса ВАР определяет тип канала, например телефонное коммутируемое соединение, ISDN или Х.25. Сервер удаленного доступа затем посылает ответное сообщение ВАР, которое содержит телефонный номер предоставляемого порта на сервере удаленного доступа того типа, какой затребован клиентом удаленного доступа в запросе ВАР. Для многоканального соединения можно настраивать критерии подключения и отключения дополнительных линий.

 

18. Коммутируемый доступ

 

Коммутируемый доступ

Компоненты коммутируемого доступа в Windows 2000 описаны в табл. 19.3.

Таблица 19.3. Компоненты коммутируемого доступа

Компонент

Описание

Серверы коммутируемого доступа

Можно настроить сервер удаленного доступа, работающий под управлением Windows 2000, чтобы он предоставлял доступ ко всей сети или только к ресурсам сервера удаленного доступа

Клиенты коммутируемого доступа

Клиенты удаленного доступа, работающие под управлением Windows NT и Windows 2000, Windows 98, Windows 95, Windows for Workgroups, MS-DOS, LAN Manager или Apple Macintosh могут устанавливать соединения с сервером удаленного доступа под управлением Windows 2000

Транспортные протоколы и протоколы удаленного доступа

Транспортные протоколы служат для базовой поддержки обмена информацией. Протоколы удаленного доступа используются для установления соединения и поддержки кадрирования данных транспортного протокола, которые передаются по WAN. Удаленный доступ Windows 2000 поддерживает протоколы TCP/IP, IPX, Appletalk, и NetBEUI, которые обеспечивают доступ к Интернету, UNIX, Apple Macintosh и ресурсам Novell NetWare. Удаленный доступ Windows 2000 поддерживает протоколы удаленного доступа РРР, SLIP, ARAP и протокол Microsoft RAS (только для NetBEUI)

Параметры WAN

Клиенты могут подключаться к серверу, используя стандартные телефонные линии и модем или группу модемов. Большим быстродействием обладают ISDN-подключения; можно подключать клиентов удаленного доступа к серверам удаленного доступа, используя Х.25. Также поддерживаются прямые соединения при помощи нуль-модема RS-232C или параллельного кабеля

Основа для подключения к Интернету

Коммутируемый доступ Windows 2000 предоставляет законченный набор служб для доступа в Интернет. Можно настроить компьютер под управлением Windows 2000 Server для работы в качестве сервера-провайдера услуг Интернета, поддерживающего установление соединения с Интернетом для клиентов, использующих протокол РРР. Компьютер под управлением Windows 2000 может подключаться к компьютеру под управлением Windows NT Server 3.5* (и выше), подключенному к Интернету, или к любому серверу Интернета, поддерживающему промышленные стандарты РРР или SLIP

Параметры защиты

Windows 2000 Logon и безопасность домена, безопасность на основе хостов безопасности, шифрования данных, RADIUS, смарт-карт, политики удаленного доступа и ответного вызова предоставляют надежную основу для организации безопасной службы удаленного доступа

 

19. Серверы коммутируемого доступа

 

Серверы коммутируемого доступа

Для администрирования сервера удаленного доступа под управлением Windows 2000 служит оснастка Маршрутизация и удаленный доступ (рис. 19.4). С ее помощью можно просматривать подключенных пользователей и управлять трафиком удаленного доступа. Для коммутируемого доступа сервер должен иметь многопортовый адаптер, модемы и аналоговые телефонные линии или другие соединения с WAN. Если сервер предоставляет доступ к сети, необходимо установить отдельный сетевой адаптер, подключенный к тому сегменту сети, к которому сервер удаленного доступа предоставляет доступ. Серверы удаленного доступа под управлением Windows 2000 можно настроить по окончании работы мастера конфигурирования RRAS. Нужно определить протоколы, используемые в локальной сети (IPX, TCP/IP, AppleTalk и NetBEUI), и будет ли предоставляться доступ ко всей сети или только к серверу удаленного доступа. Также необходимо выбрать параметры шифрования и проверки подлинности.

Рис. 19.4. Окно оснастки Маршрутизация и удаленный доступ (Routing and Remote Access)

 

19.4.gif

Изображение: 

20. Клиенты коммутируемого доступа

 

Клиенты коммутируемого доступа

Клиентом коммутируемого доступа, который подключается к серверу удаленного доступа под управлением Windows 2000, может быть компьютер с Windows NT, Windows 2000, Windows 98, Windows 95, Windows for Workgroups, MS-DOS, LAN Manager или любой РРР-клиент. Клиент должен иметь установленный модем, аналоговую телефонную линию или другое соединение WAN и программное обеспечение удаленного доступа. Можно автоматически соединяться с серверами удаленного доступа, используя службу AutoRAS (Диспетчер автоподключений удаленного доступа) Windows 2000. Диспетчер автоподключений удаленного доступа исследует каждое соединение, производимое через службу удаленного доступа, и автоматически повторно подключает к серверу удаленного доступа при повторном обращении к ресурсу. Для клиентов Windows 2000 можно автоматизировать процесс соединения, используя простой язык командных файлов и команду rasdiai.

 

21. Клиенты РРР Microsoft

 

Клиенты РРР Microsoft

Клиенты РРР Microsoft, использующие TCP/IP, IPX или NetBEUI, могут устанавливать соединение с сервером удаленного доступа под управлением Windows NT 3.5 или выше (включая Windows 2000). Клиенты РРР Microsoft

не могут работать с протоколом AppleTalk. Сервер удаленного доступа автоматически аутентифицирует клиентов РРР. Поддержка возможностей удаленного доступа для клиентов коммутируемого доступа РРР производства фирмы Microsoft представлена в табл. 19.4.

Таблица 19.4. Совместимость РРР-клиентов Microsoft

Клиент коммутируемого удаленного доступа

Поддерживаемые возможности РРР удаленного доступа Windows 2000

Неподдерживаемые возможности РРР удаленного доступа Windows 2000

Windows 2000

Многоканальное соединение, протоколы ВАР, MS CHAP, CHAP, SPAP, PAP, MS CHAPv2nEAP

Windows NT 4.0

Многоканальное соединение, протоколы MS CHAP, CHAP, SPAP, PAP и MS CHAP v2

ВАР и ЕАР

Windows NT 3.5x

Протоколы MS CHAP, CHAP, SPAP, PAP и MS CHAP v2

Многоканальное соединение, ВАР, MS CHAP v2 и ЕАР

Windows 98

Многоканальное соединение, протоколы MS CHAP, CHAP, SPAP, PAP и MS CHAP v2 (с установленным Windows 98 Service Pack 1 и выше)

ВАР и ЕАР

Windows 95

MS CHAP, CHAP, SPAP и PAP (с установленным Windows Dial-Up Networking 1 .3 Performance & Security Upgrade for Windows 95)

Многоканальное соединение, ВАР, MS CHAP v2 и ЕАР

 

22. Клиенты РРР сторонних производителей

 

Клиенты РРР сторонних производителей

Клиенты РРР от сторонних производителей, использующие TCP/IP, IPX, NetBEUI или AppleTalk, могут устанавливать соединения с сервером удаленного доступа под управлением Windows 2000. Сервер удаленного доступа автоматически аутентифицирует клиентов РРР. Для этих клиентов не требуется никакой специальной настройки сервера удаленного доступа под управлением Windows 2000. Нужно только удостовериться, что сервер удаленного доступа и клиент РРР настроены на работу с одним и тем же транспортным протоколом и протоколом проверки подлинности.

 

23. Клиенты Microsoft RAS

 

Клиенты Microsoft RAS

Перечисленные в табл. 19.5 клиенты не могут использовать протокол удаленного доступа РРР, но поддерживаются сервером удаленного доступа под

управлением Windows 2000 при помощи протокола Microsoft RAS. Этот протокол удаленного доступа поддерживает в качестве транспортного только протокол NetBEUI.

Таблица 19.5. Особенности клиентов Microsoft RAS

Клиент

Особенности использования

Windows NT 3.1

ОС Windows NT 3.1 использует протокол Microsoft RAS и полностью совместима со всеми версиями серверов удаленного доступа Microsoft. Эти клиенты не поддерживают протокол РРР, впервые реализованный в Windows NT 3.5. Только клиенты РРР Windows NT 3.5 и выше обеспечивают поддержку приложений TCP/IP или IPX

Windows for Workgroups, MS-DOS и LAN Manager

В поставку Windows 2000 Server входят Microsoft Network Client for MS-DOS и Client for Windows for Workgroups, которые обеспечивают функций удаленного доступа. Клиенты удаленного доступа Windows for Workgroups и LAN Manager также могут устанавливать соединение с серверами удаленного доступа на базе Windows NT 3.5 и выше. Microsoft Network Client for MS-DOS должен быть настроен для использования полного редиректора (full redirector). Если используется базовый редиректор (basic redirector), программу удаленного доступа rasphone нельзя запустить. Клиенты Windows for Workgroups, MS DOS и LAN Manager могут использовать шлюз удаленного доступа NetBIOS, чтобы обратиться к ресурсам на базе протокола NetBIOS, используя NetBIOS поверх TCP/IP, NetBIOS поверх IPX или NetBEUI через удаленное соединение. Однако, поскольку эти клиенты не поддерживают РРР, они не могут использовать приложения к которые работают непосредственно по протоколам TCP/IP или IPX. Например, веб-серверы и серверы Novell NetWare не будут доступны этим клиентам через коммутируемое соединение

 

24. Клиенты SLIP

 

Клиенты SLIP

Сервер удаленного доступа под управлением Windows 2000 не поддерживает протокол удаленного доступа SLIP (Serial Line Internet Protocol, протокол Интернета для работы по последовательной линии), т. е. клиенты SLIP не могут соединяться с сервером удаленного доступа под управлением Windows 2000.

 

25. Клиенты ARAP

 

Клиенты ARAP

Сервер удаленного доступа под управлением Windows 2000 поддерживает протокол удаленного доступа AppleTalk (AppleTalk Remote Access Protocol, ARAP). Клиенты коммутируемого доступа Apple Macintosh могут соединять ся с сервером удаленного доступа под управлением Windows 2000 и использовать протокол AppleTalk, чтобы обратиться к ресурсам корпоративной сети.

 

26. Протоколы коммутируемого доступа

 

Протоколы коммутируемого доступ

Протоколы удаленного доступа управляют передачей данных через глобальную сеть (например, через телефонную сеть или сеть Х.25). Операционная система и транспортные протоколы, используемые клиентами и серверами удаленного доступа, определяют, какой протокол удаленного доступа могут использовать клиенты (табл. 19.6).

Таблица 19.6. Протоколы удаленного доступа, поддерживаемые Windows 2000

Протокол

Поддержка

ррр

Windows 2000 Server поддерживает РРР — набор промышленных стандартов и протоколов проверки подлинности, позволяющих работать в сетях с продуктами нескольких производителей. Microsoft рекомендует использовать РРР из-за его гибкости и статуса промышленного стандарта. Применение РРР дает возможность компьютерам под управлением Windows 2000 устанавливать соединение с удаленными сетями через любой сервер, соответствующий стандарту РРР. Гибкость РРР также позволяет компьютеру под управлением Windows 2000 принимать входящие соединения и обеспечивать доступ к сети для программного обеспечения удаленного доступа других поставщиков. Архитектура РРР также позволяет клиентам удаленного доступа использовать любую комбинацию IPX, TCP/ P, NetBEUI и AppleTalk. На компьютере, работающем под управлением Windows NT/2000, Windows 98 или Windows 95 и работающим со службой удаленного доступа, можно устанавливать любую комбинацию протоколов TCP/IP, IPX и NetBEUI, а также запускать программы, использующие интерфейсы Windows Sockets, NetBIOS или IPX. Клиенты удаленного доступа Microsoft не поддерживают работу протокола AppleTalk по коммутируемому соединению

SLIP

SLIP — устаревший стандарт удаленного доступа, обычно используемый серверами удаленного доступа на базе UNIX. Клиенты удаленного доступа под управлением Windows 2000 поддерживают SLIP и могут соединяться с любым сервером удаленного доступа, используя стандарт SLIP. Это позволяет клиентам Windows NT 3.5 или выше устанавливать соединение с большим количеством коммуникационных серверов UNIX. Сервер удаленного доступа под управлением Windows 2000 не поддерживает клиентов SLIP

AppleTalk

Протокол удаленного доступа AppleTalk (ARAP) — протокол удаленного доступа, используемый клиентами удаленного доступа Apple Macintosh. ARAP предоставляет службу для входа в систему, проверки подлинности и настройки протокола AppleTalk во время установления соединения и позволяет сменить пароли, как только связь установлена. Клиент удаленного доступа под управлением Windows 2000 не поддерживает ARAP

Microsoft RAS

Протокол Microsoft RAS— отдельный протокол удаленного доступа, который поддерживает стандарт NetBIOS. Протокол Microsoft RAS поддерживается всеми версиями клиентов удаленного доступа Microsoft и используется в Windows NT 3.1, Windows for Workgroups, MS-DOS и LAN Manager. Клиент удаленного доступа, устанавливающий соединение с Windows NT 3.1 или Windows for Workgroups, должен использовать протокол NetBEUI. Сервер удаленного доступа в этом случае действует как шлюз NetBIOS для удаленного клиента, обеспечивая доступ к серверам, которые используют NetBEUI, NetBIOS no TCP/IP или NetBIOS по протоколу IPX

 

27. Построение виртуальных частных сетей (VPN)

 

Построение виртуальных частных сетей (VPN)

Виртуальные частные сети (Virtual Private Network, VPN) на базе Windows 2000 включают компоненты, указанные в табл. 19.7.

Таблица 19.7. Компоненты VPN

Компонент

Краткое описание

Серверы VPN

Сервер VPN предоставляет доступ ко всей сети или только к общим ресурсам самого сервера

Клиенты VPN

VPN-клиенты— это отдельные компьютеры, использующие соединение удаленного доступа, или маршрутизаторы, использующие соединение для подключения сети срилиала. VPN-клиенты Windows NT 4.0 и выше, Windows 95 и Windows 98 могут создавать VPN-соединения с сервером удаленного доступа под управлением Windows 2000, который функционирует в качестве VPN-сервера. Компьютеры под управлением Windows 2000 Server или Windows NT 4.0 Server, использующие службу маршрутизации и удаленного доступа (RRAS), могут организовывать сеть филиала и поддерживать коммутацию пакетов через VPN-соединения. VPN-клиентом может также быть любой клиент не-Microsoft, поддерживающий РРТР или L2TP (использующий защиту IPSec)

Транспортные протоколы и протоколы удаленного доступа

Транспортные протоколы используются прикладными программами для передачи информации. Протоколы удаленного доступа нужны для того, чтобы устанавливать соединения и осуществлять кадрирование данных протокола LAN, который передается по сети через WAN. Служба маршрутизации и удаленного доступа Windows 2000 поддерживает протоколы, напримерTCP/IP, IPX,

(прод.)

AppleTalk и NetBEUI, которые позволяют осуществить доступ к Интернету, UNIX, Apple Macintosh и ресурсам Novell NetWare. Для VPN-соединения служба маршрутизации и удаленного доступа Windows 2000 поддерживает протокол удаленного доступа РРТР

Протоколы туннелирования

При помощи протоколов туннелирования VPN-клиенты создают защищенные соединения с VPN-серверами. Windows 2000 включает протоколы туннелирования РРТР и L2TP

Параметры WAN

VPN-серверы обычно связаны с Интернетом на основе постоянных соединений или Т-1. VPN-клиенты связываются с Интернетом, используя постоянные соединения, либо используя стандартные аналоговые телефонные линии или ISDN подключаются к локальному Интернет-провайдеру

Основа для подключения через Интернет

VPN в Windows 2000 предоставляет законченный набор услуг для VPN в Интернет. Можно настроить компьютер под управлением , Windows 2000 Server как сервер VPN, который предоставляет защищенные соединения как с клиентами удаленного доступа, так и с другими маршрутизаторами филиала

Параметры безопасности

Вход в систему Windows 2000 и защита домена на базе хостов безопасности (security hosts), шифрования данных, RADIUS, смарт-карт, фильтрации IP-пакетов, идентификатора вызывающего абонента (caller ID) предоставляет безопасную среду для работы VPN-клиентов

 

28. Клиенты VPN

 

Клиенты VPN

Клиентом виртуальной частной сети, который соединяется с серверами удаленного доступа под управлением Windows 2000, может быть Windows NT 4.0, Windows 95 или Windows 98 (табл. 19.8). Для того чтобы принимать/передавать пакеты TCP/IP серверу удаленного доступа, клиенту требуется сетевой адаптер или модем и аналоговая телефонная линия или другое подключение к WAN (ISDN, X.25 и т. п.).

Таблица 19.8. Протоколы туннелирования для VPN-клиентов Microsoft

VPN-клиент

Поддерживаемые протоколы туннелирования

Неподдерживаемые протоколы туннелирования

Windows 2000 Windows NT 4.0

PPTPHL2TP РРТР

L2TP

VPN-клиент

Поддерживаемые протоколы туннелирования

Неподдерживаемые протоколы туннелирования

Windows 98

РРТР

L2TP

Windows 95

РРТР с установленным Windows Dial-Up Networking 1.3 Performance & Security Upgrade for Windows 95

L2TP

Windows NT 3.5*

He поддерживает VPN

L2TP, РРТР

Поддержка протоколов проверки подлинности Microsoft для клиентов VPN приведена в табл. 19.9.

Таблица 19.9. Поддержка VPN-клиентов

VPN-клиент

Поддерживаемые протоколы аутентификации удаленного доступа Windows 2000

Неподдерживаемые протоколы аутентификации удаленного доступа Windows 2000

Windows 2000

MS CHAP, CHAP, SPAP (протокол проверки подлинности пароля PAP), MS CHAP v2 и ЕАР

Windows NT 4.0

MS CHAP, CHAP, PPP, SPAP, PAP и MS CHAP v2 (c Windows NT 4.0 Service Pack 4)

ЕАР

Windows 98

MS CHAP, CHAP, PPP, SPAP, PAP и MS CHAP v2 (вместе Windows 98 Service Pack 1 или выше)

ЕАР

Windows 95

MS CHAP, CHAP, PPP, SPAP, PAP и MS CHAP v2 (вместе Windows Dial-Up Networking 1 .3 Performance & Security Upgrade for Windows 95)

ЕАР

Клиенты VPN производства третьих фирм, использующие РРТР или L2TP и IPSec, могут устанавливать соединение с сервером удаленного доступа под управлением Windows NT 4.0 (только РРТР) или Windows 2000 (оба протокола). Для клиентов сторонних производителей не требуется специальная настройка сервера удаленного доступа. Однако, если требуется безопасное VPN-соединение, необходимо удостовериться, что клиенты виртуальной частной сети поддерживают соответствующее шифрование. Для РРТР требуется поддержка Microsoft Point-to-Point Encryption (МРРЕ, шифрование Microsoft типа "точка-точка"). Для L2TP требуется шифрование IPSec.

 

29. Серверы VPN

 

Серверы VPN

Для администрирования сервера удаленного доступа, просмотра состояния подключенных VPN-клиентов и управления трафиком служит оснастка Маршрутизация и удаленный доступ. Для поддержки доступа при помощи виртуальных частных сетей через Интернет сервер обычно имеет постоянное соединение с Интернетом. Можно также использовать и временное соединение с Интернетом, если Интернет-провайдер поддерживает установление коммутируемого соединения по запросу. Соединение с провайдером будет установлено по инициативе провайдера, когда появится трафик, адресованный серверу VPN. Если сервер VPN предоставляет доступ к сети, нужно установить отдельный сетевой адаптер и подключить его к сети, к которой сервер предоставляет доступ. Сервер удаленного доступа можно настроить после того, как мастер конфигурации &.RAS завершит свою работу. Нужно определить протоколы, используемые в локальной сети (IPX, TCP/IP, AppleTalk, и NetBEUI) и то, осуществляется ли доступ по этому протоколу ко всей сети или только к серверу удаленного доступа. Также нужно выбрать параметры шифрования и проверки подлинности.

 

30. Протоколы туннелирования

 

Протоколы туннелирования

В табл. 19.10 кратко описаны протоколы туннелирования, используемые VPN-сервером в среде Windows 2000.

Таблица 19.10. Протоколы туннелирования

Протокол

Описание

РРТР

Point-to-Point Tunneling Protocol (Протокол туннелирования "точка-точка", РРТР) — промышленный стандарт de facto для протоколов туннелирования, впервые появившийся в Windows NT 4.0. РРТР — расширение протокола РРР, в котором усилены функции подлинности, сжатия и механизмы шифрования протокола РРР. РРТР устанавливается вместе со службой маршрутизации и удаленного доступа. По умолчанию РРТР настроен на пять РРТР-портов (одновременных соединений), которые разрешены для принятия входящих соединений. РРТР и МРРЕ предоставляют возможность защиты услуг VPN при помощи шифрования частных данных

L2TP

 

Level 2 Tunneling Protocol (Протокол туннеяирования второго уровня, L2TP) — протокол туннелирования, который планируется сделать промышленным стандартом. В отличие от РРТР, L2TP в Windows 2000 не использует МРРЕ для шифрования датаграмм РРР. L2TP использует для шифрования IPSec. Комбинация L2TP и IPSec известна как "L2TP поверх IPSec". L2TP и IPSec должны поддерживаться как VPN-кпи-ентом, так и VPN-сервером. L2TP устанавливается вместе со службой Level 2 Tunneling Protocol (Протокол туннелирования второго уровня, L2TP) — протокол туннелирования, который планируется сделать промышленным стандартом. В отличие от РРТР, L2TP в Windows 2000 не использует МРРЕ для шифрования датаграмм РРР. L2TP использует для шифрования IPSec. Комбинация L2TP и IPSec известна как "L2TP поверх IPSec". L2TP и IPSec должны поддерживаться как VPN-кли-ентом, так и VPN-сервером. L2TP устанавливается вместе со службой маршрутизации и удаленного доступа. По умолчанию L2TP настроен на пять 12ТР-портов (одновременных соединений), которые разрешены для принятия входящих соединений. "L2TP поверх IPSec" предоставляет возможность защиты услуг VPN при помощи шифрования частных данных

 

31. Защита удаленного доступа

 

Защита удаленного доступа

Проверка подлинности клиентов удаленного доступа — важная часть системы безопасности. Методы проверки подлинности обычно.используют протокол проверки подлинности во время установления соединения. Windows 2000 также поддерживает доступ без проверки подлинности.

 

32. Свойства учетной записи пользователя

 

Свойства учетной записи пользователя

В Windows 2000 учетная запись пользователя для автономного сервера или сервера в составе сети на базе Active Directory содержит набор свойств пользователя (табл. 19.11), которые используются при разрешении или запрещении попытки пользователя установить удаленное соединение. Для автономного сервера можно устанавливать свойства пользователя на вкладке Входящие звонки (Dial-in) в окне учетной записи пользователя в оснастке Локальные пользователи и группы (Local Users and Groups). Для сервера на базе Active Directory можно устанавливать свойства на вкладке Входящие звонки (Dial-in) в окне учетной записи пользователя в оснастке Active Directory - пользователи и компьютеры (Active Directory Users and Computers). Нельзя использовать средство User Manager for Domains из состава Windows NT 4.0 для серверов на базе Active Directory.

Таблица 19.11. Свойства учетной записи пользователя

Свойство

Описание

Разрешение на удаленный доступ (Remote Access Permission)

 

Используется для того, чтобы определить, разрешен ли удаленный доступ явно, запрещен или задан политикой удаленного доступа. Если доступ явно разрешен, то условия политики удаленного доступа, свойства учетной записи пользователя или свойства профиля могут запретить попытку соединения.

Опция Управление на основе политики удаленного доступа (Control access through Remote Access Policy) действует только для учетных записей пользователей для серверов удаленного доступа, работающих на автономном компьютере Windows 2000 Server или для членов домена Windows 2000, работающего в основном (native) режиме

Проверять идентификатор

(Verify Caller-ID)

Если это свойство разрешено, сервер проверяет телефонный номер вызывающей стороны. Если он не соответствует настроенному номеру, попытка соединения отклоняется

Ответный вызов

(Callback Options)

Если это свойство разрешено, то при установлении соединения сервер запрашивает у вызывающей стороны указываемый ею телефонный номер или использует телефонный номер, заданный сетевым администратором, а затем производит ответный вызов

Постоянный IP-адрес пользователя (Assign a static IP-address)

Если это свойство разрешено, можно назначать конкретный IP-адрес пользователю при установлении соединения

Использовать статическую маршрутизацию

(Apply Static Routes)

Если это свойство разрешено, можно определять ряд статических маршрутов IP, которые добавляются в таблицу маршрутизации сервера удаленного доступа после установления соединения. Этот параметр предназначен для учетных записей пользователей, с которыми работают маршрутизаторы Windows 2000 в случае маршрутизации с установлением соединения по требованию

 

33. Проверка подлинности

 

Проверка подлинности

Домен Windows 2000 и Active Directory

Сервер удаленного доступа под управлением Windows 2000 Server может использовать систему безопасности главного контроллера домена (PDC) Windows NT (Windows NT 4.0 Server и более ранние) или систему безопасности Windows 2000 Active Directory (Windows 2000 Server) при получении информации для проверки подлинности пользователей удаленного доступа. Сервер удаленного доступа, работающий под управлением Windows 2000 Server, также хранит аутентификационную и учетную информацию для соединений удаленного доступа.

 

34. Служба RADIUS

 

Служба RADIUS

Служба RADIUS (Remote Authentication Dial-In User Service, служба проверки подлинности удаленных пользователей) соответствует промышленным

стандартам (RFC 2138 и 2139) и предоставляет централизованные услуги по проверке подлинности и учету для служб удаленного доступа. Серверы службы RADIUS используются Интернет-провайдерами и корпоративными заказчиками. Клиентом RADIUS обычно является сервер удаленного доступа.

В состав Windows 2000 Server входит сервер RADIUS, который называется Служба проверки подлинности в Интернете (Internet Authentication Server).

В Windows 2000 поставщиков аутентификационной и учетной информации для сервера удаленного доступа можно задавать независимо друг от друга. Сервер удаленного доступа может, например, в качестве поставщика аутентификационной информации использовать Windows 2000, а в качестве поставщика учетной информации — сервер RADIUS.

 

35. Доступ без проверки подлинности

 

Доступ без проверки подлинности

Windows 2000 поддерживает также доступ без проверки подлинности (табл. 19.12), который означает, что серверу удаленного доступа не требуется идентификационная информация пользователя (имя пользователя и пароль).

Таблица 19.12. Варианты доступа без проверки подлинности

Способ проверки подлинности

Описание

DNIS-проверка подлинности

Проверка подлинности при помощи Dialed Number Identification Service (Служба идентификации номера, DNIS) — аутентификация попытки соединения, основанная на номере, с которого производится звонок. Сервис DNIS возвращает телефонный номер вызывающей стороны; эту услугу предоставляет большинство современных телефонных компаний (в США и др. высокоразвитых странах, в России ситуация отличается). Для распознавания DNIS-соединений и применения параметров, соответствующих соединению, необходимо разрешить доступ без проверки подлинности и создать политику удаленного доступа, которая использует Called-Statfon-ID в качестве условия

Проверка подлинности при помощи автоматического определения номера

 

Автоматическое определение номера/Определение вызывающей линии (Automatic Number Identification/Calling Line Identification, ANI/CLI) — аутентификация соединения, основанная на телефонном номере вызывающей стороны. Сервис ANI/CLI возвращает номер вызывающей стороны; эту услугу предоставляет большинство современных телефонных компаний (в США и др. высокоразвитых странах). Для распознавания ANI/CLI-соединений и применения параметров, соответствующих соединению, необходимо разрешить доступ без проверки подлинности и создать политику удаленного доступа, которая использует Calling-Statjon-ID в качестве условия. Эта аутентификация отличается от аутентификации по Caller-ID. В аутентификации по Caller-ID вызывающая сторона должна послать имя пользователя и пароль (которые будут поставлены в соответствие учетной записи пользователя), в ANI/CLI передача имени и пароля не требуется

Гостевая проверка подлинности

В течение процесса проверки подлинности вызывающая сторона не посылает имя пользователя или пароль. Если разрешен доступ без проверки подлинности, для идентификации вызывающей стороны используется учетная запись Guest

Предупреждение

Если разрешен доступ без проверки подлинности, пользователи удаленного доступа могут устанавливать соединения без передачи идентификационной информации пользователя.

Клиенты удаленного доступа под управлением Windows 2000 не могут соединяться без передачи имени пользователя и пароля. Доступ без проверки подлинности предназначен для клиентов удаленного доступа сторонних производителей.

 

36. Протоколы проверки подлинности ЕАР

 

Протоколы проверки подлинности ЕАР

При помощи ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) можно подключить любой механизм проверки подлинности (аутентификации), который будет проверять достоверность информации о пользователе, установившем соединение удаленного доступа. Точная схема аутентификации, используемая соединением, устанавливается в результате переговоров между клиентом удаленного доступа и сервером удаленного доступа. Можно применять ЕАР для поддержки разных схем аутентификации, например, типа General Token Card (Универсальная жетонная карта), MD5-Challenge (Запрос MD5), TLS (Transport Level Security, Защита транспортного уровня) для поддержки смарт-карт, а также S/Key. Впрочем, можно использовать любые другие схемы, реализуемые в будущем. ЕАР позволяет производить открытые переговоры между клиентом удаленного доступа и сервером удаленного доступа, состоящие из запросов сервера на получение аутентификационной информации и соответствующих ответов клиента. Например, если ЕАР используется с жетонными картами, сервер удаленного доступа может отдельно запросить у клиента удаленного доступа название, PIN-код и емкость жетонной карты. Если на все вопросы получены удовлетворительные ответы, клиент удаленного доступа аутентифицируется и получает разрешение на удаленный доступ к сети.

Специальная схема проверки подлинности ЕАР называется типом ЕАР (ЕАР type). Для успешной проверки подлинности клиента клиент удаленного доступа и сервер удаленного доступа должны поддерживать один и тот же тип ЕАР.

Windows 2000 включает поддержку инфраструктуры ЕАР, два типа ЕАР (EAP-MD5 CHAP и EAP-TLS) и возможность передавать сообщения ЕАР серверу RADIUS (EAP-RADIUS).

Чтобы разрешить проверку подлинности на базе ЕАР, нужно:

Разрешить ЕАР как протокол проверки подлинности на сервере удаленного доступа.
Разрешить ЕАР, и, если требуется, настроить тип ЕАР для соответствующей политики удаленного доступа.
Разрешить и настроить ЕАР на стороне клиента удаленного доступа под управлением Windows 2000.

 

37. MS CHAP

 

MS CHAP

Windows 2000 включает поддержку MS CHAP (Microsoft Challenge Handshake Protocol, протокол проверки подлинности запроса-подтверждения Microsoft), также известный как MS CHAP версии 1. MS CHAP — это протокол проверки подлинности с необратимым шифрованием пароля.

 

38. М8 СНАР версии2

 

MS CHAP версии 2

Windows 2000 включает поддержку протокола MS CHAP, который предоставляет более сильную защиту для соединения удаленного доступа. MS CHAP v2 решает некоторые проблемы функционирования MS CHAP версии 1 (табл. 19.13).

MS CHAP версии 2 — это протокол взаимной проверки подлинности с односторонним Шифрованием пароля.

Таблица 19.13. Сравнение MS CHAP версий 1 и 2

Проблемы MS CHAP версии 1

Решение в MS CHAP версии 2

Кодирование ответа по схеме LAN Manager, которое используется для обратной совместимости со старыми клиентами Microsoft удаленного доступа, использует слабое шифрование

MS CHAP v2 более не поддерживает ответы, закодированные по схеме LAN Manager

Кодирование пароля по схеме LAN Manager использует слабое шифрование

MS CHAP v2 более не поддерживает передачу изменений паролей, закодированных по схеме LAN Manager

Возможна только однонаправленная проверка подлинности. Клиент удаленного доступа не может проверить, соединился он с подлинным или с ложным (подставным) сервером удаленного доступа

MS CHAP v2 поддерживает двустороннюю проверку подлинности, также называемую взаимной проверкой подлинности. Клиент удаленного доступа проверяет, к тому ли серверу удаленного доступа он подключился

При 40-разрядном шифровании ключ шифрования основывается на пароле пользователя. Каждый раз, когда пользователь подключается с тем же самым паролем, будет сгенерирован тот же самый ключ

При использовании MS CHAP v2 ключ шифрования основывается на пароле пользователя и произвольной строке запроса. Каждый раз, когда пользователь подключается с тем же самым паролем, используется другой ключ

Используется единый ключ шифрования для данных, передаваемых в обоих направлениях соединения

Используются отдельные ключи шифрования, которые генерируются для передаваемых и получаемых данных

 

39. CHAP

 

CHAP

Протокол проверки подлинности CHAP — протокол проверки подлинности типа "запрос-ответ", использующий схему хэширования MD-5 (Message Digest, дайджест сообщения) для шифрования ответа. CHAP используется различными производителями ПО серверов и клиентов удаленного доступа. Сервер удаленного доступа Windows 2000 поддерживает CHAP для проверки подлинности клиентов удаленного доступа сторонних поставщиков.

 

40. SPAP

 

SPAP

SPAP (Shiva Password Authentication Protocol, протокол проверки подлинности пароля Shiva) использует реверсивный механизм шифрования Shiva. Windows 2000 использует SPAP при соединении с Shiva LAN Rover. Также поступает и клиент Shiva, который соединяется с сервером удаленного доступа под управлением Windows 2000 Server. Эта схема проверки подлинности более безопасна, чем передача данных открытым текстом, но менее безопасна, чем CHAP или MS CHAP.

 

41. PAP

 

PAP

Протокол PAP использует пароли, передаваемые открытым текстом, и является наименее сложным протоколом проверки подлинности. Обычно соединение на его основе устанавливается, если клиент удаленного доступа и сервер удаленного доступа не могут договориться о более безопасной форме проверки подлинности.

Когда РАР устанавливается в качестве опознавательного протокола, пароли пользователей передаются открытым текстом. Всякий, кто перехватит пакеты процесса проверки подлинности, может легко прочитать пароль и использовать его для несанкционированного доступа к корпоративной сети. Нежелательно использовать РАР, особенно для соединений VPN. После отключения проверки подлинности на базе РАР на сервере удаленного доступа пароли никогда не будут передаваться открытым текстом. Отключение РАР увеличивает защиту проверки подлинности, но после этого клиенты удаленного доступа, которые поддерживают только РАР, не смогут установить соединение.

 

42. ARAP

 

ARAP

Клиенты Apple Macintosh могут подключаться к серверу удаленного доступа Windows 2005 при помощи протоколов ARAP (AppleTalk Remote Access Protocol, протокол удаленного доступа AppleTalk) и AppleTalk. Когда удаленный доступ разрешен для гостевой учетной записи ARAP-клиента, сервер будет опрашивать подключающихся пользователей, действительно ли они хотят входить в систему в качестве гостя. Если разрешен доступ без проверки подлинности, пользователи удаленного доступа могут устанавливать соединения без передачи идентификационной информации. Чтобы запретить такой доступ для всех учетных записей, кроме гостевой записи пользователей AppleTalk, нужно создать политику удаленного доступа для пользователей AppleTalk и установить атрибут Framed-Protocol равным AppleTalk Remote Access Protocol (ARAP).

 

43. Шифрование данных

 

Шифрование данных

Для защиты данных, передаваемых между клиентом и сервером удаленного доступа, можно использовать шифрование. Шифрование данных важно для финансовых учреждений, правоохранительных и правительственных органов и корпорации, которым требуется безопасная передача данных. Для служб, требующих конфиденциальности данных, сетевой администратор может настроить сервер удаленного доступа на использование только шифрованного обмена данными. Пользователи, которые соединяются с таким сервером, должны шифровать свои данные, иначе соединение не производится.

При коммутируемом соединении можно защитить данные, зашифровав их на пути между клиентом и сервером удаленного доступа. Шифрование данных необходимо, если есть риск перехвата данных на линии связи между клиентом и сервером удаленного доступа. Для коммутируемых сетевых соединений Windows 2000 использует шифрование "точка-точка" Microsoft (Microsoft Point-to-Point Encryption, MPPE). MPPE требует применения протоколов проверки подлинности MS CHAP или EAP-TLS.

При VPN-соединении можно защитить данные, зашифровав их на пути между концами виртуальной частной сети (VPN). Необходимо применять шифрование данных для VPN-соединения, если частные данные передаются по сети общего пользования (например, Интернет), где всегда есть риск перехвата данных. Для VPN-соединения Windows 2000 использует шифрование МРРЕ с протоколом РРТР и шифрование IPSec с протоколом L2TP, Поскольку шифрование данных выполняется между VPN-клиентом и VPN-сервером, то на соединении между клиентом удаленного доступа и Интернет-провайдером оно уже не является необходимым.

Шифрование данных для РРР- или РРТР-соединения возможно, только если используются протоколы проверки подлинности MS CHAP или EAP-TLS. Шифрование данных для PТР-соединения основано на механизмах IPSec, для которых специальные протоколы проверки подлинности не требуются.

 

44. Правила предоставления удаленного доступа

 

Правила предоставления удаленного доступа

После того как установлен сервер удаленного доступа, нужнб определить, какие пользователи могут устанавливать соединение с ним. Для Windows 2000 разрешение удаленного доступа определяется политикой удаленного доступа и учетной записью пользователя.

Не нужно создавать отдельные учетные записи только для пользователей удаленного доступа. Серверы удаленного доступа используют учетные записи пользователей, расположенные в общей базе данных учетных записей пользователей согласно общим механизмам защиты Windows 2000.

 

45. Защита при подключении

 

Защита при подключении

Вот пошаговая схема процесса, происходящего при запросе клиента удаленного доступа к серверу удаленного доступа под управлением Windows 2000:

1. Клиент удаленного доступа набирает номер сервера удаленного доступа.
2. Происходит физическое соединение (например, двух модемов).
3. Сервер посылает запрос клиенту.
4. Клиент посылает зашифрованный ответ серверу.
5. Сервер проверяет ответ при помощи базы данных учетных записей Пользователей.
6. Если учетная запись существует и не заблокирована, сервер принимает решение об установлении соединения в соответствии с политикой удаленного доступа и свойствами учетной записи пользователя для клиента удаленного доступа.
7. Если разрешена функция ответного вызова, сервер вызывает клиента и продолжает переговоры о соединении. Шаги 3 и 4 предполагают, что

клиент и сервер удаленного доступа используют протоколы проверки подлинности MS CHAP или CHAP. Для других протоколов проверки подлинности схема посылки клиентской идентификационной информации может отличаться от описанной.

 

46. Защита после подключения

 

Защита после подключения

После проверки подлинности удаленного доступа и подключения клиента к LAN клиент удаленного доступа может обращаться только к тем сетевым ресурсам, для которых он имеет соответствующее разрешение. Клиенты удаленного доступа подчиняются общим схемам безопасности Windows 2000 так же, как если бы они физически располагались в LAN. Другими словами, клиенты удаленного доступа не могут выполнять действия, не имея достаточных на то полномочий, и не могут обращаться к ресурсам, для которых они не имеют соответствующих разрешений.

Клиенты удаленного доступа должны быть проверены на подлинность сервером удаленного доступа до обращения к ресурсам и обмена данными по сети. Эта проверка подлинности — шаг, отдельный от регистрации в Windows 2000. При передаче по телефонным линиям пароли пользователей и процесс проверки подлинности можно шифровать.

Можно ограничить клиента удаленного доступа доступом только к общим ресурсам сервера удаленного доступа, а не к ресурсам всей сети, к которой подключен сервер удаленного доступа. Администратор может управлять тем, какая информация будет доступна клиентам удаленного доступа, и ограничивать доступ пользователей в случае нарушения защиты.

 

47. CallerlD

 

Caller ID

При настройке защиты удаленного доступа на использование Caller ID (идентификатор звонящего абонента) задается телефонный номер, с которого пользователь должен осуществлять связь. Если пользователь производит попытку соединения с другого номера, сервер удаленного доступа отклоняет ее.

Предупреждение

Caller ID должен поддерживаться вызывающей стороной, телефонной сетью между вызывающей стороной и сервером удаленного доступа, а также сервером удаленного доступа. Поддержка Caller ID на стороне сервера удаленного доступа состоит из оборудования, отвечающего на вызов. Это оборудование должно поддерживать передачу Caller ID соответствующему встроенному драйверу Windows 2000, который, в свою очередь, поддерживает передачу Caller ID вызывающей стороны службе маршрутизации и удаленного доступа.

Если поддержка Caller ID разрешена, но какая-то часть оборудования или программного обеспечения не поддерживает Caller ID, то устанавливающему соединение пользователю будет отказано в доступе.

Особенности применения Caller ID обеспечивают большую степень безопасности для организации труда надомных работников (telecommuters). Недостаток Caller ID заключается в том, что пользователь может получить удаленный доступ только с конкретной телефонной линии.

Кроме того, надо учесть, что функция Caller ID в России недоступна на большинстве телефонных станций, кроме современных цифровых станций, устанавливаемых взамен старых, или коммерческих провайдеров телефонных услуг.

 

48. Ответный вызов

 

Ответный вызов

Если применяется ответный вызов, пользователь инициализирует запрос и соединяется с сервером удаленного доступа (табл. 19.14). Сервер удаленного доступа после проверки подлинности пользователя "вешает трубку" и осуществляет ответный вызов по номеру, определенному звонящим пользователем или заданному администратором. Привилегия ответного вызова назначается для каждого пользователя, если ему предоставлено разрешение удаленного доступа.

Таблица 19.14. Варианты ответного вызова

Вариант

Описание

Нет ответного вызова (No callback)

Если учетная запись пользователя не настроена для ответного вызова, сервер удаленного доступа устанавливает соединение сразу, как только попытка соединения была принята

Устанавливается вызывающей стороной (Set by caller)

Эта функция не повышает защищенность удаленного доступа, она полезна для клиентов, которые звонят из разных мест (регионов, городов, стран) и с разных телефонных номеров, снижая их затраты. Когда запрос на ответный вызов обрабатывается сервером удаленного доступа, происходят следующие события:

  • Сначала сервер определяет, являются ли имя пользователя и пароль верными
  • Если имя пользователя и пароль подтверждены, на компьютере пользователя появляется диалоговое окно Ответный вызов (Callback)
  • Пользователь вводит свой текущий номер телефона для ответного вызова в диалоговом окне
  • Номер ответного вызова передается серверу
  • Запрос на ответный вызов закончен, связь разрывается
  • Сервер производит звонок клиенту по номеру ответного вызова
  • После того как связь повторно установлена, клиент и сервер продолжают переговоры по установлению соединения

 

Всегда осуществлять ответный вызов по заданному номеру (Always callback to)

Этот вариант наиболее приемлем для реализации дополнительного уровня защиты: Необходимо выбрать его и ввести номер телефона, с которым связано оборудование удаленного доступа пользователя. Когда запрос пользователя поступает на сервер удаленного доступа, происходят следующие события:

  • Сначала сервер определяет, являются ли имя пользователя и пароль верными .
  • Запрос на ответный вызов закончен, связь разрывается
  • Сервер производит звонок клиенту по номеру ответного вызова, заданному в его учетной записи
  • После того как связь повторно установлена, клиент и сервер продолжают переговоры по установлению соединения

 

49. Хосты безопасности

 

Хосты безопасности

Хост безопасности — устройство проверки подлинности сторонних производителей, которое проверяет, имеет ли вызывающий клиент удаленного доступа разрешение на соединение с сервером удаленного доступа. Эта проверка дополняет систему безопасности, предоставляемую сервером удаленного доступа под управлением Windows 2000.

Хост безопасности располагается между клиентом и сервером удаленного доступа. Хост безопасности предоставляет дополнительный уровень безопасности, требуя наличие некоторого аппаратного ключа для проверки подлинности. Проверка того, что клиент удаленного доступа владеет ключом, производится до подключения к серверу удаленного доступа. Эта открытая архитектура позволяет заказчикам выбирать из ряда хостов безопасности разных провайдеров для увеличения безопасности удаленного доступа.

 

50. Блокировка учетной записи

 

Блокировка учетной записи

Блокировка учетной записи (Account Lockout) — еще одна отличительная особенность безопасности, которая отменяет разрешение удаленного доступа для учетной записи пользователя после заданного числа неудавшихся попыток проверки подлинности.

Можно использовать блокировку учетной записи, чтобы определить, сколько раз происходил сбой проверки подлинности удаленного доступа до того момента, как разрешение удаленного доступа для учетной записи пользователя будет отменено. Блокировка учетной записи особенно важна для удаленного доступа по VPN-соединению через Интернет. Сторонние пользователи злоумышленники из Интернета могут пытаться получить доступ к интрасети, посылая идентификационную информацию (настоящее имя пользователя и предполагаемый пароль) в течение процесса проверки подлинности VPN-соединения. При атаке с применением словаря пользователь-злоумышленник посылает сотни, даже тысячи пар "имя-пароль" по списку, основанному на общих словах, именах или фразах.

Если разрешить блокировку учетной записи, атака по словарю будет остановлена после заданного числа неудавшихся попыток. Сетевой администратор должен настроить две переменные, управляющие блокировкой учетной записи при удаленном доступе:

Число неудавшихся попыток до отмены разрешения удаленного доступа для учетной записи пользователя.
Частоту обнуления счетчика неудавшихся попыток (нужно периодически сбрасывать счетчик неудавшихся попыток, чтобы предотвратить длительную блокировку учетной записи из-за ошибок пользователя при наборе пароля).

Чтобы разрешить возможность блокировки учетной записи, нужно изменить параметры в системном реестре Windows 2000.

Предупреждение

Некорректное редактирование системного реестра может нарушить работоспособность системы. Перед изменением системного реестра нужно сделать его резервную копию.

Чтобы разрешить блокировку учетных записей, необходимо установить значение параметра MaxDenials больше или равным 1. По умолчанию MaxDenials=0 (блокировка учетной записи запрещена). Параметр MaxDenials — максимальное число неудачных попыток, произошедших до блокировки учетной записи:

HKEY_LOCAL_MACHINE\SYSTEM\CurremControlSet\Services \RemoteAccess\Parameters\AccountLockout\MaxDenials

Чтобы изменить временной интервал до сброса счетчика неудачных попыток, необходимо установить значение параметра ResetTime равным заданному числу минут:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Parameters\AccountLockout\ResetTime

По умолчанию ResetTime = ОхЬ40 (2,880 мин или 48 ч).

 

51. Регистрация и протоколирование

 

Регистрация и протоколирование

Сервер удаленного доступа Windows 2000 поддерживает два типа регистрации:

Регистрация событий RAS — регистрация событий в журнале событий системы Windows 2000. Обычно используется для решения проблем или уведомления системных администраторов о необычных событиях.
Регистрация проверки подлинности и учетной информации — сервер удаленного доступа под управлением Windows 2000 поддерживает эту регистрацию для соединений удаленного доступа, если разрешен сбор учетной информации Windows (Windows accounting). Эта регистрация происходит отдельно от событий, зарегистрированных в системном журнале событий. На основе регистрируемой информации можно проследить использование удаленного доступа и попытки аутентификации. Регистрация особенно полезна для оперативного решения проблем при работе с политиками удаленного доступа. Для каждой попытки аутентификации регистрируется название политики удаленного доступа, в соответствии с которой была принята или отклонена попытка установления соединения. Аутентификационная и учетная информация сохраняются в файле (или файлах) журнала, который находится в папке %SystemRoot9£\System32 \LogFiles. Журналы хранятся в формате IAS 1.0 или IAS 2.0. Файлы журнала доступны через интерфейс ODBC — любая программа, поддерживающая ODBC, может читать журнал напрямую для анализа содержащейся в нем информации.
Рис. 19.5. Типы регистрируемых событий
Рис. 19.6. Параметры настройки журнала

Чтобы настроить регистрацию проверки подлинности и учетной информации, сначала нужно разрешить сбор учетной информации Windows Далее можно настроить тип регистрируемых действий (учет или действия по проверке подлинности) (рис. 19.5) и параметры журнала (рис. 19.6). Чтобы настроить регистрацию, выполните одно из следующих действий:

Откройте окно оснастки Маршрутизация и удаленный доступ. Выберите сервер, для которого нужно настроить регистрацию.
Откройте окно оснастки Служба проверки подлинности в Интернете

(Internet Authentication Service).

В дереве оснастки выберите узел Ведение журнала удаленного доступа

(Remote Access Logging). В правом подокне выберите любой журнал затем в контекстном меню выберите команду Свойства.

 

19.5.gif

Изображение: 

19.6.gif

Изображение: 

52. Политика удаленного доступа

 

Политика удаленного доступа

Политика удаленного доступа - набор условий и параметров соединения которые предоставляют сетевому администратору больше гибкости в настройке разрешений удаленного доступа и атрибутов соединения. Политика удаленного доступа хранится на локальном компьютере. При помощи политики удаленного доступа можно предоставлять разрешения удаленного доступа в зависимости от времени дня, дня недели, группы Windows, к которой принадлежит звонящий пользователь, типа требуемого соединения (коммутируемое или VPN-соединение). Можно определить параметры настройки соединения, которые ограничивают максимальное время сеанса связи, тип аутентификации и шифрования, политику ВАР и фильтрацию IP-пакетов.

В Windows NT 3.5 и 4.0 удаленный доступ предоставлялся на основе простого разрешения удаленного доступа с применением утилит User Manager или Routing and Remote Access Admin. Параметры ответного вызова задавались для каждого пользователя. В Windows 2000 разрешения удаленного доступа предоставляются на основе свойств политики удаленного доступа и учетной записи пользователя.

Важно помнить, что при использовании политик удаленного доступа соединение разрешается, только если параметры настройки соединения соответствуют, по крайней мере, одной из политик удаленного доступа (в соответствии со свойствами учетной записи пользователя и конфигурацией политики удаленного доступа). Если параметры настройки при попытке соединения не соответствуют хотя бы одной из политик удаленного доступа, попытка соединения отклоняется, независимо от свойств учетной записи пользователя. На серверах удаленного доступа под управлением Windows 2000 политика удаленного доступа конфигурируется из оснастки RRAS. На серверах IAS в среде Windows 2000 политика удаленного доступа управляется из оснастки Служба проверки подлинности в Интернете.

 

53. Элементы политики удаленного доступа

 

Элементы политики удаленного доступа

Политика удаленного доступа — именованное правило, в которое входят следующие элементы: условия, разрешение (право) удаленного доступа, а также профиль.

Условия (Conditions). .Условия политики удаленного доступа— это один или несколько атрибутов (рис. 19.7, табл. 19.15), которые сравниваются с параметрам настройки попытки соединения. Если имеется несколько условий, то все условия должны соответствовать параметрам попытки соединения, которое сопоставляется политике.

Таблица 19.15. условия политики удаленного доступа

Наименование атрибута Описание
NAS-IP-Address
Service-Type (Тип службы) Тип требуемой службы. Этот атрибут разработан (предназначен) для сервера IAS
Framed-protocol (Протокол кадрирования) Используемый тип кадрирования для входящих пакетов. Примеры — РРР, AppleTalk, SLIP, X.25. Этот атрибут предназначен для сервера IAS
Called-Station-ID (Идентификатор вызванной системы) Номер телефона сервера сетевого доступа (N AS). Этот атрибут— символьная строка. Можно использовать шаблон, чтобы задать коды городов. Необходимо позаботиться об установке телефонного номера для портов
Calling-Station-ID (Идентификатор вызывающей системы) Номер телефона, использованный вызывающей системой. Этот атрибут— символьная строка. Можно использовать шаблоны, чтобы задать коды городов
NAS-Port-Type (Тип порта NAS) Тип носителей, используемых вызывающей стороной. Примеры— аналоговые телефонные линии (асинхронные линии), ISDN, туннели или виртуальные частные сети
Day-and-time-restrictions (Ограничения по дню и времени) День недели и время попытки соединения с сервером
Client-IP-address (Клиентский IP-адрес) IP-адрес сервера сетевого доступа (клиент RADIUS). Этот атрибут — символьная строка. Можно использовать синтаксис шаблонов, чтобы определить IP-сеть. Этот атрибут предназначен для сервера IAS
Client-Vendor (Изготовитель клиента) Имя изготовителя (поставщика) сервера сетевого доступа (NAS). У сервера удаленного доступа Windows 2000 изготовителем является Microsoft RAS. Можно использовать этот атрибут, чтобы конфигурировать разные политики для различных NAS-поставщиков, которые являются клиентами RAIDUS (клиенты IAS). Этот атрибут предназначен для сервера IAS. Удостоверьтесь, что NAS настроен в качестве клиента RADIUS на сервере IAS

Client-friendly name (Имя клиента, дружественное название)

Название компьютера клиента RADIUS, который требует аутентификации. Этот атрибут— символьная строка. Можно использовать шаблон, чтобы задать имена клиентов. Этот атрибут предназначен для сервера IAS

Windows-Groups (Группы Windows)

Имена групп Windows, которым принадлежит пользователь, делающий попытку соединения. Нет никакого атрибута для отдельного имени пользователя. Не нужно иметь отдельную политику удаленного доступа для каждой группы. Используя вложенные группы можно перевести администрирование на уровень групп. Для сервера удаленного доступа или IAS при работе домена в основном (native) режиме Windows 2000 необходимо использовать универсальные (universal) группы

Рис. 19.7. Добавление политики удаленного доступа — условия и атрибуты
Право удаленного доступа (Remote access permission). Если все условия политики удаленного доступа выполнены, то право удаленного доступа или предоставляется, или отклоняется. Для политики нужно выбрать положение переключателя Предоставить право удаленного доступа (Grant remote access permission) или Запретить разрешение удаленного доступа (Deny remote access permission). Право удаленного доступа также предоставляется или отклоняется для каждой учетной записи пользователя. Право удаленного доступа пользователю перекрывает право удаленного доступа политики. Если право удаленного доступа в учетной записи пользователя установлено в значение Управление на основе политики удаленного доступа (Control Access through Remote Access policy), удаленный доступ предоставляется согласно разрешению политики. Предоставление доступа через настройку права учетной записи пользователя или настройку права политики — это только первый шаг в принятии соединения. Параметры попытки соединения сравниваются с параметрами учетной записи пользователя и профилем политики. Попытка соединения, не соответствующая свойствам учетной записи пользователя или профиля, отклоняется. По умолчанию для политики удаленного доступа установлено значение Отказать в праве удаленного доступа (Deny remote access permission).
Профиль (Profile). Профиль политики удаленного доступа — набор параметров, которые применяются к соединению после того (post-условие), как

разрешение удаленного доступа будет получено (в соответствии с учетной записью пользователя или политикой) (рис. 19.8, табл. 19.16).

Рис. 19.8. Окно профиля политики удаленного доступа

Таблица 19.16. Параметры профиля политики удаленного доступа

Название параметра

Описание

 

Параметры соединения

Разъединение при простое (Idle Disconnect Time)

Временной интервал, по истечении которого соединение будет прервано, если нет никаких действий. По умолчанию это свойство не установлено, и сервер удаленного доступа не разрывает неактивное соединение

Максимальная продолжительность сеанса (Maximum Session length)

Максимальное время до разрыва соединения сервером удаленного доступа. По умолчанию это свойство не установлено, а сервер удаленного доступа не ограничивает время сеанса связи

Разрешить входящие подключения только в эти дни и время

(Day and time limits)

Дни недели и часы для каждого дня, во время которых соединение разрешено. Если день и время попытки соединения не соответствуют настройкам, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа не анализирует данные параметры

Разрешить вход только по номеру

(Dial-in Number)

Заданный номер телефона, который вызывающая сторона должна набрать, чтобы установить соединение. Если номер соединения не соответствует заданному, попытка соединения отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа позволяет устанавливать соединение с любого телефонного номера

Разрешить входящие звонки следующих типов (Dial-in media)

Специальные типы носителей, например модем, ISDN или VPN, который вызывающая сторона должна использовать для соединения. Если попытка соединения по коммутируемой среде не соответствует настройке, она отклоняется. По умолчанию это свойство не установлено, и сервер удаленного доступа разрешает все типы сред передачи данных

Прочие параметры (вкладки на рис. 19.8)

IP

Позволяют устанавливать свойства IP, которые управляют выдачей клиентам IP-адресов для соединения. По умолчанию сервер удаленного доступа автоматически распределяет IP-адреса, и клиентам не разрешено запрашивать конкретные IP-адреса

Многоканальное подключение

(Multilink)

Позволяют устанавливать свойства многоканального соединения, разрешающие многоканальную связь и определяющие максимальное число портов, которые могут использовать входящие соединения. Дополнительно позволяют устанавливать протокол ВАР и соответствующую политику, которая определяет его использование. По умолчанию многоканальное соединение и ВАР заблокированы. Для применения этих параметров сервер удаленного доступа должен иметь возможность установления многоканального соединения и установленный протокол ВАР

Проверка подлинности

(Authentication)

Позволяют указать типы проверки подлинности, разрешенные для соединения, и определить тип используемого ЕАР. По умолчанию разрешены методы проверки подлинности с шифрованием — MS CHAP и MS PAP v2 . Для применения этих параметров на сервере удаленного доступа должны быть разрешены соответствующие типы проверки подлинности

Шифрование

(Encryption)

Позволяют назначить шифрование данных для соединения, при этом можно указать конкретные типы шифрования. По умолчанию разрешено шифрование IPSec и МРРЕ

Дополнительно

(Advanced)

Позволяют настроить дополнительные свойства для определения ряда атрибутов RADIUS, которые сервер IAS возвращает клиенту RADIUS. По умолчанию протоколом удаленного доступа (Framing protocol) является РРР и установлен параметр Service type = Framed. Единственные атрибуты, используемые сервером удаленного доступа Account-interim-interval, Framed-Protocol, Framed-MTU, Reply-Message и Service-Type

 

19.8.gif

Изображение: 

19.8a.gif

Изображение: 

19.8b.gif

Изображение: 

19.9a.gif

Изображение: 

19.9b.gif

Изображение: 

54. Политика удаленного доступа по умолчанию

 

Политика удаленного доступа по умолчанию

Политика удаленного доступа по умолчанию (default policy) работает так: удаленный доступ с ее использованием разрешается, если для устанавливающего входящее соединение пользователя предоставлено разрешение удаленного доступа. Эта политика создается при установке службы маршрутизации и удаленного доступа. Политика по умолчанию имеет следующую конфигурацию:

Ограничения дня недели и времени (Day-and-Time-Restrictions) установлены для всех дней недели и времен суток
Право удаленного доступа запрещено (Deny remote access permission)
Все свойства профиля установлены в значения по умолчанию

 

55. Установление соединения с использованием политик

 

Установление соединения с использованием политик

Когда пользователь пытается установить соединение, то попытка принимается или отклоняется на основании следующей логики:

1. Проверяется первая политика в упорядоченном списке политик. Если подходящей политики не существует, то попытка соединения отклоняется.
2. Если не все условия политики соответствуют попытке соединения, то осуществляется переход к следующей политике. Если политик больше нет, попытка соединения отклоняется.
3. Если все условия политики соответствуют попытке соединения, то проверяется разрешение удаленного доступа для пользователя, делающего попытку соединения:
  • Если отказано в предоставлении права удаленного доступа, то попытка соединения отклоняется.
  • Если предоставлено право удаленного доступа, то применяются свойства пользователя и свойства профиля.
  • Если попытка соединения не соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то попытка соединения отклоняется.
  • Если попытка соединения соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то соединение устанавливается.

    LLЕсли право удаленного доступа определяется с помощью политики (Control access through Remote Access Policy), то установка разрешения удаленного доступа берется из политики:

  • Если в праве удаленного доступа отказано (Deny remote access permission), то попытка соединения отклоняется.
  • Если право удаленного доступа предоставлено (Allow remote access permission), то применяются свойства пользователя и свойства профиля.

    LLЕсли попытка соединения не соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то попытка соединения отклоняется.

  • Если попытка соединения соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то соединение устанавливается.

 

56. Преобразование сетевых адресов (NAT)

 

Преобразование сетевых адресов (NAT)

Общие понятия

Средство NAT (Network Address Translation, преобразование (трансляция) сетевых адресов) в Windows 2000 позволяет легко подключить домашнюю сеть или сеть малого офиса к Интернету. NAT состоит из следующих компонентов:

Примечание

Для компактности изложения в тексте чаще используется аббревиатура — NAT. Однако в некоторых случаях она обозначает преобразование сетевых адресов (процедуру), а в других — преобразователь сетевых адресов (программный продукт). Это не должно приводить к путанице.

Компонент преобразования — компьютер (далее называемый компьютер-преобразователь адресов), действующий как транслятор сетевых адресов (NAT) и преобразующий IP-адреса и номера портов пакетов TCP и датаграмм UDP, которыми обмениваются частная сеть и Интернет.
Компонент адресации. Компьютер-преобразователь адресов предоставляет информацию о конфигурации IP-адреса другим компьютерам домашней сети. Компонент адресации — упрощенный DHCP-сервер, который предоставляет IP-адрес, маску подсети, IP-адреса шлюза по умолчанию, DNS-сервера и WINS-сервера (в качестве последних трех адресов используется IP-адрес компьютера с преобразователем адресов). Компьютеры в домашней сети должны быть сконфигурированы как клиенты DHCP, чтобы автоматически получать конфигурацию IP.
Компонент разрешения имен. Компьютер с преобразователем адресов становится DNS-сервером и WINS-сервером для других компьютеров в домашней сети. Когда компьютер с преобразователем адресов получает запросы о разрешении имен, он пересылает запросы о разрешении имен серверам DNS и WINS в межсетевой среде, на которые он настроен, и возвращает ответы на компьютер в локальной сети.

Примечание

Преобразователь адресов разработан специально для подключения к Интернету сети малых или домашних офисов. Он не предназначен для того, чтобы объединять сети малых или домашних офисов или подсоединять филиалы к общей сети.

 

57. Частные адреса

 

Частные адреса

Чтобы устанавливать соединение с ресурсами Интернета, необходимо использовать адреса, распределенные центром Network Information Center (Информационный центр сети Интернет, InterNIC). Такие адреса могут получать трафик от служб межсетевой сети и называются public-адресами (public address). Типичное малое предприятие или офис подразделения получает public-адрес (или адреса) от Интернет-провайдера, который, в свою очередь, получил диапазон public-адресов от InterNIC.

Для того чтобы разрешить нескольким компьютерам в сети малого офиса или в домашней сети устанавливать соединение с ресурсами Интернета, каждый компьютер должен иметь собственный public-адрес. Это требование может привести к нехватке доступных public-адресов.

Чтобы сократить потребность в public-адресах, InterNIC предусмотрел схему многократного использования адресов, зарезервировав идентификаторы сетей для частных нужд. Частные сети входят в следующие диапазоны (задаются идентификатором и маской):

10.0.0.0 с маской 255.0.0.0
172.16.0.0 с маской 255.240.0.0
192.168.0.0 с маской 255.255.0.0

Более подробная информация о диапазонах адресов, зарезервированных для частных интрасетей, приведена в RFC 1597. Адреса в этих диапазонах называются частными адресами.

Частные адреса не могут получать трафик от компьютеров в межсетевой среде. Следовательно, если интрасеть использует частные адреса и устанавливает связь со службами Интернета, частный адрес должен транслироваться в public-адрес. NAT помещается между интрасетью, которая использует частные адреса, и Интернетом, который использует public-адреса. Пакеты, исходящие из интрасети, имеют частные адреса, которые NAT транслирует в public-адреса. Поступающие из Интернета пакеты имеют public-адреса, и NAT транслирует их в частные адреса.

 

58. Пример NAT

 

Пример NAT

Если сеть малого предприятия использует идентификатор сети 192.168.0.0 для интрасети и имеется public-адрес a.b.c.d, полученный от Интернет-провайдера, то NAT отображает все частные адреса в сети 192.168.0.0 в IP-адрес a.b.c.d. Если несколько частных адресов отображаются в один public-адрес с использованием NAT, TCP- и UDP-порты выбираются динамически, чтобы отличить один компьютер внутри интрасети от другого.

На рис. 19.9 показано применение NAT для "прозрачного" соединения интрасети с Интернетом.

Примечание

Записи a.b.c.d и e.f.g.h представляют допустимые public-IP-адреса, выданные InterNIC или Интернет-провайдером.

Рис. 19.9. Пример использования NAT

Если частный пользователь на компьютере с адресом 192.168.0.10 соединяется с веб-сервером по адресу e.f.g.h при помощи веб-браузера, то стек IP пользователя создает IP-пакет со следующей информацией:

IP-адрес получателя: e.f.g.h
IP-адрес отправителя: 192.168.0.10
Порт получателя: TCP-порт 80
Порт отправителя: TCP-порт 1025

Этот IP-пакет затем пересылается NAT для преобразования адресов исходящего пакета к следующим:

IP-адрес получателя: e.f.g.h
IP-адрес отправителя: a.b.c.d
Порт получателя: TCP-порт 80
Порт отправителя: TCP-порт 5000

NAT хранит отображение {192.168.0.10, TCP 1025} в {a.b.c:d, TCP 5000} в своей внутренней таблице.

Преобразованный таким образом IP-пакет пересылается через Интернет. Когда ответ получен NAT, пакет содержит следующую общую информацию об адресах:

IP-адрес получателя: a.b.c.d
IP-адрес отправителя: e.f.g.h
Порт получателя: TCP-порт 5000
Порт отправителя: TCP-порт 80

NAT проверяет свою адресную таблицу, отображает public-адреса в частные и передает пакет на компьютер по адресу 192.168.0.10. Посланный пакет содержит следующую информацию об адресах:

IP-адрес получателя: 192.168.0.10
IP-адрес отправителя: e.f.g.h
Порт получателя: TCP-порт 1025
Порт отправителя: TCP-порт 80

Для пакетов, исходящих из NAT, IP-адрес отправителя (частный адрес) отображается в адрес, выданный Интернет-провайдером (public-адрес), а номер, порта TCP/UDP отображается в другой номер порта TCP/UDP.

Для пакетов, приходящих NAT, IP-адрес получателя (public-адрес) отображается в оригинальный адрес интрасети (частный адрес), а номер порта TCP/UDP отображается обратно к оригинальному номеру порта TCP/UDP.

Примечание

NAT правильно транслирует пакеты, содержащие IP-адрес только в IP-заголовке. IP-пакеты, содержащие IP-адрес в теле пакета, не могут правильно транслироваться при помощи NAT.

 

19.10.gif

Изображение: 

59. Редакторы NAT

 

Редакторы NAT

По умолчанию NAT транслирует IP-адреса и TCP/UDP-порты. Если IP-адрес и информация о порте содержатся только в заголовках IP и TCP/UDP, то прикладной протокол также будет правильно транслироваться nat!

Пример — протокол HTTP (Hypertext Transfer Protocol, протокол передачи гипертекста), используемый в WWW (World Wide Web).

Однако имеются приложения и протоколы, которые содержат IP-адрес или информацию о порте TCP/UDP в теле сообщений, а не в заголовках TCP/UDP. Пример — протокол FTP, который для команды ftp port передает десятичное представление IP-адреса в теле команды. Если NAT неправильно транслирует IP-адрес внутри команды FTP, то могут возникнуть проблемы установления соединения.

Также имеются протоколы, которые не используют для передачи данных ни TCP, ни UDP (большинство протоколов использует для доставки пакетов транспортные протоколы TCP или UDP). Например, транспортный протокол РРТР не использует для доставки данных TCP/UDP. Вместо заголовков TCP или UDP используется специальный заголовок общей инкапсуляции маршрутизации (ORE, Generic Routing Encapsulation) и специальное поле Tunnel ID для идентификации потока данных. Если бы NAT не транслировал это поле, то передача данных при помощи протокола РРТР через NAT была бы невозможна.

Если компонент NAT должен дополнительно транслировать и корректировать не только заголовки IP, TCP и UDP, но и служебную информацию в теле пакетов, требуется редактор NAT. Редактор NAT — устанавливаемый компонент, который может корректно изменять не транслируемую иным способом информацию — так, чтобы она могла быть передана через NAT. В составе Windows 2000 имеются NAT-редакторы для протоколов FTP, ICMP, РРТР. Возможно появление NAT-редакторов для трансляции протоколов SNMP, LDAP, Microsoft COM, RPC.

Примечание

Трансляция трафика, передаваемого по протоколам IPSec и Н.323, невозможна даже при использовании специального редактора NAT.

 

60. Проектирование сети с преобразованием адресов

 

Проектирование сети с преобразованием адресов

Прежде чем реализовать сеть с преобразованием адресов, рассмотрим некоторые аспекты ее построения, описанные в следующих разделах, чтобы избежать проблем.

 

61. Частные сетевые адреса

 

Частные сетевые адреса

Необходимо использовать IP-адреса, выделенные InterNIC для частных IP-сетей (см. выше). По умолчанию преобразователь адресов для частной сети выбирает адреса из диапазона с идентификатором 192.168.0.0 и маской 255.255.255.0.

Если для IP-сети используются public-адреса, которые не были выданы ни InterNIC, ни Интернет-провайдером, то может оказаться, что используется идентификатор IP-сети другой организации, имеющей выход в Интернет. Этот случай называется некорректной или накладывающейся (overlapping) IP-адресацией. Накладывающиеся public-адреса исключают возможность достижения межсетевых ресурсов по этим адресам. Например, если используется сеть 1.0.0.0 с маской подсети 255.0.0.0, то невозможно достичь ресурсов другой организации, которая также использует сеть 1.0.0.0.

 

62. Один или несколько public-адресов

 

Один или несколько public-адресов

Если используется один public-адрес IP, предоставленный Интернет-провайдером, то дополнительная настройка IP-адреса не требуется. Если используется несколько IP-адресов, выделенных провайдером, необходимо настроить интерфейс NAT на диапазон public-адресов. Для диапазона выделенных IP-адресов следует определить, может ли диапазон public-адресов быть выражен при помощи одного IP-адреса и маски подсети.

Если был выдан ряд адресов, количество которых является степенью 2 (2, 4, 8, 16 и т. д.), имеется вероятность, что диапазон можно выразить при помощи одного IP-адреса и маски подсети. Например если предоставлены четыре public-адреса 200.100.100.212, 200.100.100.213, 200.100.100.214 и 200.100.100.215, предоставленных провайдером, то их можно представить как один адрес 200.100.100.212 с маской подсети 255.255.255.252.

Если IP-адреса нельзя выразить в виде IP-адреса и маски подсети, то можно ввести их как диапазон или ряд диапазонов, указывая начальный и конечный IP-адреса.

 

63. Разрешение входящего соединения

 

Разрешение входящего соединения

Обычно NAT используется в домашней или малой сети, чтобы разрешить исходящие соединения (из частной сети в общую сеть). Приложения типа веббраузеров, работающих в частной сети, создают соединения с ресурсами Интернета. Обратный трафик из Интернета может пересечь NAT, поскольку соединение было инициализировано ранее клиентом, находящимся в частной сети.

Для разрешения входящего соединения необходимо настроить статическую конфигурацию IP на сервере, на котором расположен ресурс, включая IP-адрес (из диапазона IP-адресов, распределяемых с помощью NAT), маску подсети (из диапазона IP-адресов, распределенных NAT), шлюз по умолчанию (частный IP-адрес компьютера с NAT) и сервер DNS (частный IP-адрес компьютера с NAT).

Затем необходимо исключить IP-адрес, присвоенный компьютеру, на котором расположен ресурс, из диапазона IP-адресов, распределяемых компькь тером с NAT.

Наконец, на последнем шаге необходимо настроить специальный порт. Специальный порт — статическое отображение общего адреса и номера порта в частный адрес и номер порта. Специальный порт отображает входящее соединение от пользователя из Интернета в специфический адрес в частной сети. Это позволяет создавать в частной сети веб-серверы, доступные из Интернета.

 

64. Конфигурирование компьютера-преобразователя адресов

 

Конфигурирование компьютера-преобразователя адресов

Чтобы сконфигурировать компьютер-преобразователь адресов, необходимо выполнить следующие действия:

1. Сконфигурировать IP-адрес домашнего сетевого интерфейса.

Для IP-адреса адаптера LAN, соединенного с домашней сетью, необходимо задать следующие значения:

  • IP-адрес: 192.168.0.1
  • Маска подсети: 255.255.255.0
  • Шлюз по умолчанию — отсутствует

Примечание

IP-адрес в данной конфигурации для сетевого интерфейса в домашней сети выбирается из адресного интервала по умолчанию (задается идентификатором сети 192.168.0.0 и маской 255.255.255.0), который задается для компонента адресации преобразователя адресов. Если этот адресный интервал по умолчанию изменяется, то необходимо изменить и IP-адрес частного интерфейса компьютера-преобразователя адресов, чтобы он имел, первый IP-адрес в заданном диапазоне. Использование первого IP-адреса из диапазона — рекомендуемый подход, а не требование для компонента преобразователя адресов.

2. Установить и разрешить службу маршрутизации и удаленного доступа.
3. Разрешить маршрутизацию для порта коммутируемого соединения.

Если соединение с Интернетом — постоянное, которое отображается в Windows в качестве интерфейса LAN (типа DDS, T-Carrier, Frame Relay, постоянного ISDN-соединения, ADSL или кабельного модема), или если компьютер подключен к другому маршрутизатору под управлением Windows до соединения с Интернетом, перейти к шагу 5.

4. Создать интерфейс с набором номера по запросу для установления соединения с Интернет-провайдером.

Необходимо создать интерфейс с набором номера по запросу, на котором разрешена IP-маршрутизация и который использует оборудование для коммутируемого соединения и идентифицирующую информацию для установления соединения с Интернет-провайдером.

5. Создать статический маршрут по умолчанию, который использует интерфейс в Интернет.

Для статического маршрута по умолчанию получатель — 0.0.0.0, маска подсети — 0.0.0.0. Поскольку соединение с Интернетом — канал "точка-точка", в поле Шлюз (Gateway) можно ввести любой IP-адрес. Необходимо также указать интерфейс с набором номера по запросу (для коммутируемого соединения) или интерфейс LAN (для постоянных или промежуточных соединений) с использованием маршрутизатора для соединения с Интернетом.

6. Добавить протокол IP-маршрутизации NAT.
7. Добавить интерфейс соединения с Интернетом и локальный интерфейс в протокол маршрутизации NAT.
8. Включить адресацию и разрешение имен для преобразователя адресов.

Примечание

Компонент адресации преобразователя адресов назначает адреса только из одного диапазона, соответствующего одной подсети. Если к протоколу маршрутизации NAT добавлено несколько интерфейсов LAN, то подразумевается конфигурация с одной подсетью (где все интерфейсы LAN соединены с одной и той же сетью). Если интерфейсы LAN соответствуют различным сетям, связность между клиентскими компьютерами, которые получают адреса от преобразователя адресов, но находятся в разных сетях, невозможна.

 

65. Конфигурирование других компьютеров в сети малого офиса или в домашней сети

 

Конфигурирование других компьютеров в сети малого офиса или в домашней сети

Можно настроить протокол TCP/IP на других компьютерах в сети малого офиса или в домашней сети, чтобы они получали IP-адреса автоматически. Когда компьютеры в домашней сети получают свой IP-адрес с компьютера, на котором функционирует NAT, получаемая ими конфигурация будет следующей:

IP-адрес (из сети с идентификатором 192.168.0.0 и маской 255.255.255.0)
Маска подсети (255.255.255.0)
Шлюз по умолчанию (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети)
DNS-сервер (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети)
WINS-сервер (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети)
Тип узла NetBIOS — М-узел {запрос имени NetBIOS вначале передается широковещательно, а затем посылается заданному серверу WINS)

 

66. Дополнительные установки преобразователя адресов

 

Дополнительные установки преобразователя адресов

 

Если Интернет-провайдер выдал диапазон IP-адресов, необходимо сконфигурировать диапазон IP-адресов на интерфейсе, подключенном к Интернету.
Если имеются службы, функционирующие в частной сети, к которым должен быть разрешен доступ для пользователей из Интернета, то необходимо добавить специальный порт, отображающий public-адрес и номер порта в частный IP-адрес и номер порта.

 

67. Администрирование NAT

 

Администрирование NAT

Добавление преобразования сетевых адресов (NAT)

 

Для добавления преобразователя сетевых адресов (NAT) необходимо в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Общие (General) и выбрать из появившегося контекстного меню команду Новый протокол маршрутизации (New Routing Protocol).

В диалоговом окне Новый протокол маршрутизации в списке Протоколы маршрутизации (Routing protocols) выбрать узел Преобразование сетевых адресов (NAT) (Network Address Translation (NAT)) и нажать кнопку ОК (рис. 19.10).

Рис. 19.10. Добавление NAT как протокола маршрутизации

 

19.11.gif

Изображение: 

68. Добавление интерфейса для преобразования адресов

 

Добавление интерфейса для преобразования адресов

Для добавления интерфейса для преобразования адресов необходимо в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) (Network Address Translation (NAT)) и из появившегося контекстного меню выбрать команду Новый интерфейс (New Interface).

Далее, выбрать нужный интерфейс и нажать кнопку ОК.

Рис. 19.11. Добавление NAT — настройка интерфейса

Выполнить одно из следующих действий (рис. 19.11):

Если этот интерфейс подключен к Интернету, на вкладке Общие (General) в окне Свойства: имя_интерфейса (Properties: имя_интерфейса) соответствующего интерфейса выбрать положение переключателя Общий интерфейс подключен к Интернету (Public interface connected to the Internet) и установить флажок Преобразовать заголовки TCP/UDP (рекомендуется) (Translate TCP/UDP headers (recommended)).
Если этот интерфейс подключен к небольшой офисной сети или к домашней сети, то на вкладке Общие в окне Свойства соответствующего интерфейса выбрать положение переключателя Частный интерфейс подключен к частной сети (Private interface connected to private network).

Примечание

Для коммутируемого подключения к Интернету необходимо выбрать интерфейс с установлением соединения по запросу, который настроен на установку соединения с Интернет-провайдером.

Для постоянного подключения к Интернету выбрать интерфейс, постоянно соединенный с провайдером.

Преобразование адресов нужно разрешать только на интерфейсах, соединенных с глобальной сетью (Интернетом).

 

19.12.gif

Изображение: 

69. Разрешение адресации

 

Разрешение адресации

Для разрешения адресации следует в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) щелкнуть правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) и в появившемся контекстном меню выбрать команду Свойства.

На вкладке Назначение адресов (Address Assignment) установить флажок Автоматически назначать IP-адреса с использованием DHCP (Automatically assign IP addresses by using DHCP) (рис. 19.12).

Рис. 19.12. Настройка адресации

При необходимости ввести информацию в полях IP-адрес (IP address) и Маска (Mask), чтобы задать диапазон адресов и маску для выделения клиентам DHCP на частной сети. Если требуется исключить некоторые адреса из выделения клиентам DHCP, нужно нажать кнопку Исключить (Exclude) и задать эти адреса.

По окончании настройки нажать кнопку ОК.

 

19.13.gif

Изображение: 

70. Разрешение распознавания имен для преобразования адресов

 

Разрешение распознавания имен для преобразования адресов

Чтобы разрешить распознавание имен для преобразования адресов в окне оснастки Маршрутизация и удаленный доступ, в разделе Маршрутизация IP (IP

Routing) щелкните правой кнопкой мыши на узле Преобразование сетевых адресов (NAT) и в появившемся контекстном меню выберите команду Свойства.

В появившемся окне на вкладке Разрешение имен в адреса (Name Resolution) (рис. 19.13) выполните одно из следующих действий:

Для разрешения имен NetBIOS при помощи сервера WINS установите флажок клиентов, использующих службу WINS (Clients using Windows Internet Name Service (WINS)) (опция может отсутствовать).
Для разрешения имен хостов при помощи сервера DNS установите флажок клиентов, использующих службу DNS (Clients using Domain Name System (DNS)).
Рис. 19.13. Настройка разрешения имен

Если нужно, чтобы соединение с Интернетом было установлено, когда компьютер в частной сети посылает запрос на разрешение имени компьютеру с NAT, установите флажок Подключаться к общей сети, когда требуется разрешение (Connect to the public network when a name needs to be resolved), а затем выберите в списке Интерфейс вызова по требованию (Demand-dial interface) соответствующий интерфейс.

 

19.14.gif

Изображение: 

71. Конфигурирование диапазонов IP-адресов для преобразовании

 

Конфигурирование диапазонов IP-адресов для преобразования

Для конфигурирования диапазонов IP-адресов для преобразования в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP (IP Routing) разверните узел Преобразование сетевых адресов (NAT), щелкните правой кнопкой мыши на нужном интерфейсе и выберите в появившемся контекстном меню команду Свойства.

На вкладке Пул адресов (Address Pool) (рис. 19.14) нажмите кнопку Добавить (Add) и выполните одно из следующих действий:

Если используется диапазон IP-адресов, которые могут быть заданы при помощи IP-адреса и маски подсети, в поле Начальный адрес (Start address) укажите начальный адрес, а в поле Маска (Subnet mask) — маску подсети.
Если используется диапазон IP-адресов, которые не могут быть заданы при помощи IP-адреса и маски подсети, то в поле Начальный адрес укажите начальный адрес, а в поле Конечный адрес — конечный IP-адрес.

Примечание

Если имеется несколько интервалов адресов, можно добавить каждый из них отдельно, нажав кнопку Добавить.

Рис. 19.14. Настройка диапазонов адресов

 

19.15.gif

Изображение: 

72. Конфигурирование преобразования специальных портов

 

Конфигурирование преобразования специальных портов

Для конфигурирования преобразования специальных портов в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP выберите узел Преобразование сетевых адресов (NAT), щелкните правой кнопкой мыши на нужном интерфейсе и в появившемся контекстном меню выберите команду Свойства.

На вкладке Особые порты (Special Ports) (рис. 19.15) в поле Протокол (Protocol) выберите протокол TCP или UDP и нажмите кнопку Добавить.

В поле Входящий порт (Incoming port) введите номер внешнего порта.
Если диапазон public-адресов сконфигурирован, введите внешний IP-адрес в поле на этом элементе пула адресов (On this address pool entry).
В поле Исходящий порт (Outgoing port) введите номер внутреннего порта.
В поле Адрес в частной сети (Private address) введите внутренний адрес.
Рис. 19.15. Настройка преобразования специальных адресов

 

19.14.gif

73. Настройка сетевых приложений

 

Настройка сетевых приложений

Для настройки сетевых приложений в окне оснастки Маршрутизация и удаленный доступ в разделе Маршрутизация IP щелкните правой кнопкой мыши Преобразование сетевых адресов (NAT) ив появившемся контекстном

меню выберите команду Свойства. На вкладке Преобразование (Translation) (рис. 19.16) нажмите кнопку Приложения (Applications).

Чтобы добавить сетевое приложение, в диалоговом окне Приложения (Applications) нажмите кнопку Добавить. В диалоговом окне Приложение общего доступа к подключению Интернета (Add Application) введите настройки для сетевого приложения и нажмите кнопку ОК.

Рис. 19.16. Настройка сетевых приложений

 

19.16.gif

Изображение: 

74. Служба факсимильных сообщений

 

Служба факсимильных сообщений

Служба факсов (Fax Service) позволяет посылать и получать факсимильные сообщения без использования дополнительных программ, поскольку все, что для этого нужно, — факс-модем. Можно легко передавать по факсу документы при помощи команды Печать, которая обычно имеется в текстовых процессорах, электронных табличных процессорах и в приложениях других типов. Также можно использовать почтовые программы, чтобы одновременно посылать электронную почту и факсимильные сообщения.

 

75. Использование службы факсов

 

Использование службы факсов

Чтобы послать простое текстовое или графическое сообщение по факсимильной связи, требуются только Windows 2000 и факс-модем. Необходимо убедиться, что модем поддерживает возможности передачи факсимильных сообщений, а не только стандартные возможности передачи данных. Хотя некоторые модемы предоставляют обе возможности, они не взаимозаменяемы. Служба факсов может работать с факсимильными устройствами, которые поддерживают передачу сообщений в стандарте Class 1 или Class 2, например, факс-модемы или факсимильные платы.

Чтобы послать по факсу документ, нужно просто выбрать команду Печать (Print) в том приложении Windows, где открыт документ. Поскольку служба факсов устанавливает факс-принтер автоматически, при передаче сообщения понадобится добавить только информацию о получателе и заметки в Мастере рассылки факсов (Send Fax Wizard) — и факс будет передан.

Факс использует многостраничный формат TIFF (Tagged Image File Format). Можно сканировать отпечатанные изображения и использовать их для передачи по факсу. Не требуется преобразовывать существующую графику в формат TIFF перед передачей факса — служба факсов делает это автоматически. Служба факсов также содержит компонент для предварительного просмотра (Imaging Preview) полученных и посланных факсимильных сообщений.

Для наилучшей работы со службой рекомендуется:

Если заранее известно, что факсимильное устройство будет работать в Windows 2000, лучше подключить или вставить это устройство в компьютер до установки операционной системы.

Если устройство подключается после установки Windows 2000, система должна обнаружить факсимильное устройство при запуске и установить службу факсов и факс-принтер. Если эти компоненты автоматически не установятся при запуске, нужно запустить Мастер оборудования (Hardware Wizard) для поиска и установки устройства.

Примечание

Служба факсов в Windows 2000 не поддерживает совместное использование (sharing) факс-принтеров.

При наборе номера факс использует информацию о способе набора, установленную в группе параметров Параметры телефона и модема на панели управления. В мастере рассылки факсов (Send Fax Wizard) есть функция отмены телефонных установок и набора номера телефона в том виде, в каком они введены. Монитор факсов (Fax Monitor) позволяет просматривать все события, связанные с передачей факсимильных сообщений. Можно установить ручной ответ на звонки, можно также использовать эту утилиту для отмены приема или передачи факсов.

Рис. 19.17. Оснастка управления службой факсов

Для управления службой применяется оснастка Управление службой факсов (Fax Service Management, рис. 19.17), которая входит в программную группу Стандартные (Accessories).

 

19.17.gif

Изображение: 

76. Возможности службы факсов

 

Возможности службы факсов

 

Передача сообщения на титульном листе

. Службу факсов позволяет передавать сообщения на титульном листе факса отдельно от документа. В Редакторе титульных страниц факсов (Fax Cover Page Editor) можно создать любой титульный лист по желанию пользователя или выбрать один из имеющихся шаблонов титульных листов. Мастер рассылки факсов автоматически вносит информацию о получателе и отправителе (рис. 19.18), нужно только ввести примечание и отослать факсимильное сообщение.

Передача факсов из программ

Служба факсов может работать с текстовыми документами и графическими изображениями. Можно отправлять по факсу документы из любого приложения Windows, в котором есть команда Печать.

Передача факсов из почтовых программ

Служба факсов работает также с некоторыми версиями Microsoft Exchange или Microsoft Outlook. В Outlook, например, можно передавать сообщения электронной почты и присоединенные документы получателям факсов. Необходимо настроить службу факсов, чтобы она работала с соответствующей учетной записью пользователя в Outlook; для этого в программе Outlook нужно в настройках профиля пользователя на вкладке Службы (Services) добавить Почтовый транспорт факсов (Fax Mail Transport).

Прием факсимильных сообщений

Службу можно настроить для автоматического приема факсов (рис 19.19) их сохранения на диске и печати на указанном принтере или автоматической передачи цо электронной почте (рис. 19.20).

Рис. 19.18. Окно свойств факса
Рис. 19.19. Настройка факс-модема для приема и/или передачи факсов
Рис. 19.20. Настройка службы факсов для сохранения принятых сообщений
Редактор титульных страниц факсов

Каждый пользователь компьютера Windows 2000 может при помощи редактора титульных страниц факсов создавать или изменять шаблоны титульного листа. Можно также создавать общие титульные листы, чтобы совместно использовать их из нескольких профилей. Факс содержит четыре общих шаблона титульных листов. При передаче факса шаблон получает информацию, которая введена на вкладке Сведения о пользователе (User Information) диалогового окна Свойства факса (Fax Properties), и автоматически добавляет ее к передаваемому титульному листу.

Можно использовать существующие титульные листы (файлы с расширением cov). Также можно конвертировать титульные листы из службы факсов Windows 95 (файлы с расширением сре) для применения со службой факсов Windows 2000.

 

19.18.gif

Изображение: 

19.19.gif

Изображение: 

19.20.gif

Изображение: 

77. Телефония

 

Телефония

Программное обеспечение для поддержки телефонии — API-интерфейс телефонии (Telephony API, TAPI). TAPI обеспечивает функциональные возможности систем клиент-сервер; таким образом, прикладные телефонные программы на клиентском компьютере могут связываться с выделенным компьютером-сервером, который функционирует как шлюз с телефонным

коммутатором. TAPI также является основой идя использования в прикладных программах сторонних производителей: для интеграции в эти программы функций телефонии, например, для набора номера, для переадресации звонков, для речевой почты, для идентификации звонящего, для конференц-связи при помощи компьютеров.

Ранее невостребованные прикладные программы телефонии применяются все чаще, т. к. разработчики программного обеспечения используют стандартный интерфейс TAPI.

В современных телефонных системах внешний звонок, попадая в общую коммутируемую телефонную сеть, направляется на узел коммутации, который переводит этот звонок на магистральную линию. Когда звонок достигает офиса, офисная АТС (Public Branch Exchange, PBX) направляет этот звонок на соответствующий порт. Выходящие звонки следуют тем же маршрутом в обратном направлении. Звонки между внутренними пользователями офиса направляются от одного телефона к другому внутри РВХ.

Обычно для описания аппаратных средств, объединяющих телефонные линии друг с другом, используется термин "коммутатор", а системы, включающие коммутатор и другие периферийные аппаратные средства, напри-. мер, модемы, называют РВХ. Например, типичная РВХ-станция монтируется на стене, имеет модульный блок со слотами для адаптеров, которые легко подключаются и отключаются. Один такой адаптер может соединять магистральную линию с РВХ, другой подключает несколько линий; часто каждый адаптер является одноплатным компьютером.

Такой компьютер может являться специализированным программно-аппаратным комплексом или это может быть компьютер под управлением операционной системы общего назначения, например, Windows NT/2000 Server. Приложения, работающие на этом компьютере обеспечивают возможности вызова, к примеру, конференц-связи, автоматической переадресации, ручного перевода звонка, ожидания, автоматического повторного набора и т. д. (рис. 19.21).

Другая реализация РВХ — компьютер с адаптерами для: передачи данных, для подключения магистральных линий и расширений. Как ив предыдущем случае, возможности вызова реализуются приложениями, работающими на компьютере.

Имеются две формы интеграции компьютера и телефонии: с применением технологий классической телефонии и IP-телефонии. Классическая телефония использует коммутируемые телефонные сети общего пользования (Public Switched Telephony Networks, PSTN), что позволяет создавать клиейт-серверные телефонные системы, а IP-телефония позволяет использовать компьютерную конференц-связь по локальным сетям (LAN), глобальным сетям (WAN) или через Интернет.

Рис. 19.21. Интеграция сред и служб передачи данных
Рис. 19.22. Службы доступа к телефонии в Windows 2000

В состав Windows 2000 входит ряд стандартных служб доступа — поставщиков телефонных услуг, реализующих различные функции (рис. 19.22).

 

19.21.gif

Изображение: 

19.22.gif

Изображение: 

78. Интеграция компьютерных и телефонных сетей

 

Интеграция компьютерных и телефонных сетей

Компьютерная телефония позволяет настольным компьютерам взаимодействовать с аппаратными средствами телефонии, обычно РВХ, через механизмы интеграции компьютера и телефонии (Computer-Telephony Integration, CTI). Большинство РВХ реализуют связь с аппаратными средствами CTI, которые соединяют РВХ с одним или более компьютеров (хотя аппаратные средства связи могут быть факультативными, не поставляемыми в стандартной конфигурации РВХ). Связь между РВХ и компьютерами редко бывает простой, поскольку большинство фирм-производителей реализуют СП по-разному. Один производитель применяет для CTI алгоритмы собственной разработки для кодировки данных и передачи их по последовательному каналу, другой может кодировать данные в пакетах TCP/IP в сегменте Ethernet. He существует стандарта кодирования данных для CTI. В результате приложения компьютерной телефонии часто должны понимать специальный язык управления коммутатора, как для каждого принтера, поддерживаемого приложением MS-DOS, требуется отдельный драйвер. Возможно, предпочтительнее использовать один API (TAPI; см. рис. 19.23, на котором приведена архитектура TAPI 3.0), через который множество приложений могут вызывать телефонные службы и обеспечивать один транслятор для каждого РВХ или другого фрагмента телефонных аппаратных средств. Такого рода транслятор называется поставщиком услуг (Service Provider, SP).

 

79. Поставщик удаленных услуг TAPI

 

Поставщик удаленных услуг TAPI

В TAPI (рис. 19.23) включены отдельные поставщики услуг, включая те, которые позволяют реализовать клиент-серверные возможности, например, Microsoft Windows Remote Service Provider (Поставщик удаленных услуг Microsoft Windows). Поставщик услуг включает следующие компоненты (некоторые из них вызываются из командной строки):

Компоненты на стороне сервера

Следующие компоненты должны функционировать на сервере TAPI:

  • Оснастка Телефония (Telephony). Дает возможность управлять телефонными линиями и пользователями. Доступна через оснастку Управление компьютером (Computer Management) — узел Службы и приложения (Services and Applications).
  • Поставщик услуг телефонии (Telephony Service Provider). Поставляется изготовителем телефонного коммутатора. Транслирует обобщенные команды, посылаемые службой TAPI, в специальные команды коммутатора.
Рис. 19.23. Архитектура TAPI 3.0 в Windows 2000
  • Служба Т API (TAP! Service). Связывается с удаленным поставщиком услуг, работающим на стороне клиента. Также связывается с приложениями ТАР!, работающими на сервере (например, с приложением-диспетчером клиентов).
Компоненты на стороне клиента

Следующие компоненты должны функционировать на клиентском компьютере:

  • Служба ТАР! (TAPI Service). Связывается с приложениями TAPI и предназначена для обеспечения связи между этими приложениями и поставщиком удаленных услуг TAPI.
  • Поставщик удаленных услуг TAPI (Remote Service Provider TAPI). DLL-библиотека на стороне клиента, которая связывается по сети со службой TAPI, работающей на сервере TAPI.

Заметьте, что эти компоненты не включают клиентские приложения телефонии. Некоторые из универсальных приложений Microsoft могут использовать TAPI, но специализированные приложения, например, управляющие центрами коммутации вызовов, поставляются независимыми поставщиками программного обеспечения (Independent Software Vendors, ISV).

 

19.23.gif

Изображение: 

80. IP-телефония

 

IP-телефония

В организациях обычно поддерживаются раздельные сети для передачи голоса, данных и видеоинформации. Поскольку все сети имеют различные транспортные требования и физически независимы, их установка, поддержка и реорганизация обходятся дорого.

IP-телефония объединяет сети передачи голоса, видео и данных, используя общий транспорт IP для каждого из потоков, по-настоящему собирая отдельные сети в единую технологию.

Клиенты IP-телефонии используют телефон, подключенный к адаптеру PSTN, либо существующие аппаратные средства мультимедиа. IP-телефония поддерживает телефонную, звуковую и видеоконференц-связь, голосовую и видеопочту, а также службы видео по требованию (video on-demand).

 

81. Поставщики услуг IP-телефонии

 

Поставщики услуг IP-телефонии

TAPI поддерживает стандарт Н.323 и стандарт групповой конференц-связи IP при помощи соответствующих служб Microsoft Windows 2000.

Н.323 — всеобъемлющий стандарт ITU для передачи мультимедиа (голоса, видео и данных) по сетям без установления логического соединения, например, по сетям IP и Интернет, которые не обеспечивают гарантированное качество обслуживания (QoS). Стандарт описывает управление вызовом, мультимедиа и шириной полосы пропускания для двухточечных и многоточечных конференций. Н.323 поддерживает стандартные звуковые и видеокодеры и декодеры и обеспечивает поддержку совместного использования данных по стандарту Т. 120. Н.323 — стандарт, не зависящий от сети, платформы и прикладного уровня, что позволяет любому терминалу, соответствующему Н.323, взаимодействовать с любым другим терминалом.

В Н.323 сетевой адрес пользователя (в данном случае, IP-адрес пользователя) может изменяться и не может считаться неизменным в течение сеанса. Поставщик услуг Microsoft TAPI "Н.323 использует службу Active Directory для того, чтобы производить преобразование (разрешение) адресов. Специально для этого информация об отображении адреса и имени пользователя хранится и непрерывно обновляется в Службе локатора Интернета (Internet Locator Service, ILS), являющейся компонентом Active Directory.

 

82. Групповая конференц-связь по IР

 

Групповая конференц-связь по IP

Поставщик услуг групповой конференц-связи IP (IP Multicast Conferencing Service Provider) — расширение для IP, позволяющее осуществлять эффективную групповую связь группы по LAN. При наличии группового IP-протокола пользователи посылают только одну копию данных группе IP-адресов для достижения всех получателей, которые хотят получить данные, с использованием самых коротких деревьев для определения пути. Без использования многоадресного вещания те же самые данные нужно было бы передавать по сети несколько раз, по одной копии для каждого получателя, или передать широковещательно каждому пользователю в сети, что заняло бы полосу пропускания и время на обработку и передачу данных.

TAPI 3.0 использует стандартный Протокол описания сеансов (Session Description Protocol, SDP), разработанный консорциумом IETF для того, чтобы объявлять групповые конференции IP no LAN. Описатели SDP хранятся в Windows 2000 Active Directory — в службе локатора Интернета (ILS).

 

Глава 20. Маршрутизация

Глава 20. Маршрутизация

1. Введение в маршрутизацию

Глава 20

Маршрутизация

Служба маршрутизации, включенная в Windows NT 4.0 Server — Multiprotocol Router (Многопротокольный маршрутизатор, MPR) версии 1.0 — обеспечивала ограниченный набор служб маршрутизации для локальных сетей, подходящих для малых организаций и филиалов. В июне 1996 года компания Microsoft выпустила Службу маршрутизации и удаленного доступа (Routing and Remote Access Service) как свободно распространяемый компонент для загрузки с веб-сервера Microsoft. В службе маршрутизации и удаленного доступа для Windows NT 4.0 появился ряд расширенных функциональных возможностей, относящихся к глобальным сетям. Также были дополнены и возможности маршрутизации, доступные в MPR 1.0. Это позволило развертывать маршрутизацию на основе телефонных коммутируемых соединений и глобальных вычислительных сетей.

Служба маршрутизации и удаленного доступа включена в поставку Windows 2000 Server и в ней дополнены возможности службы маршрутизации и удаленного доступа Windows NT 4.0, например, добавлены преобразователь (транслятор) сетевых адресов (NAT), поддержка группового вещания и виртуальных частных сетей (Virtual Private Networks, VPN).



Введение в маршрутизацию

Служба маршрутизации в Microsoft Windows 2000 Server — полнофункциональный программный маршрутизатор, а также открытая платформа для построения служб маршрутизации и организации работы с разнородными сетями. Она предлагает службы маршрутизации для работы в локальных вычислительных сетях (ЛВС), глобальных вычислительных сетях (ГВС) или через Интернет, используя безопасное соединение для организации виртуальных частных-сетей (Virtual Private Network, VPN).

Преимущество службы маршрутизации — интеграция с операционной системой Windows 2000 Server. Служба маршрутизации предоставляет ряд возможностей, понижающих общие затраты, и работает с большим разнообразием аппаратных платформ и сотнями типов сетевых адаптеров. Службу маршрутизации можно расширять при помощи прикладных программных интерфейсов (Application Programming Interfaces, API), которые могут использовать разработчики третьих фирм, чтобы создавать заказные решения для работы с сетями, и которые могут использовать новые поставщики сетевых решений для участия в растущем мире открытого межсетевого бизнеса.

Примечание

Служба маршрутизации (Router) для Microsoft Windows 2000 Server далее также упоминается как маршрутизатор Windows (Windows Router).

Маршрутизатор Windows предназначен для тех администраторов системы, которые уже знакомы с протоколами и службами маршрутизации. С помощью оснастки Маршрутизация и удаленный доступ (Routing and Remote Access) администраторы могут следить и управлять как маршрутизаторами, так и RAS-серверами.

Маршрутизатор Windows включает следующие возможности:

Многопротокольная маршрутизация для IP и IPX.
Фильтрация пакетов IP и IPX для улучшения безопасности и повышения производительности.
Маршрутизация вызовом по требованию через коммутируемые соединения с глобальными сетями.
Поддержка стандартных одноадресных протоколов маршрутизации IP: протокол Open Shortest Path First (OSPF, "открывать кратчайший путь первым") фирмы Bay Networks, Routing Information Protocol (RIP, Протокол обмена информацией о маршрутизации) версий 1 и 2, и DHCP Relay Agent (Агент ретрансляции DHCP) для IP.
Службы группового вещания IP (IGМР-маршрутизатор и IGМР-прокси).
Служба преобразования сетевых адресов IP (Network Address Translation, NAT).
Поддержка стандартных протоколов маршрутизации IPX: IPX RIP и IPX SAP (Service Advertising Protocol, протокол объявления служб).
Поддержка виртуальных частных сетей (Virtual Private Network, VPN) при помощи Point-tp-Pont Tunneling Protocol (Двухточечный протокол тунне-лирования, РРТР) и Level 2 Tunneling Protocol (Протокол туннелирования уровня 2, L2TP).
Поддержка разнообразных сред передачи данных, включая 10- и 100-битный Ethernet, Token Ring, Fiber-optic Distributed Data Interface (Распределенный волоконно-оптический интерфейс данных, FDDI), Asynchronous Transfer Mode (Режим асинхронной передачи, ATM), Integrated Services

Digital Network Цифровая сеть с интегрированными службами, ISDN), Frame Relay (Технология передачи фреймов), Х.25 и модемы.

Инструменты управления с графическим интерфейсом.
Интерфейс командной строки для выполнения сценариев и автоматизации конфигурирования.
Возможность управления при помощи Simple Network Management Protocol (Простой протокол управления сетью, SNMP) версии 1 с поддержкой Management Information Base (Базы управляющей информации, MIB).
API для протоколов маршрутизации, администрирования и интерфейса пользователя, для предоставления возможности разработки приложений третьими фирмами на базе маршрутизатора Windows.

 

2. Сравнение средств управления маршрутизацией в Windows NT и Windows 2000

 

Сравнение средств управления маршрутизацией в Windows NT и Windows 2000

В табл. 20.1 приведено сравнение служб маршрутизации, существующих в различных версиях Windows. Пользовательский интерфейс для выполнения этих задач в Windows 2000 Server отличается от интерфейса в Windows NT 4.0 и в Windows NT 4.0 с установленной службой Routing and Remote Access Service (RRAS).

Таблица 20.1. Службы маршрутизации Windows NT и Windows 2000

Просмотр таблицы маршрутизации

Необходимое действие Windows NT 4.0 Windows NT 4.0 с установленным RRAS Windows 2000
Установка, настройка и удаление протоколов маршрутизации На вкладке Network I Services на панели управления Routing and RAS Admin Оснастка Маршрутизация и удаленный доступ
Команда route print в командной строке Windows NT Routing and RAS Admin Оснастка Маршрутизация и удаленный доступ Оснастка Маршрутизация и удаленный доступ

 

3. Краткий обзор одноадресной маршрутизации

 

Краткий обзор одноадресной маршрутизации

Одноадресная маршрутизация — пересылка трафика с одиночным получателем в межсетевой среде с компьютера-отправителя на компьютер-получатель с использованием маршрутизаторов. Аппаратный маршрутизатор (иногда называемый коробочным маршрутизатором) — специализированное аппаратное устройство ("коробка", box), которое используется только для маршрутизации. Программный маршрутизатор — универсальный компьютер, который обеспечивает функционирование программного обеспечения, осуществляющего маршрутизацию.

 

4. Таблицы маршрутизации

 

Таблицы маршрутизации

Одноадресная маршрутизация, то есть пересылка трафика получателю с заданным адресом, облегчается, если известен путь, по которому трафик передается по межсетевой среде. При каждой передаче в пути от источника до получателя принимается решение о маршрутизации.

Принятию решения о маршрутизации помогает информация о том, какие сетевые адреса (или идентификаторы сетей) являются доступными в межсетевой среде. Эта информация поступает из базы данных маршрутов, которая называется таблицей маршрутизации. Наличие таблиц маршрутизации не является исключительным свойством маршрутизатора. Обычные компьютеры (не маршрутизаторы) также могут иметь таблицу маршрутизации, которая может использоваться, чтобы определить оптимальный маршрут.

 

5. Типы записей в таблице маршрутизации

 

Типы записей в таблице маршрутизации

Каждая запись в таблице маршрутизации считается маршрутом и может иметь следующий тип:

Маршрут к сети, или сетевой маршрут (Network Route)

Маршрут к сети с заданным идентификатором в межсетевой среде.

Маршрут к компьютеру, или узловой маршрут (Host Route)

Маршрут к заданному адресу (идентификатору сети и идентификатору узла, Network ID и Node ID). Маршруты к компьютерам обычно используются, чтобы создавать настраиваемые маршруты для заданных компьютеров, для управления или оптимизации сетевого трафика.

Маршрут по умолчанию (Default Route)

Маршрут по умолчанию используется, когда не найдены никакие другие маршруты в таблице маршрутизации. Например, если маршрутизатор или компьютер не может найти маршрут по идентификатору сети или маршрут к компьютеру по адресу получателя, то используется маршрут по умолчанию. Маршрут по умолчанию упрощает конфигурацию компьютеров. Вместо конфигурирования компьютера и настройки маршрутов для всех идентификаторов сетей в межсетевой среде используется одиночный маршрут по умолчанию для пересылки всех пакетов в сеть получателя или по адресу в межсетевой среде, который не был найден в таблице маршрутизации.

 

6. Структура таблицы маршрутизации

 

Структура таблицы маршрутизации

На рис. 20.1 показана структура таблицы маршрутизации.



Рис 20.1. Структура таблицы маршрутизации

Каждая запись в таблице маршрутизации состоит из следующих информационных полей:

Идентификатор сети

Идентификатор сети или адрес в межсетевой среде для маршрута к компьютеру. На IP-маршрутизаторах также имеется дополнительное поле маски подсети, которое определяет идентификатор IP-сети по IP-адресу получателя.

Адрес пересылки

Адрес, по которому пакет должен быть переслан. Адрес пересылки может быть аппаратным адресом или адресом в межсетевой среде. Для сетей, к которым компьютер или маршрутизатор непосредственно подсоединен, поле адреса пересылки может быть адресом интерфейса, подсоединенного к сети.

Интерфейс

Сетевой интерфейс, который используется, когда пакеты пересылаются в сеть для данного идентификатора сети. Это порядковый номер сетевого адаптера или другой тип логического идентификатора.

Метрика

Мера предпочтения маршрута. Обычно, самая маленькая метрика соответствует наиболее предпочтительному маршруту. Если существует несколько маршрутов к заданной сети получателя, используется маршрут с самой низкой метрикой. Некоторые алгоритмы маршрутизации сохраняют только один маршрут для любого идентификатора сети в таблице маршрутизации, даже когда существует несколько маршрутов. В этом случае метрика используется маршрутизатором, .чтобы определить то, какой маршрут необходимо сохранить в таблице маршрутизации

Примечание

Вышеупомянутый список является ориентировочным списком полей в таблицах маршрутизации, используемых маршрутизаторами. Реально поля в таблицах маршрутизации для различных маршрутизируемых протоколов могут быть другими.

 

20.1.gif

Изображение: 

7. Одноадресные протоколы маршрутизации

 

Одноадресные протоколы маршрутизации

Windows 2000 Server может выступать в качестве маршрутизатора как для IP, так и для IPX.

IP-маршрутизация. Маршрутизаторы IP бывают статическими (в случае, если маршруты установлены администратором и изменяются им вручную) или динамическими (маршруты модифицируются динамически, с использованием протоколов маршрутизации).

На каждом маршрутизаторе определяется следующий узел (хоп, hop), куда необходимо передать пакет, путем установления соответствия IP-адреса получателя пакета и оптимального маршрутов таблице маршрутизации.

Маршрутизатор Windows 2000 Server поддерживает два основных протокола маршрутизации для IP:

Routing Information Protocol (RIP) для IP
Open Shortest Path First (OSPF)

При этом маршрутизатор Windows 2000 Server является расширяемой платформой: поставщики — третьи фирмы могут создавать и подключать дополнительные протоколы маршрутизации IP, например Interior Gateway Routing Protocol (Протокол маршрутизации внутреннего шлюза, IGRP) и Border Gateway Protocol (Протокол граничного шлюза, BGP).

IPX-маршрутизация. Протокол IPX (Internetwork Packet Exchange, протокол межсетевого обмена пакетами) используется прежде всего в средах Novell NetWare, но может также применяться и в сетях на базе Microsoft Windows 2000.

Маршрутизатор Windows 2000 Server поддерживает два основных протокола маршрутизации для IPX:

Routing Information Protocol (RIP) для IPX
Service Advertising Protocol (Протокол объявления служб, SAP) для IPX

Реализация IPX, RIP и SAP на компьютере, работающем под управлением Windows 2000 Server (с использованием NWLink IPX/SPX/NetBIOS Compatible Transport Protocol, также известный как NWLink) совместима со спецификацией маршрутизатора NovelIPX.

 

8. Краткий обзор группового вещания и маршрутизации

 

Краткий обзор группового вещания и маршрутизации

Одноадресное вещание (unicast) — посылка сетевого трафика заданному получателю. Групповое вещание (multicast) — посылка сетевого трафика группе получателей. Только те из получателей, которые входят в состав группы вещания и ожидают получение группового трафика, обрабатывают групповой трафик. Все другие узлы игнорируют его.

Групповой трафик может использоваться для следующих целей:

Обнаружение ресурсов в межсетевом пространстве
Поддержка распределенных сетевых приложений
Поддержка групповых приложений мультимедиа, например, цифрового аудио и видео. Microsoft Media Services — пример приложения мультимедиа с групповым вещанием

Групповая пересылка — интеллектуальная пересылка группового трафика. Групповая маршрутизация — распространение информации о групповом вещании. Windows 2000 Server поддерживает и групповую пересылку, и групповую маршрутизацию.

 

9. Групповая передача данных

 

Групповая передача данных

При помощи групповой пересылки маршрутизатор пересылает групповой трафик в сети, где имеются узлы, ожидающие групповой трафик, или в том направлении, где имеются узлы, ожидающие групповой трафик. При этом предотвращается его пересылка в подсети, где отсутствуют узлы, слушающие групповой трафик.

Чтобы групповая пересылка работала через межсетевую среду, узлы и маршрутизаторы должны быть способны передавать групповой трафик.

 

10. Узлы, способные передавать групповой трафик

 

Узлы, способные передавать групповой трафик

Такие узлы должны уметь:

Посылать и получать групповые пакеты
Регистрировать групповые адреса, с которыми взаимодействует узел, на локальном маршрутизаторе, так, чтобы пакеты группового вещания могли поступать в сеть, где располагается узел

Все компьютеры, работающие под управлением Windows 2000 (и Professional, и Server) способны передавать и получать групповой IP-трафик. Приложения на компьютере, работающем под управлением Windows 2000, которые генерируют групповой трафик, должны создавать IP-пакеты с соответствующим групповым IP-адресом, таким же как IP-адрес получателя. Соответственно, приложения, получающие групповой трафик, должны сообщить модулю протокола TCP/IP, что они слушают весь трафик в ожидании указанного группового IP-адреса.

Для управления групповым вещанием используется протокол Internet Group Management Protocol (ЮМР, Межсетевой протокол управления группой).

 

11. Маршрутизаторы, способные передавать групповой трафик

 

Маршрутизаторы, способные передавать групповой трафик

Маршрутизаторы, способные передавать групповой трафик, должны уметь:

Использовать протокол групповой маршрутизации, чтобы распространять информацию о членах групп другим маршрутизаторам.
Прослушивать трафик в ожидании IGMP Host Membership Report (сообщение о членстве) и отслеживать групповые адреса, которые прослушиваются в каждой из подсетей, к которым подключен маршрутизатор.
Прослушивать весь групповой трафик во всех подсетях.
После получения группового трафика пересылать пакет в подсети, в которых есть узлы, прослушивающие групповой трафик, или где есть маршрутизатор, имеющий информацию о прослушивающих узлах.

 

12. Маршрутизатор IGMP Windows 2000

 

Маршрутизатор IGMP Windows 2000

В Windows 2000 Server маршрутизатор IGMP прослушивает трафик в ожидании сообщения IGMP Host Membership Report (сообщение о членстве) и отслеживает членство компьютеров в группах. Службу маршрутизатора IGMP необходимо разрешить на интерфейсах, подключенных к подсетям, в которых находятся компьютеры, использующие групповое вещание.

 

13. IGMP-прокси Windows 2000

 

IGMP-прокси Windows 2000

Посредник IGMP (IGMP-прокси) — компонент поддержки многоадресного вещания. Когда IGMP-прокси получает сообщение о членстве (IGMP Host Membership Report) на одном из интерфейсов, он пересылает его на все другие интерфейсы. Вышестоящий маршрутизатор, находящийся в подсети, в которой расположен IGMP-прокси, получает сообщение о членстве в группе от IGMP-прокси и добавляет его к собственным таблицам групп. Таким образом, вышестоящий маршрутизатор получает информацию о том, что пакеты для групп многоадресного вещания в подсети IGMP-прокси необходимо передавать через IGMP-прокси.

 

14. Групповая маршрутизация

 

Групповая маршрутизация

Для принятия решения о передаче пакетов через межсетевую среду при помощи маршрутизаторов, способных передавать групповой трафик, применяются механизмы групповой маршрутизации. Основанием для принятия решения служит информация о членстве компьютеров в группах. Для обмена информацией о членстве в группах используются протоколы групповой маршрутизации.

Примеры протоколов групповой маршрутизации — Distance Vector Multicast Routing Protocol (Групповой протокол маршрутизации на основе вектора расстояния, DVMRP), Multicast Extensions to OSPF (Групповые расширения к OSPF, MOSPF), Protocol Independent Multicast-Spare Mode (Разреженный режим группового вещания, независящий от протокола, PIM-SM), Protocol Independent Multicast-Dense Mode (Плотный режим группового вещания, независящий от протокола, PIM-DM). В поставку Windows 2000 Server не включены никакие протоколы групповой маршрутизации.

 

15. Фильтрация пакетов

 

Фильтрация пакетов

Маршрутизатор Windows 2000 Server поддерживает фильтрацию пакетов IP и IPX в соответствии с правилами, которые определяют, какой входящий и исходящий трафик разрешен маршрутизатором для передачи. Фильтрация пакетов в маршрутизаторе основана на "принципе исключения" — это означает, что некоторая операция применяется ко всему трафику и не распространяется на заданные исключения. Фильтры пакетов устанавливаются на указанном интерфейсе и могут быть сконфигурированы так, чтобы:

Передавать весь трафик за исключением пакетов, запрещенных фильтрами
Отбрасывать весь трафик за исключением пакетов, разрешенных фильтрами

 

16. Маршрутизация с вызовом по требованию

 

Маршрутизация с вызовом по требованию

Службы маршрутизации и удаленного доступа Windows 2000 Server также включают поддержку технологии "вызов по требованию" (demand-dial routing, dial-on-demand routing). Установка интерфейса с вызовом по требованию дает возможность маршрутизатору инициализировать соединение с удаленным компьютером, только когда он получает пакет, предназначенный именно этому компьютеру. Если в течение определенного времени никакие данные удаленному хосту не посылаются, соединение прерывается. Соединение с вызовом по требованию позволяет эффективно использовать коммутируемые телефонные линии. При помощи фильтров вызова по требованию можно определить, какой тип трафика позволит установить соединение. Фильтры вызова по требованию отделены от фильтров IP-пакетов, которые конфигурируются для того, чтобы определить, какой трафик может исходить из интерфейса и поступать на него только после того, как соединение установлено.

Установка времени входящих звонков позволяет определить промежуток времени, в течение которого маршрутизатору, использующему учетную запись, которая соответствует имени интерфейса с вызовом по требованию, разрешено устанавливать входящее соединение.

 

17. Объявление маршрутизаторов при помощи протокола ICMP

 

Объявление маршрутизаторов при помощи протокола ICMP

Для того чтобы компьютеры, работающие с протоколом IP, могли определить адреса локальных и нефункционирующих маршрутизаторов, в RFC 1256 описано использование Internet Control Message Protocol (ICMP, Межсетевой протокол управляющих сообщений) и сообщений поиска и объявления маршрутизатора:

Сообщения запроса, или поиска (Solicitation) маршрутизатора посылаются компьютером для того, чтобы обнаружить маршрутизатор в сети.
Сообщения объявления, или оповещения (Advertisement) маршрутизатора посылаются маршрутизатором в ответ на запрос другого маршрутизатора и периодически рассылаются, чтобы сообщить компьютерам в сети, что данный маршрутизатор функционирует.

 

18. Интерфейс JP-H-IP

 

Интерфейс IP-в-IP

Интерфейс IP-в-IP — логический интерфейс, который создается для передачи IP-пакетов в режиме туннелирования. IP-пакеты, которые не могут пересечь интрасеть или Интернет, инкапсулируются в пакеты с использованием дополнительного IP-заголовка.

Интерфейс IP-в-IP обычно служит для пересылки группового трафика из одной области интрасети в другую через те части интрасети, которые не поддерживают групповую пересылку или маршрутизацию.

После того как интерфейс IP-в-IP создан, его можно использовать и конфигурировать как и любой другой интерфейс.

Примечание

Для создания туннеля IP-B-IP для Windows 2000 необходимо запустить утилиту командной строки routemon.

 

19. Использование механизмов маршрутизации

 

Использование механизмов маршрутизации
Установка маршрутизатора Windows

Чтобы установить и конфигурировать маршрутизатор Windows, необходимо использовать учетную запись, входящую в группу администраторов.

 

20. Аппаратные требования

 

Аппаратные требования

Перед установкой маршрутизатора Windows все аппаратные средства должны быть установлены и работать. В зависимости от сети и требований к ней, могут понадобиться следующие аппаратные средства:

Сетевой адаптер с сертифицированным NDIS-драйвером (Спецификация интерфейса сетевого драйвера, Network Driver Interface Specification)
Один или несколько совместимых модемов и доступный СОМ-порт
Многопортовый адаптер для повышения производительности при наличии нескольких одновременных удаленных соединений
Интеллектуальная плата Х.25 (для сетей Х.25)
ISDN-адаптер или модем (для линий ISDN)

Совместимость всех аппаратных средств компьютера, работающего под управлением Windows 2000 Server, можно проверить по списку совместимости аппаратных средств Windows 2000 (Hardware Compatibility List, HCL) на CD-ROM Windows или в сети Интернет на сервере Microsoft.

 

21. Разрешение службы маршрутизации и удаленного доступа

 

Разрешение службы маршрутизации и удаленного доступа

Служба маршрутизации и удаленного доступа Windows устанавливается автоматически при установке Windows 2000 Server, при этом она остается в, неактивном состоянии. Для активизации службы необходимо выполнить действия, описанные в главе 19.

Чтобы служба маршрутизации и удаленного доступа могла использовать конкретное устройство (порт), необходимо разрешить ее функционирование для этого устройства:

1. В оснастке Маршрутизация и удаленный доступ щелкнуть правой кнопкой мыши узел Порты (Ports), а затем выбрать в контекстном меню опцию Свойства (Properties).
2. На вкладке Устройства (Devices) выбрать требуемое устройство с вызовом по требованию, а затем нажать кнопку Настроить (Configure).
3. В диалоговом окне Настройка устройства (Configure Device) выбрать флажок Подключения по требованию (входящие и исходящие) (Demand-dial Routing connections (inbound and outbound”, а затем, нажать кнопку OK.

 

22. Различные конфигурации маршрутизируемых сетей

 

Различные конфигураций маршрутизируемых сетей

Маршрутизаторы применяются во множестве различных топологий и сетевых конфигураций. Когда требуется добавить маршрутизатор Windows к сети, необходимо выбрать:

Протоколы, которые будут маршрутизироваться (IP или IPX)
Соответствующие протоколы маршрутизации
Средства ЛВС или ГВС (сетевые адаптеры, модемы, или другие устройства удаленного доступа)

Этот раздел описывает три типичных сценария/для использования маршрутизатора Windows 2000 Server:

Простой сценарий маршрутизации
Сценарий с несколькими маршрутизаторами
Сценарий маршрутизации с вызовом по требованию

 

23. Простой сценарий маршрутизации

 

Простой сценарий маршрутизации

На рис. 20.2 показана простая конфигурация сети с маршрутизатором Windows, соединяющим два сегмента ЛВС (Сети А и В). В этой конфигурации протоколы маршрутизации не обязательны, так как маршрутизатор соединен со всеми сетями, в которые требуется пересылать пакеты.



Рис 20.2. Простой сценарий маршрутизации

 

20.2.gif

Изображение: 

24. Сценарий с несколькими маршрутизаторами

 

Сценарий с несколькими маршрутизаторами

На рис. 20.3 показана более сложная конфигурация маршрутизации.



Рис 20.3. Сценарий с двумя маршрутизаторами и тремя сетями


В этой конфигурации имеются три сети (Сети А, В, и С) и два маршрутизатора. Маршрутизатор 1 находится в Сетях А и В, Маршрутизатор 2 — в Сетях В и С. Маршрутизатор 1 должен сообщить Маршрутизатору 2, что Сеть А может быть достигнута через Маршрутизатор 1, а Маршрутизатор 2 должен сообщить Маршрутизатору 1, что Сеть С может быть достигнута через Маршрутизатор 2. Эта информация автоматически сообщается с помощью протоколов маршрутизации, например RIP или OSPF. Когда пользователь В Сети А хочет установить соединение с пользователем в Сети С, компьютер пользователя в Сети А передает пакет на Маршрутизатор 1. Маршрутизатор 1 затем передает пакет Маршрутизатору 2. Маршрутизатор 2 далее передает пакет компьютеру пользователя в Сети С.

 

20.3.gif

Изображение: 

25. Сценарий маршрутизации с вызовом по требованию

 

Сценарий маршрутизации с вызовом по требованию

На рис. 20.4 показана конфигурация маршрутизаторов, которые используют вызов по требованию.



Рис 20.4. Сеть с вызовом по требованию


Сети А и В географически разделены, и для того объема трафика, который будет передаваться между сетями, арендованная линия ГВС экономически невыгодна. Маршрутизатор 1 и Маршрутизатор 2 могут соединяться при помощи аналоговой телефонной линии, используя модемы на обоих концах (или другой тип соединения, например, ISDN). Когда компьютер в Сети А инициализирует установление соединения с компьютером в Сети В, Маршрутизатор 1 устанавливает телефонное соединение с Маршрутизатором 2. Модемное соединение поддерживается до тех пор, пока происходит процесс передачи пакетов из Сети А в Сеть В. Когда соединение становится неактивно, Маршрутизатор 1 "вешает трубку", чтобы уменьшить издержки на телефонное соединение.

 

20.4.gif

Изображение: 

26. Протоколы маршрутизации IP

 

Протоколы маршрутизации IP

В среде с динамической IP-маршрутизацией информация о маршрутизации распространяется с помощью протоколов IP-маршрутизации. Два наиболее распространенных протокола IP-маршрутизации, используемых в интрасе-тях — Routing Information Protocol (RIP) и Open Shortest Path First (OSPF).

 

27. RIP для IP

 

RIP для IP

Протокол обмена информацией о маршрутизации (Routing Information Protocol, RIP) был исходно разработан для обмена информацией о маршрутазации внутри от сети небольшого размера до средней IP-сети (это верно для RIP версии 1).

Самое большое преимущество RIP — это то, что его чрезвычайно просто сконфигурировать и развернуть. Самый большой недостаток RIP версии 1 — неспособность функционировать в большой или очень большой межсетевой среде. Максимальное число пересылок, используемых RIP-маршрутизато-ром — 16. Сети, которые расположены на расстоянии 16 или более пересылок считаются недостижимыми. Поскольку глобальные IP-сети становятся все больше и больше, периодические RIP-объявления каждого маршрутизатора могут вызывать чрезмерный трафик. Другой недостаток RIP — высокое время восстановления. Когда происходят изменения в топологии межсетевой среды, может пройти несколько минут прежде, чем RIP-маршрутизатор переконфигурирует себя и адаптируется к новой топологии. В то время как межсетевая среда реконфигурируется, могут образоваться циклы маршрутизации, приводящие к потере или невозможности доставки данных.

Первоначально, таблица маршрутизации каждого маршрутизатора включает только те сети, которые физически подсоединены к маршрутизатору. RIP-маршрутизатор периодически посылает объявления, содержащие записи таблицы маршрутизации, для того, чтобы сообщить другим локальным RIP-маршрутизаторам сетей, которых он может достичь. RIP версии 1 использует широковещательные IP-пакеты для передачи объявлений. RIP версии 2 позволяет также использовать для объявлений пакеты группового вещания.

RIP-маршрутизаторы могут также сообщать информацию о маршрутизации при помощи триггерных обновлений. Триггерные обновления инициируются, когда происходит изменение топологии сети и посылается обновленная информация о маршрутизации, которая отражает эти изменения. Триггерные обновления происходят немедленно, следовательно, информация о маршрутизации обновится ранее, чем произойдет следующее периодическое объявление. Например, когда маршрутизатор обнаруживает установление соединения или отказ соседнего маршрутизатора, он модифицирует собственную таблицу маршрутизации и рассылает обновленные маршруты. Каждый маршрутизатор, получающий триггерное обновление, изменяет собственную таблицу маршрутизации и распространяет изменение.

Службы маршрутизации и удаленного доступа Windows 2000 могут работать с протоколом RIP версии 1 и 2. RIP версии 2 поддерживает объявления, рассылаемые при помощи групповых посылок, простую аутентификацию при помощи пароля, а также дает возможность гибкой настройки при работе в средах с подсетями и в CIDR-средах (Classless InterDomain Routing, Бесклассовая междоменная маршрутизация).

Реализация RIP в Windows 2000 имеет следующие возможности:

Выбор версии RIP, которая будет выполняться на каждом интерфейсе для входящих и исходящих пакетов
Алгоритмы split horizon, poison reverse и триггерных обновлений, которые используются для корректного отображения изменений топологии сети
Фильтры маршрутов для выбора тех сетей, которые необходимо объявлять или принимать от них обновления
Фильтры источников для выбора маршрутизаторов, от которых будут приниматься объявления
Конфигурируемые объявления и таймеры старения маршрута
Поддержка простого удостоверения подлинности при помощи пароля

 

28. OSPF

 

OSPF

Протокол Open Shortest Path First (OSPF) был разработан для обмена информацией о маршрутизации внутри большой или очень большой межсетевой среды.

Самое большое преимущество OSPF в том, что он является высокопроизводительным протоколом и приводит к незначительным издержкам даже в очень больших межсетевых конфигурациях. Самый большой недостаток OSPF — сложность; OSPF требует соответствующего планирования и более труден для конфигурирования и управления.

OSPF использует алгоритм "самый короткий путь — сначала" (Shortest Path First, SPF) для вычисления маршрутов в таблице маршрутизации. Алгоритм SPF вычисляет самый короткий (с наименьшей стоимостью) путь между маршрутизатором и всеми сетями в межсетевой среде. В маршрутах, рассчитанных при помощи SPF, всегда отсутствуют циклы.

Вместо того чтобы менять записи в таблице маршрутизации подобно RIP-маршрутизатору, OSPF-маршрутизатор поддерживает "карту" межсетевой среды, которая модифицируется после любого изменения в топологии сети. Эта карта, называемая базой данных состояний связей, синхронизирована для всех OSPF-маршрутизаторов и используется, чтобы вычислить маршруты в таблице маршрутизации. Изменения межсетевой топологии быстро заполняются по всей межсетевой среде для того, чтобы гарантировать, что база данных состояний связей на каждом маршрутизаторе синхронизирована и точна всегда. После получения изменений для базы данных состояний связей таблица маршрутизации повторно пересчитывается.

Поскольку размер базы данных состояний связей растет, требования к объему памяти и время на вычисление маршрута увеличиваются. Чтобы решить эту проблему, OSPF делит межсетевую среду на области (совокупности непрерывных сетей), соединенных друг Ј другом через базовую область (backbone area). Каждый маршрутизатор хранит базу данных состояний связей только для тех областей, которые подсоединены к маршрутизатору непосредственно. Граничные маршрутизаторы областей (Area Border Router, ABR) соединяют базовую область с другими областями.

На рис. 20.5 показана схема сети, в которой используется протокол OSPF.



Рис 20.5. Сеть с использованием протокола OSPF


OSPF имеет следующие преимущества по сравнению с RIP:

Маршруты, рассчитанные с помощью OSPF, никогда не имеют циклов
Протокол OSPF масштабируется до большой и очень большой межсетевой среды
Реконфигурация изменений сетевой топологии происходит быстро Реализация OSPF в Windows 2000 имеет следующие возможности:
Фильтр маршрутов для управления взаимодействием с другими протоколами маршрутизации
Динамическая реконфигурация всех установок OSPF
Сосуществование с RIP
Динамическое добавление и удаление интерфейсов

Примечание

Служба маршрутизации и удаленного доступа в Windows 2000 не поддерживает применение OSPF в конфигурации с вызовом по требованию с использованием коммутируемого соединения.

 

20.5.gif

Изображение: 

29. Протоколы маршрутизации IPX

 

Протоколы маршрутизации IPX

В межсетевых средах IPX информация о IPX-маршрутизации распространяется при помощи протокола маршрутизации Routing Information Protocol (Протокол маршрутизирующей информации, RIP) для протокола IPX. Service Advertising Protocol (Протокол объявления сервисов, SAP) используется для того, чтобы распространять адресную информацию о службах серверов. Хотя SAP— не настоящий протокол маршрутизации, он необходимый компонент для организации межсетевой среды IPX в случае, если нужно взаимодействие с Novell NetWare.

 

30. RIP для IPX

 

RIP для IPX

Работа RIP для IPX очень похожа на работу протокола маршрутизации RJP для IP, описанного ранее.

Маршрутизатор Windows поддерживает фильтры маршрутов IPX, которые дают возможность выборочно объявлять и принимать сетевые маршруты IPX. Маршрутизатор Windows также позволяет сконфигурировать таймеры объявления и старения маршрутов.

 

31. SAP для IPX

 

SAP для IPX

Протокол объявления служб Service Advertising Protocol (SAP) позволяет узлам, которые предоставляют доступ к различным службам, например файловые серверы и серверы печати, объявлять имена своих сервисов и межсетевые IPX-адреса машин, где размещены службы. Эта информация собирается и распространяется IPX-маршрутизатором и серверами SAP (например, серверами Novell NetWare). Клиенты NetWare, которым необходимо устанавливать соединение со службами, обращаются к серверу SAP, чтрбы получить межсетевой IPX-адрес этой службы.

Серверы, на которых располагаются службы, периодически посылают широковещательные сообщения по протоколу SAP. IPX-маршрутизатор и серверы SAP получают широковещательные SAP посылки серверов и распространяют информацию о сервисах при помощи периодических объявлений по протоколу SAP, чтобы поддерживать синхронизацию на всех маршрутизаторах и серверах SAP в сети. По умолчанию, объявления SAP посылаются каждые 60 секунд. Маршрутизатор и серверы SAP также посылают обновления SAP всякий раз, когда обнаруживается изменение в состоянии какой-либо службы.

Возможности SAP-маршрутизатора Windows также включают:

Способность отвечать на SAP-запросы GetNearestServer (Получить ближайший сервер). Когда клиент NetWare инициализирует свою работу в сети, он посылает широковещательный SAP-запрос GetNearestServer, при помощи которого пытается найти самый близкий сервер определенного типа. Маршрутизатор Windows может быть сконфигурирован так, чтобы он отвечал на этот запрос.
Способность установить фильтры SAP, чтобы выборочно объявлять или принимать объявления заданных служб.

 

32. Групповое вещание

 

Групповое вещание

Групповое вещание полезно для доставки информации типа "точка-много точек" по межсетевой среде. Существукттри основных механизма доставки типа "точка-много точек":

Посылать информацию каждой конечной точке отдельно, используя прямые адреса. Недостаток этого метода — дублирование сетевого трафика и непроизводительные затраты на поддержание списка конечных точек.
Посылать информацию в одиночном пакете, используя широковещательный адрес. Преимущества этого метода — использование одиночного пакета и отсутствие непроизводительных затрат на хранение списков получателей. Недостаток — использование широковещательных пакетов (которые посылаются и анализируются всеми узлами в сети) и то, что широковещательные посылки не пересылаются маршрутизаторами. Широковещательный пакет достигает все узлы в сети, но не всех узлов в межсетевой среде.
Посылать информацию в одиночном пакете, используя групповой адрес. Преимущество этого метода — использование одиночного пакета и отсутствие непроизводительных затрат на хранение списков получателей. В отличие от широковещательных пакетов, групповой трафик не беспокоит те узлы, которые не включены в группу и не ожидают этого трафика.

Групповое вещание — самый эффективный механизм доставки типа "точка-много точек".

 

33. Групповая пересылка

 

Групповая пересылка

Стек протоколов TCP/IP в Windows 2000 выполняет следующие функции групповой пересылки:

Прослушивание группового трафика

Модуль протокола TCP/IP прослушивает весь групповой трафик на всех сконфигурированных для этого интерфейсах, устанавливая сетевую плату в режим, в котором она способна принимать все пакеты, проходящие по локальной сети. Все групповые пакеты, полученные платой сетевого интерфейса передаются на сетевой уровень для обработки. Не все сетевые платы могут работать в таком режиме.

Пересылка групповых пакетов на соответствующий интерфейс

После получения группового пакета, TCP/IP обращается к таблице групповой пересылки, чтобы решить, на какой из интерфейсов направить данный пакет.

Маршрутизатор Windows IGMP выполняет следующую функцию групповой пересылки:

Отслеживание членства в группе многоадресного вещания

Маршрутизатор IGMP прослушивает трафик в ожидании сообщений IGMP о членстве в локальных подсетях и собирает информацию в виде списка адресатов, идентификаторов сети и соответствующих групп.

Чтобы убедиться в том, что компьютеры прослушивают свой зарегистрированный групповой адрес, IGMP-маршрутизатор периодически посылает запрос в каждую подсеть — ответом на запрос являются сообщения о членстве в группах. Если в одной сети находится несколько IGMP-маршрутизаторов, то один маршрутизатор выбирается (методом "голосования") среди них для периодической рассылки всех запросов.

 

34. Групповая маршрутизация

 

Групповая маршрутизация

Групповая маршрутизация, то есть распространение групповой информации о слушающих компьютерах, обеспечивается в соответствии с групповыми протоколами маршрутизации, такими как Distance Vector Multicast Routing Protocol (Протокол групповой маршрутизации на базе вектора расстояния, DVMRP).

Сервер Windows 2000 не обеспечивает никаких групповых протоколов маршрутизации. Однако компоненты IGMP-маршрутизатор (IGMP Router) и IGMP-прокси (IGMP-proxy) могут использоваться для того, чтобы обеспечить групповую пересылку в интрасети с одним маршрутизатором или при соединении одиночной интрасети с Интернетом.

 

35. Интрасеть с одним маршрутизатором

 

Интрасеть с одним маршрутизатором

Для интрасети, которая состоит из нескольких сетей, объединенных одним маршрутизатором, может использоваться IGMP-маршрутизатор, который обеспечивает поддержку групповой пересылки между источниками группового трафика и получателями группового трафика. IGMP-маршрутизатор работает одновременно на всех интерфейсах маршрутизатора.

 

36. Одиночная интрасеть и Интернет

 

Одиночная интрасеть и Интернет

Если маршрутизатор Windows подсоединен к МВопе, то есть к части Интернета, которая способна передавать групповой трафик, через провайдера услуг Интернета (Internet Service Porvider, ISP), можно использовать IGMP-прокси (IGMP-proxy), чтобы получать групповой трафик из Интернета.

На рис. 20.6 IGMP-прокси установлен на интерфейсе, подключенном к Интернету, а IGMP-маршрутизатор работает на интерфейсе интрасети. Компьютер, осуществляющий групповое вещание, регистрирует себя локально, а IGMP-прокси регистрирует его членство на маршрутизаторе, способном передавать групповой трафик, который находится у провайдера. Групповой трафик из Интернета посылается на этот маршрутизатор. Маршрутизатор провайдера передает групповой трафик маршрутизатору, который затем передает его компьютерам, слушающим групповой трафик в интрасети.

Примечание

IGMP-маршрутизатор и IGMP-прокси выполняют не все функции, реализуемые с помощью протокола групповой маршрутизации, который может потребоваться для групповой пересылки и поддержки маршрутизации в интрасетях с несколькими маршрутизаторами. Маршрутизатор и прокси могут обеспечить групповую пересылку в указанных условиях, однако ряд ограничений на расположение источников группового трафика не позволяет рекомендовать их использование — следует развертывать конфигурацию с применением протоколов фупповой маршрутизации.



Рис 20.6. Групповое вещание. IGMP-прокси и IGMP-маршрутизатор

 

20.6.gif

Изображение: 

37. Маршрутизация с вызовом по требованию

 

Маршрутизация с вызовом по требованию

Хотя концепция маршрутизации с вызовом по требованию довольно проста, конфигурация маршрутизации с вызовом по требованию — достаточно сложная задача. Эта сложность возникает из-за следующих факторов:

Адресация конечной точки соединения

Соединение должно выполняться через общедоступные коммуникационные сети типа аналоговой телефонной системы. Конечная точка соединения должна быть задана номером телефона.

Аутентификация вызывающего

Любой вызывающий маршрутизатор должен быть аутентифицирован. Удостоверение основано на том, что вызывающий передает набор идентифицирующей информации в течение процесса установления соединения, который может быть проверен отвечающим маршрутизатором. Если используется система безопасности Windows, то идентифицирующая информация, которая передается, должна соответствовать учетной записи Windows с соответствующим разрешением, которое может быть проверено отвечающим маршрутизатором.

Различие между сетевым клиентом, работающим по коммутируемому соединению и маршрутизатором

Служба маршрутизации и служба удаленного доступа сосуществуют на одном и том же компьютере, работающем под управлением Windows 2000

Server. И клиент, работающий по коммутируемому соединению, и маршрутизатор могут вызывать один и тот же самый номер. Компьютер, работающий под управлением Windows 2000 Server, который отвечает на звонок, должен быть способен отличить клиента, работающего по коммутируемому соединению, от маршрутизатора, который звонит по данному номеру, чтобы установить соединение с вызовом по требованию.

Конфигурация обоих концов соединения

Оба узла соединения должны быть сконфигурированы, даже если только один из них осуществляет вызов, чтобы установить соединение с вызовом по требованию. Конфигурирование только одной стороны соединения означает, что пакеты могут быть успешно переданы только в одном направлении. Нормальная связь требует, чтобы информация передавалась в обоих направлениях.

Конфигурация статических маршрутов

Динамические протоколы маршрутизации через соединений с вызовом по требованию использовать нельзя. Следовательно, маршруты для сетевых идентификаторов, которые являются доступными через интерфейс с вызовом по требованию, должны быть добавлены к таблице маршрутизации как статические маршруты. Можно выполнить это или вручную, или при помощи автоматического статического обновления, как описано далее.

 

38. Пример маршрутизации с вызовом по требованию

 

Пример маршрутизации с вызовом по требованию

В этом разделе показано, насколько сложна (но элегантна!) маршрутизация с вызовом по требованию. На рис. 20.7 изображена конфигурация гипотетической маршрутизируемой сети, рассмотрим ее подробно.

Офис в Москве имеет компьютер, работающий под управлением Windows 2000 Server, который функционирует в качестве сервера удаленного доступа и маршрутизатора с вызовом по требованию. Все компьютеры в офисе в Москве соединены с сетью 173.75.73.0 (маска подсети 2,55.255.255.0). Маршрутизатор в Москве (далее называемый Маршрутизатором 1) имеет модем, соединенный с портом СОМ1, а номер телефона, к которому подключен модем - (095)123-4567.

Санкт-петербургский офис имеет компьютер, работающий под управлением Windows 2000 Server, который функционирует в качестве сервера удаленного доступа и маршрутизатора с вызовом по требованию. Все компьютеры в санкт-петербургском офисе соединены с сетью 173.75.72,0 (маска подсети 255.255.255.0). Санкт-петербургский маршрутизатор (далее называемый Маршрутизатором 2) имеет модем, соединенный с портом COM2, а номер телефона, к которому подключен модем — (812)765-4321.

Пользователь компьютера с IP-адресом 173.75.73.5 должен иметь возможность соединиться по запросу с пользователем на компьютере с IP-адресом 173.75.72.10 и наоборот.



Рис 20.7. Пример маршрутизации с вызовом по требованию



Примечание

Этот демонстрационный пример описывает ручную конфигурацию маршрутизации с вызовом по требованию. Однако настоятельно рекомендуется использовать Мастер интерфейса вызова по требованию (Demand Dial Interface Wizard), чтобы автоматизировать процесс конфигурации. Этот мастер выполняет все шаги конфигурации, описанные ниже, кроме создания статического маршрута.

 

20.7.gif

Изображение: 

39. Конфигурирование Маршрутизатора 1

 

Конфигурирование Маршрутизатора 1

Настройка маршрутизации с вызовом по требованию на Маршрутизаторе 1 состоит из следующих трех шагов:

1. Создать интерфейс с вызовом по требованию.
2. Создать статический маршрут.
3. Создать учетную запись Windows, которая может использоваться Маршрутизатором 2, когда он вызывает Маршрутизатор 1.

 

40. Создание интерфейса с вызовом по требованию

 

Создание интерфейса с вызовом по требованию

Используя оснастку Маршрутизация и удаленный доступ (Routing and Remote Access), администратор создает интерфейс (с именем DD_SPb) с вызовом по требованию на Маршрутизаторе 1 со следующей конфигурацией:

Оборудование: Модем на СОМ1
Номер телефона: (812)765-4321
Протоколы: TCP/IP
Идентификационная информация (для исходящих соединений): DD_Moscow и пароль

 

41. Создание статического маршрута

 

Создание статического маршрута

При помощи оснастки Маршрутизация и удаленный доступ администратор на Маршрутизаторе 1 создает статический IP-маршрут со следующей конфигурацией:

Получатель: 173.75.72.0
Маска сети: 255.255.255.0
Шлюз: 10.0.0.1
Метрика: 1
Интерфейс: DD_SPb

Примечание

Поскольку соединение с вызовом по требованию— двухточечное, IP-адрес шлюза игнорируется в течение процесса маршрутизации. В поле шлюза (Gateway) может быть введен любой IP-адрес. IP-адрес 10.0.0.1 приведен в качестве примера IP-адреса и не несет смысловой нагрузки.

 

42. Создание учетной записи Windows с разрешениями для установления

 

Создание учетной записи Windows с разрешениями для установления входящего соединения

Используя оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Groups), администратор на Маршрутизаторе 1 создает учетную запись пользователя Windows со следующими параметрами:

Имя учетной записи: DD_SPb и пароль
Установки учетной записи: Сбросить флажок Сменить пароль при следующем входе в систему (User must change password at next logon) и установить флажок Срок действия пароля не ограничен (Password never expires)

Используя политики удаленного доступа (Remote Access Policies) на Маршрутизаторе 1, администратор должен предоставить разрешение на удаленный доступ к учетной записи DD_SPb.

 

43. Конфигурирование Маршрутизатора 2

 

Конфигурирование Маршрутизатора 2

Настройка маршрутизации с вызовом по требованию Hia Маршрутизаторе 2 производится аналогично. Имя интерфейса с вызовом по требованию — DD_Moscow, и он имеет следующую конфигурацию:

Оборудование: Модем на COM2 П Номер телефона: (095) 123-4567 О Протоколы: TCP/IP
Идентификационная информация (для исходящих соединений): DD_SPb и пароль

Статический маршрут имеет следующие параметры:

Получатель: 173.75.73.0
Маска сети: 255.255.255.0
Шлюз: 10.0.0.1
Метрика: 1
Интерфейс: DD_Moscow

Учетная запись (для входящих соединений) со следующими установками:

Учетная запись: DD_Moscow и пароль
Установки учетной записи: Снять флажок Сменить пароль при следующем входе в систему и установить флажок* Срок действия пароля не ограничен

Используя политики удаленного доступа на Маршрутизаторе 2, администратор должен предоставить разрешение на удаленный доступ к учетной записи DD_Moscow.

 

44. Окончательная конфигурация

 

Окончательная конфигурация

На рис. 20.8 показана полная конфигурация маршрутизируемой сети с вызовом по требованию; на ней указаны интерфейсы с вызовом по требованию, статические маршруты и учетные записи Windows для офисов в Москве и Санкт-Петербурге.



Рис 20.8. Результирующая конфигурация

 

20.8.gif

Изображение: 

45. Процесс соединения с вызовом по требованию

 

Процесс соединения с вызовом по требованию

Когда пользователь узла с адресом 173.75.73.5 пытается соединиться с пользователем узла с адресом 173.75.72.10, происходят следующие события:

1. Пакеты от 173.75.73.5, предназначенные для 173.75.72.10, посылаются к Маршрутизатору 1.
2. Маршрутизатор 1 получает пакет от 173.75.73.5 и проверяет таблицу маршрутизации. Находится маршрут к 173.75.72.10 и определяется, что он использует интерфейс DD_SPb.
3. Маршрутизатор 1 проверяет состояние интерфейса DD_SPb: оказывается, что он находится в разъединенном состоянии.
4. Маршрутизатор 1 отыскивает конфигурацию интерфейса DD_SPb с вызовом по требованию.
5. На основании конфигурации интерфейса DD_SPb Маршрутизатор 1 использует модем, подключенный к СОМ1, чтобы набрать номер (812)765-4321.
6. Маршрутизатор 2 отвечает на входящий вызов и устанавливает использование протокола TCP/IP.
7. Маршрутизатор 2 запрашивает идентификационную информацию по входящему соединению.
8. Маршрутизатор 1 посылает имя пользователя "DD_Moscow" и соответствующий пароль.
9. После получения идентификационной информации Маршрутизатор 2 проверяет имя пользователя и пароль в системе безопасности Windows и определяет, что Маршрутизатор 1 имеет разрешение* на установление входящего соединения.
10. Теперь Маршрутизатор 2 должен определить, является ли субъект, установивший входное соединение сетевым клиентом или маршрутизатором, устанавливающим соединение с вызовом по требованию. Маршрутизатор 2 просматривает список интерфейсов с вызовом по требованию и ищет интерфейс, который соответствует имени пользователя и паролю, посланному Маршрутизатором 1 как часть идентификационной информации. Маршрутизатор 2 находит интерфейс с вызовом по требованию "DD_Moscow", который соответствует имени пользователя.
11. Маршрутизатор 2 переводит интерфейс с вызовом по требованию от DD_Moscow в состояние "соединен".
12. Маршрутизатор 1 передает пакет от пользователя с адресом 173.75.73.5 через соединение с вызовом по требованию на Маршрутизатор 2.
13. Маршрутизатор 2 получает пакет и пересылает его пользователю по адресу 173.75.72.10.
14. Пользователь с адресом 173.75.72.10 посылает на Маршрутизатор 2 ответ на запрос об установлении соединения, сделанный пользователем с адресом 173.75.73.5.
15. Маршрутизатор 2 получает пакет, предназначенный для 173.73.75.5, и проверяет таблицу маршрутизации: маршрут к 173.75.73.5 найден, используется интерфейс DD_Moscow.
16. Маршрутизатор 2 проверяет состояние интерфейса DD_Moscow и определяет, что он находится в состоянии "соединен".
17. Маршрутизатор 2 передает пакет Маршрутизатору 1.
18. Маршрутизатор 1 передает пакет пользователю по адресу 173.75.73.5.

Если имя пользователя в идентификационной информации не соответствует имени соответствующего интерфейса с вызовом по требованию, объект вызова определяется как сетевой клиент, что может привести к проблемам маршрутизации. Например, если Маршрутизатор 1 использует строку "DialUpRouterl" в качестве имени пользователя в составе идентификационной информации, то Маршрутизатор 1 будет распознан как сетевой клиент, а не как маршрутизатор (предположим, что DialUpRouterl — существующая учетная запись с разрешением на установление входящего соединения). Пакеты посылаются от пользователя по адресу 173.75.73.5 пользователю по адресу 173.75.72.10, как описано ранее. Однако пакеты ответа от 173.75.72.10 к 173.75.73.5 посылаются Маршрутизатору 2, который после проверки таблицы маршрутизации определяет, что интерфейс, который необходимо использовать — DD_Moscow. DD_Moscow находится в разъединенном состоянии. В соответствии с конфигурацией для DD_Moscow, должен использоваться порт COM2. Однако COM2 в настоящее время используется Маршрутизатором 2 для сетевого клиента (за который ошибочно принят Маршрутизатор 1). Следовательно, процесс установления соединения для DD_Moscow оканчивается неудачей, и ответные пакеты от 173.75.72.10 к 173.75.73.5 теряются.

 

46. Маршрутизация с вызовом по требованию и VPN

 

Маршрутизация с вызовом по требованию и VPN

Маршрутизация с вызовом по требованию поддерживает механизм непосредственного междугородного вызова через коммутируемую телефонную сеть. Другой вариант пересылки маршрутизируемого трафика— через Интернет, используя соединение виртуальной частной сети (Virtual Private Network, VPN) между двумя абонентами. Для филиала, который соединяется с общим концентратором через Интернет, необходимо использовать VPN-соединенйе с вызовом по требованию, которое устанавливается автоматически, когда появляется трафик, адресованный в заданном направлении. Для конфигурации филиала: филиал, использует коммутируемое соединение, чтобы сделать местный звонок к Интернет-провайдеру, а затем использует некоторый протокол туннелирования, чтобы создать VPN с общим маршрутизатором-концентратором, расположенном в Интернете. Общий маршрутизатор-концентратор имеет постоянное соединение с Интернетом. Подробно сети VPN рассмотрены в главе 19.

Примечание

Маршрутизации с вызовом по требованию через Интернет не работает в обоих направлениях, поскольку Интернет-провайдер обычно не настроен для маршрутизации с вызовом по требованию. Он не может установить входящее соединение с клиентом, чтобы доставить пакет, предназначенный для клиента интрасети.

 

47. Обновления маршрутов с вызовом по требованию

 

Обновления маршрутов с вызовом по требованию

В то время как маршрутизация с вызовом по требованию может уменьшать издержки на соединение, типичные протоколы маршрутизации полагаются на периодический процесс объявлений, которые сообщают информацию о маршрутизации. Например, RIP для IP объявляет содержание таблицы маршрутизации каждые 30 секунд на всех интерфейсах. Такое поведение не является проблемой для постоянно подключенных каналов ЛВС или ГВС. Для коммутируемого соединения через каналы глобальных сетей такого рода периодические объявления заставляют маршрутизатор вызывать другой маршрутизатор каждые, 30 секунд, что приводит к нежелательному увеличению затрат на телефонное соединение. Следовательно, протоколы маршрутизации не должны идти через коммутируемые каналы глобальных сетей.

Если для обновления таблиц маршрутизации не используются протоколы маршрутизации, то маршруты должны быть введены в маршрутизатор как статические маршруты. Статические маршруты, которые соответствуют сетевым идентификаторам, доступным через интерфейс, могут быть введены вручную или автоматически. Автоматический ввод статических маршрутов для интерфейсов с вызовом по требованию известен как автоматическое статическое обновление и поддерживается маршрутизатором Windows. Автоматические статические обновления поддерживаются при использовании RIP для IP и RIP для IPX, но они не доступны при использовании совместно с OSPF.

Когда это требуется, интерфейс с вызовом по требованию, сконфигурированный для автоматического статического обновления, посылает запрос через активное соединение, который запрашивает все маршруты у маршрутизатора с другой стороны соединения. В ответ на запрос, все маршруты у опрошенного маршрутизатора автоматически вводятся как статические маршруты в таблицу маршрутизации запрашивающего маршрутизатора. Статические маршруты постоянны; они сохраняются в таблице маршрутизации, даже если интерфейс становится отключенным или маршрутизатор перезапущен. Автоматическое статическое обновление — одноразовый, односторонний обмен информацией о маршрутизации.

Примечание

"Автоматический" в словосочетании "автоматический статический" означает автоматическое добавление запрошенных маршрутов в качестве статических маршрутов в таблицу маршрутизации. Посылка запроса о маршрутах осуществляется посредством выполнения явного действия, а не автоматически: или с помощью оснастки Маршрутизация и удаленный доступ, или посредством утилиты routemon, в тот момент когда интерфейс с вызовом по требованию находится в соединенном состоянии. Когда устанавливается соединение с вызовом по требованию, автоматические статические обновления не выполняются автоматически.

Автоматические статические обновления могут быть автоматизированы и спланированы при помощи выполнения командного файла Windows в качестве запланированной задачи. Командный файл содержит ряд служебных команд routemon, которые выполняют автоматическое статическое обновление.

Примечание

Когда запрошено автоматическое статическое обновление, существующие автоматические статические маршруты удаляются прежде, чем обновление будет запрошено у других маршрутизаторов. Если не приходит никакого ответа на запрос, то маршрутизатор не может заменить маршруты, которые он удалил. Это может вести к потере возможности установить соединение с удаленными сетями.

 

48. Развертывание сетей с маршрутизацией

 

Развертывание сетей с маршрутизацией IP-сети

Статическая маршрутизируемая IP-сеть не использует протоколы маршрутизации, поскольку вся информация о маршрутизации хранится в статической таблице на каждом маршрутизаторе. Каждый маршрутизатор должен иметь такую таблицу маршрутов, чтобы любые два компьютера в сети могли обмениваться трафиком.

Статическая маршрутизируемая IP-среда лучше всего подходит для небольшой статической сети с единственным путем со следующими характеристиками:

Маленькой межсетевой средой считается сеть от 2 до 10 подсетей
Единственный путь означает, что имеется только один путь для пакетов, которые передаются между любыми двумя конечными точками в этой межсетевой среде
Статическая означает, что топология межсетевой среды не изменяется во времени

Статическая маршрутизируемая среда может применяться для:

Сети малого предприятия
Сети домашнего офиса
Филиала с одной сетью

Вместо реализации протокола маршрутизации через узкополосный канал связи, одиночный маршрут по умолчанию на маршрутизаторе филиала гарантирует, что весь трафик, не предназначенный для компьютера в сети филиала будет направлен в основной офис.

Недостатки статической маршрутизации:

Отсутствие отказоустойчивости

Если отказывает маршрутизатор или канал, статический маршрутизатор не реагирует на неисправность, и не сообщает другим маршрутизаторам о неисправности. В то время как такого рода проблемы требуют решения в больших, межсетевых средах, сеть малого офиса (например, с двумя маршрутизаторами и тремя сетями, соединенными в ЛВС) не отказывает настолько часто, чтобы это потребовало бы топологии со многими путями и использования протоколов маршрутизации.

Непроизводительные административные затраты

Если добавляется новая сеть или удаляется из межсетевой среды существующая, маршруты к новой (или удаленной) сети должны быть вручную добавлены или удалены. Если добавляется новый маршрутизатор, то он должен быть правильно сконфигурирован для маршрутизации в межсетевой среде.

 

49. Сети с Rip для IP

 

Сети с RIP для IP

Маршрутизируемая сеть с RIP для IP использует протокол маршрутизации RIP для IP, чтобы динамически распространять маршрутизаторам информацию о маршрутизации. Правильно реализованная среда с RIP для IP автоматически добавляет и удаляет маршруты, как только сети добавляются и удаляются из межсетевой среды. Необходимо убедиться, что каждый маршрутизатор правильно сконфигурирован — так, чтобы объявления о маршрутах протокола RIP были бы посланы и получены всеми RIP-маршрути-заторами в сети.

Маршрутизация в сети на базе с RIP для IP лучше всего подходит для небольшой динамической сети с несколькими возможными маршрутами; ниже перечислены особенности такой сети:

Сеть малого или среднего размера (таковой считается сеть, состоящая из 10—50 подсетей).
Наличие нескольких возможных маршрутов означает, что имеется несколько путей для пакетов, которыми обмениваются два компьютера в межсетевой среде.
Динамичность означает, что топология межсетевых переключений время из-за сетей, которые добавляются или удаляются, и каналы иногда выжь. дят из строя и возвращаются в работоспособное состояние.

Маршрутизируемая среда на базе RIP для IP может потребоваться для:

Предприятия среднего размера
Большого офиса филиала или дополнительного офиса со множественными сетями

 

50. Межсетевая OSPF-среда

 

Межсетевая OSPF-среда

Маршрутизируемая межсетевая OSPF-среда использует протокол маршрутизации OSPF, чтобы динамически пересылать информацию о маршрутизации между маршрутизаторами. Правильно развернутая OSPF-среда автоматически добавляет и удаляет маршруты, когда из межсетевой среды добавляются или удаляются сети. Необходимо, чтобы каждый маршрутизатор был правильно настроен: OSPF-объявления маршрутов должны распространяться между OSPF-маршрутизаторами в межсетевой среде.

Чтобы добавить протокол маршрутизации OSPF:

1. В окне оснастки Маршрутизация и удаленный доступ, развернув узел Маршрутизация IP (IP Routing), щелкните правой кнопкой мыши на узле Обшие (General) и в контекстном меню выберите пункт Новый протокол маршрутизации (New Routing Protocol).
2. В диалоговом окне Новый протокол маршрутизации (Select Routing Protocol) выберите в списке протокол Открывать кратчайший путь первым (OSPF) (Open Shortest Path First (OSPF)) и нажмите кнопку ОК.

Маршрутизируемая OSPF-среда лучше всего подходит для межсетевых сред, которые отвечают следующим требованиям:

Большая или очень большая межсетевая среда (содержит более 50 сетей)
Имеется несколько путей для пакетов, передаваемых между любыми двумя конечными точками межсетевой среды
Динамическая среда (топология среды изменяется во времени из-за того, что сети добавляются и удаляются, а каналы иногда становятся неработоспособными или возвращаются в строй)

Ниже перечислены сетевые конфигурации, для которых необходима маршрутизируемая OSPF-среда:

Корпоративная или сеть университетского городка (campus)
Международная корпоративная или университетская межсетевая среда

 

51. Текущий контроль маршрутизатора

 

Текущий контроль маршрутизатора

Управление удаленным маршрутизатором

В оснастке Маршрутизация и удаленный доступ нужно щелкнуть правой кнопкой мыши узел Состояние сервера (Server Status), а затем нажать кнопку Добавление сервера (Add Server).

В диалоговом окне Добавление сервера необходимо выбрать одно из следующих положений переключателя:

Указанный ниже компьютер (The following computer), а затем задать имя компьютера или IP-адрес сервера.
Обзор Active Directory (Browse Active Directory), а затем выбрать типы серверов, которые необходимо найти в диалоговом окне Поиск: Маршрутизаторы и серверы удаленного доступа (Find: Routers and RAS Servers). Нажать кнопку OK, а затем выбрать сервер.
Все компьютеры маршрутизации и удаленного доступа (All Routing and Remote Access computers) и указать домен, содержащий сервер, которым необходимо управлять. Нажать кнопку ОК, а затем выбрать сервер.

Как только удаленный сервер появится в качестве объекта в разделе Маршрутизация и удаленный доступ (Routing and Remote Access), им можно управлять.

 

52. Просмотр таблиц маршрутизации

 

Просмотр таблиц маршрутизации

В окне оснастки Маршрутизация и удаленный доступ, в разделе Маршрутизация IP (IP Routing) или Маршрутизация IPX (IPX Routing) щелкните правой кнопкой мыши узел Статические маршруты (Static Routes), выберите пункт Показать таблицу IP-маршрутизации (Show IP routing table) (рис. 20.9) или Показать таблицу IPX-маршрутизации (Show IPX routing table).



Рис 20.9. Просмотр таблицы маршрутизации


В табл. 20.2 перечислены доступные в оснастке Маршрутизация и удаленный доступ типы просматриваемой информации, которые можно получить из контекстного меню соответствующего компонента.

Таблица 20.2. Типы просматриваемой информации
Компонент Тип информации
Маршрутизация IP/Общие (IP Routing/General) Информация TCP/IP Таблица разрешенных пересылок для группового вещания Таблица запрещенных пересылок для группового вещания Статистика группового вещания
Маршрутизация IP /Общие/Интерфейс (IP Routing/General/Interface) Информация TCP/IP Преобразование адресов IP-адреса Таблица IP-маршрутизации TCP-соединения Слушатели UDP-портов
OSPF Области База данных состояний связей Соседи Виртуальные интерфейсы
RIP RIP-соседи
IGMP/Интерфейс (IGMP/lnterface) Таблица групп интерфейса
Маршрутизация IPX/Общие (IPX Routing/General) Параметры IPX Таблица IPX-маршрутизации Таблица служб IPX
Порты (Ports) Состояние порта Статистика устройства Сетевая регистрационная информация

 

20.9.gif

Изображение: 

Глава 21. Работа с Интернетом и электронной почтой

Глава 21. Работа с Интернетом и электронной почтой

1. Microsoft Internet Explorer 5.0

 

Глава 21

Работа с Интернетом и электронной почтой

Разумеется, попытка охватить в одной главе все аспекты работы в Интернете — задача практически неосуществимая. Ведь только для описания программы Internet Explorer с подробным обсуждением всех заложенных в нее новых технологий потребуется отдельная большая книга! Цель авторов гораздо скромнее — познакомить читателя со стандартными средствами, предоставляемыми системой Windows 2000 для работы в сети Интернет.

И поскольку "никогда не удается делать что-то одно", нужно, как минимум, попытаться создать пользователю комфортные условия, при которых он может выполнять множество задач сразу. Программы Microsoft Internet Explorer 5.0 и Outlook Express 5.0, описанные в этой главе, пытаются решить именно эту задачу.



Microsoft Internet Explorer 5.0

В состав систем Windows 2000 компания Microsoft включила и последнюю версию браузера (обозревателя) Интернета — Microsoft Internet Explorer (IE) 5.0. Необходимо прежде всего отметить, что в ходе разработки новой версии компания действительно постаралась учесть пожелания пользователей. В версии IE 4.0 наряду с множеством ценных функциональных возможностей было немало недостатков, исправленных в версии 5.0.

С точки зрения пользователя, окно IE 5.0 выглядит практически так же, как у IE 4.0. Однако, несмотря на это внешнее сходство, углубленное исследование откроет вам множество новых и весьма полезных возможностей. Перечислим хотя бы некоторые из них: улучшенные методы управления папкой Избранное (Favorites), значительное ускорение скорости просмотра, усовершенствованная версия Outlook Express, панели инструментов с расширенными функциональными возможностями, лучшая поддержка HTML и CSS, установка необходимых компонентов по требованию (для

пользователей, устанавливающих IE 5.0 на компьютеры, работающие под управлением Windows 95/98 или Windows NT 4.0).



Примечание

Если вы считаете, что "лучше один раз увидеть, чем сто раз услышать", и при знакомстве с новым программным продуктом всегда просматриваете презентации из разряда "Guided Tour", то их легко найти (воспользовавшись, к примеру, для поиска ключевыми словами "Internet Explorer", "5.0", "Guided Tour") в сети Интернет с помощью известных поисковых машин (Yahoo, Altavista и т. п.), а также на веб-узле компании Microsoft.

IE 5.0 работает намного быстрее, благодаря чему пользователи существенно экономят время на выполнение важных задач. Новые функциональные возможности — следствие реализации технологии IntelliSense — существенно улучшают возможности поиска, а также работы с папками Журнал (History) и Избранное (Favorites). В следующих разделах новые возможности рассмотрены более подробно.

 

2. Интеграция пользовательского интерфейса браузера с операционной системой

 

Интеграция пользовательского интерфейса браузера с операционной системой

Первое и главное, что сразу же замечаешь в пользовательском интерфейсе IE 5.0, — это его тесная интеграция с операционной системой Windows 2000. С IE 5.0 интегрирована большая часть пользовательского интерфейса операционной системы (более подробно об этом рассказано в главе 4). На базе HTML-страниц теперь реализованы даже такие компоненты, как, например, утилита Установка и удаление программ (Add/Remove Programs) из панели управления, а также обновленные средства поиска. Разумеется, нельзя забывать и о таких компонентах, как Active Desktop, программа Проводник (Windows Explorer), модуль Windows Update, и, наконец, справочная система в формате HTML. Основная цель, которую преследовала компания Microsoft, последовательно проводя такую интеграцию, — предоставить пользователям непротиворечивый, стандартизованный интерфейс. Можно сказать, что на данном этапе практически обеспечена "прозрачная" интеграция HTML с кодом операционной системы. Так, в системе Windows 2000 нажатие кнопки в форме HTML часто запускает приложения Windows, и, обратно, многие приложения Windows раскрывают формы HTML. Практически, на наших глазах идет слияние HTML и интерфейса прикладного программирования Win32.

 

3. Технология ImelliSense

 

Технология IntelliSense

Microsoft Internet Explorer 5.0 использует технологию IntelliSense, позволяющую автоматизировать выполнение наиболее общих задач. Эта технология предоставляет пользователям функции автоматизации, позволяющие сэкономить время в процессе работы с World Wide Web.

Применение усовершенствованной технологии IntelliSense в IE 5.0 предоставляет пользователям следующие возможности:

Функция автозаполнения (AutoComplete) служит для получения раскрывающегося списка посещенных веб-узлов и автоматического заполнения веб-адресов, форм, имен и паролей.
Функция автопоиска (AutoSearch) позволяет быстро находить нужные страницы.
Функция установки по запросу (Autolnstall) позволяет автоматически устанавливать компоненты Internet Explorer в случаях, когда пользователь раскрывает веб-страницу, для отображения которой они необходимы.
Функция определения автономного режима (AutoDetect offline) позволяет автоматически определять автономный режим, предоставляя визуальные подсказки к элементам, недоступным для просмотра в этом режиме.
Функция автоматической настройки (AutoConfiguration) позволяет автоматически обнаруживать необходимый прокси-сервер и устанавливать с ним соединение.

Все перечисленные функции являются отключаемыми и настраиваемыми.

 

4. Простота поиска информации

 

Простота поиска информации

Значительным шагом вперед в Internet Explorer 4.0 явились улучшенные средства поиска и организации информации (например, панели Поиск, Журнал и Избранное). В пятой версии Internet Explorer эти средства получили дальнейшее развитие.

 

5. Поиск информации

 

Поиск информации

Не вызывает никаких сомнений, что поиск информации в Интернете является настоящим искусством. Наверняка каждый пользователь при поиске нужной информации хотя бы раз в конце концов получал огромный список ссылок, из которого весьма трудно выловить то, ради чего, собственно говоря, и была затеяна вся процедура поиска. Разумеется, заслуженным успехом пользуются те браузеры, которые максимально облегчают поиск информации. Отлично понимая это, корпорация Microsoft уже в Internet Explorer 4.0 внесла серьезные усовершенствования в средства поиска, а в версии Internet Explorer 5.0 функциональные возможности поиска были выведены на качественно новый уровень.

 

6. Функция автопоиска

 

Функция автопоиска

С помощью функции автопоиска можно:

Вводить текст запроса непосредственно в адресной строке, не раскрывая для этой цели дополнительное окно.
Просматривать результаты поиска на панели Поиск.
Просмотреть страницу, которую Internet Explorer указывает как самое близкое совпадение с заданными вами критериями поиска.
Получать всю запрошенную информацию в удобном для восприятия виде, одновременно просматривая веб-страницы и результаты поиска.

Итак, введите текст вашего запроса непосредственно в поле Адрес (Address) и нажмите кнопку Переход (Go). Обратите внимание, что поле Адрес — это раскрывающийся список, в котором удобно выбирать уже использовавшиеся адреса. Если нужная ссылка имеется в списке, достаточно выбрать ее для непосредственного обращения к соответствующей веб-странице или документу.

После непродолжительной процедуры поиска (при этом происходит обращение к специальному веб-узлу) в левой части экрана (на панели Поиск) будут отображены результаты, а в правой — веб-страница, которую Internet Explorer оценивает как самое близкое совпадение с заданными критериями поиска. Щелкнув на любой из ссылок, перечисленных в списке результатов, в правой панели окна можно просмотреть соответствующую веб-страницу. Мы получили внушительный список ссылок, т. к. ввели имя популярного автора множества интересных публикаций.

 

7. Включение, отключение и масштабирование панели Поиск

 

Включение, отключение и масштабирование панели Поиск

Чтобы активизировать панель Поиск, выберите команду Вид | Панели обозревателя | Поиск (View | Explorer Bar | Search). Кроме того, можно нажать кнопку Поиск на стандартной панели инструментов Internet Explorer. На экране появится панель Поиск .

Размеры панели Поиск можно менять. Для этого подведите курсор к ее правой границе, дождитесь, когда он примет вид двунаправленной стрелки, и отбуксируйте границу панели Поиск в нужном направлении.

Новое средство, помощник по поиску (Search Assistant), появившееся в Internet Explorer 5.0, максимально использует информацию о поиске, автоматически определяя поисковые системы, ориентированные на конкретный тип (категорию) информации. Помощник предоставляет для выбора следующие категории поиска в Интернете:

Поиск веб-страницы (Find a Web Page). Чтобы выполнить поиск веб-страницы, установите переключатель Поиск веб-страницы, введите в поле Поиск веб-страницы, содержащей (Find a Web page, containing) одно или несколько ключевых слов и нажмите кнопку Поиск. Обратите внимание на то, что помощник по поиску позволяет одновременно просматривать в одном окне и веб-страницы, и результаты поиска. Эта функциональная особенность наиболее ценна, когда требуется определить, насколько найденная веб-страница удовлетворяет критериям поиска. Переход к следующей странице осуществляется щелчком на следующей ссылке в окне результатов поиска. Чтобы выполнить новый поиск по тем же критериям, но с использованием другой поисковой системы, нажмите кнопку Следующий (Next).
Люди (People) — служит для поиска почтового адреса или адреса электронной почты указанного лица с помощью таких служб поиска, как Bigfoot, InfoSpace и других. Чтобы найти нужную информацию, нажмите ссылку Люди, а затем в окне Поиск людей (Find People) введите ключевые слова в поле Имя (Name) или эл. почта (E-mail) и выберите службу в списке Место поиска (Look in). Для более сложных запросов перейдите на вкладку Дополнительно (Advanced). Введите ключевые слова и нажмите кнопку Найти (Find now). Чтобы выполнить поиск по тем же критериям, но при помощи другой поисковой машины, выберите ее в списке Место поиска.
Предыдущий поиск (Previous Searches) — служит для отображения списка ссылок на предыдущие десять операций поиска, выполненных по любой

из доступных категорий. Чтобы выполнить одну из предыдущих операций поиска, щелкните на соответствующей ссылке, выбрав ее в отображенном списке. Чтобы очистить список операций поиска, нажмите кнопку Очистить (Clear).

Примечание

Возможности поиска зависят от выбранной поисковой системы. Например, система MSN Web Search позволяет задавать сложные условия поиска, а также искать изображения, видео-, аудио- и МРЗ-файлы.
Язык интерфейса на панели Поиск зависит от выбранных параметров языка (locale) (значок Язык и стандарты на панели управления): Internet Explorer автоматически загружает названия кнопок панели со служебного веб-узла Microsoft.

Чтобы начать новой поиск, нажмите на панели Поиск кнопку Создать (New).

 

8. Индивидуальная настройка параметров поиска

 

Индивидуальная настройка параметров поиска

Даже стандартные средства поиска предоставляют великолепные возможности. Однако допускается и индивидуальная настройка поиска:

1. Нажмите кнопку Настройка (Customize), расположенную в верхней части панели Поиск (правее кнопок Создать и Следующий), раскроется диалоговое окно Настройка параметров войска (Customize Search Settings) (если только соединение с Интернетом установлено!).
2. В диалоговом окне Настройка параметров поиска можно:
  • Выбрать использование помощника по поиску (что сделает поиск более гибким и интеллектуальным) или общую службу поиска для всех заданий поиска. По умолчанию разрешено использование помощника.
  • Изменять порядок, в котором будет применяться службы поиска. Для этого выделите нужную службу в списке, расположенном левее флажков, включающих или исключающих поисковую службу в списке, и нажатием кнопок с изображением стрелок перемещайте ее название к началу или концу списка.
  • Восстанавливать значения параметров поиска, применяемых по умолчанию. Для этого нажмите кнопку Восстановить (Reset) в нижней части окна.
  • Управлять опцией предыдущего поиска. По умолчанию отображается поле ввода ключевых слов для нового поиска. Можно сделать так, что сначала будет выводиться список слов, использованных при выполненных ранее запросах.

Кроме того, можно настраивать функцию автопоиска. Для этого в меню Сервис (Tools) окна Internet Explorer выберите команду Свойства обозревателя (Internet Options) и в открывшемся окне перейдите на вкладку Дополнительно (Advanced). В списке настроек найдите группу Поиск из панели адресов (Search from the Address bar) и установите нужный переключатель.

 

9. Функция Связанные ссылки (Related Links)

 

Функция Связанные ссылки (Related Links)

Предположим, что в процессе поиска найден узел, похожий на искомый, однако не вполне соответствующий тому, что именно вы искали. Вместо того чтобы заново выполнять новый поиск, выберите в меню Сервис команду Показать связанные ссылки (Show Related Links). Для дополнительного удобства рекомендуется поместить кнопку Связанный (Related) на панель инструментов.

Функция "связанные ссылки "позволяет:

Найти новые узлы, похожие на веб-страницу, просматриваемую на текущий момент.
Просматривать список таких связанных ссылок во время просмотра соответствующих страниц.

Примечание

Не совсем понятно, как компания Microsoft определяет похожесть веб-страниц, однако связанные (дополнительные) ссылки действительно расширяют возможности поиска, делая его более неформальным, "интеллектуальным".

 

10. Новые возможности по организации информации

 

Новые возможности по организации информации

Если выполненная процедура поиска увенчалась успехом, и пользователь встречает страницу, которую хотел бы посещать регулярно или даже сохранить на своем жестком диске, то он вправе ожидать, ч что браузер предоставит для этой цели удобные средства по организации и сохранению таких страниц. В данном разделе рассмотрены:

Новые возможности сохранения информации
Просмотр и организация избранных страниц (Favorites)

 

11. Новые возможности сохранения информации

 

Новые возможности сохранения информации

Internet Explorer 5.0 предоставляет два новых способа сохранения веб-страниц, содержащих встроенные компоненты. Теперь команда Сохранить как (Save As) меню Файл (File) имеет следующие дополнительные опции (рис. 21.1), подробное описание ниже):

Веб-страница, полностью (Web Page, complete) (*.htm, *.html)
Веб-архив, один файл (Web Archive, single file) (*.mht)



Рис 21.1. В IE 5.0 появились две новые опции, позволяющие выполнять сохранение веб-страниц, содержащих встроенные компоненты


Опция сохранения веб-страницы целиком. Если при сохранении веб-страницы выбрать опцию Веб-страница, полностью, то в папке, где сохраняются веб-страницы, будет создана вложенная папка, одноименная с сохраняемым файлом HTML. В этой папке будут сохранены встроенные элементы веб-страницы (например, графика, звуки и видео). Относительные ссылки в сохраняемой веб-странице будут перенастроены так, чтобы указывать на содержимое веб-страницы, сохраненное в этой папке. Абсолютные ссылки (например, гиперссылки на другие веб-страницы) не перенастраиваются. Впоследствии вы сможете просматривать такую веб-страницу целиком, со всеми ее встроенными компонентами.

Опция сохранения веб-архива. Если при сохранении веб-страницы выбрана опция Веб-архив, один файл, то содержимое веб-страницы будет сохранено в формате MHTML (Multipurpose Internet Mail Extension HTML) в файле с расширением mht. В этом случае все относительные ссылки и встроенное содержимое (рисунки и пр.) будут включены в один файл *.mht (в отличие от предыдущей опции, которая сохраняла их в отдельной папке). Гиперссылки на другие страницы останутся без изменений. Эта опция позволяет отправлять и получать веб-страницы с помощью клиентских почтовых программ (например, Microsoft Exchange, Microsoft Outlook или Microsoft Outlook Express).

 

21.1.gif

Изображение: 

12. Организация избранных страниц (Favorites)

 

Организация избранных страниц (Favorites)

URL-адреса, идентифицирующие веб-страницы, трудно запоминать, а ручной ввод адресов существенно усложняет работу с Интернетом для многих пользователей (особенно для новичков). Несмотря на то что Internet Explorer 5.0 позволяет сохранять веб-страницы на локальном диске (и даже предоставляет новые возможности, подробно рассмотренные в предыдущем разделе), многие пользователи хотят регулярно посещать понравившиеся им страницы и следить за их обновлением.

Технология избранных страниц (Favorites) в IE избавляет пользователя от необходимости записывать на бумаге или как-то иначе сохранять URL-адрес любимой веб-страницы или помнить местоположение часто используемого документа.

Чтобы включить понравившуюся страницу в список избранных, выберите команду Добавить в избранное (Add to Favorites) меню Избранное или нажмите кнопку Избранное на панели Internet Explorer, а затем — кнопку Добавить (Add) на панели Избранное, появившейся в левой части окна Internet Explorer. Чтобы посетить избранную страницу, достаточно раскрыть меню Избранное и выбрать нужную ссылку. Internet Explorer автоматически прочитает URL необходимого элемента и попытается связаться с нужным адресом.

При вызове команды добавления в избранное на экране появляется окно Добавление в избранное (Add Favorite). Следует отметить, что IE 5.0 предоставляет пользователям широкие возможности по организации папки Избранное (работа с этой папкой подробно описана в главе 4): так, при включении страницы в папку Избранное пользователь может создать в ней новую папку, нажав кнопку Создать папку (New Folder), или включить эту страницу в уже существующую папку, выбрав ее имя в списке Добавить в (Create in). Обратите внимание, что уже на данном этапе страницу, заносимую в список избранных, можно сделать доступной для автономного просмотра. Для этого нужно установить флажок Сделать доступной автономно (Make available offline).

Internet Explorer 5.0 предоставляет и весьма удобный метод организации веб-страниц в папке Избранное. Команда Упорядочить избранное (Organize Favorites) меню Избранное открывает окно, позволяющее создавать, перемещать,

переименовывать файлы и вложенные папки, помещенные в папку Избранное. В списке избранных страниц доступно контекстное меню, посредством которого можно выполнить множество действий — от печати до синхронизации автономно доступного веб-содержимого.

Примечание

Усовершенствованная организация папки Избранное — одно из достижений разработчиков IE 5.O. Особое внимание рекомендуем обратить на то, что папка Избранное не ограничена одним только содержимым сети Веб — она может содержать ярлыки для файлов и документов, хранящихся на локальном диске компьютера и в локальной сети. Важно также, что диалоговое окно Упорядочить избранное позволяет организовать хранение любой информации, независимо от того, где она находится — на локальном компьютере, в локальной сети или в Интернете.



Примечание

Опция персонализированных меню (см. главу 4) имеется и для папки Избранное. Чтобы управлять ею, выберите в меню Сервис команду Свойства обозревателя, перейдите на вкладку Дополнительно (рис. 21.2), пролистайте список Настройка (Settings) и снимите или установите флажок Включить личное меню избранного (Enable Personalized Favorites Menu).



Рис 21.2. Управление персонализированными меню в IE 5.0


Все ли возможности организации папки Избранное мы рассмотрели? Нет!

Еще одной из полезных возможностей, которые IE 5.0 предоставляет пользователям, является совместное использование папок Bookmarks (Netscape Navigator) и Favorites (Internet Explorer). Во-первых, если IE 5.0 устанавливается на компьютере, где уже установлен браузер Netscape Navigator, то закладки Netscape Navigator импортируются в IE 5.0 автоматически. Во-вторых, если браузеры IE и Navigator,работают на одном компьютере, то имеется возможность поддержания актуальности папок Favorites и Bookmarks, а также обмена содержимым между программами.

 

21.2.gif

Изображение: 

13. Мастер импорта/экспорта

 

Мастер импорта/экспорта

Мастер импорта/экспорта, встроенный в IE 5.0, и предоставляет описанную выше возможность. Чтобы вызвать этот мастер, выберите в IE 5.0 команду Импорт и экспорт (Import and Export) меню Файл, и в появившемся на экране первом окне мастера нажмите кнопку Далее (Next).

Мастер импорта/экспорта позволяет импортировать и экспортировать как избранное, так и файлы "cookies", и обмениваться ими с другим браузером.

При этом экспортировать можно как любую выбранную папку в списке Избранное, так и весь этот список. Экспортируемые элементы избранного хранятся как простой файл HTML, доступный для импорта как в IE, так и в Navigator. Особенно приятно то, что экспортируемый файл избранных страниц достаточно мал, и его удобно копировать на дискеты и в сетевые папки, или отправлять по электронной почте в качестве приложения.

 

14. Папка Журнал (History)

 

Папка Журнал (History)

Панель журнала Internet Explorer позволяет:

Быстро найти веб-страницы, которые вы просматривали в течение текущего дня, недели, две или три недели тому назад.

Примечание

При этом содержимое веб-страниц, сохраненное в кэше, отображается в автономном режиме (offline). Это чрезвычайно удобно при коммутируемом подключении к Интернету для уменьшения затрат на оплату времени соединения: можно предварительно загрузить нужные связанные между собой или независимые страницы, отключиться от провайдера и, выполнив команду Работать автономно (Work Offline), перемещаться по веб-страницам. Единственное ограничение — не все страницы, особенно генерируемые динамически, позволяют воспользоваться возможностью автономного просмотра, поскольку их содержимое не запоминается в кэше. Если для некоторой ссылки отсутствует локально сохраненное содержимое, то при выборе этой ссылки курсор превратится в изображение ладони с указательным пальцем, рядом с которым будет перечеркнутый кружок— в этом случае нужно восстанавливать соединение с сетью Интернет (см. рис. 21.3).

Просматривать список ссылок одновременно с самими страницами (без необходимости постоянного переключения между окнами).
Просматриваемый список страниц можно сортировать по сайтам, по наиболее часто посещаемым страницам или в том порядке, в котором вы посещали эти страницы в течение дня.
Просмотреть список в алфавитном порядке (без учета "www").
Выполнить поиск конкретной страницы в журнале.

Чтобы отобразить в левой части окна Internet Explorer панель Журнал, нажмите кнопку Журнал на панели инструментов IE 5.0 .

 

15. Возможности автономного просмотра

 

Возможности автономного просмотра

Есть ли что-то, раздражающее пользователя Интернета больше, чем медленная загрузка страницы? В IE 4.0 существовала функция, называемая подпиской (subscription), которая обеспечивала пользователям возможность "подписываться" на содержимое выбранных веб-страниц, сохраняя последние в кэше оля автономной работы. Эта функция была весьма полезна и удачно реализована.

Однако ее название вполне могло смутить пользователя (и на практике многие пользователи, особенно начинающие, действительно думали, что "подписка" их к чему-то обязывает).

В IE 5.0 эта функциональная возможность была заменена новой, более удобной функцией автономного просмотра (Make Available Offline), которая предоставляет следующие возможности:

Просмотр веб-страниц в автономном режиме (без соединения с Интернетом).
Установка расписания синхронизации веб-страниц, просматриваемых в автономном режиме.
Экономия времени и средств (синхронизацию можно запланировать на часы минимальной загрузки линии).

Благодаря встроенной технологии IntelliSense IE 5.0 автоматически определяет автономный режим просмотра и реагирует соответствующим образом, если гиперссылка, на которой щелкнул пользователь, оказывается недоступной в автономном режиме (рис. 21.3).

Рис 21.3. Визуальный запрос IE 5.0 на установление . соединения с Интернетом, если любая из гиперссылок просматриваемого документа оказывается недоступной в автономном режиме


Чтобы сделать понравившуюся веб-страницу доступной для просмотра в автономном режиме с помощью IE 5.0, необходимо сначала включить эту страницу в список Избранное, а затем установить флажок Сделать доступной автономно. Если требуется выполнить индивидуальную настройку режима доступа к выбранной странице в автономном режиме, следует при добавлении новой страницы нажать кнопку Настройка (Customize) в окне Добавление в избранное (при этом запустится Мастер автономного просмотра избранного (Offline Favorite Wizard)) или выделить уже подключенную страницу в списке Избранное в окне Упорядочить избранное и нажать кнопку Свойства (Properties). В последнем случае раскроется окно свойств выбранной веб-страницы, в котором, в частности, будут предоставлены следующие возможности настройки:

Настройка расписания синхронизации содержимого веб-страницы, выбранной для доступа в автономном режиме. Для настройки расписания синхронизации перейдите в раскрывшемся окне на вкладку Расписание (Schedule). Установив опцию только при выборе команды "Синхронизировать" в меню "Сервис" (Only when I choose Synchronize from the Tools menu) в группе Синхронизация избранного (Synchronize this favorite), вы задаете для выбранной страницы режим ручной синхронизации. Если требуется выполнять синхронизацию веб-страницы по определенному расписанию, установите опцию используя следующие расписания (Using the following schedule(s)) и с помощью кнопок Добавить и Изменить создайте и отредактируйте расписание синхронизации.
Второй набор важных опций, которые следует изменить, делая страницу доступной для просмотра в автономном режиме, относится к режиму загрузки содержимого этой страницы в процессе синхронизации. Чтобы выполнить эту настройку, перейдите в окне свойств выбранной веб-страницы на вкладку Загрузка (Download). В группе Содержимое для загрузки (Content to download) можно указать так называемую глубину загрузки (количество ссылок и вложенных ссылок, начиная с текущей страницы, которые должны быть доступны в автономном режиме). Можно также задать ограничение по объему дискового пространства, отводимого для хранения данной страницы, и установить опцию отправки вам почтового извещения в случае изменения данной страницы, а также задать входное имя и пароль, если веб-узел, содержащий эту страницу, требует регистрации.

 

21.3.gif

Изображение: 

16. Улучшенный просмотр папок FTP

 

Улучшенный просмотр папок FTP

Помимо прочих нововведений IE 5.0 предоставляет великолепную новую опцию улучшенного просмотра папок FTP (так называемая "опция FTP folders"), которая существенно упрощает процесс просмотра узла FTP и представляет собой новое усовершенствование оболочки. Фактически, эта процедура становится идентичной процессу просмотра папок на локальном жестком диске.

 

17. Панель инструментов Paduo (Radio)

 

Панель инструментов Радио (Radio)

Панель инструментов Радио позволяет слушать радио в процессе работы. Помимо этого она содержит следующие полезные функции:

Путеводитель по радиостанциям, включающий все жанровые категории. Для прослушивания можно выбрать любую радиостанцию, включенную в список.
Предусмотрена функция добавления в список предпочитаемых вами радиостанций.

 

18. Офаничение доступа (Content Advisor)

 

Ограничение доступа (Content Advisor)

Модуль Ограничение доступа позволяет управлять доступом к узлам сети, что особенно удобно, если необходимо ограничить доступ к некоторым сайтам (например, когда компьютером пользуются дети). Благодаря этому модулю можно решать следующие задачи:

Создавать наборы правил и требований к содержимому просматриваемых веб-страниц, позволяющие определить, какие страницы пользователи могут или не могут посещать.
Создавать для этой цели рейтинговую систему.
Явным образом указывать сайты, допустимые для просмотра, а также сайты, просмотр которых не допускается (независимо от оценки, данной этим сайтам самими пользователями).

Чтобы установить ограничение доступа, выберите в меню Сервис команду Свойства обозревателя и в раскрывшемся диалоговом окне перейдите на вкладку Содержание (Content). В группе опций Ограничение доступа нажмите кнопку Включить (Enable).

 

19. Гибкость использования Microsoft Internet Explorer 5.0 в корпоративных сетях

 

Гибкость использования Microsoft Internet Explorer 5.0 в корпоративных сетях

IE 5.0 предоставляет множество удобных возможностей для работы в сети (в том числе и в корпоративной), позволяя выбрать, например, домашнюю страницу (Home page), поисковые машины, почтовую программу, редактор страниц HTML, предпочтительный для пользователя, и т.д. Можно также управлять доступом к узлам сети С помощью модуля Ограничение доступа.

Администраторам корпоративных сетей необходима гибкость настройки IE, чтобы приспособить этот браузер к потребностям их организаций и заказчиков. Для этих целей идеально подходит Internet Explorer Administrative Kit 5.0 — гибкое и мощное средство, в котором имеется усовершенствованный мастер, позволяющий выполнить основные действия по управлению IE 5.0 (Administrative Kit можно загрузить с домашней страницы IE 5.0 на веб-узле компании Microsoft). Помимо этого, мастер позволяет заблокировать или разблокировать практически любую установку в браузере в соответствии с потребностями предприятия или организации.

 

20. Microsoft Outlook Express 5.0

 

Microsoft Outlook Express 5.0

Outlook Express — это клиентская программа Microsoft, предназначенная для приема и отправки электронной почты и чтения новостей и основанная на стандартах Интернета. Последняя версия этой программы, Outlook Express 5.0, включает большое количество усовершенствований интерфейса, обеспечивает поддержку множества пользователей, улучшенную поддержку автономной

Рис 21.4. Окно программы Outlook Express 5.0



Рис 21.5. Пользовательский интерфейс Outlook Express 5.0 обладает богатыми возможностями индивидуальной настройки


работы и синхронизации сообщений и предоставляет большое количество других новых функциональных возможностей. Новый интерфейс Outlook Express (рис. 21.4) предоставляет удобный доступ к почтовым сообщениям, новостям, адресной книге. Помимо этого, интерфейс является конфигурируемым, что позволяет пользователям выбирать разнообразные панели представлений (view panes) и выполнять индивидуальную настройку панелей инструментов (рис. 21.5).

Для чтения электронной почты при помощи Outlook Express 5.0 необходимо использовать систему электронной почты, основанную на протоколах SMTP, POPS или IMAP. Outlook Express позволяет получать информацию из групп новостей (newsgroups), используя серверы новостей NNTP. Помимо этого, Outlook Express позволяет получать доступ к информации оперативной поддержки некоторых продуктов Microsoft на сервере новостей news://msnews.microsoft.com.

В состав Outlook Express включена также адресная книга Windows (Windows Address Book, WAB) версии 5.0, которая обеспечивает богатые возможности для организации электронной почты и управления ею, включая возможности по созданию групп контактов и папок. Адресная книга Windows позволяет обращаться к каталогам Интернета, использующим протокол LDAP (Lightweight Directory Access Protocol). Каталоги Интернета предоставляют удобный способ поиска нужных адресов (почтовых адресов или адресов электронной почты). Ряд популярных каталогов Интернета заранее включен в Outlook Express и настроен для свободного доступа.

 

21.4a.gif

Изображение: 

21.5.gif

Изображение: 

21. Новые возможности Outlook Express 5.0

 

Новые возможности Outlook Express 5.0

Итак, приступим к обсуждению новых возможностей, предоставляемых Outlook Express 5.0.

 

22. Поддержка Hotmail

 

Поддержка Hotmail

Outlook Express 5.0 обеспечивает интеграцию с почтой Hotmail, позволяя не только отправлять почту с использованием учетной записи Hotmail, но и выполнять многие другие задачи, в том числе:

Загружать сообщения Hotmail для просмотра в автономном режиме.
Синхронизировать папки Hotmail с папками Outlook Express и наоборот.
Синхронизировать адресные книги Outlook Express и Hotmail и наоборот.

Эта полезная возможность позволяет избежать многократного введения одних и тех же почтовых адресов.

Создавать новые учетные записи Hotmail в Outlook Express с помощью программы-мастера Hotmail Signup Wizard.
Добавлять существующие учетные записи Hotmail в Outlook Express.

Для добавления новых учетных записей требуется следующая информация: тип используемого почтового сервиса (РОРЗ, ШАР или HTTP), имя учетной записи и пароль, имя сервера, обрабатывающего входящую почту, и — для серверов РОРЗ или ШАР — имя сервера, обрабатывающего исходящую почту.

Чтобы создать новую учетную запись Hotmail в Outlook Express:

1. В меню Сервис (Tools) выберите команду Учетные записи (Accounts).
2. В открывшемся диалоговом окне Учетные записи в Интернете (Internet Accounts), показанном на рис. 21.6, нажмите кнопку Добавить (Add).
3. В раскрывшемся подменю выберите команду Почта (Mail) (рис. 21.6). Раскроется окно Мастера подключения к Интернету (Internet Connection Wizard), приведенное на рис. 21.7, в котором необходимо ввести свое имя, а в следующем окне выбрать опцию Получить учетную запись от (I'd like to sign up for a new account from). В расположенном правее раскрывающемся списке выберите опцию Hotmail и далее следуйте появляющимся на экране инструкциям.
Рис 21.6. Создание новой учетной записи в Outlook Express



Рис 21.7. Создаем новую учетную запись Hotmail


4. Если вы уже имеете учетную запись Hotmail (или адрес, полученный у Интернет-провайдера), установите в окне (рис. 21.7) опцию У меня уже есть учетная запись, которую я хочу использовать (I already have an e-mail address that I'd like to use), введите свой почтовый адрес Hotmail в виде jaynameehotmaii.com, где mynama— ваше входное имя Hotmail, и нажмите кнопку Далее.

После того как новая учетная запись Hotmail будет создана, вы сможете модифицировать ее свойства, а также выполнять все перечисленные выше задачи.

К полученному почтовому ящику Hotmail можно также обращаться с помощью веб-браузера, просматривая и изменяя его содержимое. URL-адрес сервера Hotmail: http://hotmail.com.

 

21.6.gif

Изображение: 

21.7.gif

Изображение: 

23. Поддержка нескольких пользователей

 

Поддержка нескольких пользователей

При помощи средства управления личными настройками, или удостоверениями (identities), можно создавать профили (идентификационные записи) для нескольких пользователей, работающих с Outlook Express одновременно, но независимо друг от друга. Эти профили используются совместно приложениями типа Outlook Express и адресной книги Windows.

Чтобы создать новое удостоверение для пользователя Outlook Express, выберите команду Файл | Удостоверения | Добавить удостоверение (File | Identities | Add New Identity), в диалоговом окне Новая идентификационная запись (New Identity) введите имя пользователя и подтвердите необходимость запроса пароля при начале работы с программой. После этого можно будет менять удостоверения при помощи команды Файл | Смена удостоверения (File | Change Identity).

 

24. Поддержка автономной работы и синхронизации сообщений

 

Поддержка автономной работы и синхронизации сообщений

Новости и папки IMАР можно загружать для автономного просмотра. Все действия, выполняемые пользователем в автономном режиме (например, отправка почтовых сообщений и перемещение сообщений внутри учетной записи IMAP) будут произведены на сервере, когда пользователь вновь к нему подключится.

Чтобы иметь возможность чтения сообщений без установки соединения с Интернетом:

1. В меню Сервис выберите команду Параметры (Options).
2. На вкладке Общие (General) в списке Если компьютер в это время не подключен к сети (If my computer is not connected at this time) выберите вариант Соединять, если не выбран автономный режим работы (Connect only when not working offline) (рис. 21.8).
Рис 21.8. Вкладка Общие (General) диалогового окна Параметры (Options)

 

3. Если у вас есть учетная запись на сервере IMАР или HTTP, выберите имя сервера в списке папок, убедитесь в том, что все нужные папки помечены для просмотра в автономном режиме, и нажмите кнопку Синхронизировать учетную запись (Sync Account). Начнется процедура синхронизации.
4. В меню Файл выберите команду Автономная работа (Work Offline).

 

21.8.gif

Изображение: 

25. Подокно контактов

 

Подокно контактов

Контакты из адресной книги Windows теперь видны в основном окне Outlook Express (см. рис. 21.4, левый нижний угол). Это позволяет быстро выбирать адресатов (и группы адресатов) и отправлять им сообщения.

 

26. Функции импорта и экспорта в Microsoft Outlook Express 5.0

 

Функции импорта и экспорта в Microsoft Outlook Express 5.0

Пользователи часто применяют в повседневной работе разнообразные клиентские почтовые программы. Outlook Express 5.0 позволяет как экспортировать информацию для испбльзования в Других программах, так и импортировать информацию, используемую другими программами. Помимо этого, возможны ситуации, когда пользователь переустанавливает Outlook Express или даже всю операционную систему. Надо ли говорить о том, как полезны в этой ситуации функции импорта и экспорта? Заблаговременно экспортировав все необходимые данные перед переустановкой, пользователь существенно экономит время, которое потребовалось бы для ручного ввода информации, например, в адресную книгу.

Примечание

К сожалению, экспортировать сообщения можно трлько в программы Microsoft Outlook и Microsoft Exchange. Удобное, проверенное "обходное" решение — изменить стандартное расположение почтового каталога (кнопка Банк сообщений (Store Folder) на вкладке Обслуживание (Maintenance) в окне Параметры (Options)). Если будет выполняться повторная инсталляция системы, то почтовый каталог Outlook Express создается заново, а переназначенный каталог "портиться" не будет. Правда, при таком подходе не удается сохранить заголовки сообщений из телеконференций и их список (что, впрочем, не так критично, как личная почта).

Программа Outlook Express 5.0 снабжена улучшенной программой-мастером экспорта, позволяющей экспортировать как адресную книгу, так и сообщения.

 

27. Экспорт адресной книги

 

Экспорт адресной книги

Для экспорта адресной книги Outlook Express 5.0:

1. Выберите команду Файл | Экспорт | Адресная книга (File | Export | Address Book). Раскроется диалоговое окно Экспорт адресной книги (Address Book Export Tool) (рис. 21.9).

Рис 21.9. Диалоговое окно Экспорт адресной книги


2. Выберите формат экспортируемого файла. Если экспортированный файл предполагается затем импортировать в Microsoft Exchange, выберите опцию Личная адресная книга Microsoft Exchange (Microsoft Exchange Personal Address Book). Если планируется использовать экрпортированный файл с другой программой, выберите опцию Текстовый файл, разделенный запятыми (Text File (Comma Separated Values).
3. Нажмите кнопку Экспорт.

 

21.9.gif

Изображение: 

28. Экспорт сообщений

 

Экспорт сообщений

Программа Microsoft Outlook Express позволяет экспортировать сообщения из одной или нескольких папок в формат Microsoft Outlook или Microsoft Exchange. Для этого:

1. Выберите команду Файл | Экспорт | Сообщения (File | Export | Messages).
2. Подтвердите выполнение операции и в следующем окне выберите профиль, соответствующий той программе, в формате которой требуется экспортировать файл.
3. Если требуется экспортировать все сообщения, выберите опцию Все папки (All Folders).
4. Если требуется экспортировать только сообщения, находящиеся в одной или нескольких папках, установите опцию Выбранные папки (Selected Folders) и выделите папки, содержимое которых требуется экспортировать.

 

29. Импорт информации в Outlook Express

 

Импорт информации в Outlook Express

Разумеется, наряду с возможностями экспорта Outlook Express предоставляет возможности импорта самой различной информации, в том числе:

Адресные книги. Мастер импорта Outlook Express позволяет импортировать адресные книги не только Microsoft, но и созданные с помощью таких

программ, как Netscape Communicator и Eudora, а также данные адресных книг, сохраненные в формате CSV (Comma Separated Values). Для импорта адресной книги в формате Windows Address Book (WAB) выберите команду Файл | Импорт | Адресная книга. Чтобы импортировать адресную книгу в другом формате, выберите команду Файл | Импорт (Другая адресная книга и в раскрывшемся диалоговом окне (рис. 21.10) выберите формат импортируемой адресной книги.

Рис 21.10. Outlook Express позволяет импортировать адресные книги, сохраненные в различных форматах
Почтовые сообщения, полученные другими клиентскими программами электронной почты, такими как Netscape Communicator и Eudora. Помимо этого, можно импортировать сообщения из большого количества программных продуктов Microsoft, включая Outlook и предыдущие версии Outlook Express. Для импорта сообщений выберите команду Файл | Импорт | Сообщения. На экране появится диалоговое окно Импорт Outlook Express (рис. 21.11), в котором вы сможете выбрать почтовую программу, сообщения которой требуется импортировать.
Параметры настройки учетных записей для электронной почты из существующих учетных записей. После выполнения такой операции ваша учетная запись Outlook Express будет содержать либо все, либо большинство параметров индивидуальной настройки, установленных в импортированной учетной записи. Для импорта существующих учетных записей выберите команду Файл | Импорт | Настройка учетной записи почты (Mail Account Settings) и следуйте инструкциям программы-мастера. В частности, вам будет предложено выбрать почтовую клиентскую программу, учетную запись из которой требуется импортировать, и будет предоставлена возможность изменения некоторых параметров в ходе подготовки к импорту.
Параметры настройки учетных записей для чтения групп новостей из существующих учетных записей. После импорта параметры настройки учетной записи для чтения групп новостей в Outlook Express все данные о подписке (и другая информация, включая сведения о просмотренных сообщениях) будут включены в вашу учетную запись Outlook Express для чтения новостей. Чтобы выполнить эту операцию импорта, выберите команду Файл | Импорт | Настройка учетной записи службы новостей (News Account Settings). Вам будет предложено выбрать учетную запись для импорта. Выберите нужную учетную запись и следуйте инструкциям программы-мастера.
Рис 21.11. Выбор почтовой программы при импорте сообщений

 

21.10.gif

Изображение: 

21.11.gif

Изображение: 

30. Расширенные правила управления сообщениями

 

Расширенные правила управления сообщениями

Расширенные правила управления сообщениями поддерживают большое количество критериев действий, включая блокирование отправителей сообщения и новые правила для групп новостей.

Чтобы создать новое правило управления почтовыми сообщениями:

1. Выберите команду Сервис | Правила для сообщений | Почта (Tools [ Message Rules | Mail). Раскроется диалоговое окно Создать правило для почты (New Mail Rule).

Примечание

Правила управления сообщениями нельзя создать для учетных записей почтовых серверов IMAP и HTTP.

2. Условия, применительно к которым будет действовать новое правило, выбираются путем установки флажков, расположенных в поле 1. Выберите условия для данного правила (Select the Conditions for your rule). Для

успешного создания правила нужно задать хотя бы одно условие. Если задано составное условие, то по умолчанию должно выполниться хотя бы одно из простых условий; в поле 3. Описание правила (Rule Description) они связываются гиперссылкой или (or). Если требуется соблюдение всех заданных условий (например, наличие в заголовке сообщения всех ключевых слов), выберите соответствующую гиперссылку и в раскрывшемся окне нажмите кнопку Параметры (Options). Затем, в окне Условия для правила (Rule Condition Options), установите переключатель в положение имеются все указанные слова (Message matches all of the words below). После этого заданные условия (слова) будут разделены гиперссылкой и (and).

3. В поле 2. Выберите действия для данного правила (Select the Actions for your rule) выберите действия, которые должны выполняться для сообщений, которые удовлетворяют заданным вами условиям.
4. В поле 4. Название правила (Name of the rule) введите имя для установленного вами правила и нажмите кнопку ОК.

Пример правила управления почтовыми сообщениями показан на рис. 21.12.

Рис 21.12. Диалоговое окно Изменить правило для почты (Edit Mail Rule)


Правила обработки сообщений, отправленных в группы новостей, устанавливаются аналогично.

Чтобы немедленно ввести вновь созданное правило в действие, нажмите , кнопку Применить (Apply Now) (рис. 21.13).

Рис 21.13. Диалоговое окно Правила для сообщений (Message Rules)


Помимо этого, Outlook Express позволяет блокировать сообщения, поступающие от определенного отправителя или из некоторого домена:

1. Перейдите в свою папку Входящие (Inbox) и выберите сообщение, полученное от отправителя, которого требуется блокировать.
2. В меню Сообщение (Message) выберите команду Блокировать отправителя (Block Sender).

Примечание

Опция блокирования отправителя действует только применительно к отправителям, использующим протокол POP. Блокировать таким образом отправителей, использующих почту HTTP (Hotmail) или IMAP, нельзя.

После того как вы заблокируете отправителя или целый домен, ни одно почтовое сообщение или сообщение, отправленное в конференцию, не достигнет вашего почтового ящика. Электронная почта, полученная от блокированных отправителей, будет перемещаться непосредственно в папку удаленных сообщений (Deleted Items), а сообщения, отправленные блокированным отправителем в группы новостей, не будут отображаться.

Чтобы удалить блокированного отправителя из списка блокировки:

1. Выберите команду Сервис | Правила для сообщений | Список блокируемых отправителей (Block Sender List). Раскроется окно Правила для сообщений на вкладке Заблокированные отправители (Blocked Senders).
2. Выберите отправителя и нажмите кнопку Удалить (Remove).

 

21.12.gif

Изображение: 

21.13.gif

Изображение: 

31. Улучшенное использование безопасной порты (S/MIME)

 

Улучшенное использование безопасной почты (S/MIME)

Вопрос конфиденциальности и безопасности электронной почты с течением времени не только не теряет своей актуальности, но и ставится все более и более остро. Отправляя конфиденциальную информацию по электронной почте, необходимо иметь уверенность в том, что сообщения не перехватываются и не подделываются.

Какие же возможности по обеспечению конфиденциальности и защищенности электронной почты предоставляет Outlook Express? He претендуя на исчерпывающую полноту (вопросам безопасности и защиты информации посвящаются отдельные серьезные книги), мы изложим в данном разделе только основные сведения о средствах обеспечения конфиденциальности, встроенных в Outlook Express.

Outlook Express представляет собой программный продукт, совместимый со спецификацией S/MIME version 2, и поддерживает следующие алгоритмы шифрования: RC2 (40-битный и 128-битный), DES (56-битный) и 3DES (168-битный). Сразу же следует отметить, что версии Outlook Express, предназначенные для использования за пределами США и Канады, реализуют только 40-битный алгоритм RC2. Что касается 64-битного алгоритма RC2, то Outlook Express может расшифровывать сообщения, которые были зашифрованы с его помощью, но не может отправлять сообщения, зашифрованные с помощью этого алгоритма.

Outlook Express позволяет использовать цифровые идентификаторы, или цифровые удостоверения (digital ID, часто неточно называемые "сертификатами"; более правильное определение сертификата см. ниже) для защиты электронной почты, в частности, для шифрования почтовых сообщений. По умолчанию Outlook Express автоматически добавляет сертификаты, которые приходят по почте, в адресную книгу Windows.

Можно создать неограниченное число подписей, и каждая подпись может быть связана с одной или несколькими учетными записями почты или новостей.

 

32. Принципы работы цифрового идентификатора

 

Принципы работы цифрового идентификатора

Цифровой идентификатор (digital ID) состоит из открытого ключа (public key), личного ключа (private key) и цифровой подписи (digital signature). Когда пользователь подписывает отправляемые им сообщения, он добавляет в состав сообщения свою цифровую подпись и открытый ключ. Комбинация цифровой подписи и открытого ключа называется сертификатом (certificate).

Цифровая подпись отправителя подтверждает получателю подлинность полученных сообщений. Открытый ключ отправителя получатель может использовать для отправки ему зашифрованной почты, расшифровать которую он сможет с помощью своего личного ключа. Таким образом, чтобы отправить зашифрованные сообщения в чей-либо адрес, необходимо включить в адресную книгу цифровые идентификаторы, ассоциированные с получателями. Благодаря этому при помощи открытых ключей получателей вы сможете зашифровывать отправляемые им сообщения. Каждый получатель расшифрует полученное сообщение с помощью своего личного ключа.

Таким образом, прежде чем отправлять сообщения, подписанные цифровой подписью и зашифрованные, необходимо получить цифровой идентификатор.

 

33. Получение цифрового идентификатора

 

Получение цифрового идентификатора

Получение цифрового идентификатора и его добавление к почтовой учетной записи производится в несколько этапов.

1. Необходимо заполнить заявку на получение цифрового идентификатора в организации, уполномоченной предоставлять этот сервис. Если в окне Параметры на вкладке Безопасность (Security) нажать кнопку Получить удостоверение (Get Digital ID), то запустится веб-браузер, который обратится к странице на веб-узле Microsoft, где приводится перечень таких организаций. Например, у компании VeriSign можно бесплатно получить временный (на два месяца) цифровой идентификатор, позволяющий опробовать все режимы безопасности программы Outlook Express.
2. После заполнения формы с запросом на предоставление цифрового идентификатора вы получите (через несколько минут) почтовое сообщение от VeriSign с инструкциями по установке полученного цифровою идентификатора.
3. Раскройте и прочтите письмо. В точности выполните приведенные в нем инструкции.
4. Подтвердите установку цифрового идентификатора.

Отправляя новые сообщения, которые требуется подписать цифровой подписью, выбирайте в меню Сервис команду Цифровая подпись (Digitally Sign). Если отправляемое сообщение требуется также зашифровать, выберите в меню Сервис команду Зашифровать (Encrypt).

Примечание

Обе упомянутые выше команды меню Сервис (Цифровая подпись и Зашифровать) доступны также на панели инструментов окна отправки сообщения.

Примечание

Outlook Express выполняет поиск действующих цифровых идентификаторов, ассоциированных с одним и тем же адресом электронной почты. В случае обнаружения нескольких действующих цифровых идентификаторов вы должны будете выбрать, какой из них будет ассоциирован с вашей почтовой учетной записью.

 

34. Чтение зашифрованных сообщений

 

Чтение зашифрованных сообщений

Предположим, получено почтовое сообщение, которое отправитель подписал своей цифровой подписью и/или зашифровал. Как его прочитать? О том, что сообщение подписано цифровой подписью и/или зашифровано, Outlook Express сигнализирует получателю специальными значками.

Чтение сообщения не должно вызвать у получателя затруднений (если, конечно, это письмо действительно адресовано ему). При попытке открыть такое сообщение на экране появляется окно извещения системы безопасности. Оно выводится исключительно в информационных целях и сообщает о том, что для расшифровки полученного сообщения используется ваш личный ключ. Чтобы прочесть сообщение, нажмите в этом окне кнопку ОК.

При первичном просмотре сообщений, которые были подписаны цифровой подписью и/или зашифрованы, Outlook Express отображает экран со справочной информацией. Если вы не хотите видеть этот экран всякий раз, когда необходимо прочесть защищенное сообщение, установите флажок Больше не выводить это окно (Don't show me this Help screen again). Нажав кнопку Продолжить (Continue), вы сможете прочесть полученное сообщение.



Примечание

Если у вас возникают проблемы с прочтением полученного защищенного сообщения (чаще всего это случается, если сообщение было отправлено не с того адреса, который указан в цифровом идентификаторе отправителя, или если истек срок годности идентификатора), то система безопасности выведет сообщение с описанием возникшей проблемы, которое рекомендуется внимательно прочесть — ведь сообщение могло быть и перехвачено! В зависимости от этой информации следует принимать решение о прочтении содержимого полученного сообщения.

 

35. Добавление цифрового идентификатора получателя в адресную книгу

 

Добавление цифрового идентификатора получателя в адресную книгу

Чтобы отправить конкретному получателю зашифрованное сообщение, необходимо иметь цифровой идентификатор этого пользователя, ассоциированный с его именем в вашей адресной книге. По умолчанию Outlook Express автоматически добавляет цифровые идентификаторы в адресную книгу при получении почтовых сообщений, подписанных цифровой подписью. Если эта опция была отключена, то цифровой идентификатор контактного лица следует добавить вручную. Для этого выберите сообщение, подписанное цифровой подписью, в его контекстном меню найдите команду Свойства, перейдите на вкладку Безопасность , нажмите кнопку Просмотр удостоверений (View Certificates) и в следующем окне нажмите кнопку Добавить в адресную книгу (Add to Address Book).

Записи о контактах, имеющих цифровые идентификаторы, помечаются в адресной книге специальным значком (таким же, как сообщения, подписанные цифровой подписью).

 

36. Настройка опций обмена защищенной почтой

 

Настройка опций обмена защищенной почтой

Чтобы настроить работу с защищенными почтовыми сообщениями, выберите в меню Сервис команду Параметры и перейдите на вкладку Безопасность (рис. 21.14). Опции, необходимые для настройки обмена защищенной почтой, находятся в группе Безопасная почта (Secure Mail):

Если у вас еще нет цифрового идентификатора, начните процедуру его получения, нажав кнопку Получить удостоверение (Get Digital ID).
При нажатии кнопки Цифровые удостоверения (Digital IDs) раскрывается окно Сертификаты (Certificate Manager), приведенное на рис. 21.15 и позволяющее администратору управлять сертификатами.
Рис 21.14. Вкладка Безопасность окна Параметры
Флажки Шифровать содержимое и вложения исходящих сообщений (Encrypt contents and attachments for all outgoing messages) и Включать цифровую подпись во все отправляемые сообщения (Digitally sign all outgoing messages) задают соответствующие режимы защиты сообщений.
При нажатии кнопки Дополнительно (рис. 21.14) раскрывается диалоговое окно Дополнительные настройки системы безопасности (Advanced Security Settings) (рис. 21.16), в котором можно установить дополнительные опции безопасности. В частности, если установлен флажок автоматически добавлять сертификат отправителя в адресную книгу (Add senders' certificates to my address book), то при получении сообщения, подписанного цифровой подписью, Outlook Express проверит, не присутствует ли уже цифровой идентификатор отправителя в адресной книге. Если этот цифровой идентификатор не найден, он будет автоматически добавлен в адресную книгу.

Примечание

Следует иметь в виду, что личные ключи (private keys) сертификатов хранятся на вашем компьютере, и их защищенность соответствует защищенности этого компьютера.

Рис 21.15. Окно Сертификаты (Certificate Manager) позволяет просматривать сертификаты и манипулировать ими



Рис 21.16. Окно Дополнительные настройки системы безопасности позволяет управлять параметрами защиты сообщений

 

21.14.gif

Изображение: 

21.15.gif

Изображение: 

21.16.gif

Изображение: 

Глава 22. Службы Интернета в Windows 2000

Глава 22. Службы Интернета в Windows 2000

1. Службы Internet Information Services (IIS)

 

Глава 22

Службы Интернета в Windows 2000

Internet Information Services (US) — набор базовых служб Интернета, в состав которых входят: веб-сервер, FTP-сервер, SMTP-сервер, NNTP-сервер и ряд дополнительных служб. Службы IIS предоставляют множество новых возможностей, которые могут превратить систему Windows 2000 в мощную платформу для распределенных сетевых приложений. Службы IIS объединены при помощи стандартного интерфейса администрирования и общих методов управления.

Примечание

В системе Windows 2000 аббревиатура "IIS" расшифровывается несколько иначе, чем в системах Windows NT, где она означала Internet Information Server. Теперь это Internet Information Services (Информационные службы Интернета). В первую очередь — из-за того, что Интернет-службы стали стандартными компонентами операционной системы (хотя и не все службы обязательно инсталлировать), и их функциональные возможности были значительно расширены.



Службы Internet Information Services (IIS)

Общие характеристики

Службы Internet Information Services имеют ряд основных возможностей, которые кратко описаны ниже.

Службы IIS базируются на сетевых стандартах. В Microsoft Internet Information Services реализован стандарт протокола HTTP 1.1, включая возможность применения команд PUT и DELETE, настройки сообщений об ошибках HTTP и поддержку пользовательских заголовков HTTP. Также имеется поддержка заголовков, несущих информацию об узле, при помощи которой можно создать несколько веб-узлов на одном компьютере под управлением Windows 2000 с одним адресом IP. Это полезно для поставщиков услуг Интернета и для реализации узлов корпоративных интрасетей.

Динамическое содержание. В IIS можно создавать сценарии, выполняющиеся на стороне сервера, и использовать компоненты для создания динамического содержания, независимого от браузера. Активные серверные страницы ASP обеспечивают удобную для применения альтернативу CGI и ISAPI, позволяя разработчикам информационного содержимого узлов применять в страницах HTML любые языки сценариев ActiveX или серверные компоненты. ASP обеспечивает доступ ко всем потокам запросов и ответов HTTP, поддерживает стандартные методы доступа к базам данных и возможность настройки содержания для различных браузеров.

Централизованное администрирование. Службы IIS управляются с пбмощью консоли управления Microsoft (MMC). Управление службами возможно при помощи оснастки ММС, запущенной на компьютере с Windows 2000 (рис. 22.1).

Безопасность. Secure Sockets Layer (SSL, Уровень защищенных сокетов) версии 3.0 обеспечивает безопасный способ обмена информацией между клиентом и сервером. В дополнение к механизмам шифрования предыдущих реализаций SSL, SSL 3.0 обеспечивает способ аутентификации клиента без необходимости его регистрации (login) на сервере US.



Рис 22.1. Оснастка Internet Information Services




В IIS клиентские сертификаты распространяются и на приложения ISAPI, и на страницы ASP таким образом, чтобы программисты могли отслеживать работу пользователей на узлах. В свою очередь, IIS может ''отображать" клиентский сертификат на учетную запись пользователя Windows 2000 так, чтобы администратор мог управлять доступом к ресурсам системы, основываясь на клиентском сертификате.

Дополнительные средства администрирования. IIS содержат основанные на веб-интерфейсе инструменты администрирования, которые позволяют удаленно управлять сервером с помощью веб-браузера на различных платформах (рис. 22.2). В Windows 2000 пользовательским учетным записям можно давать ограниченные привилегии администрирования веб-узла, что помогает распределить административные задачи.

 

22.1.gif

Изображение: 

2. Новые возможности

 

Новые возможности

У веб-сервера, входящего в число служб IIS в Windows 2000, появилось много новых возможностей по сравнению с предыдущими версиями (Internet Information Server 4.0, входившим в состав Option Pack для Windows NT 4.0 и более ранними версиями IIS, поставлявшимися отдельно). Основные функциональные возможности, которые появились или были усовершенствованы в этой версии веб-сервера:

Публикация информации на сервере стала проще

Сжатие HTTP. Обеспечивает более компактную передачу страниц между веб-серверами и клиентами, которые поддерживают получение сжатой информации. Сжимает и кэширует статические файлы, и выполняет по требованию сжатие динамически сгенерированных файлов.

Распределенная поддержка авторских версий (Distributed Authoring and Versioning, DAV). Дает возможность авторам веб-страниц удаленно редактировать, перемещать или удалять файлы, изменять параметры файлов, каталоги и параметры каталогов на сервере при помощи административных утилит, работающих по протоколу HTTP.

Новые возможности ASP. В механизмах Active Server Pages (ASP, Активные серверные страницы) расширены старые возможности и появились новые которые повышают производительность и улучшают выполнение сценариев на стороне сервера (см. ниже).

Докачка по протоколу FTP. Теперь при получении файла по протоколу FTP можно производить повторную докачку с места, на котором был прерван предыдущий сеанс.

Мастер создания веб-узлов (New Web Site) и Мастер создания виртуальных каталогов (New Virtual Directory). Эти мастеры можно вызвать из оснастки управления IIS, они облегчают создание новых веб-узлов и виртуальных каталогов на сервере.

Улучшенная безопасность

Новые механизмы аутентификации. Предоставляют возможности по надежной аутентификации пользователей, подключенных через серверы-посредники (proxy) и брандмауэры (firewall).

Новые мастера безопасности, которые упрощают задачи администрирования сервера: ,.

  • Мастер сертификатов (Certificate Wizard). Упрощает задачи администрирования сертификатов — создание запросов на получение сертификатов и управление циклом жизни сертификата.
  • Мастер разрешений (Permissions wizard). Позволяет облегчить редактирование и конфигурирование доступа к веб-узлу — обеспечивает назначение политик доступа к виртуальным каталогам и файлам. Мастер разрешений может также отображать политику доступа к веб-узлу при помощи файловых разрешений NTFS.
  • Мастер CTL (CTL Wizard). Можно использовать этот мастер для настройки списков доверия сертификатов (Certificate Trust List, CTL).

CTL — список центров авторизации или поставщиков сертификатов (Certificate Authorities, СА), получивших доверие, для заданного каталога. CTL особенно полезен для поставщиков услуг Интернета (ISP), которые держат на своем сервере много веб-узлов клиентов и должны хранить различные утвержденные списки центров авторизации для каждого узла.

Стандарт безопасности Fortezza- В службах IIS поддерживается американский правительственный стандарт безопасности, обычно называемый Fortezza. Этот стандарт удовлетворяет архитектуре безопасности Defence Messaging System (Система передачи сообщений Министерства обороны), поддерживая механизм шифрования, который обеспечивает конфиденциальность сообщений, целостность, аутентификацию и управление доступом к сообщениям, компонентам и системам. Эти возможности могут быть реализованы при помощи программного обеспечения сервера, браузера, либо при помощи аппаратных средств — платы PCMCIA

Шлюзовое серверное шифрование (Server-Gated Cryptography, SGC). Это расширение протокола SSL, которое позволяет финансовым учреждениям, использующим службы IIS в экспортном варианте, применять мощное 128-разрядное шифрование. Возможности SGC встроены в службы IIS, однако, чтобы использовать SGC, требуется специальный сертификат SGC.

Безопасность Kerberos. Службы IIS полностью интегрированы с моделью безопасности Kerberos, реализованной в Microsoft Windows 2000.

Расширенные возможности администрирования

Учет процессов (process accounting). Предоставляет информацию о том, как веб-узлы расходуют ресурсы процессора сервера. Эта информация полезна для выявления узлов, непропорционально использующих ресурсы процессора (в том числе сценариев или процессов CGI, содержащих ошибки).

Ограничение процессов (process throttling). Ограничивается время, которое процессор тратит на обработку процессов ASP, приложений ISAPI или CGI для отдельных веб-узлов.

Возможности для разработчиков приложений доступа к данным. Автор сценария, проектировщик или разработчик приложений доступа к базам данных и файлам может использовать следующие функциональные возможности IIS:

Выполнение сценариев, включенных в веб-страницы. При помощи ASP-страниц можно внедрять сценарии в страницы HTML и применять серверные компоненты ActiveX, чтобы реализовывать динамическую бизнес-логику на базе веб. Сценарии могут быть написаны на языке Microsoft Visual Basic, Scripting Edition, или на Microsoft JScript, а также на любом другом языке создания сценариев ActiveX, для которого имеется соответствующая поддержка в US (engine).
Доступ к базам данных. Если создаются и исполняются программы для доступа к базам данных, можно сделать эти программы более дружественными и более эффективными при помощи Microsoft Data Access Components (MDAC, Компоненты доступа к данным Microsoft), набора методов баз данных, интегрированных с IIS. Компоненты MDAC включают Microsoft Remote Data Service (RDS, Служба удаленных данных, ранее называвшаяся ADC), Microsoft ActiveX Data Objects (ADO, Объекты данных ActiveX), OLE DB и Open Database Connectivity (ODBC, Интерфейс открытого взаимодействия с базами данных). Кроме того, при помощи службы СОМ+, которая теперь включает все функциональные возможности, ранее поддерживаемые MTS (Microsoft Transaction Server, сервер транзакций Microsoft), можно структурировать взаимодействие с базами данных при помощи транзакций.

Примечание

Транзакции — это действия, состоящие из нескольких шагов, которые выполняются как единое целое и могут либо успешно завершиться, либо "откатиться" к исходному состоянию.

Управление группами страниц. При помощи Microsoft FrontPage Server Extensions (Серверные расширения для FrontPage) можно легко управлять группами страниц веб-узла. Встроенный анализатор содержания позволяет просматривать карту сервера в удобном для понимания визуальном формате, который облегчает управление файлами и связями.
Предоставление возможностей поиска. При помощи Службы индексирования (Indexing Service) можно создавать настраиваемые формы, которые предоставляют возможность поиска информации на веб-страницах или в других файлах веб-узла. Служба индексирования индексирует текстовое содержимое документов, хранящихся на сервере, на котором работает IIS, а также их свойства. Пользователи могут посылать поисковые запросы из любого браузера, заполняя простую форму.

Возможности для администраторов. Для администраторов информационных служб HS обеспечивает эффективное выполнение следующих действий:

Установка веб- и FTP-узлов. Можно устанавливать, конфигурировать и управлять веб- и FTP-узлами средствами оснастки Internet Information Services, графического интерфейса для администрирования служб IIS. Можно конфигурировать каждый узел и каталог по-своему, даже в случае использования нескольких узлов на одном сервере; имеются средства установки некоторых конфигурационных параметров (например, разрешения доступа), которые применяются даже на уровне конкретных файлов.
Автоматизация типовых задач администрирования. Можно создавать сценарии для выполнения всех задач администрирования IIS, разделив их на более простые процедуры. Эти задачи включают добавление или изменение веб-узлов, добавление групп, изменение разрешений доступа и управление регистрацией.
Защита узла. Службы IIS позволяют настраивать ряд параметров безопасности, используя встроенные в Windows 2000 механизмы безопасности, например учетные записи пользователей и средства безопасности файловой системы NTFS 5.0. Службы IIS имеют дополнительные возможности по обеспечению безопасности, включая блокирование доступа (блокирование попыток, сделанных с заданных IP-адресов) и безопасную связь между компьютерами с помощью SSL. В поставку 'Windows 2000 включен Сервер сертификатов (Microsoft Certificate Server), который может выдавать сертификаты серверу или клиенту.
Регистрация действий и настройка производительности сервера. Оснастки Системный монитор (System Monitor) и Просмотр событий (Event Viewer) .позволяют отслеживать работу сервера. Также в IIS используется собственное протоколирование, которое фиксирует все заданные действия. При помощи различных встроенных средств можно анализировать журналы и поведение сервера ” принимать решения. Можно настраивать производительность сервера при помощи административных инструментов и установок IIS. Также можно улучшать производительность сервера, используя возможности, перечисленные ниже в разделе "Возможности для разработчиков сценариев" данной главы.
Поддержка диалоговой обработки запросов. При помощи технологий СОМ+ можно группировать компоненты (дискретные модули кода) в пакеты, которые используют специальную среду для выполнения в виде транзакций. В новой версии IIS внутри транзакций можно выполнять не только приложения, но и сценарии. Те функции, что ранее поддерживались MTS, теперь полностью интегрированы с СОМ+.

Эффективный поиск (см. выше).

Возможности для разработчиков сценариев. Службы IIS предоставляют разработчику сценариев (программисту) среду для разработки приложений, которая эффективно управляет потоками и процессами и обеспечивает высокую масштабируемость. Можно использовать следующие функциональные возможности IIS для того, чтобы обеспечить дополнительную поддержку сценариев, компонентов или распределенных приложений:

Возможность изолирования процессов. Можно настроить IIS таким образом, чтобы изолировать друг от друга приложения, выполняющиеся в контексте IIS, т. е. заставить их работать & отдельных областях памяти. Это означает, что если приложения функционируют неправильно, они не будут воздействовать на работу других приложений или сервера в целом.
Интеграция с технологиями доступа к данным. При создании и выполнении программ для доступа к базам данных можно использовать набор компонентов доступа к данным MDAC (см. выше).
Разработка надежных приложений с применением СОМ+. Можно выполнять сценарии или приложения внутри одной транзакции. Объекты активизируются по требованию и деактивизируются после использования. Это позволяет экономить ресурсы сервера и увеличить число пользователей, одновременно работающих с приложением.

 

3. Новые возможности ASP

 

Новые возможности ASP

Active Server Pages — основной механизм создания веб-ориентированных приложений для HS. ASP были расширены возможностями, которые делают более легким применение ASP для разработчиков сценариев и веб-приложений.

Новые возможности по управлению Потоком данных. Объект ASP Server имеет два новых метода, которые можно использовать для управления потоком данных из программы (Server.Transfer и Server.Execute). Эти методы действуют более эффективно, чем переназначение запросов, которое требует высокой производительности:сети при передаче данных клиенту и обратно; эти методы обеспечивают передачу запросов непосредственно файлу *.asp, при этом поток управления не покидает сервер.

Обработка ошибок. ASP-страницы содержат новую возможность обработки ошибок, которая осуществляет перехват ошибок при помощи ловушек (traps) и дает пользовательское сообщение об ошибке. При помощи нового метода, Server.GetLastError, можно отображать полезную информацию, например, описание ошибки или номер строки в файле *.asp, где произошла ошибка.

ASP без сценариев (scriptless ASP). Поскольку статическое содержание обычно обрабатывается быстрее, чем содержание, сгенерированное сервером динамически, было бы лучше заранее присваивать расширение asp только файлам, которые реально содержат функциональные возможности ASP. Всякий раз, когда требовалось добавить функциональные возможности ASP статическим файлам HTML, нужно было вручную присвоить файлу расширение asp и обновить связанные с ним гаперссылки. В новой версии файлы *.asp, которые не используют функциональных серверных возможностей, будут обработаны быстрее, чем ранее. Так, при создании веб-приложения, в котором файлы могут, в конечном счёте, требовать использования функциональных возможностей ASP, теперь можно назначать этим файлам расширение asp независимо от того, содержат ли они статическую информацию или серверные расширения.

Улучшенная производительность компонентов. В состав IIS включены расширенные версии наиболее часто используемых объектов ASP, которые обеспечивают повышенную производительность.

Интеграция с XML. Язык extensible Markup Language (XML, Расширяемый язык разметки) позволяет легко описывать сложные структуры данных и совместно использовать информацию в клиентских и серверных приложениях. Новый синтаксический анализатор XML, включенный в Internet Explorer версии 4.0 и выше, сделал возможным создание ASP-приложений, позволяющих веб-серверу обмениваться форматированными данными XML с Internet Explorer и другими браузерами или с любыми другими серверами, имеющими поддержку XML.

Сервер скриптлетов. ASP поддерживает новую мощную технологию создания сценариев — сервер скриптлетов (от "scriptlet" — маленький сценарий). Теперь можно оформлять логические бизнес-правила сценариев в виде компонентов СОМ для многократного применения их в веб-приложениях, а также в других программах, поддерживающих СОМ.

Новый способ определять возможности браузера. ASP имеет новую возможность для определения точных возможностей браузера. Когда браузер посылает файл cookie с описанием своих возможностей (файл cookie может быть передан серверу при помощи простого сценария на стороне клиента), можно создать образец компонента возможностей браузера, который получает реквизиты браузера в том виде, в каком браузер вернул их в cookie. Так, прежде чем пользователь обратится к веб-приложению, мбжно выбрать этот путь, чтобы обнаружить возможности браузера и скорректировать поведение приложения.

Автоподстройка ASP. Механизм ASP теперь чувствителен при выполнении запросов к блокированию внешних ресурсов и автоматически создает большее количество потоков, чтобы выполнить дополнительные запросы и продолжать нормальную обработку. Когда процессор становится слишком загруженным, механизмы поддержки ASP сокращают число потоков, чтобы уменьшить время на переключение приложений, что происходит, когда одновременно выполняется слишком много неблокирующихся запросов.

 

4. Новая архитектура информационных систем

 

Новая архитектура информационных систем

Многоуровневые приложения. Современные приложения типа "клиент-сервер" настолько не похожи на своих предшественников, что им было дано новое имя — многоуровневые приложения. Такая архитектура называется также n-уровневой или многоуровневой. В этой модели обработка данных распределена между клиентом и сервером, и бизнес-логика располагается на среднем уровне. С функциональной точки зрения большинство систем реализует три следующих основных задачи:

Представление данных
Бизнес-логика
Службы хранения данных

Уровень представления данных включает всю работу с пользователем. На этом уровне пользователи могут не только взаимодействовать с приложением, вводить данные и просматривать результаты запросов, но и управлять манипулированием данными и их форматированием после того, как они попадают на клиентскую сторону. В веб-технологии задача уровня представления данных выполняет браузер.

Службы хранения данных обеспечиваются различными структурированными хранилищами информации (серверами БД, например, Microsoft SQL Server, Oracle) или неструктурированными хранилищами (Microsoft Exchange, Microsoft Message Queue Services), которые управляют и обеспечивают доступ к данным из приложения. Отдельный запрос может потребовать использования одного или более хранилищ данных.

Между этими двумя уровнями находится область для разработки распределенных приложений. Уровень бизнес-логики задает правила управления обработкой приложений, соединяет пользователя на одном конце с данными на другом.

Трехуровневая архитектура изолирует каждый сегмент функциональных возможностей. Представление не зависит от правил обработки и бизнес-логики, которая, в свою очередь, является отдельной от данных. Эта модель требует намного больше затрат на анализ и проектирование, но значительно уменьшает расходы на техническую поддержку и сопровождение и, в конечном счете, увеличивает функциональную гибкость. На рис. 22.3 представлена схема, которая описывает технологии Microsoft, обслуживающие различные уровни в системах с новой архитектурой.



Рис 22.3. Архитектура трехуровневых систем на базе служб Microsoft


Распределенная архитектура Интернет-приложений. Компания Microsoft разработала технологию Windows Distributed interNet Application Architecture (Windows DNA, Распределенная архитектура Интернет-приложений Windows), полностью интегрирующую многоуровневую модель разработки с веб-технологией. Windows DNA определяет каркас для создания решений, которые удовлетворяют требованиям корпоративных вычислений, Интернета, интрасетей и глобальной электронной торговли, уменьшая при этом издержки на общую разработку и развертывание системы.

В архитектуре Windows DNA стандартные службы на базе Windows выполняют определенные задачи на каждом уровне в многоуровневом решении, обеспечивая интерфейс пользователя и навигацию, бизнес-логику и хранение данных. Различные службы интегрированы при помощи Common Object Model (COM, Общая объектная модель). Службы, используемые в Windows DNA, включают; Dynamic HTML (Динамический HTML), Active Server Pages (Активные серверные страницы, ASP), компоненты COM, Microsoft Transaction Server,, службу Active Directory, службы безопасности Windows 2000, Microsoft Message Queue Services (MSMQ, Службы очереди сообщений) и компоненты доступа к данным Microsoft.

Архитектура Windows DNA создана с применением открытых протоколов и общедоступных интерфейсов, что облегчает организациям задачу интеграции новых систем с продуктами третьих фирм. Обеспечивая промышленные стандарты Интернета, Windows DNA упрощает работы по внедрению новых технологий для разработчиков. На рис. 22.4 представлена схема, которая иллюстрирует технологии — составные части Windows DNA.



Рис 22.4. Технологии Windows DNA

 

22.2.gif

Изображение: 

22.3.gif

Изображение: 

5. Установка и удаление служб IIS

 

Установка и удаление служб IIS

Службы Internet Information Services устанавливаются на компьютере с Windows 2000 Server по умолчанию. Можно установить IIS, удалить или установить дополнительные компоненты, используя значок Установка и удаление программ (Add/Remove Programs) из панели управления.

 

6. Установка IIS

 

Установка IIS

Чтобы установить IIS, добавить или удалить компоненты:

1. Выберите команду Пуск (Start) | Настройка (Settings) | Панель управления (Control panel) и дважды щелкните на значке Установка и удаление программ (Add/Remove Programs).
2. В левом столбце диалогового окна Установка и удаление программ перейдите на вкладку Установка и удаление компонентов Windows (Add/Remove Windows Components).
3. Когда запустится Мастер компонентов Windows (Windows Components Wizard), нажмите кнопку Далее (Next).
4. В списке Компоненты (Windows Components) выберите Internet Information Services (IIS) (рис. 22.5).
5. Нажмите кнопку Далее и следуйте командам мастера.

 

7. Основные компоненты IIS

 

Основные компоненты IIS

Основные компоненты IIS, которые можно удалить или установить из панели управления (рис. 22.6):

Общие файлы (Common Files)
Документация (Documentation)
FTP-сервер (File Transfer Protocol) (File Transfer Protocol (FTP) Server)
Серверные расширения для FrpntPage 2000 (FrontPage 2000 Server Extensions)
Объект IIS для консоли ММС (Internet Information Services Snap-In)
Диспетчер служб Интернета (HTML) (Internet Services Manager (HTML))
Служба NNTP (NNTP Service) П Служба SMTP (SMTP Service)
Поддержка удаленного развертывания Visual InterDev RAD (Visual InterDev RAD Remote Deployment Support)
Веб-сервер (World Wide Web Server)



Рис 22.5. Установка и удаление служб IIS




Рис 22.6. Компоненты служб IIS



Примечание

Если ОС Windows 2000 устанавливалась поверх предыдущей версии Windows, IIS устанавливаются по умолчанию, только если веб-сервер (IIS) был установлен в предыдущей версии Windows.

 

22.4.gif

Изображение: 

22.5.gif

Изображение: 

8. Удаление IIS

 

Удаление IIS

Удаление служб IIS производится при помощи той же процедуры, что и установка. Для удаления IIS сбросьте флажок рядом с названием компонента Windows в списке компонентов.

Каталоги, содержащие пользовательские данные, остаются в системе после того, как IIS полностью удаляется:

\Inetpub
%SystemRoot%\Help\iisHelp
%SystemRoot%\system32\inetsrv

 

9. Администрирование служб IIS

 

Администрирование служб IIS

Инструменты управления

Не всегда удобно администрировать службы IIS непосредственно на компьютере, где они установлены. Для решения проблем локального и удаленного администрирования есть два средства: если соединение с сервером устанавливается через Интернет или через прокси-сервер, можно использовать Диспетчер служб Интернета (HTML) (Internet Services Manager (HTML)), который доступен через веб-браузер и позволяет настраивать различные свойства узлов; если соединение с сервером устанавливается через интраееть, можно использовать или диспетчер служб Интернета (HTML), или оснастку Internet Information Services. Хотя диспетчер служб Интернета (HTML) и предоставляет большинство возможностей оснастки, однако изменение свойств, которое требует взаимодействия с утилитами Windows, не может быть выполнено с его помощью.

Внимание

В предыдущей версии IIS оснастка для управления службами называлась Internet Services Manager . В Windows 2000 оснастка называется Internet Information Services, а ярлык в меню Пуск — Диспетчер служб Интернета (Internet Services Manager).

Также для удаленного администрирования доступна онлайновая версия документации. Чтобы обратиться к документации, запустите браузер и введите в поле адреса URL http://имя_cepвepa/iishelp, где имя_сервера — реальное доменное имя компьютера, на котором функционируют службы IIS.

Для удаленного управления IIS можно также использовать возможности служб терминалов (Terminal Services). Удаленное управление может производиться с компьютера под управлением любой ОС, для которой существует клиент служб терминалов Microsoft, при этом на удаленном компьютере не нужно устанавливать никакие средства администрирования IIS.

Оснастка Internet Information Services. Оснастка Internet Information Services (рис. 22.1) — средство администрирования IIS, доступна из меню Пуск | Программы | Администрирование | Диспетчер служб Интернета (Start | Programs | Administrative Tools | Internet Services Manager). Также она включена в состав оснастки Управление компьютером (Computer Management).

Для запуска оснастки Internet Information Services:

1. Запустите оснастку Управление компьютером. Один из способов — нажать кнопку Пуск (Start), а затем в меню выбрать команду Пуск | Программы | Администрирование | Управление компьютером (Programs | Administrative Tools | Computer Management).
2. В дереве в группе Службы и приложения (Services and Applications) найдите и разверните узел Internet Information Services.

Примечание

Для удобства средство администрирования US (которое представляет собой оснастку Internet Information Services) будем также называть по имени ярлыка из меню Пуск (Start) — Диспетчер служб Интернета {Internet Services Manager).

Диспетчер служб Интернета (HTML). Для управления свойствами IIS в диспетчере служб Интернета (HTML) 4 (рис. 22.2) используется узел, который в списке узлов отображается как Администрирование веб-узла (Administration Web Site). При установке IIS автоматически случайно выбирается номер порта в диапазоне от 2000 до 9999, который назначается этому веб-узлу. Узел отвечает на запросы веб-браузеров, независимо от того, к какому доменному имени (из связанных с данным компьютером) происходит обращение, при совпадении номера порта, который добавляется в конце к имени узла. Если используется базовая (basic) аутентификация, то от администратора при подключении к административному узлу будут запрошены имя пользователя и пароль. Только члены группы Windows Администраторы (Administrators) могут использовать этот административный узел. Также управлять узлом дистанционно могут Операторы узла (Web Site Operators). Хотя HTML-версия диспетчера служб Интернета реализует большинство функциональных возможностей оснастки IIS, версия с использованием HTML предназначена для удаленного управления по медленным коммутируемым линиям. В ней не поддерживается, например, щелчок правой кнопкой мыши. Многие из знакомых кнопок на панели или заголовки вкладок отображаются в виде гиперссылок в левой панели окна браузера.

 

10. Администрирование служб веб и FTP

 

Администрирование служб веб и FTP

Веб-узлы и FTP-узлы. В интрасетях и Интернете можно создавать несколько веб- и FTP-узлов (сайтов) на одном компьютере, который работает под управлением Windows 2000, одним из следующих способов:

При помощи разных номеров портов для одного адреса
Используя несколько IP-адресов, назначенных одному адаптеру
Используя несколько доменных имен для одного IP-адреса и одного сетевого адаптера

Предположим, что в корпоративной интрасети системный администратор установил на сервере компании систему Windows 2000 Server со службами IIS и создал единственный узел по умолчанию, который имеет адрес http://Information. Системный администратор может создать два дополнительных информационных узла, по одному для каждого отдела, например, для отдела продаж (Sales) и для отдела закупок (Purchase).

Хотя оба узла расположены на одном компьютере (Information), они являются автономно функционирующими узлами (сайтами). Эти узлы имеют раздельные настройки защиты, как если бы они находились на разных компьютерах, поскольку каждый узел имеет собственные параметры доступа и настройки разрешений по администрированию. Кроме того, административные задачи могут быть распределены между членами каждого отдела.

Свойства и наследование свойств. Свойства— параметры, которые могут быть настроены для конкретного узла. Например, можно использовать оснастку Internet Information Services, чтобы изменить порт TCP по умолчанию (80) для сервера на другой номер порта. Свойства узла видны в окнах свойств и хранятся в базе данных, которая называется метабазой (metabase).

В процессе инсталляции IIS различным свойствам и параметрам присваиваются значения по умолчанию. Можно использовать настройки по умолчанию для IIS или настраивать эти параметры, чтобы адаптировать функциональность сервера к потребностям сети. Можно также обеспечить дополнительные функций, улучшить производительность, а также изменить настройки защиты, внося изменения в настройки по умолчанию.

Свойства могут быть установлены на уровне узлов, на уровне каталогов, или на уровне файлов. Параметры настройки на более высоких уровнях (например, на уровне узлов) автоматически используются (наследуются) более низкими уровнями (например, уровнем каталогов), но все могут редактироваться раздельно на более низком уровне. Если свойство было изменено для отдельного узла, каталога или файла, а затем будет произведен возврат к значению по умолчанию, то автоматическая настройка не отменит индивидуальную настройку. При выполнении такого рода действий администратор получит предупреждающее сообщение, и ему нужно будет ответить на вопрос, хочет ли он изменить настройку для отдельного узла, каталога или файла, чтобы она соответствовала новым значениям по умолчанию.

Некоторые свойства имеют значение, которое представляет собой список. , Например, значение свойства "Документ, используемый по умолчанию" (Default Document) — список документов, которые будут загружены, когда пользователь не задает файл в URL. Пользовательские сообщения об ошибках, управление доступом по TCP/IP, отображение MIME —- примеры свойств, которые хранятся в виде списка. Хотя эти списки состоят из нескольких записей, IIS рассматривает список целиком как единое целое. Если список редактируется для каталога, а затем производится глобальная замена на уровне узлов, список на уровне каталога полностью заменяется новым списком с уровня узла; списки не объединяются. Также свойства-списки отображаются в виде списка с составом только на верхнем уровне, управляющем, или на уровне узла или каталога, для которого значение по умолчанию было изменено. Значения-списки не отображаются, если они являются унаследованными значениями по умолчанию.

Фильтры отображаются в виде списка, но обрабатываются не как список. Если фильтры добавляются на уровне узлов, то новые фильтры объединяются со списком фильтров от управляющего уровня. Если два фильтра имеют одинаковые установки приоритетов, фильтр с управляющего уровня загружается перед фильтром с уровня узла.

Если создается несколько веб- или FTP-узлов, можно редактировать значения по умолчанию (рис. 22.7) таким образом, чтобы каждый узел, который создается, наследовал пользовательские значения узлов по умолчанию (Веб-узел по умолчанию и FTP-узел по умолчанию (Default Web Site и Default FTP Site)).



Рис 22.7. Свойства веб-узла по умолчанию


Операторы узла. Это специальная группа пользователей, которым предоставлены ограниченные административные привилегии для данного узла. Операторы могут управлять свойствами, имеющими отношение только к соответствующему узлу. Они не имеют доступа к свойствам, которые относятся к управлению IIS в целом, к управлению компьютером-сервером Windows или сетью.

Например, поставщик Интернет-услуг, поддерживающий узлы множества различных компаний, может делегировать полномочия на поддержку соответствующих узлов представителю каждой компании в качестве оператора узла. Этот метод распределенного администрирования сервера имеет следующие преимущества:

Каждый оператор может действовать в качестве администратора узла и может изменять узел (его наполнение и настройки) по мере необходимости. Например, оператор может устанавливать разрешения доступа к узлу, разрешать ведение журнала, изменять документ по умолчанию или заголовок, устанавливать временные параметры и т. п.
Оператор узла не может изменять параметры аутентификации узла, конфигурировать имя анонимного пользователя или пароль, настраивать ширину полосы пропускания, создавать виртуальные каталоги или изменять их пути и т. п.
Поскольку операторы имеют большие ограничения по привилегиям, чем администраторы узлов, они не могут дистанционно просматривать файловую систему и поэтому не могут устанавливать свойства каталогов и файлов, если только не используется UNC-путь.

FTP-докачка. FTP-докачка (с использованием команды REST) решает проблему, возникающую при потере соединения при загрузке файлов. Клиентам, которые поддерживают докачку, нужно выполнить только восстановление подключения и, при помощи команды REST, продолжить передачу данных на том месте, где она была прервана.

Примечание

В IIS докачка по протоколу FTP невозможна в следующих случаях: при использовании запроса на получение файла по маске (МОЕТ), при передаче файлов на сервер (PUT) или при получении файлов размером более 4 Гбайт.

Сопоставление MIME. MIME (Multipurpose Internet Mail Extensions, Многоцелевые почтовые расширения Интернета) — стандарт сети Интернет, который предоставляет возможность программам просмотра (браузерам) определять формат файла и корректно его отображать. Зарегистрированные типы файлов, которые установлены по умолчанию в Windows 2000, перечислены в окне Типы файла (File type), доступном на вкладке Internet Information Services в диалоговом окне свойств служб IIS данного компьютера (доступны для компьютера из контекстного меню корневого узла оснастки Internet Information Services).

Сопоставления (map) MIME могут быть настроены на уровне компьютера, на уровне узла, на уровне виртуального каталога, на уровне каталога или на уровне файлов. Чтобы настроить отображения MIME на уровне компьютера, необходимо перейти в диалоговое окно Свойства (Properties) служб IIS данного компьютера (в контекстном меню в оснастке IIS выбрать пункт меню Свойства). Чтобы настроить отображения MIME на других уровнях, нужно использовать вкладку Заголовки HTTP (HTTP Headers) диалогового окна свойств объекта соответствующего уровня.

Предупреждение

Отображения MIME, заданные на уровне компьютера, не отменяют автоматически установки на более низких уровнях.

 

22.6.gif

Изображение: 

11. Управление информационным наполнением

 

Управление информационным наполнением

Необходимость в корректном управлении содержимым (наполнением, content) очевидна. Предположим, что создан сложный информационный сервер преуспевающей компании. На каком-то этапе был спроектирован дизайн сервера — заголовки, подвалы и элементы оформления. Однако в самом конце выяснилось, что была допущена ошибка в логотипе компании, который расположен на всех многочисленных страницах узла. Возможны также неисправности в аппаратной части компьютера. При этом может понадобиться перенаправить всех пользователей узла на другой, резервный сервер, пока производится восстановление аппаратуры.

Такие проблемы ярко демонстрируют необходимость корректного управления веб-узлом. И хотя эффективное управление узлом, в конечном счете, зависит от навыка администратора, существует множество основных инструментов и процедур, применяемых для решения наиболее важных задач управления.

Начальные действия. Сначала нужно создать веб-узел и указать, в каких каталогах хранятся публикуемые документы. Веб-сервер не может опубликовать документы, которые находятся вне пределов указанных каталогов. Первым шагом в развертывании веб-узла является задание организационной структуры файлов. После этого, используя оснастку Internet Information Services, нужно задать, какие каталоги являются частью узла.

Если необходимо опубликовать информацию немедленно, не тратя время на создание структуры каталогов узла, и все файлы расположены на одном и том же жестком диске, можно просто скопировать публикуемые файлы в основной каталог по умолчанию, \InetPub\Wwwroot. (Для FTP-узла, нужно скопировать файлы в каталог \InetPub\Ftproot.) Пользователи сети смогут обращаться к этим файлам, вводя URL-адрес http://server/имя_файла

Задание домашних каталогов. Каждый веб-узел или FTP-узел должен иметь корневой (домашний) каталог. Домашний каталог — отправная точка для организации информационной структуры публикуемых страниц. Он содержит домашнюю страницу или индексный файл, который является стартовой страницей узла и содержит ссылки на другие страницы на узле. Домашний каталог привязывается к имени домена узла или к имени сервера.

Например, если имя домена узла — www.myfirm.com и корневой каталог — \Webserver\MyFirm, то браузер, обращаясь по URL http://www.myfirm.com, получит файлы из корневого каталога. В интрасети, если имя сервера — Infoserver, то браузер, обращаясь по URL http://Infoserver, получит доступ к файлам в корневом каталоге.

Корневой каталог по умолчанию создается при установке Internet Information Services, а также при создании нового веб-узла. Корневой каталог можно изменять (рис. 22.8).



Рис 22.8. Задание домашнего каталога


Виртуальные каталоги. Чтобы публиковать информацию из любого каталога, который не содержится внутри корневого каталога, нужно создать виртуальный каталог. Виртуальный каталог— это каталог, который не содержится в корневом каталоге, но для клиента он выглядит так, как если бы он был частью корневого каталога.

Виртуальный каталог имеет псевдоним, то есть имя, которое веб-браузеры используют для обращения к этому каталогу. Поскольку псевдоним обычно короче полного пути каталога, пользователям его удобнее вводить. Псевдоним безопаснее; пользователи >не знают, где файлы физически расположены на сервере, и не могут использовать эту информацию для изменения этих файлов. Псевдонимы упрощают перемещение каталогов в узле. Не изменяя URL-адрес каталога, можно изменить отображение между псевдонимом и физическим местоположением каталога.

Предположим, что для публикации информации в сети установлен узел infoserver. В табл. 22.1 показано соответствие между физическим местоположением файлов и URL, по которому файлы доступны.

Таблица 22.1. Примеры соответствия между физическим местоположением, псевдонимом и URL-адресом
Физическое местоположение Псевдоним Путь URL
c:\wwwroot Домашний каталог (нет псевдонима) http:/flnfoserver
\\Server2\info\Data Data http://Sales/Data
c:\wwwroot\Schedule Нет httyj://infoserver/Schedule
c:\wwwroot\Products Нет http://infoserver/Schedule
d :\samples\documents Text http://infoserver/Schedule

Как виртуальные, так и физические каталоги (каталоги без псевдонима) видны в оснастке Internet Information Services. Виртуальный каталог обозначается в виде значка папки с глобусом в углу.

Для простого веб-узла не требуется создание виртуальных каталогов. Можно просто разместить все файлы в основном каталоге узла. Если нужно построить сложный узел или задать различные URL для различных частей узла, можно добавлять виртуальные каталоги по необходимости.

Переадресация запросов. Когда браузер запрашивает страницу с узла, веб-сервер ищет страницу по заданному URJL и возвращает ее браузеру. Когда страница перемещается внутри узла, не всегда можно исправить все связи, которые ссылаются на старый URL страницы. Чтобы удостовериться в том, что браузеры смогут найти страницу по новому URL, можно заставить веб-сервер предоставлять браузеру новый URL. Браузер использует новый URL, чтобы запросить эту страницу снова. Этот процесс называется переадресацией запроса браузера или переадресацией на другой URL. Переадресация запроса о получении страницы подобна переадресации в почтовой службе. Переадресация гарантирует, что письма и пакеты, отправленные по предыдущему адресу вашего проживания, будут доставлены по новому адресу.

Переадресация URL полезна, когда узел подвергается переделкам и нужно сделать часть узла временно недоступной, или когда было изменено имя виртуального каталога и нужно заставить браузеры обращаться не к файлам в исходном виртуальном каталоге, а к тем же самым файлйм в новом виртуальном каталоге.

Другие средства. Часто может потребоваться динамически изменять содержание узла после того, как содержание было затребовано, но до передачи его браузеру. IIS включает две возможности, которые обеспечивают эту функциональность — серверные включения (Server-Side Includes, SSI) и Microsoft Active Server Pages (ASP) — для создания сценариев-посредников.

Используя SSI, можно выполнять ряд действий — от динамического отображения текущего времени на странице до выполнения заданных системных команд каждый раз, когда запрашивается данный ресурс (страница). SSI-команды, называемые директивами, включаются в страницы во времени разработки. Когда страница запрашивается, веб-сервер анализирует синтаксис всех директив на странице, а затем выполняет их. Наиболее часто используется директива включения, что позволяет включать содержимое файла внутрь страницы. Например, если требуется, чтобы в заголовок страницы вставлялась реклама, можно при помощи SSI включить исходный текст рекламы. Чтобы модифицировать рекламу, нужно изменить только файл, содержащий исходный текст рекламы. Для применения SSI не нужно знать язык создания сценариев — синтаксис директив очень прост.

ASP-страницы — серверная среда создания сценариев, позволяющая динамически изменять содержимое узла. Хотя технология ASP предназначена прежде всего для разработки веб-приложений, она предоставляет много возможностей для создания более простых в управлении узлов. Например, с помощью ASP можно отслеживать посещение узла пользователями (их атрибуты— IP-адрес, тип браузера, назначенные cookies и т. п.) или настраивать содержимое узла под возможности браузера. Однако, в отличие от SSI, ASP требует применения языка создания сценария, например VBScript или JScript.

Выбор инструмента для создания страниц. Феноменальный рост сети Интернет и развитие технологий интрасетей создали огромный спрос на специализированные средства создания узлов. Если пользователь плохо знаком с основами публикации в Интернете, выбрать надлежащий инструмент для создания узла может быть достаточно сложно. Мощного сервера, предназначенного для размещения готовых страниц, недостаточно для успешного пуска и эксплуатации информационного узла в Интернете. Вот инструменты создания и публикации узлов:

Microsoft FrontPage 2000. Удобный, простой и мощный инструмент создания страниц и публикации их в сети. Обладает возможностями WYSIWYG (What You See Is What You Get, принцип "что видишь — то и получишь", т. е. визуальное создание с непосредственным отображением результата), тесно интегрирован с Microsoft Office 2000 и со службами IIS.
Преобразование в HTML. Привлекательная альтернатива созданию страниц — преобразование существующих документов в документы HTML. Применяя к файлам текстового процессора и электронных таблиц конвертер, можно сразу помещать такого рода страницы в сети, на веб-сервере. Многие программы обработки текстов, например Microsoft Word 2000, имеют встроенные возможности для преобразования документов в формат HTML. Однако большинство конвертеров только добавляет тэги форматирования HTML к тексту, плохо сохраняя первоначальный вид документов. Конвертеры — удобные средства, они особенно полезны, если планируется публиковать большую часть существующей документации, которая не нуждается в частом изменении.
Текстовый редактор. Страницы можно создавать почти в любом стандартном текстовом редакторе, например, в Блокноте (Notepad), вводя тэги HTML и содержимое страниц, сохраняя в файле, а затем открывая их в браузере для предварительного просмотра. Некоторые опытные пользователи предпочитают этот метод, потому что он обеспечивает более тонкий контроль форматирования страниц и позволяет применять последние технологические новшества Интернета.

 

22.7.gif

Изображение: 

12. Служба NNTP

 

Служба NNTP

Основные возможности

Служба Microsoft NNTP проста в управлении, поскольку содержит удобные инструменты и поддерживает тесную интеграцию с Microsoft Windows 2000 Server. Вот основные возможности службы Microsoft NNTP:

Поддержка стандартов

Служба Microsoft NNTP поддерживает Network News Transport Protocol (NNTP, Протокол доставки сетевых новостей), который предназначен для связи клиента с сервером, а также для связи двух серверов. Служба Microsoft NNTP поддерживает популярные расширения NNTP и полностью совместима с другими клиентами и серверами NNTP.

Кроме того, служба Microsoft NNTP поддерживает многочисленные форматы, включая:

  • Multipurpose Internet Mail Extension (MIME)
  • Язык разметки гипертекста HTML
  • Формат изображений GIF
  • Формат изображений JPEG

Поддержка этих стандартов позволяет включать изображения и гипертекстовые ссылки в статьи новостей.

Простота администрирования

Служба Microsoft NNTP предлагает на выбор два графических инструмента для выполнения всех задач администрирования:

  • Оснастка Internet Information Services. С помощью этой оснастки управление службой Microsoft NNTP осуществляется в пределах одной ЛВС. Этот инструмент может управлять всеми компонентами IIS, используя единый интерфейс (рис. 22.9).
  • Диспетчер служб Интернета (HTML). При помощи веб-браузера, например Microsoft Internet Explorer, можно управлять службой Microsoft NNTP с любого компьютера локальной сети или из Интернета. Единственное требование для применения этого инструмента — наличие любого веб-браузера на компьютере администратора.



Рис 22.9. Оснастка Internet Information Services — управление службой Microsoft NNTP
Интеграция с Microsoft Windows 2000

Служба Microsoft NNTP полностью использует преимущества стандартных инструментов администрирования Windows 2000 для текущего контроля производительности и отслеживания событий. При инсталляции службы Microsoft NNTP устанавливается набор счетчиков для оснастки Системный монитор. Все состояния службы Microsoft NNTP и сообщения об ошибках записываются в журналы событий и могут просматриваться при помощи оснастки Просмотр событий. Служба Microsoft NNTP также включает поддержку SNMP.

Служба Microsoft NNTP управляет доступом к группам новостей, используя списки ACL Windows 2000. Устанавливая разрешения на каталог, который содержит группу новостей, можно управлять доступом к этой группе новостей. Можно также разрешить анонимный доступ, при этом доступ к группе новостей будет предоставлен всем.

Интеграция со службой индексирования

Служба Microsoft NNTP поддерживает полнотекстовое индексирование содержания и индексирование по свойствам групп новостей.

Улучшенная безопасность

Служба Microsoft NNTP поддерживает несколько вариантов безопасности, которые аутентифицируют пользователей групп новостей и защищают частную информацию:

  • Анонимный доступ (anonymous access). Разрешает любому пользователю доступ к группе новостей, не требует указания имени пользователя или пароля.
  • Стандартное расширение безопасности NNTP (Standard Secure NNTP extension). Требует, чтобы пользователь предоставил имя пользователя и пароль, которые посылаются по сети открытым текстом.
  • Протокол вызова/ответа Windows (Windows Challenge/Answer Protocol). Требует, чтобы пользователь предоставил имя пользователя и пароль, которые передаются в шифрованном виде для безопасной передачи по сети. Этот протокол требует использования клиентского программного обеспечения Microsoft Internet Mail and News (или Outlook Express).
  • Протокол SSL (Secure Sockets Layer). Чтобы защитить информацию, передаваемую через общую сеть, служба Microsoft NNTP поддерживает шифрование SSL, которое включает проверку подлинности клиентов и серверов.

 

22.8.gif

Изображение: 

13. Средства администрирования

 

Средства администрирования

Для управления службой Microsoft NNTP можно использовать одно из двух средств администрирования. Выбор инструмента зависит от того, какие задачи нужно выполнять при администрировании, и от того, по какому каналу происходит соединение со службой. Можно управлять службой Microsoft NNTP как с компьютера, на котором служба работает, так и с удаленного компьютера:

Оснастка Internet Information Services может выполнять все задачи по администрированию, требует подключения через ЛВС. При ее использовании для управления службой NNTP нужно раскрыть узел Виртуальный NNTP-сервер по умолчанию.

Примечание

Оснастку Internet Information Services можно использовать для управления виртуальным сервером NNTP и с удаленного компьютера, если он находится в той же ЛВС, что и Microsoft NNTP Service. Однако этот компьютер должен работать под управлением Microsoft Windows 2000, и на нем! должны быть установлены средства администрирования Windows 2000.
Виртуальный сервер, который создается по умолчанию на сервере после инсталляции службы, — Виртуальный NNTP-сврвер по умолчанию (Default NNTP Virtual Server). Служба Microsoft NNTP может состоять из одного или большего количества виртуальных серверов NNTP.

Чтобы просмотреть или изменить свойства виртуального сервера NNTP:

1. Выберите в дереве нужный виртуальный сервер NNTP.
2. В меню Действие (Action) выберите команду Свойства (Properties).
3. Перейдите на нужную вкладку в диалоговом окне.
4. Измените любые опции по необходимости.
Диспетчер NNTP Service Manager (HTML) позволяет решать большинство задач, выполняемых в оснастке ММС. Преимущество NNTP Service Manager (HTML) в том, что через веб-браузер можно администрировать службу при помощи любого соединения через любую сеть, включая Интернет. Браузер может находиться на компьютере, на котором функционирует служба, или на любом другом компьютере, который может установить соединение по протоколу TCP/IP со службой Microsoft NNTP. В качестве браузера используйте Microsoft Internet Explorer версии 4.0 и старше или Netscape Navigator версии 4.0 и старше.

Для обращения к NNTP Service Manager (HTML) с компьютера, на котором функционирует служба Microsoft NNTP:

Для обращения к NNTP Service Manager (HTML) с удаленного компьютера:

  • В строке адреса введите http://имя_сервера/news/admin где имя_сервера — компьютер, на котором функционирует служба Microsoft NNTP.

Примечание

Предварительно следует удостовериться, что удаленный компьютер имеет необходимые разрешения для доступа к NNTP Service Manager (HTML).

При инсталляции службы Microsoft NNTP на компьютер устанавливаются оба средства администрирования. Для доступа к оснастке управления службой с удаленного компьютера нужен компьютер под управлением Microsoft Windows 2000; на удаленном компьютере должны быть установлены средства администрирования Windows 2000 (Windows 2000 Administrative Tools).

 

14. Функционирование службы NNTP

 

Функционирование службы NNTP

Служба Microsoft NNTP поддерживает протокол NNTP (Network News Transfer Protocol, Протокол передачи новостей Интернета), который является клиент-серверным протоколом. Служба Microsoft NNTP выступает в роли сервера, a Microsoft Outlook Express — пример типичного клиента.

Клиенты подключаются к службе Microsoft NNTP по протоколу TCP/IP. Обычно по умолчанию при нормальном подключении используется TCP-порт 119, для шифрованных SSL-подключений — TCP-порт 563.

Microsoft NNTP работает как служба на сервере Windows 2000 и стартует автоматически; ее имя в оснастке Службы (Services) — Протокол Network News Transport Protocol (NNTP) (в англоязычной версии — Network News Transfer Protocol (NNTP)).

Публикация статей. Для передачи статьи телеконференции через службу Microsoft NNTP следует использовать программу-клиент новостей, например Microsoft Outlook Express. Клиент подключается к NNTP и запрашивает публикацию переданной статьи в одной или более телеконференций. Служба NNTP устанавливает соединение, принимает запрос и проверяет права пользователя на публикацию статьи в указанных телеконференциях (рис. 22.10). Служба NNTP затем публикует статью в телеконференциях и модифицирует индекс телеконференции.



Рис 22.10. Публикация статей


Просмотр статей. Для просмотра статей в телеконференциях, опубликованных при помощи службы Microsoft NNTP, необходимо использовать программу-клиент чтения новостей, например Microsoft Outlook Express.

Первый шаг при просмотре статей в телеконференции — получение списка доступных телеконференций (рис. 22.11). Клиент подключается к службе Microsoft NNTP и запрашивает список доступных телеконференций. Служба Microsoft NNTP принимает запрос, аутентифицирует пользователя, обращающегося к телеконференциям, проверяет его права, а затем посылает клиенту список всех доступных телеконференций.

Второй шаг — выбор телеконференции, которую пользователь хочет просмотреть. Клиент запрашивает список статей в выбранной телеконференции. Служба Microsoft NNTP аутентифицирует пользователя, обращающегося к указанной телеконференции, проверяет его полномочия и посылает клиенту список всех статей в этой телеконференции. Затем пользователь выбирает статью, клиент запрашивает выбранную статью у службы Microsoft NNTP, а служба возвращает содержимое статьи.



Рис 22.11. Просмотр статей


Структуры данных службы Microsoft NNTP. Статьи телеконференций в службе Microsoft NNTP хранятся в одной или в нескольких группах иерархических каталогов. Каждая телеконференция имеет собственный каталог, а каждая статья хранится как файл в этом каталоге.

Основной каталог по умолчанию — C:\Inetpub\Nntpfile\root, его можно переназначить на вкладке свойств основного каталога виртуального сервера NNTP. Можно создавать дополнительные иерархии каталогов на других дисках или на других компьютерах, создавая виртуальные каталоги.

Каталог телеконференции имеет то же имя, что и сама телеконференция. Служба Microsoft NNTP автоматически создает требуемые каталоги, когда создается новая телеконференция. Например, телеконференция, названная sample.test хранится в подкаталоге \sample\test относительно корневого каталога, то есть в каталоге C:\Inetpub\Nntpfile\root\sample\test. Все файлы статей телеконференций имеют расширение nws.

Служба Microsoft NNTP также создает файлы, в которых хранятся темы размещенных в телеконференции статей; эти файлы имеют расширение xix. Служба Microsoft NNTP создает один файл для каждых 128 статей в телеконференции.

Служба Microsoft NNTP также поддерживает множество внутренних файлов структуры данных с расширениями hsh, hdr, 1st и txt. Заданное по умолчанию расположение этих файлов — C:\Inetpub\Nntpfile. Нельзя изменять или удалять эти файлы. Средства восстановления службы Microsoft NNTP исправляет эти файлы, если они были случайно удалены или повреждены.

 

22.10.gif

Изображение: 

22.9.gif

Изображение: 

15. Примеры использования сервера NNTP

 

Примеры использования сервера NNTP

Виртуальный сервер новостей для внутренних корпоративных целей. Общение важно для любой группы людей, работающих вместе. Во многих организациях трудно заставить всех членов группы применять средства совместной работы на постоянной основе. Телеконференции могут решить проблемы общения и взаимодействия людей. Они дают возможность любому в группе читать или помещать свою информацию. Просто также найти нужную информацию по заданной тематике, поскольку статьи организованы в виде тематических потоков. В отличие от электронной почты, телеконференции обеспечивают механизм легкого архивирования информации для справочных целей.

Цель: Улучшить возможности взаимодействия между членами отдела, работающими над проектом и усовершенствовать организацию хранения и архивирования информации.

Состав программного обеспечения: Microsoft Windows 2000 Server, Microsoft Internet Information Services (US), Microsoft Internet Mail and News или Microsoft Outlook Express.

Среда: Сеть на базе Microsoft Windows.

Установка: Установить службу Microsoft NNTP — компонент US.

Прочие аспекты: Чтобы использовать телеконференции в качестве информационного архива, необходимо запретить удаление статей с истечением времени и производить периодическую архивацию информации.

Функционирование: Выполнение функций поддержки несколько телеконференций в пределах организации потребует не очень больших ресурсов со стороны сервера. Можно использовать любой компьютер, работающий под управлением Windows 2000 Server. Поскольку служба Microsoft NNTP использует стандартный протокол NNTP, сотрудники могут иметь доступ к

телеконференциям, используя любое клиентское программное обеспечение, поддерживающее NNTP, однако предпочтительно работать с Microsoft Internet Mail and News и Outlook Express — клиентами, которые обеспечивают дополнительные функции защиты, если есть потребность в таких функциях. Сервер и клиенты должны поддерживать TCP/IP.

URL для телеконференций будет иметь следующие форматы:

news:// сервер/телеконференция

news: //сервер/телеконференция/статья

где сервер — имя или IP-адрес сервера NNTP, телеконференция — имя телеконференции, а статья — необязательный идентификатор конкретной статьи.

В зависимости от того, насколько конфиденциальными будут статьи, можно настраивать параметры защиты для телеконференции. Если информация доступна любому в организации и сеть защищена брандмауэром, можно разрешить анонимный вход. Для большей защиты можно использовать штатные средства безопасности Windows 2000, которые применяются к каждому пользователю телеконференции. Можно ограничить доступ к каталогам телеконференций для определенных учетных записей. Служба Microsoft NNTP управляет защитой, используя учетные записи Windows 2000 и соответствующие разрешения.

Результат: Работа членов отдела упростится. Сотрудники смогут читать и публиковать статьи, содержащие информацию по проекту, на сервере новостей. Для обсуждения деталей проекта не потребуются личные встречи, отнимающие время.

Общедоступный виртуальный сервер новостей. Может потребоваться несколько телеконференций с различной тематикой на общедоступном сервере новостей. Например, зарегистрированным пользователям некоторого продукта требуется одна конференция, а потенциальным покупателям, только собирающимся сделать свой выбор, — другая.

Цель: Уменьшить затраты на поддержку пользователей и улучшить клиентскую службу, предоставив клиентам быстрый свободный доступ к информации и технической поддержке.

Программные компоненты: Microsoft Windows 2000 Server, Microsoft Internet Information Services (US), Microsoft Internet Mail and News или Microsoft Outlook Express.

Среда: Интернет.

Установка: Разрешить анонимный доступ; использовать DNS или WINS для разрешения имени; обеспечить доступ через брандмауэр (при его наличии).

Прочие аспекты: Необходимо рассмотреть возможность организации моде-рируемых (редактируемых специальноч назначенным человеком, так называемым "модератором") конференций, чтобы предотвратить публикацию не-

корректных, технически неправильных статей. Это может ограничить возможность клиентов помочь друг другу, если персонал поддержки не доступен в настоящий момент.

Функционирование: Если службы IIS уже используются, то для обеспечения технической поддержки через публикацию технической информации на веб-сервере можно просто добавить поддержку телеконференций на том же компьютере. Если планируется активно использовать сервер телеконференций, можно расположить службу Microsoft NNTP на отдельном компьютере.

Можно создать отдельную телеконференцию для каждого продукта, для которого требуется техническая поддержка, или создать несколько телеконференций для каждого продукта, одну для каждой темы поддержки.

URL-адреса для телеконференций будут иметь стандартные форматы (см. выше).

Чтобы обеспечить наискорейшую отдачу от телеконференций, персонал поддержки клиентов должен достаточно часто читать статьи в телеконференциях и быстро отвечать на вопросы. Одним из удобных средств может оказаться публикация часто задаваемых вопросов (Frequently Asked Questions, FAQ) и ответов на них.

Результат: Клиенты получают более эффективную поддержку и, следовательно, в большей степени удовлетворены применяемыми продуктами, т. к. они имеют непосредственный доступ к самой свежей информации, касающейся этих продуктов. Производительность труда у персонала поддержки будет выше, т. к. теперь не нужно много раз отвечать на один и тот же вопрос.

 

16. Служба SMTP

 

Служба SMTP

Служба Microsoft SMTP имеет следующие особенности:

Поддержка стандартных протоколов Интернета. Служба Microsoft SMTP обеспечивает полную поддержку SMTP и совместима с почтовыми клиентами SMTP.
Масштабируемость. Служба Microsoft SMTP поддерживает сотни одновременных клиентских соединений при конфигурации с одним сервером. Можно также настроить использование множества доменов для одного сервера.
Простое администрирование и интеграция с Microsoft Windows 2000. Служба Microsoft SMTP управляется как через консоль ММС (рис. 22.12), так и с помощью веб-интерфейса.
Улучшенная безопасность. Служба Microsoft SMTP поддерживает протоколы безопасной передачи почты на транспортном уровне.
Прямая доставка и извлечение почты. Служба Microsoft SMTP поддерживает размещение всех входящих сообщений непосредственно в каталоге \Drop. Это позволяет использовать службу Microsoft SMTP для приема почты других приложений. В дополнение к передаче сообщений через порт TCP приложения могут использовать каталог \Pickup. После форматирования сообщения служба Microsoft SMTP осуществляет его доставку.

 

17. Средства администрирования

 

Средства администрирования

Можно управлять службой с помощью одного из двух административных средств. Выбор инструмента зависит от того, какие задачи должны выполняться, и от того, как производится соединение со службой. Можно управлять службой Microsoft SMTP с того компьютера, на котором служба функционирует, или с удаленного компьютера.

Служба Microsoft SMTP имеет стандартные средства управления:

Оснастка Internet Information Services, которая может выполнять все задачи по администрированию службы и требует подключения через ЛВС. В дереве консоли нужно развернуть узел Виртуальный NNTP-cepeep no умолчанию (рис. 22.12).

Виртуальный сервер, который создается при инсталляции службы, — Виртуальный NNTP-cepeep no умолчанию (Default SMTP Virtual Server).



Рис 22.12. Управление SMTP-сервером с помощью оснастки Internet Information Services (в составе оснастки Управление компьютером)


Диспетчер SMTP Service Manager (HTML), с помощью которого можно выполнять большинство задач управления, которые могли бы быть выполнены с помощью оснастки IIS. Преимущество SMTP Service Manager (HTML) в том, что можно подключаться и управлять службой SMTP с использованием любой сети, включая Интернет.

Для управления службой веб-браузер можно запускать на компьютере, где установлена служба, или с любого другого компьютера, работающего по протоколу TCP/IP и доступного по сети (включая подключение через Интернет). Необходим браузер Microsoft Internet Explorer 4.0 или выше, либо Netscape Navigator 4.0 или выше.

Для того чтобы запустить SMTP Service Manager (HTML) с компьютера, на котором выполняется служба Microsoft SMTP (имя службы — Протокол Simple Mail Transport Protocol (SMTP)):

Для того чтобы запустить SMTP Service Manager (HTML) с удаленного компьютера:

  • В строке адреса браузера введите http: //ceрвep/mail/smtp/admin

где сервер — имя компьютера, на котором функционирует служба Microsoft SMTP.

Примечание

Необходимо удостовериться, что удаленный компьютер имеет нужные разрешения для обращения к SMTP Service Manager (HTML).

Цвет значка виртуального сервера SMTP показывает состояние сервера: зеленый обозначает работающую службу, серый — приостановленную, красный — остановленную службу.

Оба административных средства установлены по умолчанию и функционируют на компьютере, на котором установлена служба SMTP фирмы Microsoft. Чтобы использовать управление через оснастку с удаленного компьютера, нужен компьютер под управлением Microsoft Windows 2000; на удаленном компьютере должны быть установлены средства администрирования Windows 2000 (Windows 2000 Administrative Tools).

 

22.11.gif

Изображение: 

18. Службы компонентов

 

Службы компонентов

Службы компонентов (Component Services) обеспечивают разработку и развертывание распределенных клиент-серверных приложений типа онлайновых бизнес-приложений и приложений электронной коммерции, имеющих веб-интерфейс. Службы компонентов используют технологию СОМ+ и обеспечивают такие функциональные возможности, как автоматическая поддержка целостности данных на основе транзакций, защита информации, основанная на ролях, доступ к различным СУБД, службам очередей сообщений (например, MSMQ) и другим приложениям.

Службы компонентов полностью интегрированы с другими компонентами и службами Windows 2000 Server. Интеграция со службами Internet Information Services и Active Server Pages упрощает создание приложений в среде Интернет/интрасети. Интеграция с кластерными службами повышает отказоустойчивость. Интеграция со службой обработки очередей сообщений (MSMQ) обеспечивает надежную, постоянную связь между приложениями.

Возможности Microsoft Transaction Server (MTS) были объединены с "классической" технологией СОМ и образовали технологию СОМ+, которая интегрирована в операционную систему Windows 2000. Оснастка ММС для управления СОМ+ — Службы компонентов (Component Services) доступна из меню Администрирование (Пуск | Программы | Администрирование | Службы компонентов).

В состав служб компонентов входит переработанный инструмент управления, реализованный в виде оснастки ММС, с помощью которого можно устанавливать пакеты MTS в СОМ+ (рис. 22.13). Ранее для этого применялись специальные инструменты MTS. Сразу после установки пакета можно использовать такие новые возможности СОМ+, как базы данных, хранящиеся в оперативной памяти (In-Memory DataBase, IMDB), или новая система поддержки событий.



Рис 22.13. Оснастка управления СОМ+ — Службы компонентов (Component Services)

 

22.12.gif

Изображение: 

19. Другие службы Интернета в Windows 2000

 

Другие службы Интернета в Windows 2000

Служба индексирования

Назначение и основные возможности. Служба индексирования (Indexing Service) — служба, входящая в поставку Windows 2000 всех модификаций (включая настольную версию Professional), которая индексирует файлы на локальном жестком диске и на общедоступных дисководах в сети. Выполнять поиск можно по индексу слова в содержании файлов или в свойствах файлов. Служба индексирования возвращает список всех документов, которые соответствуют критериям поиска.

Служба индексирования создана для непрерывной работы и не требует специального сопровождения. После того как она установлена, все действия осуществляются автоматически, включая создание индексов, обновление индексов и их восстановление в случае аварийного отказа, если произошел сбой питания. Служба индексирования безотказно работает в средах, критических по параметрам надежности и доступности, где сервер должен функционировать 24 часа в сутки и 7 дней в неделю.

Служба индексирования может индексировать:

Файлы HTML
Текстовые файлы
Файлы Microsoft Office
Файлы почты Интернета
Любые другие файлы, для которых имеется фильтр документа

Основы работы. Служба индексирования создает реестр каталогов, чтобы определить, какие документы должны быть проиндексированы; этот процесс впервые запускается сразу же после установки службы. Служба индексирования автоматически выполняет либо полный просмотр, либо инкре-ментный просмотр по мере необходимости.

Полный просмотр

При полном просмотре индексируются все документы в папках, которые перечислены в списке индексируемых документов. Служба индексирования делает полный просмотр всех жестких дисков на компьютере, когда служба запущена впервые после установки, когда папка добавляется к каталогу, или во время восстановления, если произошла серьезная ошибка. Можно также принудительно выполнить полный просмотр в любое время.

Инкрементный просмотр

При инкрементном просмотре к списку документов, которые будут проиндексированы, добавляются только те документы, которые были изменены со времени последнего индексирования. Когда служба индексирования запускается (после первого раза), она производит инкрементный просмотр всех индексированных папок на дисках с файловой системой, отличной от NTFS, чтобы определить, какие файлы были изменены, когда служба не функционировала.

Инкрементный просмотр также выполняется, если система теряет уведомления об изменениях. Это может случиться, если изменилось большое количество документов, и буфер Windows 2000, используемый для получения уведомлений об изменениях, переполняется. Инкрементный просмотр, так же как и полный просмотр, можно принудительно запустить в любое время.

Для каждого документа, который будет проиндексирован, служба индексирования выполняет следующие действия:

1. Используя соответствующий документу фильтр, считывает документ, извлекает из него значения свойств документа и выделяет содержание. Сохраняет значения свойств документа и путь к документу в индексе.
2. Разбивает поток предложений на отдельные слова. Для того чтобы разбить текст на слова, служба индексирования использует процедуры, соответствующие языку документа — английскому, немецкому, японскому и т. д.
3. Удаляет незначащие слова — предлоги, междометия, вспомогательные глаголы и т. д.
4. Сохраняет оставшиеся слова и путь к документу в индексе.
5. Сохраняет значения выбранных свойств документа в кэше свойств.

Фильтры — программные компоненты, которые "понимают" структуру файла соответствующего типа, например, документа Microsoft Word или HTML. Фильтр извлекает содержание и значения свойств и посылает их ядру индексации.

Служба индексирования поставляется с фильтрами для отдельных популярных типов файлов, созданных, например, приложениями Microsoft Office. Фильтры для файлов, созданных в других приложениях, часто можно получить от поставщиков соответствующего программного обеспечения.

Требования к конфигурации компьютера. Минимальная аппаратная конфигурация для службы индексирования — та же, что и для самих систем Microsoft Windows 2000. Однако индексация и работа механизмов поиска зависят от количества и размера документов, которые будут проиндексированы, интенсивности поступления поисковых запросов и сложности запросов. На работу службы также влияет мощность компьютера. Компьютер с минимальной, аппаратной конфигурацией для Windows 2000 Server хорошо обрабатывает запросы, если число одновременных запросов не слишком высоко. Для маленькой организации этого может оказаться достаточно, но для большой организации, обслуживающей много пользователей, рекомендуется более мощная конфигурация (табл. 22.2).

Таблица 22.2. Рекомендуемые конфигурации компьютера, в зависимости от числа индексируемых документов

Если документов много, а памяти для работы службы не хватает, производительн

Число индексируемых документов Минимальный объем оперативной памяти (Мбайт) Рекомендуемый объем оперативной памяти; (Мбайт)
Менее 100000 64 64
От 100 000 до 250 000 64 От 64 до 128
От 250 000 до 500 000 64 От 128 до 256
500 000 и более 128 От 256

ость системы может серьезно понизиться. Если компьютер при функционировании службы работает медленно, можно попробовать настроить производительность службы (см. ниже). Можно улучшить производительность службы и компьютера в целом, увеличивая объем оперативной памяти и увеличивая объем памяти, выделенный для кэша свойств (property cache). Более быстрый процессор увеличивает скорость индексации и обработки запросов.

Полный объем документов, которые будут проиндексированы, и тип файловой системы также влияют на объем дискового пространства, требуемого для хранения данных службы индексирования. В файловой системе FAT пространство, необходимое для каталога, плюс временное рабочее пространство, приблизительно равно 30% объема индексируемого текста. В файловой системе NTFS требуется пространство, приблизительно равное 15% объема индексируемого текста,

Управление службой. В предыдущих версиях (входивших в состав Option Pack для Windows NT Server 4.0 иди поставлявшихся отдельно) управлять службой индексирования можно было как при помощи оснастки, так и с использованием HTML Интерфейса. В Windows 2000 оставлена только возможность управления службой индексирования с использованием оснастки (рис. 22.14).



Рис 22.14. Оснастка управления службой индексирования


Для управления службой индексирования:

1. Запустите оснастку Управление компьютером.
2. В дереве консоли разверните узел Службы и приложения | Служба индексирования (Services and Applications | Indexing Service).

Настройка производительности службы индексирования:

1. Запустите оснастку управления службой индексирования.
2. В меню Действие (Action) выберите пункт Стоп (Stop).
3. В меню Действие выберите пункт Все задачи | Настройка производительности (All Tasks | Tune Performance).
4. В диалоговом окне Применение службы индексирования (Indexing Service Usage) выберите вариант, который наиболее соответствует способу использования службы индексирования на данном компьютере.
5. Если выбран вариант Особым образом (Customize), нажмите кнопку Настроить (Customize) и перейдите к следующему шагу. Если выбран другой вариант, перейдите к шагу 9.
6. В диалоговом окне Производительность индексации (Desired Performance) переместите ползунок Построение индекса (Indexing) в сторону Отложенное (Lazy) для менее интенсивного индексирования или в сторону Немедленное (Instant) для скорейшего индексирования новых и измененных документов. Отложенное индексирование использует меньшее количество ресурсов компьютера; а немедленное — столько ресурсов, сколько возможно.
7. Переместите ползунок Скорость обработки запросов (Querying) в сторону Низкая (Low load), если ожидается обработка малого количества запросов одновременно, или Высокая (High load), если ожидается обработка большого количества запросов одновременно. Обработка с низкой скоростью использует меньшее количество ресурсов; с высокой — большее.
8. Закройте диалоговое окно Производительность индексации.
9. Закройте диалоговое окно Применение службы индексирования и запустите службу индексирования, выполнив команду Пуск (Start) меню Действие (Action).

Поиск информации с помощью службы индексирования. При поиске информации запрос посылается службе индексирования. Служба индексирования, просматривая индекс, ищет документы, соответствующие критериям запроса, и возвращает список соответствующих запросу документов пользователю (или приложению, пославшему запрос).

В дополнение к запросу по содержанию можно сделать запрос по свойствам файлов. Эти свойства включают: размер файла, даты создания и изменения, имя файла, авторов файла и т. д. Можно, например, сделать запрос по текстовым свойствам (имя файла и автор) и числовым свойствам (размер и дата изменения). Можно также сделать запрос по всем свойствам элементов ActiveX, включая пользовательские свойства документов Microsoft Office.

Поиск можно выполнять тремя способами:

С помощью команды Найти | Файлы и палки (Search | Files and Folders) меню Пуск (Start)

Можно искать любое слово (фразу), вводя это слово (фразу) в диалоговом окне Поиск файлов и папок, вызванном командой меню Пуск | Найти (рис. 22.15).



Рис 22.15. Поиск информации при помощи команды Пуск | Найти | Файлы и папки


Используя веб-страницу для передачи запроса на выполнение через Internet Information Services

Для веб-доступа владелец или администратор узла создает веб-страницу (документ HTML), из которой можно посылать на выполнение запросы. Страница может быть настроена для упрощения ввода и улучшения вида запросов и поиска информации по различным критериям. Автор страницы может также задавать отдельные индексы или части индексов, по которым нужно производить поиск. Результаты поиска возвращаются в виде веб-страницы.

При помощи оснастки

Форма запроса может быть включена в каждый каталог в службе. При помощи этой формы можно выполнять любой вид запросов, используя все возможности языка запросов. Чтобы открыть форму запроса:

1. Запустите оснастку Управление компьютером.
2. В дереве консоли разверните узлы Управление компьютером | Службы и приложения | Служба индексирования | Требуемый каталог (Опрос

каталога (Computer Management | Services and Applications [Indexing Service | Требуемый каталог \ Query the Catalog).

Форма запроса появится в правом подокне (рис. 22.16).



Рис 22.16. Поиск информации с использованием оснастки службы индексирования


Формы запросов. Служба индексирования поддерживает полную и краткую формы запросов. Запросы в полной форме создаются с использованием тэгов начала и окончания запроса, которые обозначаются фигурными скобками ({}). Тэги запроса служат для открытия и закрытия предложения запроса. Тэги запроса могут также включать уточняющие атрибуты или параметры.

Длинная форма и краткие запросы

Большинство операторов в языке запросов имеет полную форму и соответствующую краткую. Например, edocauthor — краткое имя свойства Author, в то время как {prop name=DocAuthor} — длинная форма.

Символы режима в кратких запросах

В кратких запросах следующие символы указывают режим (табл. 22;3).

 

Таблица 22.3. Режим запроса в краткой форме

Символ Режим
@ Запрос на поиск фразы (эквивалент {phrase})
# Запрос с регулярным выражением (эквивалент {regex})
$ Свободно текстовый запрос (эквивалент {freetext})

Правила составления запросов. Имеются пять видов запросов:

Свободные текстовые запросы
Запросы-фразы
Запросы сопоставления с образцом
Относительные запросы
Векторно-пространственные запросы

 

Правила, относящиеся к запросам всех видов

  • В запросах не различаются строчные и прописные буквы.
  • Можно искать любое слово, если оно не содержится в списке исключений (рис. 22.17).
  • Для того чтобы использовать специальные символы в запросе (типа &, |, # и $), нужно заключить запрос в кавычки.
  • Значения даты и времени имеют одну из двух форм:

    yyyy/mm/dd hh:mm:ss

    yyyy-mm-dd hh:mm:ss.

    Первые два символа года и полного времени могут быть опущены. Если опускаются первые два символа года, дата интерпретируется как находящаяся в интервале между 1930 и 2029 гг. Трехзначное число миллисекунд может быть задано после секунд. Все даты и времена задаются в UTC (Universal Coordinated Time[ME1], Скоординированное всемирное время). Пример задания времени: 1993/11/7 12:04:23:123.




Примечание

Дата и время относительно текущей даты и времени могут быть выражены со знаком "минус" (-), за которым следует одна или более пар "целое число-единица". Единицы задаются так: у — число лет, q — число кварталов (три месяца), m — число месяцев, w — число недель, d — число дней, h — число часов, п — число минут и s — число секунд. Числовые значения могут быть заданы в десятичном или в шестнадцатеричном виде. Шестнадцатеричные значения предваряются символами "Ох".

Оператор contains. Для поиска слова или фразы в заданном свойстве можно использовать оператор contains. Если оператор не задан, по умолчанию считается заданным оператор contains. Следующие запросы эквивалентны:

@DocTitle "Что-то важное"

@DocTitle CONTAINS "Что-то важное"

Булевы операторы. Можно использовать булевы операторы and, or и мот как в запросах на вхождение в содержимое, так и в запросах по свойствам. Оператор near может применяться только в запросах по содержимому документов. Операторы в запросах могут быть записаны как в полной, так и в краткой форме (табл. 22.4).

Таблица 22.4. Полная и краткая формы операторов
Оператор Длинная форма Краткая форма
AND AND &
OR OR I
NOT AND NOT &!
NEAR NEAR Near, ~

Примечание

  • Булевы операторы доступны только в английском написании.
  • Булевы операторы рассматриваются в следующем порядке: not, and и NEAR, OR.

Текстовые запросы. Для свободных текстовых запросов можно указывать группу слов или законченное предложение. Служба индексирования находит документы, которые лучше всего соответствуют словам и фразам в свободно текстовом запросе. Булевы операторы и подстановочные символы в таком запросе игнорируются.

Запросы на поиск фразы. Чтобы искать фразу, ее нужно или заключить в кавычки, или предварить тэгом {phrase}. Слова в запросе на поиск фразы должны встретиться в документе в указанном порядке, без пропуска слов.

Запросы сопоставления с образцом. Для запросов сопоставления с образцом служба индексирования выбирает документы, соответствующие образцу, который задается пользователем.

В такого рода запросах используются маски (wildcards), запросы, задающие словоформы, регулярные выражения и операторы отношений.

Относительные запросы. В таких запросах для поиска документов, свойства которых лежат в некотором диапазоне, можно использовать операторы отношения: больше, меньше, равно, не равно и т. п.

Векторно-пространственные запросы. Векторно-пространственные запросы предназначены для поиска документов, которые соответствуют списку слов и фраз. Документы, которые возвращаются после выполнения векторно-пространственного запроса, не обязательно соответствуют каждому термину в запросе. Ранг каждого документа указывает, насколько хорошо документ соответствует запросу.

Можно задавать весовые коэффициенты, чтобы управлять относительной важностью терминов для получения результата. Допустимые значения весов находятся в диапазоне от 0,0 до 1,0.

Примеры запросов. В табл. 22.5 приведены примеры разнообразных запросов.

Таблица 22.5. Примеры запросов

Чтобы найти Полная форма Краткая форма Результат
Заданное значение {prop name=DocAu.thor } = Иван Иванов {/prop} @DocAuthor = Иван Иванов Документы, созданные Иваном Ивановым
Значение, начинающееся с заданного префикса {prop name=DocAuthor } {гедех}Иван *{/rедех} {/prop}

IDocAuthor Иван*

Документы, чье свойство "автор" начинается с "Иван"
Файлы с расширением из числа заданных {prop name=f ilename } { regex } * . | (doc | , txt | , wri | ) { /regex } { /prop } #filename *. | (doc|, txt |, wri| ) Файлы с расширениями doc, txt или wri
Документы, измененные после некоторой даты {prop name=write} > 99/7/18 11:05:00 {/prop} @write > 99/7/18 11:05:00

Документы, измененные после 18 июля 1999 года, в11:05ло1ЯС

Документы, измененные после относительной даты {prop name=write} > -2d4h {/prop} @write > -2d4h Документы, измененные в пределах последних 52 часов

 

22.13.gif

Изображение: 

22.14.gif

Изображение: 

22.15.gif

Изображение: 

20. Службы очереди сообщений

 

Службы очереди сообщений

Службы очереди сообщений (Microsoft Message Queuing Services, MSMQ) — сервис, входящий в стандартную поставку Microsoft Windows 2000 Server. С помощью MSMQ приложения, работающие в разное время, могут связываться через разнородные сети и системы, способные временно работать автономно. Приложения посылают сообщения MSMQ и используют очереди MSMQ — это позволяет быть уверенным, что сообщение рано или поздно достигнет адресата. MSMQ обеспечивает гарантированную доставку сообщений, интеллектуальную маршрутизацию, защиту и передачу сообщений, основанную на приоритетах.

При помощи MSMQ конечные пользователи могут связываться через автономные сети и системы, вне зависимости от текущего состояния поддерживающих связь приложений и систем. При помощи MSMQ разработчики могут сосредоточиться на программировании бизнес-логики, а не решать проблемы работы с сетями, поскольку MSMQ обеспечивает гарантированную доставку. Администраторы систем при помощи MSMQ могут эффективно управлять большими, сложными сетями очередей сообщений.

Программные продукты с такими возможностями часто называют программным обеспечением поддержки очередей сообщений, программным обеспечением с промежуточным накоплением или средствами среднего уровня, ориентированными на сообщения (MOM, Message-Oriented Middleware).

Особенности и возможности службы MSMQ: .

Интеграция с Windows 2000 Server. Поддерживается служба Active Directory, в которой хранятся отдельные объекты MSMQ.
Работа в смешанном режиме. MSMQ может функционировать в смешанных сетевых средах, состоящих из серверов и клиентов на базе как Windows NT 4.0, так и Windows 2000.
Совместимость сверху вниз. Служба MSMQ полностью совместима с MSMQ версии 1.0.
Передача сообщений без установления логического соединения. Поскольку MSMQ использует бессеансовую модель на прикладном уровне, отправитель и получатель не обязаны применять один и тот же протокол. MSMQ поддерживает протоколы IP и IPX.
Поддержка приоритетов трафика. Приоритеты сообщений позволяют срочному или важному трафику вытеснять менее важный, что гарантирует адекватное время ответа критическим приложениям за счет менее важных приложений.
Гарантированная доставка. Сообщения помещаются в хранящуюся на диске очередь, что обеспечивает гарантированную доставку сообщений.
Транзакции. Имеется возможность использования транзакций MSMQ, т. е. можно объединить несколько действий MSMQ в транзакцию и обеспечить гарантированную доставку сообщений, а также то, что они будут доставлены не более одного раза или что доставленные сообщения будут успешно извлечены из очереди адресатом.
Динамические очереди. Администраторы могут изменять свойства очередей без воздействия на приложения передачи сообщений.
Маршрутизация. MSMQ поддерживает интеллектуальную маршрутизацию, которая основана на физической топологии сети, группировке сеансов и на обеспечении транспортной связности. Группировка сеансов облегчает эффективное использование медленных линий.
Безопасность. MSMQ поддерживает механизмы безопасности: управление доступом, аудит, шифрование и аутентификацию. Управление доступом реализовано с применением системы безопасности Windows 2000 и цифровых подписей. Аудит реализован при помощи службы регистрации событий Windows 2000. Шифрование и аутентификация (использование цифровых подписей) обеспечиваются при помощи механизмов открытых и закрытых ключей.
Широкая интеграция систем. Приложения MSMQ могут выполняться на целом ряде аппаратных платформ, использующих продукты для обеспечения связи со службой MSMQ, поставляемые фирмой Level 8 Systems, партнером Microsoft, Исходно MSMQ поддерживает Windows NT, Windows 95 и Windows 98. Поддержка остальных систем поставляется фирмой Level 8 Systems.
Среда программирования MSMQ.. Прикладной интерфейс MSMQ позволяет разрабатывать приложения MSMQ на языке С или C++. MSMQ также включает элементы управления СОМ, которые можно применять для создания приложений MSMQ в Microsoft Visual Java (VJ), Visual Basic (VB) или любых других приложений-контейнеров СОМ (например, Microsoft Access или Borland/Inprise Delphi). При помощи Microsoft ASP и Microsoft US можно интегрировать MSMQ-приложение с веб-страницами и формами, использующими элементы управления СОМ. При помощи MAPI Transport Provider и Exchange Connector можно интегрировать приложение MSMQ с формами Exchange и клиентами MAPI. Транспорт MSMQ

RPC можно использовать для создания надежных приложений, использующих вызовы RPC.

Установка MSMQ. Чтобы добавить или удалить службу:

1. В меню Пуск (Start) выберите команду Настройка (Settings) | Панель управления (Control panel) | Установка/удаление программ (Add/Remove Programs).
2. В левой панели диалогового окна Установка/удаление программ выберите вкладку Добавление/удаление компонентов Windows.
3. Откроется окно Мастер компонентов Windows (Windows Components Wizard). В списке Компоненты Windows (Windows Components) выберите опцию Службы очереди сообщений (Message Queuing Services) (рис. 22.18).
4. Нажмите кнопку Далее (Next) и следуйте командам мастера.



Рис 22.18. Установка служб очереди сообщений



Примечание

Сначала нужно установить сервер MSMQ на контроллере домена Windows 2000 (в группе серверов, объединенных территориально), а затем можно устанавливать программное обеспечение MSMQ на других компьютерах. Сервер MSMQ не может быть установлен на компьютерах, работающих под управлением Windows 2000 Professional.

Служба MSMQ в Windows NT 4.0 и Windows 2000. Перечислим общие задачи управления службой MSMQ. Интерфейс пользователя для выполнения этих задач отличается в Windows 2000 от интерфейса в Windows NT 4.0.

В табл. 22.6 перечислены отличия в терминологии и в архитектуре предыдущих версий от текущей версии MSMQ.

Таблица 22.6. Управление службой MSMQ в Windows 2000 и в Windows NT 4.0
Необходимое действие Windows NT 4.0 Windows 2000
Управление доступом, установка аудита или изменение владельца для Message Queuing MSMQ Explorer Оснастка Active Directory- пользователи и компьютеры (Active Directory Users and Computers)
Изменение учетной записи для службы MSMQ Значок Services на панели управления Оснастка Управление компьютером (Computer Management)
Настройка параметров маршрутизации MSMQ Explorer Оснастка Active Directory - пользователи и компьютеры
Создание внешних (foreign) узлов или добавление внешних компьютеров MSMQ Explorer Оснастка Active Directory-пользователи и компьютеры
Добавление, удаление и настройка компьютеров MSMQ; установка квот для компьютеров или изменение свойств MSMQ Explorer Оснастка Active Directory - пользователи и компьютеры
Установка параметров IPX/SPX для компьютеров MSMQ Значок Network на панели управления Значок Сеть и удаленный доступ к сети (Network arid Dialup Connections) на панели управления
Создание, удаление и настройка очередей; установка квот очереди или изменение свойств MSMQ Explorer Оснастка Active Directory - пользователи и компьютеры
Просмотр и удаление сообщений; просмотр свойств сообщений MSMQ Explorer Оснастка Active Directory - пользователи и компьютеры

Управление службой MSMQ. Управление MSMQ на локальном компьютере осуществляется при помощи оснастки Управление компьютером — узел Службы и приложения | Очередь сообщений. Основное управление объектами MSMQ в организации осуществляется с применением оснастки Active Directory — пользователи и компьютеры. Для управления MSMQ в организации:

1. Запустите оснастку Active Directory — пользователи и компьютеры.
2. В дереве консоли разверните узел Active Directory — пользователи и компьютеры.
3. В меню Вид (View) выберите пункт Пользователи, группы и компьютеры как контейнеры (Users, Groups and Computers as Containers), а затем в том же меню выберите пункт Дополнительные функции (Advanced Features).
4. В дереве консоли найдите нужный домен, затем подразделение, наконец нужный компьютер, на котором установлена MSMQ, щелкните правой кнопкой мыши на узле msmq и в контекстном меню выберите пункт Свойства (Properties).

 

22.16.gif

Изображение: 

21. Службы Windows Media

 

Службы Windows Media

Службы Windows Media в составе Microsoft Windows 2000 — это группа служб, которые предназначены для передачи клиентам аудио- и видеоинформации при помощи одноадресного и группового вещания. Службы Windows Media используются также для передачи файлов клиентам. Поставляемое содержимое может быть создано, приобретено у поставщика или передаваться с телевизионных камер и микрофонов. В последнем случае его называют живым потоком (live stream).

Пользователи могут обращаться к поставляемому содержимому через Интернет, через корпоративную или образовательную интрасеть или через специализированные группы, которые получают содержимое в выделенной сети или в интрасети.

На рис. 22.20 будет представлена схема, которая иллюстрирует общую технологию доставки клиентам файлов типа Advanced Streaming File (ASF, Усовершенствованный потоковый файл).

Как показано на схеме, для создания содержимого файлов ASF применяются средства Media Services — Windows Media Author, VidToASF и WavToASF.

Для передачи живого потока можно использовать Кодировщик Windows Media (Windows Media Encoder) вместе с видеокамерой и микрофоном, чтобы кодировать содержимое в поток ASF, который службы Windows Media могут передавать пользователям. Кодировщик также может записывать поток ASF, который он кодирует в файл ASF для дальнейшего воспроизведения.

Службу можно применять для различных целей, например для распространения информации, для организации информационных, развлекательных и маркетинговых узлов, для обучения, управления и т. д.

Новые возможности. Потоковые мультимедийные службы в составе Microsoft Windows 2000 предоставляют многочисленные новые возможности для доставки потокового аудио- и видео-содержимого:

Улучшенное качество
Расширенный набор серверных компонентов
Программное обеспечение для кодирования информации
Большее количество инструментов
Поддержка в Проигрывателе Windows Media (Windows Media Player)
Большее количество сервисных возможностей

Состав служб Windows Media. Службы Windows Media собтоят из служб-компонентов и административной утилиты — Администратор Windows Media (Windows Media Administrator).

Службы Windows Media. Windows Media — набор служб, работающих под управлением Microsoft Windows 2000 Server. Эти службы предназначены для передачи звуковой и видеоинформации при помощи одноадресного и группового вещания клиентам.
Администратор Windows Media. Администратор Windows Media — набор веб-страниц, который функционирует в окне браузера Microsoft Internet Explorer версии 5.0 и управляет службами-компонентами Windows Media. При помощи администратора Windows Media можно управлять локальным сервером или одними или несколькими удаленными серверами Windows Media. Чтобы управлять несколькими серверами, нужно добавить серверы в список серверов, а затем соединиться с сервером, которым не обходимо управлять.

Администратор Windows Media может функционировать (помимо Windows 2000) на Microsoft Windows 98 или Microsoft Windows NT 4.0 с установленными Service Pack 4 (SP4) и Microsoft Internet Explorer 5.0. Администратор Windows Media также работает и с Internet Explorer 4.01 или под Microsoft Windows 95, но эти платформы официально не поддерживаются.

Вот основные процедуры, которые обычно выполняются при работе с Администратором Windows Media:

Чтобы запустить Администратор Windows Media:

Нажмите кнопку Пуск (Start) и выберите команду Программы | Администрирование | Windows Media (Programs | Administrative Tools | Windows Media).

Чтобы соединиться с сервером Windows Media:

В окне Администратор Windows Media в списке выберите сервер, который необходимо администрировать.

Примечание

Если сервер, который нужно администрировать, не виден в списке серверов или список серверов вообще пуст, необходимо добавить сервер в список сервeров.

Чтобы добавить сервер к списку серверов:

В окне Администратор Windows Media нажмите кнопку Добавить сервер

(Add Server), а затем введите имя сервера в поле Сервер (Server).

Чтобы удалить сервер из списка серверов:

Выберите имя сервера в списке и нажмите кнопку Удалить сервер (Remove Server). Администратор Windows Media отключается от сервера, а имя сервера удаляется из списка серверов.

Клиентское программное обеспечение. Программный клиент, получающий данные с сервера Windows Media, называется Проигрыватель Windows Media (Windows Media Player) (рис. 22.20). Службы Windows Media используют Проигрыватель Windows Media, чтобы воспроизводить потоки ASP, которые могут включать видеоинформацию, звук, изображения, URL и сценарии.

Средства Windows Media. Следующие инструменты и утилиты предназначены для служб Windows Media, чтобы создавать и модифицировать данные, которые публикуются при помощи сервера Windows Media:

Кодировщик Windows Media (Windows Media Encoder) — средство, которое может преобразовывать как "живую", так и сохраненную звуковую и видео - информацию в поток ASF, который передается при помощи сервера Windows Media. Для добавления специальных возможностей к потоку данных можно использовать язык сценариев. Команды сценария позволяют выполнить синхронный переход к заданному веб-узлу, отображение и пролистывание страниц, предоставить оценочную информацию или создать сообщение электронной почты. Как только поток создан, он может быть записан в файл *.asf для дальнейшего проигрывания:
Windows Media Author — инструмент, разработанный Microsoft совместно с компанией Digital Renaissance, Inc. Этот инструмент служит для трансляции, синхронизации и сжатия звуковых данных и картинок в единый файл *.asf. Информация Windows Media, которая создается при помощи этого инструмента, называется иллюстрированным звуком, поскольку содержит слайды, связанные со звуковой дорожкой. Windows Media Author также может добавлять команды сценариев и URL к файлам *.asf.
Windows Media ASF Indexer — инструмент, который редактирует время начала и остановки файлов *.asf и индексирует их. Он также служит для создания маркеров, свойств и команд сценариев для файла *.asf.
VidToAsfu WavToAsf— утилиты преобразования, работающие из командной строки сервера. Служат для конвертирования существующих аудио-и видеофайлов в формат ASF.

Рис 22.20. Проигрыватель Windows Media в качестве клиента служб Windows Media


ASFCheck ASFChop и ASX3TEST - файловые утилиты, работающие из командной строки на сервере. ASFCheck служит для проверки формата файла *.asf и восстановления файла, если это возможно. С помощью ASFChop можно добавить свойства, маркеры, индексы и команды сценариев к файлу *.asf и удалять отрезки времени из файла *.asf. С помощью ASX3Test можно проверить синтаксис файла *.asx, созданного в текстовом редакторе.

Форматы. Службы Windows Media предоставляют возможность доставки мультимедийной информации большому количеству клиентов, использующих форматы ASF, WMA и WAV.

Клиенты могут проигрывать такие файлы, не загружая их целиком, поскольку они принимаются по сети в виде потоковых данных. Потоковая передача данных существенно уменьшает время загрузки и требования к памяти на клиентской стороне. Она также позволяет транслировать данные неограниченной длины, например, предоставляет возможность живых трансляций.

ASF

Службы Windows Media используют формат ASF — открытый стандарт, который поддерживает доставку данных поверх многих сетей и протоколов. ASF служит для упорядочения* организации и синхронизации мультимедиа-данных для передачи при помощи потока по сети. ASF — формат файлов; однако он может также обеспечить передачу живой трансляции. Формат ASF оптимизирован для передачи потоков мультимедиа по сетям, но oн подходит и для хранения записей.

Кодировать потоки ASF можно по любому алгоритму декомпрессии и сжатия (кодер-декодер, кодек). Информация, сохраненная в потоке ASF, может использоваться для определения клиентского, какой кодер-декодер необходим, чтобы декомпрессировать поток. Кроме того, потоки ASF могут быть переданы по любому базовому сетевому протоколу передачи дайнных.

Звуковой файл Windows Media, имеющий расщирение wma, является файлом *.asf, содержащим только звук, сжатий при помощи Micresoft Audio Codec. Этот тип отличается от файлов *.asf только по расширению. Сервер Windows Media может передавать файлы * .wma. Можно публиковать файлы *.wma при помощи файлов *.wax с использованием диспетчера программ. Компания Microsoft создала файлы *.wma для пользователей, которые могут проигрывать только звук.

Предоставление данных по требованию

Это один из способов, при помощи которых пользователь может получать потоковую информацию с сервера Windows Media. Coединение по требованию - активное соединение между клиентом и сервером При соединении по требованию пользователь инициализирует клиентское соединение с сервером, выбирая соответствующий ресурс. Содержание передается с сервера клиенту в потоке ASF. Если файл индексирован, пользователь может запустить, остановить, перемотать назад или вперед или приостановить поток. Соединения по требованию предоставляют большие возможности по управлению потоком, но они могут быстро исчерпать полосу пропускания сети, поскольку каждый клиент устанавливает свое собственное соединение с сервером.

Протоколы. На рис. 22.21 представлена диаграмма использования протоколов для организации взаимодействия между компонентами системы Windows Media.



Рис 22.21. Протоколы передачи потоков мультимедийных данных


Все компоненты могут взаимодействовать через протокол HTTP, что позволяет им связываться, даже если они разделены брандмауэром.

Клиенты, которые подключаются к серверу при помощи группового вещания, не используют никакого специального протокола; они принимают данные, которые получают по групповому IP-адресу и не нуждаются в установке соединения.

Протокол MMS

Протокол MMS (Microsoft Media Stream) предназначен для обращения к одноадресным ресурсам Windows Media. MMS используется по умолчанию для соединения с одноадресными службами Windows Media. Вводя в программе Проигрыватель Windows Media URL-адрес ресурса, к которому необходимо присоединиться, нужно указать протокол MMS и ссылку на нужный поток. При соединении с точкой публикации (publishing point) по протоколу MMS для выбора оптимального соединения используется просмотр (rollover) протоколов. Просмотр протоколов начинается с попытки установления соединения с сервером через MMSU. MMSU - протокол MMS, объединенный с UDP-транспортом данных. Если соединение MMSU потерпело неудачу, сервер пытается использовать MMST. MMST - протокол MMS, объединенный с TCP-транспортом данных.

Если при воспроизведении (проигрывании) индексированного файла *.asf требуются возможности ускоренной перемотки вперед, перемотки, паузы, запуска и остановки потока, необходимо применять протокол MMS. Ускоренная перемотка вперед и назад при использовании UNC-пугей недоступна. Когда устанавливается соединение с точкой публикации при помощи автономного проигрывателя Windows Media, нужно определить URL, указывающий на источник потока: rams: / /Mediaserver/exantple.asf

где Mediаserver— имя сервера Windows Media, a example.asf— имя файла *.asf, который требуется проиграть.

Протокол MSBD

Протокол MSBD служит для распределения потоков между кодировщиком Windows Media и компонентами сервера Windows Media и передачи потоков между серверами. MSBD — ориентированный на соединение протокол, оптимизированный для использования с потоками данных. MSBD нужен при испытании соединения между клиентом и сервером и для проверки качества потока ASF, но он не должен применяться в качестве основного метода приема данных ASF. Кодировщик Windows Media может поддерживать максимум 15 клиентов MSBD; сервер Windows Media может поддерживать максимум 5 клиентов MSBD.

Протокол HTTP

Если нужно передавать поток данных через брандмауэр (межсетевой экран) или другой фильтр трафика, который разрешает передачу только протокола HTTP, можно передавать потоковые данные по этому протоколу. Потоковый HTTP можно использовать для передачи потока от Кодировщика Windows Media до межсетевого фильтра на сервер Windows Media, а также чтобы подключаться к серверам Windows Media, которые отделены брандмауэром.

Применение потокового HTTP. Потоковый HTTP полезен для доставки потока через устройства обеспечения безопасности сети, поскольку потоковый HTTP обычно использует порт 80, а большинство брандмауэров не запрещает это. Компоненты сервера Windows Media по умолчанию настроены для применения потокового протокола MMS. Однако можно настроить компоненты сервера Windows Media, чтобы вместо MMS использовать потоковый HTTP. Потоковый HTTP — рекомендуемый вариант передачи потокового содержимого ASF через сетевые экраны.

В состав компонентов сервера Windows Media включены два типа служб — Одноадресная служба Windows Media (Windows Media Unicast Service) и Служба станции Windows Media (Windows Media Station Service). Следует выбрать, какой из компонентов сервера Windows Media будет использовать потоковый HTTP, поскольку оба они не могут одновременно работать с потоковым HTTP, т. к. не могут быть связаны с одним портом. Одноадресная служба Windows Media по умолчанию связана с портом 1755, а служба станции Windows Media — с портом 7007.

Чтобы редактировать порт, который служба использует для потокового HTTP:

1. Запустите редактор системного реестра.
2. В окне редактора реестра с помощью дерева реестра разверните ключ:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ nsunicast\Pararneters\

3. Выберите ключ HTTPPort и дважды щелкните левой кнопкой мыши. Откроется окно Изменение параметра DWORD (DWORD Editor).
4. Выберите опцию Десятичная (Decimal). Данные в поле должны быть равны 80.
5. Введите нужный номер порта для потокового протокола HTTP.

Изменение порта, с которым связана служба HTTP. Служба HTTP в IIS по умолчанию связана с портом 80. Если компоненты сервера Windows Media работают совместно на компьютере, на котором установлена веб-служба, и для Windows Media разрешена поддержка потокового HTTP, то такое совместное использование веб-сервера и Windows Media может привести к конфликту при привязке обеих служб к TCP-порту 80.

Изменение порта, к которому привязана служба HTTP, может разрешить конфликты портов, но также может привести к некорректной работе службы HTTP. Большинство входящих соединений по протоколу HTTP происходит через порт 80. Если порт 80 невозможно использовать, то клиентский браузер покажет сообщение об ошибке, что приведет к невозможности просмотра содержимого веб-сервера.

Для изменения порта; выделенного службе Windows Media для потокового HTTP:

1. Запустите редактор системного реестра.
2. В окне редактора реестра с помощью дерева реестра разверните ключ: HKEY_mCAL_MACHINE\System\CurrentControlSet\Services\nsstatipn \Parameters\
3. Выберите ключ HTTPPort и выполните двойной щелчок. Откроется окно Изменение параметра DWORD (DWORD Editor).
4. Выберите опцию Десятичная (Decimal). Поле данных должно содержать число 80.
5. Введите нужный номер порта для потокового HTTP.

Примечание

Право на внесение изменений в системном реестре при помощи редактора системного реестра зависит от разрешений доступа. Неправильное редактиррг вание системного реестра может нарушить работоспособность системы. Перед внесением изменений в системном реестре сделайте резервные копии всех ценных данных на этом компьютере.

Работа служб Windows Media и IIS на одном сервере. Компоненты сервера Windows Media и службы Microsoft Internet Information Services (IIS) могут сосуществовать на компьютере, когда используются значения по умолчанию по привязке к портам (одноадресная служба Windows Media связана с портом 1755, служба станции Windows Media — с портом 7007, a IIS — с портом 80).

Одноадресная служба Windows Media и служба станции Windows Media должны иметь доступные IP-адреса со свободным портом 80 для передачи потоковых данных ASF через протокол HTTP. Чтобы использовать потоковый HTTP, когда компоненты сервера Windows Media и IIS установлены на том же самом компьютере, требуются следующие условия:

По крайней мере два IP-адрееа, связанных с сетевой платой
Уникальная ресурсная запись типа А на сервере DNS для IP-адреса сервера Windows Media и IP-адреса сервера IIS

Чтобы разрешить потоковый протокол HTTP для компонентов сервера, которые работают на том же компьютере, что и IIS:

1. Назначьте IP-адрес веб-узлу в IIS:
2. Разрешите протокол потоковый HTTP для компонентов сервера Windows Media. Можете разрешить потоковый HTTP для одноадреснрй службы либо для службы группового вещания.
3. Отредактируйте системный реестр, чтобы службы компонентов Windows Media зависели от службы веб-публикации.

Чтобы назначить IP-адрес веб-узлу в IIS:

1. В окне оснастки управления IIS выберите компьютер, на котором установлены службы Windows Media.
2. В контекстном меню узла Веб-узел по умолчанию (Default Web site) выберите пункт Свойства (Properties). Откроется диалоговое окно свойств.
3. Перейдите на вкладку Веб-сайт (Web site).
4. На вкладке в поле IP-адрес (IP address) введите значение IP-адреса, которое должен использовать IIS.
5. Повторите шаги 2 до 4 для любых дополнительных веб-узлов, которые установлены в IIS, включая административный узел.

Чтобы отредактировать системный реестр так, чтобы одноадресная служба Windows Media или служба станции Windows Media зависели (запускались после другой службы) от веб-сервера:

1. Запустите редактор системного реестра.
2. Чтобы изменить настройки одноадресной службы Windows Media, в окне редактора реестра с помощью дерева реестра разверните ключ:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\nsunicast\

Или, чтобы изменить настройки службы станции Windows Media, в окне редактора реестра с помощью дерева реестра разверните ключ:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\nsstation\

3. Дважды щелкните на ключе DependOnService. Откроется окно многострочного редактора,
4. В конце списка служб введите vosvc. vbsvc — установка, которая делает компоненты сервера Windows Media зависящими от сервера IIS.
5. Перезапустите компьютер.

Определение типа MIME для служб Windows Media в IIS. На веб-сервере должны быть заданы типы MIME (Multipurpose Internet Mail Extensions), чтобы сервер имел информацию о том, что делать в случае получения запроса на доступ к ресурсу с неизвестным расширением файла, например asf и asx. Без этой записи веб-сервер не сможет интерпретировать файл.

Чтобы создать новый тип MIME в IIS:

1. В окне оснастки Internet Information Services выберите нужный сервер.
2. Щелкните правой кнопкой мыши на узле Веб-узел по умолчанию (Default Web site), а затем в контекстном меню выберите пункт Свойства. Появится диалоговое окно свойств веб-узла по умолчанию.
3. Перейдите на вкладку Заголовки HTTP (HTTP Headers).
4. В окне Сопоставление MIME (MIME Map) нажмите кнопку Типы файлов (File type). Появится диалоговое окно Типы файлов.
5. Нажмите кнопку Создать (New type).
6. В диалоговом окне Тип файлов в поле Связанное расширение (Associated Extension) введите asf, а в поле Тин содержимого (MIME) (Content type (MIME)) введите video/x-ms-asf и нажмите кнопку ОК.
7. Повторите шаги 5-6 для расширения asx, задав тип содержимого video/x-ms-asf.
8. Перезапустите сервер.

Примечание

Эта процедура предполагает, что компоненты сервера Windows Media и службы IIS не используются совместно на сервере. Если компоненты сервера Windows Media установлены после того, как установлены MS. то типы MIME для US создаются автоматически. Создание типов MIME для веб-узла по умолчанию воздействует на все узлы. При помощи этой процедуры можно создавать типы MIME для любых узлов на сервере.

 

22.17.gif

Изображение: 

22.18.gif

Изображение: 

Глава 23. Основные концепции службы Active Directory

Глава 23. Основные концепции службы Active Directory

1. Службы каталогов. Общие вопросы

 

Глава 23

Основные концепции службы Active Directory

В рамках этой книги невозможно подробно рассмотреть все аспекты использования службы каталогов Active Directory и доменов Windows 2000, поэтому в данной и следующих двух главах изложены основные термины и принципы построения служб каталогов и, конкретно, Active Directory; без понимания этих принципов трудно воспринимать материал многих других глав и эффективно использовать системы Windows 2000 в сложной сетевой среде. Рассмотрены также некоторые вопросы развертывания доменов Windows 2000 и типовые операции администрирования Active Directory (создание объектов каталога, делегирование прав администрирования, управление доверительными отношениями и т. д.). Разобравшись с изложенными в упомянутых главах темами, читатель сможет правильно подойти к решению многочисленных вопросов, возникающих в процессе эксплуатации сетевой многодоменной среды Windows 2000.




Службы каталогов. Общие вопросы


Назначение службы каталогов

Служба каталогов Active Directory является, без сомнения, одним из главных концептуальных новшеств системы Windows 2000 Server.

По своей сути, служба каталогов — это средство для именования, хранения и выборки информации в некоторой распределенной среде, доступное для приложений, пользователей и различных клиентов этой среды. Можно вспомнить знакомый многим системный реестр Windows и базу данных Диспетчера безопасности учетных записей (SAM) Windows NT. Служба сетевых каталогов хранит информацию об общедоступных приложениях, файлах, принтерах и сведения о пользователях.

Служба каталогов Active Directory обеспечивает эффективную работу сложной корпоративной среды, предоставляя следующие возможности:

Единая регистрация в сети ; Пользователи могут регистрироваться в сети с одним именем и паролем и получать при этом доступ ко всем сетевым ресурсам (серверам, принтерам, приложениям, файлам и т. д.) независимо от их расположения в сети.
Безопасность информации. Средства аутентификации и управления доступом к ресурсам, встроенные в службу Active Directory, обеспечивают централизованную защиту сети. Права доступа можно определять не только для каждого объекта каталога, но и каждого свойства (атрибута) объекта.
Централизованное управление. Администраторы могут централизованно управлять всеми корпоративными ресурсами. Рутинные задачи администрирования не нужно повторять для многочисленных объектов сети.
Администрирование с использованием групповых политик. При загрузке компьютера или регистрации пользователя в системе выполняются требования групповых политик; их настройки хранятся в объектах групповых политик (GPO) и "привязываются" к сайтам, доменам или организационным единицам. Групповые политики определяют, например, права доступа к различным объектам каталога или ресурсам, а также множество других "правил" работы в системе.
Гибкость изменений. Служба каталогов гибко следует за изменениями структуры компании или организации. При этом реорганизация каталога не усложняется, а может и упроститься. Кроме того, службу каталога можно связать с Интернетом для взаимодействия с деловыми партнерами и поддержки электронной коммерции.
Интеграция с DNS. Служба Active Directory тесно связана с DNS. Этим достигается единство в именовании ресурсов локальной сети и сети Интернет, в результате чего упрощается подключение пользовательской сети к Интернету.
Расширяемость каталога. Администраторы могут добавлять в схему каталога новые классы объектов или добавлять новые атрибуты к существующим классам.
Масштабируемость. Служба Active Directory может охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена — т. е. она отвечает требованиям сетей любого масштаба. Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес.
Репликация информации. В службе Active Directory используется репликация служебной информации в схеме со многими ведущими (multi-master), что позволяет модифицировать каталог на любом контроллере домена. Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость и возможность распределения сетевой нагрузки.
Гибкость запросов к каталогу. Пользователи и администраторы сети могут быстро находить объекты в сети, используя свойства объекта (например, имя пользователя или адрес его электронной почты, тип принтера или его местоположение и т. п.). Это, в частности, можно сделать при помощи команды Пуск | Поиск (Start | Search), папку Мое сетевое окружение (My Network Places) или оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers). Оптимальность процедуры поиска достигается благодаря использованию глобального каталога.
Стандартные интерфейсы. Для разработчиков приложений служба каталогов предоставляют доступ ко всем возможностям (средствам) каталога и поддерживают принятые стандарты и интерфейсы программирования (API). Служба каталогов тесно связана с операционной системой что позволяет избежать дублирования в прикладных программах функциональных возможностей системы, например, средств безопасности.

 

2. Каталоги и Windows 2000

 

Каталоги и Windows 2000

Служба каталогов нужна многим приложениям. Требуется она и операционным системам, которым удобно хранить в едином каталоге учетные записи пользователей, информацию о файлах и приложениях политики безопасности и многое другое.

Если в некоторой распределенной среде отсутствует главный, центральный каталог, то каждому приложению необходимо иметь собственный каталог, в результате чего появляются различные решения и механизмы хранения информации. К примеру, в среде Windows NT Server 4.0 пакет Microsoft Exchange использует одну службу каталога, еще одна база хранит пользовательские учетные записи, а в других распределенных компонентах, таких как Microsoft Message Queuing Server (MSMQ), все равно применяются дополнительные каталоги. Понятно, что наличие нескольких механизмов, реализующих одну и ту же задачу, — далеко не самое удачное решение. Гораздо лучше — единственная служба каталогов, доступная всем клиентам и имеющая одну базу данных, общие схему и соглашения об именовании информации, а также возможность централизованного администрирования. Active Directory используется в Windows 2000 Server по-разному. Операционная система хранит в каталоге информацию о пользовательских учетных записях, принтерах и компьютерах сети, а также многое другое. Большое значение Active Directory имеет для Windows Management Architecture (Архитектура управления Windows) — в частности, с помощью каталога ищутся серверы, на которых располагаются компоненты приложений. К службе Active Directory для хранения разнообразной информации (например, пользовательских адресных книг и сертификатов) обращается пакет Microsoft Exchange. Приложения, созданные на базе модели DCOM и Microsoft Transaction Server (MTS; в Windows 2000 называются Службами компонентов, Component Services), могут обращаться к службе каталогов для поиска удаленных объектов. Active Directory заменит службу каталога, существующую в настоящее время в MSMQ. Поскольку в Active Directory можно хранить информацию новых типов, то есть схему каталогов можно расширять, разработчики корпоративных и коммерческих приложений могут использовать существующие службы каталогов для создания своих продуктов.

 

3. Терминология

 

Терминология

Сначала рассмотрим некоторые базовые термины, используемые в службах каталогов (с примерами из Active Directory), двигаясь в сторону более глобальных понятий. После знакомства с ними можно переходить к терминам и концепциям конкретной службы каталогов — Active Directory.

Можно сказать, что служба Active Directory "стоит на трех китах":

Стандарт Х.500
Служба DNS (Domain Name Service)
Протокол LDAP (Lightweight Directory Access Protocol)

В Active Directory частично реализована модель данных, описываемая стандартом Х.500. Традиционная в сетях TCP/IP служба DNS используется, в частности, для поиска контроллеров Домена, а благодаря протоколу LDAP клиенты могут по имени находить в каталоге Active Directory нужные объекты и получать доступ к их атрибутам.

Все описываемые ниже термины и концепции так или иначе касаются этих трех "составных частей" службы каталогов (однако не следует считать, что для работы Active Directory необходимы только эти компоненты!).

 

4. Объекты и объектные классы

 

Объекты и объектные классы

Каталог состоит из элементов (entries), представляющих собой информацию, или атрибуты, связанные с некоторым реальным объектом, например компьютером, человеком или организацией. Термины "элемент" и "объект" часто используют как взаимозаменяемые, хотя объект — это нечто относящееся к физическому миру, а элемент — его представление в каталоге.

Каждый объект принадлежит по крайней мере к одному объектному классу, представляющему собой некоторое семейство объектов с определенными общими характеристиками. Класс объектов определяет тип информации, содержащейся в Active Directory для экземпляров (объектов) данного класса. В качестве примера объектных классов можно привести два стандартных класса: person и domain. Среди множества атрибутов этих классов — cn (Common-Name), userPassword (User-Password) и dc (Domain-Component), url (WWW-Page-Other), соответственно. Атрибуты могут быть как обязательными (mandatory) для данного класса (например, сn и dc), так и дополнительными (optional) (userPassword и url).

Помимо стандартных объектных классов можно описывать дополнительные классы, относящиеся к различным уровням (national и local).

 

5. Атрибуты и их типы

 

Атрибуты и их типы

Каждый элемент каталога имеет атрибуты различных типов, характеризующих информацию, содержащуюся в этих атрибутах. Например, атрибут типа commonName представляет собой имя, идентифицирующее некоторый объект. Каждый атрибут может иметь одно или несколько значении.

Помимо атрибутов стандартных типов можно создавать и использовать дополнительные типы атрибутов.

 

6. Контейнер

 

Контейнер

Контейнер (container) — это специфический объект службы каталогов, который, в отличие от обычных объектов, не имеет какого-либо физического представления, а служит только структурной организации — группировки — других объектов каталога. Типичным примером контейнеров могут служить организационные единицы, или подразделения (см. ниже раздел "Листья и контейнеры LDAP"), используемые для упрощения администрирования отдельных групп ресурсов или пользователей в домене.

 

7. Информационное дерево каталога

 

Информационное дерево каталога

Элементы каталога организованы в виде иерархического дерева, называемого Directory Information Tree (DIT, Информационное дерево каталога или просто Дерево каталога). Элементы, находящиеся ближе к корню дерева, обычно представляют крупные объекты, например, организации или компании; элементы, располагающиеся на ветвях этого дерева, (листья) представляют более простые объекты — пользователей, устройства, компьютеры.

 

8. Схема каталога

 

Схема каталога

Схема каталога (Directory Schema) — это набор правил, описывающих структуру дерева каталога, объявления и синтаксис объектных классов и типы атрибутов, входящих в каталог.

Схема каталога гарантирует, что все добавления или изменения каталога соответствуют данным правилам, и препятствует появлению некорректных элементов, ошибочных типов атрибутов или классов.

В Active Directory схема реализована как набор экземпляров объектных классов, хранящийся в самом каталоге. Этим Active Directory отличается от многих каталогов, в которых схема хранится в текстовом файле, считываемом при запуске каталога. Когда схема хранится в каталоге, пользовательские приложения могут обращаться к ней и узнавать об имеющихся объектах и свойствах. Схему Active Directory можно динамически обновлять: модифицировать и расширять.

 

9. Пространство имен

 

Пространство имен

Любая служба каталога в первую очередь представляет собой некоторое пространство имен (namespace). Пространство имен — это любая ограниченная область, в которой можно по имени обратиться к атрибутам самого объекта или к информации, связанной с этим именем. Процесс преобразования имени в ссылку на объект называется разрешением имен. (Например, в телефонном справочнике по имени абонента ищется его телефон, адрес и т. п, Файловая система — это пространство имен, в котором по имени файла можно найти сам файл.)

 

10. Служба каталогов Active Directory

 

Служба каталогов Active Directory

При инсталляции Windows 2000 Server и организации домена Windows 2000 (или смешанного с Windows NT 4.0 домена) необходимо иметь четкое представление о некоторых базовых понятиях служб каталога вообще и Active Directory — в частности. Без этого невозможно даже правильно сконфигурировать Windows 2000 Server, не говоря уж об эффективной организации доменов.

 

11. Домены и Контроллеры доменов

 

Домены и Контроллеры доменов

Основные компоненты любой службы каталога — база данных, содержащая нужную информацию, и один или несколько протоколов, обеспечивающих доставку данных пользователям.

Active Directory обеспечивает хранение любой общедоступной информации. Как и другие службы каталогов, Active Directory обеспечивает некоторый механизм хранения информации и протоколы для доступа к ней.

Для понимания структуры Active Directory рассмотрим сначала отличия Windows 2000 от предыдущих версий. Компьютеры на базе Windows 2000 по-прежнему объединяются в домены. Домены — это известное решение для администрирования групп, предоставляющее каждому пользователю учетную запись в конкретном домене. Однако, в отличие от Windows NT Server 4.0, где доменам давались простые строковые имена (имена NetBIOS), в среде Windows 2000 Server каждый домен должен иметь имя, отвечающее соглашениям именования доменов Domain Name System (DNS). Так, домен MainOffice при обновлении может получить новое имя типа mainqfflce.company.com. В каждом домене один или несколько компьютеров должны выполнять функции контроллеров домена. В среде Windows 2000 Server каждый контроллер домена содержит полную копию базы данных Active Directory этого домена. В Active Directory используются так называемое ядро Extended Storage Engine (ESE) и два различных протокола, обеспечивающих связь между клиентами и базой данных. Для поиска контроллера домена клиент обращается к протоколу, описанному в DNS, — "стандартной", службе каталогов, применяемой в настоящее время для сетей TCP/IP. Для доступа к данным в Active Directory клиент использует протокол Lightweight Directory Access Protocol (LDAP) (рис. 23.1).



Рис 23.1. Доступ к данным с использованием LDAP

 

23.1.gif

Изображение: 

12. Службы DNS и Aciive Directory

 

Службы DNS и Active Directory

В большинстве современных сетей TCP/IP используется служба DNS, главное назначение которой — преобразовывать простые для запоминания имена типа company.com в IP-адреса. Для этого каждый компьютер-сервер DNS имеет набор записей с информацией о ресурсах. Каждая запись имеет некоторый тип, определяющий характер и назначение хранящейся информации. Например, запись типа А применяется для преобразования доменного имени компьютера в заданный IP-адрес, а запись типа MX — для поиска почтового сервера в определенном почтовом домене. Каждый DNS-сервер "знает" свое место в глобальном пространстве DNS-имен, что позволяет передавать неразрешенные запросы другим серверам. Поэтому — пусть и не сразу— почти каждый клиентский запрос находит нужный сервер, хранящий искомую информацию.

Интеграцию служб Active Directory и DNS можно рассматривать в трех аспектах:

Домены Active Directory и домены DNS имеют одинаковую иерархическую структуру и схожее пространство имен.
Зоны (zone) DNS могут храниться в Active Directory. Если используется сервер DNS, входящий в состав Windows 2000 .Server, то первичные зоны (primary zone), занесенные в каталог, реплицируются на все контроллеры домена, что обеспечивает лучшую защищенность службы DNS.
Использование клиентами службы DNS при поиске контроллеров домена.

Active Directory может использовать любую стандартную, законченную реализацию службы DNS: не обязательно задействовать DNS-сервер, входящий в Windows 2000 Server (например; можно использовать BIND 8.1.x). Однако лучше остановить свой выбор на нем, поскольку модули Windows 2000 более согласованы друг с другом (хранение и репликация зон и т. п.), ведь необходимо, чтобы выбранный DNS-сервер соответствовал последним стандартам. Например, для Active Directory нужен DNS-сервер, поддерживающий записи типа SRV. Записи подобного типа (SRV records), в соответствии с RFC 2052, позволяют клиентам находить нужные сетевые службы. В Active Directory служба LDAP каждого домена Windows 2000 представлена некоторой SRV-записью службы DNS. Такая запись содержит DNS-имя контроллера этого домена, по которому клиенты Active Directory могут находить IP-адрес компьютера-контроллера домена. После того как нужный контроллер обнаружен, для доступа к данным Active Directory, хранящихся на нем, клиент может использовать протокол LDAP.

Windows 2000 Server поддерживает также службу динамического именования хостов, Dynamic DNS. В соответствии с RFC 2136 служба Dynamic DNS расширяет протокол DNS, позволяя модифицировать базу данных DNS со стороны удаленных систем. Например, при подключении некоторый контроллер домена может сам добавлять SRV-запись для себя, освобождая администратора от такой необходимости.

Примечание

DNS-сервер, используемый вместе с Active Directory, должен лишь поддерживать SRV-записи и символы подчеркивания в именах, наличие Dynamic DNS не строго обязательно: такое требование только облегчает работу с сетью. Этот факт очень важен при развертывании Windows 2000 в гетерогенных сетях, где имеются DNS-серверы на других платформах.

 

13. Листья н контейнеры LDAP

 

Листья и контейнеры LDAP

После того как с помощью DNS нужный контроллер домена обнаружен, для доступа к данным Active Directory используется протокол LDAP. Как и DNS, LDAP — это стандарт, разработанный консорциумом IETF и происходящий от сложной, но не используемой широко службы каталогов Х.500, созданной в середине 80-х годов. Active Directory поддерживает не только версию 2 протокола LDAP, описанную в RFC 1777, но и версию 3, рассматриваемую в RFC 2251. В настоящее время практически все фирмы-поставщики служб каталогов предлагают LDAP-совместимые продукты, поэтому клиенты LDAP сторонних поставщиков могут обращаться к LDAP-серверу Active Directory. Протокол LDAP работает поверх TCP/IP и — как следует из названия протокола — определяет способы доступа к каталогу со стороны клиентов. Помимо механизма доступа данный протокол реализует соглашения по именованию информации в каталоге, в явном виде описывая структуру этой информации. Для клиента все данные, хранящиеся в базе LDAP, представляются в виде иерархического дерева. Каждый узел дерева (объект или элемент) может быть либо контейнером (container), либо листом (leaf). Различие между ними вполне очевидно: контейнеры могут содержать другие элементы, а листья — нет.

Каждый элемент (контейнер или лист) представляет собой некоторый объектный класс, определяющий атрибуты (называемые также свойствами) данного элемента. Поскольку атрибуты есть и у контейнеров, и у листьев, информация, хранящаяся в дереве каталога, распределена по всем узлам. Тип информации (объектные классы и типы атрибутов), содержащейся в конкретной базе данных Active Directory, задается схемой, определенной для этого каталога. В Active Directory схема каждого каталога представлена элементами, хранящимися непосредственно в самом каталоге. Компания Microsoft определяет стандартную схему, однако пользователи и разработчики программных средств могут добавлять новые классы и типы атрибутов. Изменение схемы каталога — полезная возможность, которой нужно пользоваться очень осторожно, поскольку такие изменения могут иметь весьма значительные последствия.

Схема Active Directory достаточно сложна и содержит сотни и сотни объектных классов и типов атрибутов. Ниже для примера перечислены некоторые интересные классы:

user — описывает конкретного пользователя домена. Среди атрибутов этого класса: canonicalName (Каноническое имя), userPrincipalName (Полное имя пользователя), homePostalAddress (Домашний почтовый адрес), telephoneNumber (Номер телефона), thumbnailPhoto (Фотография).
printQueue — позволяет клиенту находить некоторый принтер. Среди атрибутов: location (Местоположение), printStatus (Состояние принтера) и printLanguage (Язык принтера).
compoter — идентифицирует некоторый компьютер домена. Среди множества атрибутов этого класса: operatingSystem (Операционная система), operatingSystemServicePack, dNSHostName (DNS-имя хоста) и machineRole (Назначение компьютера; этот атрибут указывает, является ли данный компьютер контроллером домена, рядовым сервером или рабочей станцией).
organizationalUnit — описывает подразделения конкретного домена. Самый важный.атрибут— ои (Имя организационной единицы). Организационные единицы играют очень важную роль при структурировании информации, внутри домена (это будет описано чуть позже).

Каждый элемент Active Directory и каждый атрибут любого элемента имеют список управления доступом (ACL), который определяет права и возможности пользователей в отношении доступа к конкретным элементам и атрибутам. Например, список ACL может позволить одним пользователям читать атрибуты некоторого элемента, другим пользователям — читать и изменять некоторые из атрибутов, а остальным — запретить какой-либо доступ к элементу. Эффективное управление доступом невозможно без достоверной аутентификации клиентов, Active Directory использует для этой цели протокол Kerberos. (Kerberos — стандарт, созданный консорциумом IETF и поддерживаемый многими поставщиками; ключевая технология для обеспечения распределенной безопасности Windows 2000.)

 

14. Механизмы именовании в Active Directory

 

Механизмы именования в Active Directory

Каждый домен в Windows 2000 имеет DNS-имя, однако DNS-имена не применяются для именования отдельных элементов базы данных Active Directory. Вместо "этого следует использовать имена, принятые в LDAP. Согласно требованиям протокола LDAP один {или — очень редко — несколько) из атрибутов элемента каталога служит для именования этого элемента. Например, для идентификации экземпляра (элемента) объектного класса user может быть задействовано значение атрибута сn; а для объекта класса organizational Unit — значение атрибута оu.

На рис. 23.2 показана гипотетическая структура очень простого домена Windows 2000 для компании BHV. Предположим, что эта компания имеет два структурных подразделения (отдел продаж и редакционную группу) и доменное имя компании — bhv.com. По функциональным обязанностям члены редакционной группы делятся на администрацию и редакторов. Практически в любом домене для деления пространства имен используются подразделения или организационные единицы (OU), и демонстрационный домен — не исключение. Ниже корня домена располагаются два подразделения: sales (отдел продаж) и office (редакционная группа). Имя каждого подразделения определяется значением ее атрибута оu.



Рис 23.2 Структура каталога простого домена Windows 2000



Примечание

Объектам Active Directory (в частности, подразделениям) можно давать и русские имена (возможно, из нескольких слов). Однако, если локальная сеть подключается к Интернету, нужно учитывать, что в стандартных интернетовских DNS-именах разрешены только латинские буквы!

Ниже подразделения sales располагаются объекты класса user. Имя.каждого объекта определяется атрибутом en (Common-Name), и эти объекты хранят информацию о пользователях домена. Организационная единица office делится еще на два подразделения: Admins и Editors. Ниже располагаются элементы каталога для отдельных работников, имена которых также определяются атрибутами сп.

Для получения информации о некотором элементе, например, Director, клиент должен указать уникальное имя этого элемента, которое называется отличительным, или различающимся, именем (distinguished name). Отличительное имя — это набор имен, отражающих путь от корня дерева домена до интересующего элемента. Для элемента Director, например, отличительным именем будет cn=Director, ou=Admms, dc=bhv, dc=eom. В последних двух элементах имени dc означает domain component, эти элементы представляют DNS-имя домена в соответствии с соглашениями LDAP. Отличительные имена уникальным образом идентифицируют узлы в базе данных Active Directory, однако их нельзя назвать "дружественными". Можно не перечислять в имени все типы атрибутов явно (cn=, ou=, dc= и т. п.), а записать это имя как //bhv.com/Admins/Director. В передаваемых LDAP-пакетах всегда указывается отличительное имя, однако в пользовательском интерфейсе можно применять более удобную и простую форму имени. Помимо отличительного имени каждый объект каталога имеет относительное отличительное имя (relative distinguished name), которое является атрибутом самого этого объекта, а не образуется как цепочка имен до объекта от корня дерева. Таким образом, для элемента Director, например, относительным отличительным именем будет cn=Director. Для родительского объекта этого элемента относительное отличительное имя — ou=Admins. В Active Directory имеется несколько контекстов имен (naming contexts), или разделов (partitions), которые представляют собой законченные, непрерывные поддеревья каталога и являются объектами репликации. Каждый сервер с Active Directory имеет по меньшей мере три контекста имен:

Схема (Schema), описывающая классы объектов и их атрибуты, хранящиеся в Active Directory.
Конфигурация (Configuration) (топология репликации и связанные с ней метаданные, например, сведения о контроллерах домена).
Один (в нашем примере — bhv.com) или несколько пользовательских, или доменных, контекстов имен (т. е. контекстов, содержащих реальные, рабочие объекты каталога), при этом контроллеры домена хранят реальные объекты только своего домена.

 

23.2.gif

Изображение: 

15. Организация доменов: Лес и Деревья

 

Организация доменов: Лес и Деревья

База данных домена Windows 2000 может хранить значительно больше элементов, чем это было возможно в доменах Windows NT 4.0, поэтому организация, имеющая в своей сети множество доменов, теперь сможет объединить их в один домен. Однако в некоторых ситуациях даже одной организации полезно иметь несколько доменов. В подобных случаях Active Directory позволяет различным образом группировать домены (хотя такое решение не является обязательным).

Домены с непрерывными "смежными" DNS-именами могут быть объединены в дерево доменов (domain tree), или доменное дерево (рис. 23.3).



Рис 23.3. Несколько доменов можно объединить в один


Какие преимущества дает объединение доменов в подобную иерархию? Появляется возможность поиска в корневом домене, при котором также проверяются элементы в дочерних доменах. Кроме того, наличие автоматически созданных двусторонних доверительных отношений между всеми доменами, входящими в дерево, значительно упрощает администрирование всей сети. Также можно группировать домены, не имеющие "смежных" DNS-имен. В результате этого возникнет лес (forest), состоящий из нескольких доменов и/или деревьев доменов. Как и в дереве доменов, все домены, входящие в лес, связаны между собой двусторонними доверительными отношениями, используют общую схему, конфигурацию и глобальный каталог. Главное различие между деревом доменов и лесом заключается в том, что все домены, входящие в дерево, должны иметь "смежные" DNS-имена, а для доменов, образующих лес, это не обязательно.

 

23.3.gif

Изображение: 

16. Доверительные отношения

 

Доверительные отношения

Принципиальное отличие доменов Windows 2000 от доменов Windows NT 4.0 заключается в том, что все домены Windows 2000 связаны между собой транзитивными доверительными отношениями, созданными с использованием протокола Kerberos. Эти отношения устанавливаются по умолчанию, автоматически, и являются двунаправленными. Под транзитивностью подразумевается тот факт, что все домены в дереве доверяют друг другу: т. е. если домен А доверяет домену Б, а домен Б доверяет домену В, то домен А также доверяет домену В. Такой подход упрощает администрирование доменов при сохранении высокого уровня безопасности.

 

17. Поиск информации: Индексы и Глобальный каталог

 

Поиск информации:
Индексы и Глобальный каталог

При помощи протокола LDAP несложно получить доступ к некоторому объекту (элементу), если клиенту известно имя домена, к которому этот объект относится, и отличительное имя объекта. Что же делать, если клиент знает только имя домена, а отличительное имя объекта ему не известно? Предположим, что клиенту известны значения только некоторых атрибутов объекта. В Active Directory можно осуществлять поиск, зная только значение атрибута. Например, с помощью запроса к каталогу можно найти все объекты класса user со значением Director. Поскольку общее число элементов в каталоге бывает достаточно велико, такой поиск может выполняться медленно. Для ускорения поиска Active Directory позволяет индексировать атрибуты заданных типов.

Более сложный случай: предположим, что клиент знает, в каком лесе выполнять поиск, однако ему неизвестно, в каком домене данного леса находится искомый атрибут. Даже если для данного атрибута имеется индекс, поиск в каждом домене, входящем в лес, может отнять много времени. Для решения этой проблемы в Active Directory существует глобальный каталог (Global Catalog, GC). Все домены, входящие в некоторое дерево или лес доменов, используют общий, единый глббальный каталог, в котором имеется копия каждого элемента этих доменов. Однако в глобальный каталог входят только некоторые из атрибутов каждого элемента — те, которые могут представлять интерес в "масштабах" леса. В Active Directory имеется набор стандартных атрибутов для каждого объекта, которые всегда присутствуют в глобальном каталоге, но с помощью оснастки Схема Active Directory (Active Directory Schema) администраторы могут указывать и свои атрибуты для хранения в глобальном каталоге (нужно только помнить при этом, что при изменении схемы требуется полная синхронизация всех атрибутов объектов, хранящихся в глобальном каталоге, для всех доменов в лесе, и это может вызвать значительный трафик в сети). При необходимости можно также индексировать типы атрибутов в глобальном каталоге для ускорения поиска.

Кроме поиска, глобальный каталог реализует еще одну из основных возможностей Active Directory — единую регистрацию в сети. В доменах, работающих в основном (native) режиме, глобальный каталог хранит информацию об универсальных группах, в которую могут входить члены разных доменов.

Эта информация используется при регистрации в сети клиентов Active Directory. Фактически не только пользователи, но и все объекты (например, каждый компьютер), проходящие аутентификацию в Active Directory, должны обращаться к серверу глобального каталога. Если в момент регистрации пользователя глобальный каталог недоступен, то этот пользователь сможет зарегистрироваться только локально, а не в сети. Исключение составляют члены групп администраторов домена (Domain Admins).

По умолчанию глобальный каталог создается автоматически на первом контроллере домена в лесе. В нем хранятся полная копия всех объектов Active Directory для того домена, в который он входит, и частичная копия (т. е. в глобальном каталоге хранятся не все свойства, а только некоторые) объектов, относящихся ко всем другим доменам, образующим лес.

 

18. Изменение местоположения глобального каталога

 

Изменение местоположения глобального каталога

Сервером глобального каталога можно назначить любой контроллер домена с учетом требований сетевой среды к операциям поиска и обслуживания запросов на регистрацию. Для этой цели используется оснастка Active Directory — сайты к службы (Active Directory Sites and Services): в ней нужно выбрать требуемый контроллер домена и открыть окно Свойства: NTDS Setting (NTDS Settings Properties), в котором установить флажок Глобальный каталог (Global Catalog). При этом уже имеющиеся в сети серверы глобального каталога сохраняют свой статус, и если таких серверов в сети становится несколько (два и больше), то между ними начинается репликация данных с применением обычных механизмов и расписаний репликации.

 

19. Репликация

 

Репликация

Репликация (replication, дублирование) данных в каталоге (хранение копий каталога на различных компьютерах) повышает производительность и готовность, {надежность). Как и все другие службы каталога, Active Directory позволяет реплицировать данные. Как показано на рис. 23.4, когда клиент изменяет какой-нибудь элемент каталога, изменения реплицируются на все контроллеры данного домена. Поскольку протокол LDAP не поддерживает возможности репликации, в Active Directory для выполнения этой задачи используются различные протоколы, разработанные компанией Microsoft.

В Windows NT Server 4.0 также имеется механизм репликации каталога (который в этом продукте значительно проще), для реализации которого контроллер домена функционирует или , как главный контроллер домена (PDC), или как резервный контроллер домена (BDC). Такие различия в Windows 2000 Server отсутствуют: имеется единое понятие контроллер домена.

Причина таких изменений следующая. В Windows NT Server 4.0 изменять можно только ту копию данных, которая хранится на PDC. В отличие от этого в Active Directory используется так называемая multi-master replication (дословно — "репликация со многими основными контроллерами доменов"). Каждый контроллер домена имеет полную копию базы данных своего домена с возможностью чтения и записи. Клиент может изменить любую копию, после чего все изменения распространяются по всем другим копиям, хранящимся на других контроллерах данного домена (при этом копируются только измененные атрибуты элементов каталога). Если два клиента одновременно изменят один и тот же атрибут какого-нибудь элемента, то зафиксируется последнее изменение (хотя нужно отметить, что для определения окончательного варианта изменений обычно используются номера версий, version numbers, а не временные отметки, timestamps).



Рис 23.4. Изменение элемента в каталоге влечет за собой копирование этих изменений во все реплики, хранящиеся на контроллерах домена


Не следует думать, что репликация Active Directory создает очень большой трафик в сети. Во-первых, пересылаются не объекты целиком, а только измененные атрибуты; во-вторых, информация, передаваемая между сайтами (т. е. по медленным, как правило, каналам), автоматически сжимается.

Для понимания механизма репликации и способов управления ею необходимо отчетливо представлять себе роли основного контроллера операции (operations master), описываемые ниже в этой главе.

 

23.4.gif

Изображение: 

20. Сайты

 

Сайты

Репликация данных Active Directory на нескольких контроллерах домена вполне оправданна. Однако представим себе, что домен располагается на значительной территории, может быть, даже в разных странах. Такой домен может иметь множество контроллеров доменов, значительно удаленных друг от друга. Клиент, обращаясь к службе каталога, не должен работать с удаленным контроллером, если таковой имеется в непосредственной близости!

Для того чтобы "локализовать" доступ, Active Directory позволяет администраторам делить один домен на несколько сайтов (site), как показано на рис. 23.5. Сайт — это одна или несколько IP-подсетей, входящих в ту часть сети, где соединения между компьютерами выполняются быстро и надежно. По сути, сайты отображают физическую топологию коммуникационных каналов всей сети. Например, сайтом имеет смысл сделать несколько подсетей, связанных между собой с помощью Ethernet. Когда клиент через DNS находит некоторый контроллер домена, этот контроллер определяет, находится ли клиент в том же сайте, что и данный контроллер. Если нет, клиент "передается" другому контроллеру домена, располагающемуся в том же сайте, что и клиент.

Репликация Active Directory по сути выполняется между сайтами, а не между доменами. В стандартном случае репликация между компьютерами, входящими в сайт (intra-site replication), выполняется чаще, чем между компьютерами, относящимися к различным сайтам (inter-site replication). Администраторы могут управлять частотой выполнения репликаций, хотя из-за того, что полоса пропускания каналов между сайтами меньше, чем скорость передачи данных внутри сайта, практически всегда репликации между сайтами осуществляются реже. Для повышения производительности данные, передаваемые при репликации между сайтами, сжимаются, благодаря чему более эффективно используются низкоскоростные каналы, связывающие сайты.



Рис 23.5. Деление одного домена Active Directory на несколько сайтов

 

23.5.gif

Изображение: 

21. Основные контроллеры операций

 

Основные контроллеры операций

Как уже упоминалось, в Active Directory реализована репликация в режиме multi-master. Однако некоторые изменения в каталоге целесообразнее (эффективнее) выполнять в режиме с одним основным контроллером (single-master), называемым основным контроллером операций (operations master), который и управляет всеми подобными изменениями.

Основной контроллер операций отвечает за выполнение определенных функций, которые называют ролями контроллера операций. Поскольку эти роли могут назначаться разным контроллерам домена внутри домена или леса и передаваться от одного контроллера к другому, для них существует другое определение — гибкие операции с одним основным контроллером (Flexible Single Master Operations, FSMO).

 

22. Роли контроллера операций (FSMO)

 

Роли контроллера операций (FSMO)

При создании нового домена (первого домена в лесе) контроллер домена после инсталляции службы Active Directory получает пять различных ролей FSMO, которые сохраняются за ним. В большой сети (со множеством контроллеров или доменов) можно (иногда и нужно) передать некоторые из этих ролей другим контроллерам домена. При этом некоторые роли назначаются для каждого леса, а другие должны присутствовать в каждом домене, входящем в лес.

 

23. Роли, уникальные для леса

 

Роли, уникальные для леса

Две следующие роли можно назначать только одному контроллеру в пределах леса:

Хозяин схемы (Schema Master). Контроллер, выполняющий роль основного контроллера схемы, управляет всеми обновлениями и модификациями схемы.
Хозяин именования доменов (Domain Naming Master). Контроллер, управляющий доменными именами, следит за добавлением и удалением доменов в лесе.

 

24. Роли, уникальные для домена

 

Роли, уникальные для домена

Следующие три роли можно назначать только одному контроллеру в рамках домена; они не являются глобальными для леса:

Хозяин RID (Relative ID Master, RID Master). Контроллер, выполняющий эту роль, генерирует последовательности относительных идентификаторов (RID) для всех контроллеров своего домена. Когда на некотором контроллере создается объект типа "пользователь", "группа" или "компьютер", этому объекту назначается уникальный идентификатор безопасности (SID), который образуется из доменного SID (единого для всех идентификаторов безопасности, создаваемых в этом домене) и относительного идентификатора (уникального для каждого идентификатора безопасности, создаваемого в домене). Когда диапазон (пул) относительных идентификаторов исчерпан, контроллер домена запрашивает новый диапазон у контроллера, являющегося хозяином RID.
Хозяин РDС (Primary Domain Controller (PDC) Emulator). Если в домен входят компьютеры, не имеющие клиента для Windows 2000, или резервные контроллеры домена (BDC) Windows NT, то контроллер-эмулятор PDC выполняет функции основного контроллера домена (PDC) Windows NT. Он обрабатывает изменения клиентских паролей и обновляет информационные базы на BDC-контроллерах. Хозяин PDC первым получает изменения пароля, выполненные на любом другом контроллере своего домена. Если на некотором контроллере домена из-за неверного пароля не пройдет аутентификация пользователя, то перед тем как запрос на регистрацию будет отвергнут, он сначала передается контроллеру, выполняющему роль хозяина PDC.
Хозяин инфраструктуры (Infrastructure Master). Контроллер, управляющий инфраструктурой, обновляет все внутридоменные ссылки на объекты других доменов при изменениях этих объектов. Например, при изменении имени члена некоторой группы (причем этот член группы находится в другом домене относительно группы) или его удалении из группы контроллер, являющийся хозяином инфраструктуры, обновляет ссылки из группы на этого члена группы. Обновления ссылок реплицируются в режиме multi-master.

Если в домене несколько контроллеров домена, то не следует назначать роль хозяина инфраструктуры контроллеру домена, на котором находится глобальный каталог: в этом случае хозяин инфраструктуры функционировать не будет, поскольку при изменениях (перемещениях) объектов не будут обновляться междоменные ссылки на эти объекты. Когда серверами глобального каталога являются все контроллеры домена, не имеет значения, кто из них выполняет роль хозяина инфраструктуры.

 

25. Передача ролей FSMO

 

Передача ролей FSMO

Для передачи ролей FSMO, уникальных для всего леса, используются оснастки Схема Active Directory (Active Directory Schema) (для назначения роли "хозяин схемы") и Active Directory- домены и доверие (Active Directory Domains and Trusts) (для назначения роли "хозяин именования доменов"). В окне соответствующей оснастки нужно вызвать контекстное меню для корня структуры, выбрать команду Подключение к контроллеру домена (Change Domain Controller) и соединиться с нужным контроллером домена. Затем в контекстном меню выбрать команду Хозяин операций (Operations Master) и в появившемся окне, нажав кнопку Изменить (Change), подтвердить передачу роли выбранному контроллеру домена.

Роли FSMO уникальные дм домена, назначаются контроллерам домена При помощи оснастки Active Directory - пользователи компьютеры (Active Directory Users and Computers), в окне которой на панели структуры следует выбрать домен, а в его контекстном меню - команду Хозяева операций открывающую одноименное окно. В этом окне на вкладках ИВ, PDC и Инфраструктура можно видеть существующих хозяев операций и выбрать контроллеры доменов, которые будут выполнять соответствующие роли.

 

26. Отказы основных контроллеров операций

 

Отказы основных контроллеров операций

Может возникнуть законный вопрос: что произойдет, если откажет какой-нибудь единственный (поскольку это заложено в концепции FSMO) в домене или лесе основной контроллер операций, выполняющий определенную роль? Как будет обеспечиваться отказоустойчивость сети? Некоторые роли контроллеров операций очень важны для поддержания сети в рабочем состоянии. Другие контроллеры операций могут без проблем отсутствовать в течение достаточно долгого времени: отказ будет замечен только при выполнении в сети определенных операций.

Мы не будем подробно описывать существующие сценарии восстановления полной работоспособности сети, достаточно сказать, что если по каким-то причинам некоторый основной контроллер операций становится недоступным, то его роль можно захватить (seize), т. е. принудительно передать другому контроллеру домена.

 

27. Интерфейсы API в Active Directory

 

Интерфейсы API в Active Directory

Имеется множество каталогов сетевых ресурсов, например, LDAP-каталоги, Active Directory, Banyan StreetTalk, Microsoft Windows NT Directory Service, Novell Directory Service, и каталогов конкретных приложений, таких как Lotus Notes, cc:Mail или Microsoft Exchange. Все эти службы каталогов имеют свои интерфейсы программирования, что усложняет как администрирование каталогов (поскольку управление каждым каталогом выполняется отдельно), так и создание корпоративных приложений, обращающихся к используемым в организации каталогам.

Решение проблемы компания Microsoft видит в применении Active Directory Service Interface (ADSI) — набора СОМ-интерфейсов программирования, при помощи которого пользователи и независимые поставщики программного обеспечения (ISV) могут применять единый хорошо проработанный интерфейс для регистрации в различных службах каталогов, доступа к ним и управления этими службами.

Одним из наиболее распространенных и открытых интерфейсов доступа к базам данных является Open Data Base Connectivity (ODBC). Этот интерфейс поддерживается практически всеми реляционными базами данных. ADSI можно рассматривать как "ODBC для служб каталогов". ADSI позволяет создавать механизмы (называемые поставщиками ADSI, ADSI-providers) доступа к информации конкретного типа каталога. Прикладные программы, написанные с использованием ADSI, будут работать с любыми службами каталогов, для которых имеется поставщик ADSI. Так обеспечивается открытое, универсальное решение проблемы использования различных каталогов (рис. 23.6). Windows NT Server 4.0 уже имеет несколько поставщиков

ADSI для различных служб каталогов, a Windows 2000 Server имеет поставщика ADSI для Active Directory.



Рис 23.6. Открытое решение С использованием ADSI


В основе ADSI лежит модель СОМ-объектов, что упрощает написание сценариев доступа к каталогу. Например, администратор может создать сценарий для присвоения значений некоторым элементам Active Directory. Разработчики программных продуктов могут использовать данный API, например, для анализа элементов каталога. Для низкоуровневого программирования на C/C++ Active Directory также имеет стандартный LDAP API, который определяется как набор вызовов С-функций и описан в RFC 1823. Интерфейсы ADSI являются одним из компонентов Open Directory Service Interfaces (ODSI, Интерфейсы службы открытого каталога), входящих в Windows Open Services Architecture (WOSA, Архитектура открытых служб Windows). Для наглядности основные достоинства ADSI перечислены в табл. 23.1.

Таблица 23.1. Достоинства Active Directory Service Interface (ADSI)

Характеристика

Преимущества

Открытость

Любой поставщик службы каталога может создать ADSI-provider; пользователи могут выбирать любую удобную им службу каталога, сохраняя все возможности ее администрирования

Независимость от службы каталогов

Инструменты администрирования не привязаны к конкретной службе каталога, и одно приложение может работать с различными каталогами. Это уменьшает затраты на проектирование и сопровождение программ

Поддержка Java

С помощью Java COM объекты ADS! обеспечивают апплетам и приложениям Java простой доступ к службам каталогов

Безопасность

ADSI поддерживает программные модели аутентификации (Authentication model) и авторизации (Authorization model)

Простая модель программирования

Можно создавать административные и другие ориентированные на использование каталогов программы, не вдаваясь в детали API конкретного производителя службы каталога

Сервер автоматизации OLE

Для создания приложений, работающих с каталогами, можно использовать любые средства разработки контроллеров автоматизации OLE (Visual Basic, PERL, Rexx, C/C++ и другие). Администраторы и разработчики могут использовать любые знакомые им инструменты проектирования, что увеличивает эффективность их работы

Большой набор функций

Одни и те же модели ADSI можно использовать как для написания простых сценариев, так и для создания сложных приложений

Расширяемость

Поставщики служб каталогов, ISV и конечные пользователи могут добавлять в ADSI новые объекты и функции, расширяющие возможности интерфейсов или отвечающие частным требованиям

 

23.6.gif

Изображение: 

28. Active Directory и промышленные стандарты (RFC)

 

Active Directory и промышленные стандарты (RFC)

 

В табл. 23.2 перечислены некоторые основные стандарты, реализуемые в службе каталогов Active Directory и DNS-сервере, входящем в состав Windows 2000 Server.

Таблица 23.2. Запросы на комментарии (RFC), относящиеся к Active Directory и DNS

Номер RFC Описание
1777 Протокол LDAP version 2 (DRAFT STANDARD)
1823 LDAP Application Program Interface
2052 Указание местоположения служб (DNS SRV records)
2136 Динамическое обновление Domain Name System (DNS UPDATE, Dynamic DNS) (предлагается в качестве стандарта, PROPOSED STANDARD)
2251 Протокол LDAP version 3 (предлагается в качестве стандарта, PROPOSED STANDARD)

 

Глава 24. Проектирование доменов и развертывание Active Directory

Глава 24. Проектирование доменов и развертывание Active Directory

1. Предварительные операции

 

Глава 24

Проектирование доменов и развертывание Active Directory

Предполагается, что читатель уже знаком с основными понятиями и концепциями службы каталогов Active Directory, изложенными в главе 23. Теперь можно в общих чертах рассмотреть процесс развертывания службы каталогов и создания контроллеров доменов, на которых она функционирует.

Для краткости (тема планирования доменов и миграции из предыдущих версий заслуживает отдельной книги) мы не будем рассматривать многочисленные доменные модели Windows NT 4.0 и способы их преобразования в домены Windows 2000. Важно понять сам принцип создания и обновления контроллеров домена (запуск процесса повышения роли сервера, очередность обновления РОС и BDC и т. д.) и на его базе строить стратегию перевода существующих доменов в домены Windows 2000.

Рассмотрим лишь некоторые специфические требования и соображений, возникающие при создании доменной структуры на базе Windows 2600. В первую очередь эта специфика обусловлена появлением службы каталогов Active Directory и новой модели безопасности.



Предварительные операции

Даже если создается домен с единственным контроллером, необходимо учесть некоторые изложенные ниже соображения, не говоря уже о сложной сети с несколькими доменами (сайтами) и множеством подразделений (организационных единиц).

 

2. Планирование структуры доменов

 

Планирование структуры доменов

Развертывание сетевой структуры целесообразно начать с создания единственного домена, который легче всего администрировать, и по мере необходимости добавлять новые домены. Достоинством Active Directory (по сравнению с доменной моделью Windows NT) является возможность создания в одном домене значительно большего числа объектов (до нескольких миллионов). При этом один домен может содержать несколько географически разнесенных и администрируемых индивидуально сайтов, связанных медленными каналами.

Совсем не нужно создавать дерево из нескольких доменов только для того, чтобы таким образом отобразить структуру организации, ее подразделения или отделы. Для этого достаточно в единственном домене создать соответствующие подразделения (организационные единицы) и назначить для них групповые политики, распределить пользователей, группы и компьютеры.

Для создания нескольких доменов должны быть достаточно веские причины, например:

Различные требования к безопасности для отдельных подразделений
Очень большое количество объектов
Различные Интернет-имена для доменов. Если имена доменов образуют непрерывное пространство имен DNS, то можно создать дерево доменов; если имена доменов уникальны, то возможно создание леса доменов
Дополнительные требования к репликации
Децентрализованное администрирование сети. При наличии нескольких доменов совершенно независимые друг от друга системные администраторы могут устанавливать собственные политики безопасности. Кроме того, можно администрировать домены на различных национальных языках

 

3. Разработка модели делегирования прав администрирования

 

Разработка модели делегирования прав администрирования

Если внутри домена создать дерево организационных единиц (Organizational Unit, OU), или подразделений, то можно распределить обязанности администраторов отдельных подразделений между различными пользователями и группами. В этом случае уменьшается число сотрудников, которые получают полный контроль над всем доменом.

После того как разработана структура подразделений и по ним распределены пользователи, можно продумать административную иерархию, т. е. определить, какие пользователи получат права управления целыми подразделениями, и кто будет выполнять только ограниченные административные функции (например, управлять отдельными группами или принтерами).

 

4. Планирование организационных единиц (подразделений)

 

Планирование организационных единиц (подразделений)

Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие OU. OU — это минимальная "единица" администрирования, права управления которой можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить локальное администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов.

Примечание

Организационные единицы и подразделения — это термины-синонимы; мы будет чаще использовать понятие организационная единица, говоря о структуре каталога Active Directory и его дереве, и подразделение — когда речь идет об администрировании Active Directory, делегировании управления и т. п.

В каталоге Active Directory организационные единицы представляют собой объекты типа "контейнер" и отображаются в окне оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers) как папки. Их основное назначение — группирование объектов каталога с целью передачи административных функций отдельным пользователям.

Дерево OU может отображать реальную структуру организации — административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.

Организационная единица — минимальная структурная единица, которой можно назначить собственную групповую политику, т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные настройки и т. п. Однако OU не является структурным элементом безопасности (т. е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному объекту), а служит только для группирования объектов каталога. Для назначения полномочий и разрешений доступа к ресурсам следует применять группы безопасности (security groups).

Примечание

Параметры безопасности групповой политики, назначенной некоторому подразделению, позволяют "сужать" область действия этой политики. Предположим, например, что в подразделении имеется несколько групп безопасности. По умолчанию групповая политика распространяется на всех членов подразделения. Однако можно сделать так, что эта политика будет действовать только на определенную группу (группы) и игнорироваться остальными группами подразделения. Подробнее об этом рассказано в главе 27.

Вот рекомендации по выбору решения (организовать ли в сети несколько доменов или делить её на организационные единицы):

Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы.
Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами).
Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации.
Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать все права администрирования или только некоторые.
Разбивайте домен на организационные единицы, если их структура соответствует будущим изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже.

Двухуровневая иерархия — доменов в дереве доменов и организационных единиц в домене — обеспечивает гибкость администрирования, которое может быть и централизованным, и децентрализованным, и смешанным.

 

5. Проектирование структуры сайтов

 

Проектирование структуры сайтов

Планирование репликации каталога следует начинать с одного сайта, а затем, с учетом каналов передачи данных и их пропускной способности, можно добавлять новые сайты. Для локальных сетей (LAN) с быстрыми каналами обычно используются конфигурации с одним сайтом (хотя можно разбить их на несколько сайтов), поскольку зачастую такое решение упрощает администрирование.

Использование нескольких сайтов дает следующие преимущества:

Распределяется нагрузка по сети со стороны клиентов
Возможна оптимизация процесса получения данных из каталога
Упрощается администрирование (например, управление конфигурацией) ресурсов, если они объединены в сайт
Возможна "тонкая" настройка репликации

Создание нового сайта с собственными контроллерами домена имеет смысл в том случае, когда контроллеры домена недостаточно быстро (по вашим субъективным оценкам) реагируют на запросы пользователей. Обычно такое случается при большом территориальном удалении клиентских компьютеров и медленных каналах связи. Создание нового сайта может быть целесообразно с точки зрения обеспечения аутентификации пользователей. Клиент при регистрации пытается найти контроллер домена в своем, локальном сайте. Поэтому топология сайтов должна учитывать то, насколько быстро клиент должен получать доступ к контроллеру домена.

Имеет смысл включать все контроллеры домена в один сайт, если репликация между ними должна выполняться по единому расписанию. Однако при наличии нескольких сайтов можно индивидуально настроить репликацию с учетом их специфики. Например, можно использовать по умолчанию быстрый канал, а коммутируемое соединение — если основной канал недоступен. Такой подход обеспечивает и эффективность, и отказоустойчивость.

 

6. Установка контроллеров домена

 

Установка контроллеров домена

Контроллер домена (Domain Controller, DC) создается из уже имеющегося изолированного (stand-alone) сервера или рядового (member) сервера при помощи операции, называющейся повышение роли сервера (promotion).

Примечание

Обратный процесс преобразования контроллера домена в изолированный или рядовой сервер называется понижением роли сервера (denotion). При этом сервер удаляется из леса и изменяются сведения о нем в DNS, с сервера удаляются служба каталогов и ее элементы, восстанавливается стандартная база данных безопасности (SAM). Понижение роли последнего контроллера в домене означает уничтожение всего домена.

Категорически нельзя удалять корневой (первый созданный) домен в доменном дереве: это приведет к уничтожению всего дерева!

 

7. Подготовка к созданию контроллера домена

 

Подготовка к созданию контроллера домена

Контроллером домена можно сделать любой сервер, на котором функционирует Windows 2000 Server. Способы инсталляции системы описаны в главе 1. Если при установке системы используется контроллер домена Windows NT 4.0, то процесс повышения роли начинается автоматически после обновления системы и ее перезагрузки.

Обычный сервер преобразуется в контроллер домена при помощи утилиты DCpromo.exe, которая запускает Мастер установки Active Directory (Active Directory Installation Wizard).

 

8. Создание первого контроллера домена

 

Создание первого контроллера домена

Первый, корневой домен в лесе, также является началом первого дерева этого леса. Если, например, создаются дочерние домены в дереве bhv.com, то DNS-имена всех доменов в этом дереве будут иметь окончание bhv.com (sales.bhv.com или office.bhv.com). Поэтому сначала следует определиться с именем первого домена. Для создания первого контроллера в домене:

1. Установите Microsoft DNS-сервер.
2. Запустите мастер установки Active Directory.

Внимание

Если в сети, где создается контроллер домена, имеется DNS-сервер, то на готовящемся к повышению компьютере необходимо указать IP-адрес этого сервера в свойствах протокола TCP/IP и проверить правильность разрешения имен (например, с помощью команды ping DNS_имя или утилиты NetDiag).

Внимание

Нельзя давать серверу, будущему контроллеру домена, динамически назначаемый IP-адрес (с помощью DHCP). Если по каким-то причинам связь с DHCP-сервером будет нарушена, контроллер домена получит при загрузке произвольный адрес, не соответствующий тому, который использовался при создании этого контроллера домена, и не сможет выполнять свои функции!

 

9. Установка DNS-cepвepa

 

Установка DNS-сервера

Служба DNS применяется клиентами Active Directory для поиска контроллеров домена. Компания Microsoft рекомендует использовать DNS-сервер, поставляемый вместе с Windows 2000 Server, однако можно использовать и другие DNS-серверы, имеющие нужные функции (см. RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2),

DNS-сервер устанавливается и конфигурируется по умолчанию (это необходимо только для первого домена в новом лесе) при создании контроллера домена (т. е. при инсталляции Active Directory; при этом пользователь должен подтвердить запрос на установку DNS-сервера), но можно это сделать и вручную (см. также главу 17). , Для инсталляции DNS-сервера:

1. Запустите Мастер компонентов Windows (Windows Components Wizard), выберите компонент Сетевые службы (Networking Options) и нажмите кнопку Состав (Details).
2. Установите флажок DNS (Domain Name System), затем нажмите кнопки ОК и Далее (Next). Подождите, пока скопируются нужные файлы (возможно, потребуется дистрибутивный компакт-диск).
3. После этого в соответствующих полях, введите значения для IP-адреса (IP-address), маски подсети (Subnet Mask) и основного шлюза (Default Gateway).

Для нормальной работы DNS-сервера нужно назначить компьютеру хотя бы один статический IP-адрес. Если компьютер такого адреса не имеет (скажем, выделен динамический адрес), то в процессе инсталляции DNS-сервера имеется возможность добавить нужный статический адрес. Для

частной сети можно использовать зарезервированные значения, например, для сетей Class А можно выбрать адрес 10.0.0.1, принять маску подсети по умолчанию и оставить пустым поле шлюза.

Если в сети уже имеются DNS-серверы, установите переключатель Использовать следующие адреса DNS-серверов (Use the following DNS server addresses) и введите IP-адрес DNS-сервера в поле Основной DNS-сервер (Primary DNS Server). Если DNS-серверы в сети отсутствуют, установите переключатель Получить адрес DNS-сервера автоматически (Obtain DNS server address automatically) или оставьте пустым поле Основной DNS-сервер.

4. После того как, нажимая кнопки ОК, вы закроете все окна, в том числе и окно Установка и удаление программ (Add/Remove Programs), DNS-сервер будет установлен.

 

10. Запуск мастера установки Active Directory

 

Запуск мастера установки Active Directory

Мастер установки Active Directory значительно упрощает создание и конфигурирование нового контроллера домена.

1. Зарегистрируйтесь в системе как Администратор (Administrator).
2. Для запуска мастера выберите команду Пуск | Выполнить (Start | Run) и введите команду dcpromo. Альтернативный вариант — выбрать команду Пуск | Программы | Администрирование | Настройка сервера (Start | Programs | Administrative Tools | Configure Your Server), в открывшемся окне последовательно нажать кнопки Active Directory и Запустить (Start).
3. Выберите переключатель Контроллер домена в новом домене (Domain controller for a new domain) и нажмите кнопку Далее (рис. 24.1).
4. Установите переключатель Создать новое доменное дерево (Create a new domain tree), нажмите кнопку Далее (Nest) и в следующем окне установите переключатель Создать новый лес доменных деревьев (Create a new forest of domain trees).
5. Введите полное DNS-имя, выбранное для первого домена, например, шусогр.ссш. Утилита DCpromo проверяет, используется ли уже данное имя. Затем для домена также определяется NetBIOS-имя (по умолчанию для нашего примера будет предложено имя mycorp), по которому идентифицируют домен клиенты нижнего уровня, например, Windows NT 4.0.
6. В следующих окнах мастера устанавливаются дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома).
7. Если на компьютере или в сети отсутствует DNS-сервер, то мастер установки выдает сообщение (рис. 24.2) и предлагает установить и настроить DNS. Если в сети все же имеется работающий сервер DNS, то необходимо проверить связь с ним (и вернуться в первое окно мастера установки

Active Directory) или соответствие этого сервера требованиям Active Directory. Если DNS-сервер отсутствует, то, установив в следующем окне переключатель Да, автоматически установить и настроить DNS (рекомендуется) (Yes, install and configure DNS on this computer (recommended)), разрешите на компьютере автоматическую установку и настройку DNS-сервера для работы с Active Directory. Если же будет установлен переключатель Нет, установить и настроить DNS вручную (No, I will install and configure DNS myself), то после создания контроллера домена необходимо будет вручную создать на DNS-сервере все записи, обеспечивающие работу домена, что требует глубокого понимания всех аспектов взаимодействия Active Directory и DNS.



Рис 24.1. Выбор типа контролера




Рис 24.2. Для работы Active Directory обязательно присутствие в сети службы DNS


8. В следующем окне выберите разрешения (рис. 24.3), определяющие возможность работы в создаваемом домене служб, работающих на серверах предыдущих версий Windows NT.
9. Введите и подтвердите пароль администратора, который будет использоваться при восстановлении службы каталогов (это Один из дополнительных вариантов загрузки Windows 2000).

Рис 24.3. Выбор разрешений, позволяющих службам более ранних версий взаимодействовать с создаваемым контроллером домена Windows 2000


Не путайте административный пароль (и не забудьте его, если пароли не одинаковые!) для восстановления каталога с обычным паролем администратора, это разные пароли!

Поскольку в режиме консоли нельзя ввести русские символы, для пароля рекомендуется использовать только цифры и латинские буквы.

10. После выполнения всех указанных операций мастер установки выводит сводку выбранных параметров. Необходимо их внимательно проверить: для изменения некоторых параметров можно вернуться, нажимая кнопку Назад.
11. После нажатия кнопки Далее начинается собственно процесс установки Active Directory и создания контроллера домена. После настройки служб и параметров безопасности начнется установка DNS-сервера, если она была разрешена пользователем. Затем служба DNS запускается и конфигурируется.
12. По завершении всех операций мастер установки Active Directory выводит информационное окно, в котором нужно нажать кнопку Готово (Finish), и предлагает перезагрузить компьютер: нажмите кнопку Перезагрузить сейчас (Restart Now).

После перезагрузки системы первый контроллер домена с Active Directory будет готов. Можно войти в домен с именем Администратор (Administrator) (пароль остается прежним, как и для локальной машины). Теперь можно создавать дополнительные контроллеры домена или начать работу с Active Directory.

 

24-1.jpg

Изображение: 

24-2.jpg

Изображение: 

24-3.jpg

Изображение: 

11. Подключение рабочих станций и рядовых серверов

 

Подключение рабочих станций и рядовых серверов

Серверы и рабочие станции (клиентские компьютеры) включаются в домен Windows 2QOO аналогично тому, как это делается в Windows NT 4.O. При этом используется оснастка Active Directory — пользователи я компьютеры.

Компьютерам нужно указать IP-адрес хотя бы одного DNS-сервера для того, чтобы они могли находить контроллеры домена. IP-адрес DNS-сервера может передаваться клиентам автоматически при помощи DHCP (серверы DHCP более подробно описаны в главе 17) или задаваться вручную.

Системы Windows NT 4.0 и Windows 9x используют для поиска контроллеров домена службу WINS, которую нужно установить, если в доменах Windows 2000 должны работать эти клиенты. Если на .клиентах установлен Active Directory Client и применяется только TCP/IP, то ставить WINS необязательно.

Учетные записи для компьютеров можно создавать заранее (с помощью оснастки Active Directory — пользователи и компьютеры) или в процессе подключения компьютера к домену. Для подключения компьютера с Windows 2000 к домену:

1. Выберите значок Система (System) на панели управления или щелкните правой кнопкой мыши на значке Мой компьютер (My Computer) на рабочем столе и выберите команду Свойства (Properties)контекстного меню.
2. Перейдите на вкладку Сетевая идентификация (Network Identification) и нажмите кнопку Свойства.

Примечание

В системе Windows 2000 Professional можно также использовать другое средство— Мастер сетевой идентификации (Network Identification Wizard), который поможет выполнить все необходимые для. подключения к домену действия. Для этого нужно нажать кнопку Идентификация (Network ID).

3. В группе Является членом (Member of) установите переключатель домена (Domain).
4. В ставшем доступном текстовом поле введите полное DNS-имя домена, к которому следует подключиться, например, тусогр.ссоц и нажмите кнопку ОК.
5. Введите имя и пароль учетной записи в домене, имеющей полномочия на подключение компьютеров к домену. Если имеется созданная предварительно учетная запись для данного компьютера, введите соответствующие значения. Если нужно создать учетную запись "на лету", введите данные пользователя, имеющего разрешение на создание объектов в стандартном контейнере Computers. В любом случае можно использовать учетную запись администратора домена.
6. Нажмите кнопку ОК.
7. В случае успешного выполнения операции подключения компьютера к домену появляется сообщение.
8. Закройте окно свойств системы.
9. Нажав кнопку Да (Yes) в ответ на появляющееся сообщение, перезагрузите компьютер.

 

12. Включение в домен дополнительных контроллеров

 

Включение в домен дополнительных контроллеров

Создание дополнительных контроллеров домена также выполняется при помощи мастера установки Active Directory:

1. Зарегистрируйтесь в системе как Администратор.
2. Запустите программу DCpromo и нажмите кнопку Далее.
3. Установите переключатель Добавочный контроллер домена в существующем домене (Additional domain controller for an existing domain) и нажмите кнопку Далее.
4. Введите имя, пароль и полное DNS-имя домена для пользовательской записи с административными правами в домене (это может быть член группы Администраторы или пользователь, имеющий права на подключение компьютеров к домену).
5. Введите полное DNS-имя существующего домена; при этом можно выбрать домен из списка существующих, нажав кнопку Обзор (Browse).
6. В следующих окнах мастера укажите дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома, а также пароль администратора для восстановления службы каталогов).
7. В появляющемся окне сводки проверьте правильность параметров и нажмите кнопку Далее — начнется процесс повышения роли сервера.


После перезагрузки компьютер будет работать как один из контроллеров указанного домена.

Примечание

Если на сервере до начала процесса повышения роли была установлена служба DNS, то она полностью конфигурируется с использованием записей основного DNS-сервера. Таким образом легко получить резервный DNS-сервер, повысив отказоустойчивость сети. При этом предпочтительнее, если зоны DNS хранятся в Active Directory.

 

13. Добавление к дереву дочерних доменов

 

Добавление к дереву дочерних доменов

Создать в существующем дереве дочерний (подчиненный) домен также можно с помощью мастера установки Active Directory:

1. Запустите программу Dcpromo.
2. Установите переключатель Контроллер домена в новом домене.
3. Введите полное DNS-имя существующего домена, который будет родительским для создаваемого домена, например, nycorp.com.
4. Введите краткое имя нового дочернего домена, например, finance. Тогда полное имя создаваемого домена будет finance.mycorp.com.
5. Введите или подтвердите NetBIOS-имя для нового домена.
6. Введите имя, пароль и название домена для учетной записи, имеющей административные полномочия в родительском домене.
7. Укажите дополнительные параметры (местоположение базы данных Active Directory и т. д.).
8. После проверки всех заданных параметров нажмите кнопку Далее — начнется процесс повышения роли сервера.

После перезагрузки компьютер будет работать как первый контроллер домена в новом дочернем домене.

 

14. Создание нового дерева в лесе

 

Создание нового дерева в лесе

Процесс создания новых деревьев в существующем лесе аналогичен описанной выше процедуре создания дочерних доменов. Отличий совсем немного: запустите мастер установки Active Directory, установите переключатель Контроллер домена в новом домене, укажите, что новый домен является первым доменом в новом дереве существующего леса (переключатель Создать новое доменное дерево), а затем введите полное DNS-имя нового дерева, например, new-corp.com (это имя не должно быть смежным ни с одним: из деревьев, существующих в выбранном лесе), и NetBIOS-имя нового домена. После установки Active Directory и перезагрузки компьютер начнет работать как первый контроллер домена в новом дереве, при этом новый домен будет связан доверительными отношениями с корневыми доменами существующих деревьев.

 

15. Понижение контроллера домена

 

Понижение контроллера домена

Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.

Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.

Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение. Его можно проигнорировать в двух случаях:

если контроллер домена — единственный и уничтожается вся доменная структура;
если в лесе имеются другие контроллеры, выполняющие эту функцию.

В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.

Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.

Если флажок Этот сервер — последний контроллер домена в данном домене (This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится рядовым сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере. Если же флажок установить (т. е. контроллер домена становится изолированным сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем — пароль, назначаемый администратору компьютера.

Выводится окно сводки, в котором можно проверить правильность выполняемых действий. После нажатия кнопки Далее начинается сам процесс понижения роли сервера. После появления сообщения об удалении Active Directory с компьютера нужно перёзагрузиться.

 

16. Переключение домена в основной режим

 

Переключение домена в основной режим

Домены Windows 2000 могут находиться в двух режимах:

Смешанный режим (mixed mode), позволяющий сосуществовать контроллерам доменов, работающим с программным обеспечением как Windows 2000, так и Windows NT более ранних версий. В этом режиме включены некоторые возможности Windows NT Server более ранних версий и отключены некоторые возможности Windows 2000 Server.
Основной режим (native mode), где все контроллеры работают с программным обеспечением Windows 2000 Server. В этом режиме полностью доступны такие новые воамвжййейг, "М&с создание влбженньрс (nested) групп и междоменное членство в группах (универсальные группы).

По умолчанию домены создаются в смешанном режиме. В этом режиме в состав доменов могут входить BDC-контроллеры Windows NT 4.0. После того как все BDC-контроллеры будут обновлены или удалены, можно переключить домен в основной режим.

Примечание

Множественная репликация (multi-master replication) между контроллерами домена в Windows 2000 выполняется всегда, даже в смешанном режиме.

При переходе в основной режим в домене не должно быть BDC-конт-роллеров. После переключения в этот режим уже нельзя вернуться в смешанный режим и добавлять к домену контроллеры, работающие с программным обеспечением, отличным от Windows 2000 Server. Для переключения режима работы домена используется оснастка Active Directory — пользователи и компьютеры. После перезагрузки компьютера контроллер домена начнет работать в основном режиме, необходимо также перезагрузить все контроллеры в домене.

 

17. Миграция в Active Directory

 

Миграция в Active Directory

Переход к Active Directory

Active Directory имеет множество достоинств, однако это весьма значительное изменение в существующих технологиях. Как же внедрить новое средство? С одной стороны, многие службы каталогов уже существуют, и имеются средства для их переноса в Active Directory. Для многих организаций самой важной из уже используемых каталогов является служба каталога Exchange, поэтому компания Microsoft предлагает утилиту Active Directory Connector (ADC) для Exchange 5.x, упрощающую миграцию.

Кроме этого, в большинстве организаций Переход От Windows NT 4.0 к Windows 2000 не произойдет мгновенно и займет некоторое время. Поэтому важно иметь возможность совместного использования в одном домене обеих операционных систем. Для клиентов Windows NT 4.0 домен Windows 2000 выглядит как обычный домен Windows NT 4.0, для клиентов Windows 2000 — как домен Windows 2000.

Для реализации такой возможности Контроллер домена Windows 2000 Server может эмулировать РОС^контроллер Windows NT Server 4.0. BDC-контроллеры в таком домене выполняют репликацию с контроллера домена Windows 2000 Server — так, будто это традиционный PDC-контроллер. Нужно понимать, что за этим стоит: для перехода от домена Windows NT Server 4.0 к домену Windows 2000 Server необходимо сначала обновить существующий

PDC-контроллер, чтобы он смог загрузить в Active Directory имеющуюся учетную информацию (учетные записи пользователей, компьютеров и т. д.). Затем, по мере необходимости, можно обновить до Windows 2000 другие BDC-контроллеры, рядовые (member) серверы и клиентов.

В домене Windows 2000, в который входят BDC-контроллеры Windows NT 4.0, репликацию системного тома SYSVOL нужно настраивать дополнительными средствами/поскольку контроллеры домена на базе Windows 2000 не реплицируют эту информацию на BDC-контроллеры.

При переходе к Windows 2000 Server можно также пересмотреть существующую структуру домена. Лучше иметь меньшее число доменов, и, поскольку Active Directory позволяет использовать домены больших размеров, можно объединить несколько доменов в один. Если новый домен получится слишком большим, могут появиться проблемы с трафиком при репликации, однако с меньшим числом доменов все равно справиться легче. Кроме того, Windows 2000 Server позволяет делегировать административные функции на уровне учетных записей, входящих в организационную единицу внутри домена, а не только на уровне домена.

Наконец, имеет смысл потратить больше времени на проектирование доменов и пространств имен внутри каждого домена. В среде Windows NT Server 4.0 во многих организациях домены "размножались" без должного контроля, что приводило к запутанной системе имен и доверительных отношений. При использовании Active Directory создание эффективной структуры "с нуля" окупится в дальнейшем простотой администрирования сети.

 

18. Active Directory Migration Tool

 

Active Directory Migration Tool

Для перехода от доменов Windows NT 4.0 к доменам Windows 2000 и для манипулирования объектами Active Directory в дереве или лесе доменов Windows 2000 компания Microsoft выпустила специальный инструмент для миграции — утилиту Active Directory Migration Tool (ADMT), которая свободно доступна на веб-узле Microsoft.

Примечание

Основное, о чем нужно помнить при работе с этой утилитой (а также со многими утилитами сторонних поставщиков, например FastLane), — то, что целевой домен, т. е. домен, в который переносятся объекты, должен работать в основном режиме.

Утилита ADMT позволяет переносить из одного домена в другой учетные записи пользователей и компьютеров, локальные и глобальные группы, доверительные отношения, обновлять списки управления доступом (ACL), создавать отчеты и выполнять другие задачи, связанные с процессом миграции. Для выполнения тех или иных функций используются мастера (wizards), вызываемые из контекстного меню оснастки,

Каждый мастер работает в двух режимах:

Режим проверки параметров миграции
Режим выполнения операции миграции

Это дает возможность проверить все операции перемещения объектов, исправить возможные конфликты и только после этого выполнять эти операции. Вся информация о выполняемых действиях заносится в журналы, которые можно просмотреть после выполнения любой операции.

 

19. Миграция из Novell NetWare

 

Миграция из Novell NetWare

Как уже говорилось, можно перейти к Active Directory из различных служб каталогов (Exchange, Windows NT Server 4.0 NTDS и др.). Кроме того, компания Microsoft предлагает средства для перехода от Novell NetWare к Windows 2000, что особенно актуально для смешанных сетевых сред. Такие средства уже существовали в предыдущих версиях Windows NT и позволяли переносить пользователей, группы, файлы и списки управления доступом к файлам из базы данных bindery в контроллер домена Windows NT Server.

Для системы Windows 2000 компания Microsoft выпустила два облегчающих миграцию инструмента, которые входят в отдельно приобретаемый продукт - Microsoft Services for NetWare v.5 (SFNW5):

Microsoft Directory Synchronization Services (MSDSS)
File Migration Utility (MSFMU)

Примечание

Мы упоминаем только те средства, входящие в SFNW5, которые относятся к миграции.

Эти инструменты облегчают переход из Novell NetWare к Windows 2000 или поддержание двух служб каталогов в смешанной среде.

 

20. Microsoft Directory Synchronization Services

 

Microsoft Directory Synchronization Services

Это средство позволяет периодически синхронизировать различную информацию (в первую очередь — учетные записи пользователей и групп), хранящуюся в Active Directory, с данными, расположенными в Novell Directory Service (NDS) и базе данных bindery систем NetWare 3.x При этом связь с NDS — двухсторонняя, а с bindery — односторонняя. Обеспечивается синхронизация паролей.

Службы MSDSS работают с протоколами IPX/SPX и TCP/IP.

 

21. File Migration Utility

 

File Migration Utility

Эта утилита позволяет переносить большие объемы данных с серверов NetWare (всех версий) на Windows 2000, сохраняя структуру каталогов и разрешения доступа. При этом пользователи имеют доступ к своим файлам в течение всего процесса миграции.

В утилите широко используются мастера и обеспечивается постепенная или полная миграция.

Утилита MSFMU также работает с протоколами IPX/SPX и TCP/IP.

 

Глава 25. Администрирование доменов

Глава 25. Администрирование доменов

1. Оснастка Activ Directory -доверие (Active Directory Domains and Trusts)

 

Глава 25

Администрирование доменов

Оснастка
Active Directory - домены и доверие (Active Directory Domains and Trusts)

С помощью оснастки Active Directory — домены и доверие администратор может просматривать все деревья доменов в лесу и управлять доменами, а также устанавливать доверительные отношения между доменами и настраивать режим работы домена (смешанный, mixed, или основной, native). Данная оснастка позволяет конфигурировать дополнительные суффиксы основных имен пользователей (User Principal Name, UPN) для всего леса, которые облегчают пользователям процесс регистрации в Active Directory. Суффиксы основных имен пользователей соответствуют стандарту RFC 822, принятому в Интернете. Иногда их называют почтовыми адресами. По умолчанию суффикс леса совпадает с его DNS-именем.

Оснастку Active Directory — домены и доверие можно запустить стандартным способом, подключив ее к консоли управления ММС, либо выбрав команду Пуск | Программы | Администрирование | Active Directory - домены и доверие (Start | Programs | Administrative Tools | Active Directory Domains and Trusts).

После загрузки оснастки Active Directory — домены и доверие появляется окно, аналогичное показанному на рис. 25.1.

Для добавления дополнительных суффиксов UPN:

1. Укажите корневой узел оснастки Active Directory — домены и доверие и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Свойства (Properties).
2. В открывшемся окне диалога введите дополнительные суффиксы UPN, нажимая кнопку Добавить (Add).



Рис 25.1. Начальное окно оснастки Active Directory - домены и доверие (Active Directory Domains and Trusts)

 

25-1.jpg

Изображение: 

2. Изменение режима работы домена

 

Изменение режима работы домена

Домены Windows 2000 могут работать в одном из двух режимов:

Смешанный режим (mixed mode) предполагает возможность одновременной работы контроллеров домена, основанных как на операционной системе Windows 2000 Server, так и на более ранних версиях Windows NT Server. Этот режим позволяет выполнять некоторые функции, характерные для более ранних версий Windows NT, и запрещает выполнение некоторых функций, характерных для Windows 2000.



Рис 25.2. Вкладка Общие (General) окна свойств домена
  Основной режим (native mode) предполагает, что все контроллеры домена работают в операционной системе Windows 2000 Server, при этом все клиентские компьютеры должны иметь поддержку (установленный на них клиент) Active Directory (это касается систем Windows 9x и Windows NT 4.0). В этом режиме можно применять такие новые средства, как универсальные группы, вложенные группы и т. д.

По умолчанию домен Windows 2000 начинает работать в смешанном режиме. При необходимости режим работы домена можно изменить на основной. Однако обратный переход невозможен. Для перехода к основному режиму:

1. Укажите домен, режим которого необходимо изменить, и нажмите правую кнопку мыши. В открывшемся окне диалога выберите команду Свойства.
2. На вкладке Общие (General) (рис. 25.2) окна свойств домена нажмите кнопку Сменить режим (Change Mode). После изменения режима перезапустите контроллер домена.

 

25-2.jpg

Изображение: 

3. Управление доверительными отношениями

 

Управление доверительными отношениями

Доверительные отношения, применявшиеся в сетях Windows NT 4.0, полностью поддерживаются в сетях Windows 2000. Они могут быть использованы для создания однонаправленного доверия между доменами Windows 2000 в дереве каталога и другими доменами, находящимися за границей вашего леса, которые могут быть образованы серверами Windows 2000, Windows NT 4.0 или более ранних версий. Это поможет вам поддерживать существующую инфраструктуру при переходе на сеть, полностью основанную на Active Directory. При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения. Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева. При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает.

Конфигурирование доверительных отношений требуется, если:

Необходимо установить однонаправленные доверительные отношения (в случае, когда соображения безопасности заставляют исключить возможность общего использования каких-либо ресурсов компьютерной сети).
Возникла необходимость в установлении доверительных отношений между доменами, находящимися в различных лесах (организациях).
Должны быть установлены доверительные отношения .между доменами Windows 2000 и Windows NT 4.0.

Для образования однонаправленных доверительных отношений:

1. Запустите оснастку Active Directory-домены и доверие.
2. Укажите домен, который должен принять участие в однонаправленном доверительном отношении, и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Свойства.
3. В окне свойств домена перейдите на вкладку Доверия (Trusts) (рис. 25.3). Если другой домен, участвующий в отношении, должен стать доменом-доверителем (trusting), нажмите кнопку Добавить в группе Домены, которые доверяют этому домену (Domains that trust this domain). Если другой домен должен стать доверенным (trusted), нажмите кнопку Добавить в группе Домены, которым доверяет этот домен (Domains trusted by this domain).

Рис 25.3. Вкладка Доверия (Trusts) окна диалога свойств домена
4. В окне диалога Добавление домена-доверителя (Add Trusting Domain) или Добавление доверенного домена (Add Trusted Domain), соответственно, укажите имя второго домена, принимающего участие в однонаправленном доверительном отношении, пароль для регистрации в указанном домене и затем подтвердите его. Нажмите кнопку ОК. Появится окно сообщения о том, что доверительное отношение не может быть проверено, поскольку не установлена вторая половина доверительного отношения.
5. Установите в окне оснастки указатель мыши на домен, который является второй стороной в доверительном отношении и имя которого было указано ранее на вкладке Доверия, и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Свойства.
6. Повторите шаги 3 и 4, имея в виду, что роль домена изменилась на противоположную: если первый домен был доверителем, то второй домен должен быть доверенным, и наоборот. После окончания конфигурирования нажмите кнопку ОК. Появится окно сообщения об успешном создании однонаправленного доверительного отношения.

Для создания двунаправленного доверительного отношения между доменами, находящимися в различных лесах, следует повторить описанную выше процедуру, но поменять роли доменов. Тот домен, который был доверенным, должен стать доверителем, и наоборот.

Для создания доверительного отношения между доменами Windows 2000 и Windows NT 4.0:

1. На главном контроллере (PDC) существующего домена Windows NT 4.0 запустите утилиту User Manager for Domain (Диспетчер пользователей для домена) (Start | Programs | Administrative Tools | User Manager for Domain).
2. В меню Policies (Политики) выберите команду Trust Relationships (Доверительные отношения).
3. Нажмите кнопку Add, расположенную рядом со списком Trusting Domains

(Домены-доверители). Появится окно диалога, содержащее имя домена, и окна, позволяющие ввести пароль и подтвердить его.

4. Введите необходимые данные и нажмите кнопку ОК.

Завершите работу Диспетчера пользователей для домена. Теперь домен Windows 2000 доверяет существующему домену Windows NT 4. Однако конфигурирование доверительного отношения не завершено до тех пор, пока домен, основанный на Windows 2000 Server, не подтвердит пароль.

1. Запустите на контроллере домена Windows 2000 оснастку Active Directory - домены и доверие.
2. Укажите имя домена-доверителя и нажмите правую кнопку мыши. В появившемся меню выберите команду Свойств”.
3. В окне свойств домена перейдите на вкладку Доверия.
4. Нажмите кнопку Добавить, расположенную рядом со списком Домены, которым доверяет этот домен. Откроется окно диалога Добавление доверенного домена.

5 . Введите с клавиатуры имя существующего главного контроллера домена Windows NT 4.0 и тот же пароль, что был введен ранее.

6. Нажмите кнопку ОК, Откроется окно сообщения об успешности завершения установки доверительного отношения.

Для проверки доверительного отношения зарегистрируйтесь на компьютере, входящем в домен Windows 2000, под учетной записью пользователя, существующей на главном контроллере домена Windows NT 4.0. Если этот шаг завершился успешно, доверительное отношение установлено правильно.

 

25-3.jpg

Изображение: 

4. Оснастка Active Directory - пользователи и компьютеры (Active Directory Users and Computers)

 

Оснастка
Active Directory - пользователи и компьютеры

(Active Directory Users and Computers)

Оснастка Active Directory — пользователи и компьютеры предназначена для управления пользователями, группами, очередями печати и другими объектами каталога Active Directory. Этот инструмент позволяет создавать объекты, настраивать их атрибуты и выполнять с ними ряд других операций.

Оснастка Active Directory — пользователи и компьютеры работает на контроллере домена под управлением Windows 2000 Server; оснастка не устанавливается на изолированных серверах или рабочих станциях. Отметим, что работа этого инструмента возможна на рядовом сервере (member server), являющемся членом домена, и на компьютере с Windows 2000 Professional, входящем в домен Windows 2000: для этого на них необходимо установить пакет административных оснасток Windows 2000 Administrative Tools.

Оснастку Active Directory — пользователи и компьютеры можно запустить изолированно в консоли ММС или из меню Пуск | Программы J Администрирование. Пример окна оснастки показан на рис. 25.4.

В открывшемся окне вы можете видеть встроенные папки со сгруппированными определенными объектами каталога, играющие важную роль в управлении Active Directory, такие как Builtin, Computers, System, Users и Domain Controllers (табл 25.1).

Таблица 25.1. Назначение встроенных папок оснастки Active Directory - пользователи и компьютеры

Папка Описание
Builtin Содержит встроенные локальные группы: Account Operators (Операторы учета), Administrators (Администраторы), Backup Operators (Операторы архива), Guests (Гости), Pro-Windows 2000 Compatible Access (Совместимый с пред-Windows 2000 доступ), Print Operators (Операторы печати), Replicator (Репликатор), Server Operators (Операторы сервера) и Users (Пользователи)
Computers Содержит учетные записи всех компьютеров, подключаемых к домену. При выполнении обновления систем Windows более ранних версий служба Active Directory переносит учетные записи машин в папку Computers, откуда эти объекты могут быть перемещены
System Содержит информацию о системе и службах, например, DPS, DNS, FRS, RPC, Winsock и др.
Users Содержит информацию обо всех пользователях домена. При обновлении более ранних версий все .пользователи первоначального домена будут перенесены в эту папку. Так же, как и компьютеры, объекты этой папки могут быть перенесены в другие папки
Domain Controllers Содержит информацию обо всех контроллерах домена

Примечание

Следует отметить такую деталь: если контроллер домена на базе русской версии Windows 2000 Server ставился "с нуля", то имена групп и встроенных пользователей будут выводиться по-русски. Если же этот контроллер ставился как дополнительный контроллер (реплика) и база данных Active Directory реплици-ровапась с американской версии Windows 2000 Server, то имена выводятся по-английски.



Рис 25.4. Окно оснастки Active Directory - пользователи и компьютеры (Active Directory Users and Computers)

 

25-4.jpg

Изображение: 

5. Создание подразделения (организационной единицы)

 

Создание подразделения (организационной единицы)

Для создания подразделения, или организационной единицы (Organizational Unit, OU):

1. Укажите объект типа "домен" и нажмите правую кнопку мыши. В появившемся меню выберите команду Создать | Подразделение (New | Organizational Unit) либо нажмите кнопку Создание нового подразделения в текущем контейнере (Create a new organizational unit in a current container) на панели инструментов.
2. В открывшемся окне укажите имя создаваемого подразделения и нажмите кнопку ОК.

В результате в выбранном вами домене будет создано подразделение с заданным именем. В дальнейшем внутри него можно создать вложенные подразделения.

 

6. Создание учетной записи пользователя

 

Создание учетной записи пользователя

Для создания в домене учетной записи пользователя с идентификатором Sidorovl:

1. Укажите подразделение, в котором вы хотите создать учетную запись, и нажмите правую кнопку мыши. В появившемся меню выберите команду Создать | Пользователь.
2. В окне диалога Новый объект — Пользователь (New Object — User) в поле Имя входа пользователя (User logon name) введите идентификатор, в поле Имя (First name) — имя пользователя, в поле Фамилия (Last name) — фамилию пользователя, в поле Полное имя (Full name) автоматически появятся имя и фамилия пользователя (рис. 25.5). При необходимости содержимое последнего поля можно откорректировать. После ввода всей необходимой информации нажмите кнопку Далее (Next).
3. В следующем окне в полях ввода Пароль (Password) и Подтверждение (Confirm password) введите с клавиатуры пароль учетной записи пользователя.
4. Если вы не хотите, чтобы пользователь принудительно сменил пароль при первой регистрации в сети, сбросьте флажок Потребовать смену пароля при следующем входе в систему (User must change password at next logon).
5. В случае, если пользователь может не изменять пароль в течение неограниченного времени, установите флажок Срок действия пароля не ограничен (Password never expires).
6. Установленный флажок Запретить смену пароля пользователем (User cannot change password) запрещает пользователю самостоятельно изменять свой пароль.
7. Если только что созданная учетная запись по каким-либо причинам должна быть заблокирована, установите флажок Отключить учетную запись (Account disabled).
8. По завершении настройки создаваемой учетной записи нажмите кнопку Далее.
9. В окне диалога, запрашивающего подтверждение правильности выполняемого действия, нажмите кнопку Готово (Finish).

В результате в подразделении будет создана учетная запись пользователя с именем Sidorovl.

Рис 25.5. Ввод имени учетной записи пользователя

Для ввода дополнительной информации о пользователе или изменения уже существующих настроек:

1. Укажите учетную запись пользователя, информацию которой следует изменить, и нажмите правую кнопку мыши. В появившемся меню выберите команду Свойства.
2. Внесите необходимые изменения и нажмите кнопку ОК.

 

25-5.jpg

Изображение: 

7. Премещение учетной записи пользователя

 

Перемещение учетной записи пользователя

Учетную запись пользователя можно перемещать из одного подразделения в другое в пределах одного домена или между доменами. Для соответствующего перемещения учетной записи этого пользователя:

1. Щелкните на подразделении, откуда требуется перенести пользователя.
2. Укажите учетную запись пользователя, которую следует перенести, и нажмите правую кнопку мыши. В контекстном меню выберите команду Переместить (Move).
3. В окне Переместить выберите целевое подразделение и нажмите кнопку ОК.

Как правило, необходимость переноса учетных записей пользователей из папки Users в другие подразделения возникает при обновлении более ранних версий Windows NT Server на Windows 2000 Server.

 

8. Создание группы

 

Создание группы

В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.

См. примечание после табл. 25.1.

К встроенным относятся перечисленные ниже группы. Эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.

Локальные группы в домене:

Администраторы (Administrators)
Гости (Guests)
Операторы архива (Backup Operators)
Операторы печати (Print Operators)
Операторы сервера (Server Operators)
Операторы учета (Account Operators)
Пользователи (Users)
Репликатор (Replicator)
Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)

Глобальные группы:

Администраторы домена (Domain Admins)
Владельцы-создатели групповой политики (Group Policy Creator Owners)
Гости домена (Domain Guests)
Издатели сертификатов (Cert Publishers)
Компьютеры домена (Domain Computers)
Контроллеры домена (Domain Controllers)
Пользователи домена (Domain Users)

Универсальные группы:

Администраторы предприятия (Enterprise Admins)
Администраторы схемы (Schema Admins)

Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные. По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена. Все встроенные глобальные группы находятся в папке Users. Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.

По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.

Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.

Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.

Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.

Помимо перечисленных выше встроенных групп, при установке домена Windows 200G создаются особые группы, обладающие дополнительными свойствами; среди них группы:

ВСЕ (Everyone) — объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов.
СЕТЬ (Network) — объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально).
ИНТЕРАКТИВНЫЕ (Interactive) — объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс.

Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.

Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Для создания группы:

1. Выберите подразделение, где следует создать группу, и нажмите правую кнопку мыши. Выберите в появившемся меню команду Создать | Группа (Group), либо нажмите кнопку Создание новой группы в текущем контейнере (Create New Group in a Current Container) на панели инструментов.
2. В открывшемся окне диалога Новый объект — Группа в поле Имя группы (Group name) введите имя создаваемой группы. По умолчанию вводимое имя группы автоматически заносится в поле Имя группы (пред-Windows 2000) (Group name (pre-Windows 2000)).
3. Установите переключатель Тип группы (Group type) в одно из положений, соответствующее типу создаваемой группы: Группа безопасности (Security) или Группа распространения (Distribution). Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры. Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения.
4. Установив в одно из положений переключатель Область действия группы (Group scope), выберите подходящую область действия создаваемой группы. Область действия группы определяет, где может быть видна данная

группа (уровень доступности) и какие типы объектов могут быть ее членами (табл. 25.2).

Таблица 25.2. Соответствие области действия и других свойств группы

Область действия Уровень доступности группы Тип объектов, допустимых в качестве членов группы
Локальная в домене (Domain Local) Отдельный домен Пользователи, а также глобальные и универсальные группы из всего леса, другие локальные группы из этого же домена (последнее — только в основном, native, режиме домена)
Глобальная (Global) Лес Пользователи, а также глобальные и универсальные группы
Универсальная (Universal) Лес Пользователи и глобальные группы (только в основном режиме домена)

 

9. Добавление пользователя в группу

 

Добавление пользователя в группу

Для добавления пользователя в группу:

1. Укажите группу, в которую вы хотите добавить пользователя, и нажмите правую кнопку мыши. В появившемся меню выберите команду Свойства. Появится окно свойств группы.
2. Перейдите на вкладку Члены группы (Members) окна свойств и нажмите кнопку Добавить.
3. Появится окно Выбор: Пользователи, Контакты или Компьютеры (Select Users, Contacts, or Computers). Здесь можно задать область выполнения запроса: весь каталог, определенный домен или определенная часть дерева подразделения внутри домена. Обратите внимание, что каталог может состоять из множества доменов.
4. Щелкните на имени добавляемого пользователя и нажмите кнопку Добавить. Обратите внимание, что, нажав клавишу <Ctrl> и одновременно выполняя щелчки на нужных объектах, в этом диалоговом окне можно одновременно выбрать несколько пользователей или групп.

В результате все выбранные объекты станут членами соответствующей группы.

 

10. Публикация общей папки

 

Публикация общей папки

Любая папка, для которой организован общий доступ, включая папку DFS, может быть опубликована в Active Directory. Публикация заключается в создании в Active Directory объекта типа "общая папка". Сама публикация не подразумевает автоматическое обеспечение общего доступа к папке, поэтому процесс публикации состоит из двух этапов:

1. Обеспечение общего доступа к папке.
2. Ее публикация в Active Directory в виде объекта каталога.

 

11. Публикация общего ресурса в виде объекта каталога

 

Публикация общего ресурса в виде объекта каталога

Для публикации общего ресурса в виде объекта каталога:

1. В оснастке Active Directory - пользователи и компьютеры укажите подразделения, где необходимо опубликовать общую папку, и нажмите правую кнопку мыши. В появившемся меню выберите команду Создать | Общую папку (New | Shared Folder).
2. В открывшемся окне в поле Имя (Name) введите с клавиатуры имя, которое получит опубликованная папка.
3. Введите значение в формате <имя_компьютера>\имя_оещего_ресурса в поле Сетевой путь к общему ресурсу (\\сервер\ресурс) (Network Path (\\server \share)).

 

Внимание

Определенным неудобством является то, что система не проверяет существование указанного общего ресурса и не позволяет выбрать его в диалоговом режиме.

Теперь при просмотре дерева Active Directory пользователи могут видеть опубликованную папку.

Для того чтобы просмотреть общую папку:

1. На рабочем столе откройте папку Мое сетевое окружение (My Network Places).
2. Выберите значок Вся сеть (Entire Network), а затем — Directory.
3. Щелкните на имени вашего домена и затем на папке, где расположена необходимая общая папка (в данном случае подразделение Office).
4. В открывшемся окне укажите общую папку (в данном случае Документы аудита) и нажмите правую кнопку мыши. В появившемся меню выберите команду Открыть (Open). Вы увидите все файлы, находящиеся в выбранной папке.

 

12. Публикация принтеров

 

Публикация принтеров

Принтеры, подключенные к системам Windows 2000

Принтер, общий доступ к которому осуществляется через компьютер с Windows 2000, публикуется с помощью вкладки Доступ (Sharing) окна свойств принтера. По умолчанию принтер, к которому организуется общий доступ, публикуется автоматически. Он находицся в каталоге в соответствующем контейнере компьютера. При обращении к нему нужно указать имя в формате <Имя_сервера>-<Имя_принтера>.

Подсистема печати будет автоматически распространять в Active Directory информацию обо всех изменениях атрибутов принтера (местоположения, описания, загруженной бумаги и т. д.).

Для того чтобы обеспечить общий доступ к принтеру, а затем опубликовать его в каталоге:

1. С помощью обычной процедуры (Пуск | Настройка | Принтеры | Установка принтера (Start | Settings | Printers | Add Printer)) создайте новый принтер и разрешите общий доступ к нему.
2. После успешного завершения создания принтера автоматически выполняется его публикация в Active Directory.

 

13. Принтеры, работающие в других системах

 

Принтеры, работающие в других системах

В каталоге Active Directory могут быть опубликованы общие принтеры, работающие в системах, отличных от Windows 2000 (например, Windows NT или Windows 9x). Такие принтеры проще всего опубликовать с помощью сценария pubprn, который публикует все общие принтеры, находящиеся на указанном сервере. Сценарий расположен в каталоге %SystemRoot%\System32. Его синтаксис:

cscript pubprn.vbs сервер лууь [trace]

Например:

cscript pubprn.vbs prservl "LDAP://ou=Office, dc=BHV, dc=ru"

В данном случае все принтеры на сервере \\prservl будут опубликованы в подразделении Office. Этот сценарий копирует только следующее подмножество атрибутов принтера:

Местоположение (Location)
Модель (Model)
Комментарий (Comment)
Путь UNC (UNCPath)

Другие атрибуты можно добавить с помощью оснастки Active Directory -пользователи и компьютеры. Обратите внимание, что сценарий pubprn может быть выполнен повторно. В этом случае информация о существующем принтере будет обновлена.

Другой способ публикации принтеров, работающих в других (не-Windows 2000) системах, — с помощью оснастки Active Directory - пользователи и компьютеры:

1. Выберите подразделение, в котором вы хотите опубликовать принтер, и нажмите правую кнопку мыши. В появившемся меню выберите команду Создать (New) | Принтер (Printer);
2. В поле Сетевой путь к пред-Windows 2000 общему ресурсу печати (Network path of the pre-Windows 2000 print share) введите полный путь к принтеру.
3. В окне Имя (Name) введите с клавиатуры имя принтера, под которым он будет опубликован.
4. Нажмите кнопку ОК.

Чтобы увидеть опубликованный принтер в каталоге и подключиться к нему:

1. На рабочем столе откройте папку Мое сетевое окружение.
2. Выберите значок Вся сеть (Entire Network), а затем — Directory.
3. Щелкните на имени вашего домена и затем на папке (подразделении), где расположен необходимый принтер.
4. Укажите имя просматриваемого принтера и нажмите правую кнопку мыши. В появившемся меню выберите команду Подключить (Connect) для установки принтера как локального, или Открыть (Open) для просмотра текущего состояния, очереди печати.

 

14. Работа с объектами типа "компьютер"

 

Работа с объектами типа "компьютер"

Объект типа "компьютер" автоматически создается при включении компьютера в домен. Этот объект можно также создать заранее.

Для создания объекта "компьютер":

1. Выберите подразделение, где будет создан объект "компьютер", и нажмите правую кнопку мыши. В появившемся меню выберите команду Создать | Компьютер (New | Computer).
2. В открывшемся окне Новый объект — Компьютер (New Object — Computer) введите с клавиатуры имя компьютера. Вместо имени можно ввести его полный адрес. Например, windows2000.BHV.ru. Также следует проверить правильность NetBIOS-имени компьютера в поле Имя компьютера (пред-Wiadows 2000) (Computer name (Pre-Windows 2000)). Обратите внимание, что компьютеры Windows 2000 автоматически обновляют свои сетевые адреса в каталоге.
3. С помощью кнопки Изменить можно выбрать пользователя или группу, которым будет дано право подключить данный компьютер к домену.
4. Если созданный объект "компьютер" будет использоваться компьютерами под управлением более ранних версии Windows NT, необходимо установить флажок Разрешать использование этой учетной записи на пред-Windows 2000 компьютерах (Allow pre-Windows 2000 computers to use this account).

 

15. Удаленное управление компьютерами

 

Удаленное управление компьютерами

После создания объекта "компьютер" можно управлять им удаленно, диагностируя службы, работающие на этом компьютере, просматривая события и т. д.

Для того чтобы управлять компьютером удаленно:

1. В окне оснастки Active Directory— пользователи и компьютеры укажите имя компьютера и нажмите правую кнопку мыши. В появившемся меню выберите команду Управление (Manage).
2. Для выбранного вами компьютера будет запущена оснастка Управление компьютером (Computer Management).

 

16. Переименование, перемещение и удаление объектов

 

Переименование, перемещение и удаление объектов

Любой объект в Active Directory можно переименовать или удалить. При этом следует соблюдать особую осторожность, чтобы не удалить объекты, необходимые для работы системы. Большинство объектов разрешено перемещать в различные контейнеры.

Для переименования объекта:

Укажите нужный объект и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Переименовать (Rename).

Для удаления объекта:

Укажите нужный объект. Затем нажмите правую кнопку и в появившемся контекстном меню выберите команду Удалить (Delete), либо нажмите клавишу <Del> на клавиатуре.

Для перемещения объекта:

Укажите нужный объект и нажмите правую кнопку мыши. В появившемся меню выберите команду Переместить (Move). Запустится браузер каталога, позволяющий выбрать контейнер, куда будет перемещен объект.

 

17. Вложенные группы

 

Вложенные группы

Одно из важнейших новых свойств Windows 2000 Server, которым можно пользоваться в основном (native) режиме домена, — это вложенные группы (nested groups).

Применяя вложенные группы, можно значительно сократить затраты на управление объектами Active Directory и уменьшить трафик, вызванный репликацией изменений членства в группах. Возможности вложенных групп зависят от режима работы домена.

Если домен работает в основном режиме, то применение вложенных групп подчиняется следующим правилам:

Универсальные группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, другие универсальные группы и глобальные группы из любого домена.
Глобальные группы могут содержать учетные записи своего домена и глобальные группы своего домена.
Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, универсальные группы и глобальные группы (все указанные объекты могут быть из любого домена), а также другие локальные группы своего домена.

В смешанном (mixed) режиме группы безопасности могут быть вложены в соответствии со следующими правилами:

Глобальные группы могут иметь в качестве своих членов только учетные записи пользователей и компьютеров.
Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, а также глобальные группы.

Чтобы понять, как работают вложенные группы:

1. Выберите одно из подразделений и нажмите правую кнопку мыши. В появившемся меню выберите команду Создать | Группа. В качестве имени новой группы введите с клавиатуры Groupi.
2. Повторите действия п. 1 и создайте группы Group11 и Group111. Области действия вложенных групп должны соответствовать описанным выше правилам.
3. Укажите группу Group1 и нажмите правую кнопку мыши. В появившемся меню выберите команду Свойства.
4. Включите группу Group11 в члены группы Group1. Для этого на вкладке Член групп (Member Of) окна свойств группы Group11 нажмите кнопку Добавить и выберите Group1.
5. Укажите группу Group111 и нажмите правую кнопку мыши. В появившемся меню выберите команду Свойства.
6. Включите группу Group111 в члены группы Group11.

Примечание

Ограничений на число уровней вложенных групп нет.

 

18. Делегирование прав администрирования

 

Делегирование прав администрирования

Как правило, сети больших предприятий на платформе Windows 2000 обладают чрезвычайно разветвленным деревом каталога. Большое количество ветвей, а также наличие достаточно автономных площадок организации, включенных в общее дерево каталога, усложняют управление. Администрирование сети, каталог которой состоит из десятков тысяч объектов, не может безопасно осуществляться одним или несколькими администраторами, имеющими права доступа ко всем объектам.

В подобных случаях следует применять делегирование прав администрирования. Это чрезвычайно мощный инструмент, который в больших организациях позволяет более эффективно сконфигурировать систему безопасного администрирования. С его помощью управление отдельными областями сети смогут осуществлять специально назначенные ответственные лица — администраторы. При делегировании прав администрирования очень важно наделять ответственных лиц полномочиями, позволяющими выполнять функции администратора только в пределах их зоны ответственности, они не должны иметь возможность администрировать объекты каталога, находящиеся в других частях сети организации.

Права на создание новых пользователей или групп предоставляются на уровне подразделения или контейнера, в котором будут создаваться учетные записи. Администраторы групп одного подразделения могут не иметь прав на создание и управление учетными записями другого подразделения в том же домене. Однако, если права доступа и настройки политик получены на более высоком уровне дерева каталога, они могут распространяться вниз по дереву благодаря механизму наследования прав доступа.

Оснастка Active Directory — пользователи и компьютеры значительно облегчает просмотр информации о делегировании прав администрирования различным контейнерам. Само делегирование прав администрирования также может быть выполнено без затруднений, поскольку интерфейс позволяет выбрать того, кому вы хотите делегировать права, и права, которые следует делегировать.

 

19. Делегирование прав администрирования

 

Делегирование прав администрирования

Чтобы позволить группе или пользователю управлять некоторым подразделением (контейнером):

1. Запустите оснастку Active Directory — пользователи и компьютеры.
2. Укажите подразделение, управление которым вы хотите передать, и нажмите правую кнопку мыши. В появившемся меню выберите команду Делегировать управление (Delegate control). Запустится Мастер делегирования управления (Delegation of Control Wizard). Нажмите кнопку Далее.
3. В следующем окне мастера нажмите кнопку Добавить и выберите пользователя или группу, которой вы хотите разрешить управление подразделением, нажмите кнопку ОК и затем кнопку Далее.
4. В открывшемся окне диалога мастера делегирования управления в окне со списком Делегировать следующие обычные задачи (Delegate the following common tasks) выберите одну или несколько операций, право выполнения которых делегируется указанному пользователю или группе. Если нужно делегировать право выполнения более специализированной задачи, установите переключатель Создать особую задачу для делегирования (Create a custom task to delegate). Нажмите кнопку
5. Если указана особая задача для делегирования в следующем окне, можно выбрать область применения для этой задачи: положение переключателя Этой папкой и существующими в ней объектами, созданием новых объектов в этой папке (This folder, existing objects in this folder, and creation of new objects in this folder) — в этом случае вы передадите группе право на администрирование всего контейнера— или положение Только следующими объектами в этой папке (Only the following objects in the folder) и установить флажки возле нужных объектов — в этом случае группа сможет управлять только выбранными объектами. Затем нажмите кнопку Далее.
6. В открывшемся окне определяются делегируемые разрешения. Можно отображать и устанавливать общие разрешения или разрешения для отдельных свойств или дочерних объектов. В пределах контейнера можно делегировать не все, а только некоторые права администрирования: например, можно делегировать только права на модификацию (чтение-запись) выбранного контейнера без дочерних объектов. Задайте нужные разрешения и нажмите кнопку Далее.
7. В следующем окне сводки выводится информация о выбранных действиях. Можно вернуться назад и скорректировать параметры. Если все правильно, нажмите кнопку Готово.

 

20. Проверка правельности выполнения передачи прав администрирования

 

Проверка правильности выполнения передачи прав администрирования

1. Зарегистрируйтесь как пользователь-член группы, получившей право управления контейнером.
2. Запустите оснастку Active Directory — пользователи и компьютеры.
3. Попытайтесь выполнить какую-либо операцию в этом контейнере, например, создайте объект или измените свойства имеющихся объектов. Операция должна завершиться успешно. Попытайтесь выполнить аналогичную операцию за пределами того контейнера, в котором вы имеете права администрирования. Она закончится неудачно из-за отсутствия доступа (Access Denied).

 

21. Аудит объектов Active Directory

 

Аудит объектов Active Directory

Аудит в отношении объектов Active Directory осуществляется так же, как и аудит других объектов операционной системы. Полученная в результате информация просматривается с помощью оснастки. Просмотр событий (Event Viewer). Активизируется аудит с помощью оснастки Групповая политика (Group Policy) (см. главу 27).

Информация, полученная в результате аудита, позволяет диагностировать потенциальные бреши в системе безопасности и разрешать возникающие проблемы. При настройке аудита нужно определить, какие объекты должны быть отслежены и какие связанные с ними события следует фиксировать в журнале.

При аудите объектов Active Directory информация заносится в журнал событий каждый раз, когда происходит отслеживаемое событие. Данные журнала позволяют определить, какое действие было выполнено, кто его выполнил, дату и время возникновения события и успех или неудачу его завершения.

Аудит объектов Active Directory отличается от локальной политики аудита. Последняя является частью политики безопасности компьютера и позволяет отслеживать только локальные события. С другой стороны, аудит объектов Active Directory позволяет отслеживать события, связанные с изменением свойств объектов, а также с попытками получения доступа к ним, модификации или удаления объектов в масштабах всего каталога Active Directory. Активизация и настройки аудита родительского объекта наследуются всеми дочерними объектами Active Directory. Однако гибкая система, регулирующая степень распространения конкретных настроек, позволяет конфигурировать аудит для одного объекта, для родительского объекта и всех дочерних объектов, только для дочерних объектов или для конкретного дочернего объекта.

 

Глава 26. Средства безопасности Windows 2000

Глава 26. Средства безопасности Windows 2000

1. Общие понятия и терминология

Глава 26

Средства безопасности Windows 2000

Общие понятия и терминология

Рассмотрим сначала некоторые общие понятия и термины, относящиеся к защите данных и методам шифрования, без которых невозможно описывать средства безопасности Windows 2000.

 

2. Характеристики безопасности

 

Характеристики безопасности

 

Аутентификация (проверка подлинности)

Это процесс надежного определения подлинности поддерживающих связь компьютеров. Аутентификация основана на методах криптографии, и это гарантирует, что нападающий или прослушивающий сеть не сможет получить информацию, необходимую для рассекречивания пользователя или другого объекта. Аутентификация позволяет поддерживающему связь объекту доказать свое тождество другому объекту без пересылки незащищенных данных по сети. Без "сильной" (strong) аутентификации и поддержания целостности данных любые данные и компьютер, который их послал, являются подозрительными.

Целостность (integrity)

Правильность данных, то есть их неизменность по сравнению с первоначально посланными. Службы, поддерживающие целостность, защищают данные от несанкционированного изменения по пути их следования.

Конфиденциальность (privacy)

Гарантия того, что данные будут раскрыты только тем получателем, которому они были предназначены. Это свойство не является обязательным.

Предотвращение повторного использования (anti-replay)

Предотвращение повторного использования гарантирует, что каждая посланная IР-датаграмма (IP-пакет) отличается от любой другой, чтобы помочь предотвратить атаки, в которых сообщение прерывается и сохраняется атакующим, а затем многократно используется им позже для организации попытки нелегального доступа к информации.

 

3. Шифрование с открытым ключом

 

Шифрование с открытым ключом

Криптография — это наука о защите данных. Алгоритмы криптографии с помощью математических методов комбинируют входной открытый текст и ключ шифрования, в результате чего получаются зашифрованные данные. Применение криптографии обеспечивает надежную передачу данных и предотвращение их получения несанкционированной стороной. Применяя хороший алгоритм шифрования, можно сделать практически невозможным, с точки зрения необходимых вычислительных и временных ресурсов, взлом защиты и получения открытого текста подбором ключа. Для быстрого выполнения подобного преобразования необходим расшифровывающий ключ.

В традиционном шифровании с секретным ключом (secret key) (симметричное шифрование) зашифровывающий и расшифровывающий ключи, совпадают. Стороны, обменивающиеся зашифрованными данными, должны знать общий секретный ключ. Процесс обмена информацией о секретном ключе представляет собой брешь в безопасности вычислительной системы.

Фундаментальное отличие шифрования с открытым ключом (асимметричное шифрование) заключается в том, что зашифровывающий и расшифровывающий ключи не совпадают. Шифрование информации является односторонним процессом: открытые данные шифруются с помощью зашифровывающего ключа, однако с помощью того же ключа нельзя осуществить обратное преобразование и получить открытые данные. Для этого необходим расшифровывающий ключ, который связан с зашифровывающим ключом, но не совпадает с ним. Подобная технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей — открытый ключ (public key) и личный или закрытый ключ (private key). Свободно распространяя открытый ключ, вы даете возможность другим пользователям посылать вам зашифрованные данные, которые могут быть расшифрованы с помощью известного только вам личного ключа. Аналогично, с помощью личного ключа вы можете преобразовать данные так, чтобы другая сторона убедилась в том, что информация пришла именно от вас. Эта возможность применяется при работе с цифровыми или электронными подписями. Шифрование с открытым ключом имеет все возможности шифрования с закрытым ключом, но может проходить медленнее из-за необходимости генерировать два ключа. Однако этот метод безопаснее.

Появление пары "личный ключ/открытый ключ" привело к возникновению нескольких новых технологий, наиболее важными из которых являются цифровые подписи, распределенная аутентификация, соглашение о секретном ключе, достигаемое с применением открытого ключа, и шифрование больших объемов данных без предварительного соглашения о секретном ключе. Существует несколько хорошо известных алгоритмов шифрования с открытым ключом. Некоторые из них, например RSA (Rivest-Shamir-Adelman) и шифрование с помощью эллиптической кривой (Elliptic Curve Criptography, ECC), являются алгоритмами общего употребления в том смысле, что они поддерживают все упомянутые выше операции. Другие алгоритмы поддерживают только некоторые операции. К ним относятся: алгоритм цифровой подписи (Digital Signature Algorithm, DSA), используемый только для работы с цифровыми подписями, и алгоритм DiJfie-Hetlman (D-H), применяемый только для соглашений о секретных ключах. Алгоритмы шифрования, используемые безопасностью IP (IP Security), подробнее описаны в данной главе в разделе "Безопасность IP".

Ниже кратко рассмотрены основные области применения шифрования с открытым ключом.

 

4. Цифровые (электронные) подписи

 

Цифровые (электронные) подписи

Наверное, наиболее ярким проявлением всех преимуществ шифрования с открытым ключом является технология цифровых или электронных подписей. Она основана на математическом преобразовании, комбинирующем данные с секретным ключом таким образом, что:

Только владелец секретного ключа может создать цифровую подпись.
Любой пользователь, обладающий соответствующим открытым ключом, может проверить истинность цифровой подписи.
Любая модификация подписанных данных (даже изменение одного бита) делает неверной цифровую подпись.

Цифровые подписи гарантируют целостность (integrity) и подлинность (nonrepudiation) данных. Когда данные распространяются открытым текстом (без шифрования), получатели должны иметь возможность проверки, что данные в сообщении не были изменены.

Добавление подписи не изменяет содержания данных: в этом случае генерируется цифровая подпись, которая может быть связана с данными или передаваться отдельно.

Для выполнения этой операции клиентская программа создает дайджест, снимок данных, используя метод хэширования (например, MDS). Программа использует ваш личный ключ для шифрования дайджеста и подписывает данные или сообщение с помощью вашего сертификата, добавляя ваш открытый ключ. Соответствующая программа адресата сообщения использует открытый ключ для расшифровки дайджеста, затем использует тот же алгоритм хэширования для создания другого дайджеста данных. Данная программа затем сравнивает два дайджеста сообщений. Если они идентичны, то подтверждаются целостность и подлинность данных сообщения.

 

5. Распределенная аутентификация

 

Распределенная аутентификация

Шифрование с открытым ключом применяется для создания надежной службы распределенной аутентификации, гарантирующей, что данные пришли получателю от истинного корреспондента.

 

6. Соглашение о секретном ключе, достигаемое с помощью открытого ключа

 

Соглашение о секретном ключе, достигаемое с помощью открытого ключа

Шифрование с открытым ключом позволяет двум сторонам, используя открытый ключ в незащищенной сети, договориться о секретном ключе. Обе стороны посылают друг другу половины секретного ключа, зашифрованного соответствующими открытыми ключами. Каждая из сторон получает возможность расшифровать полученную половину секретного ключа и на ее основе, с учетом своей половины ключа, получить весь секретный ключ.

 

7. Шифрование больших объемов данных

 

Шифрование больших объемов данных

Поскольку алгоритмы шифрования с открытым ключом требуют значительно больших, по сравнению с алгоритмами секретного ключа, вычислительных ресурсов, они плохо подходят для шифрования больших объемов данных. Поэтому существует технология, комбинирующая оба алгоритма. В соответствии с ней весь объем данных шифруется с помощью секретного ключа (например, по стандарту Data Encryption Standard, DES), который в свою очередь шифруется с открытым ключом и посылается корреспонденту вместе с зашифрованными данными. Приемная сторона расшифровывает секретный ключ с помощью своего личного ключа, а затем расшифровывает данные с помощью полученного секретного ключа.

 

8. Обеспечение истинности открытых ключей

 

Обеспечение истинности открытых ключей

При шифровании с открытым ключом жизненно важна абсолютно достоверная ассоциация открытого ключа и передавшей его стороны, поскольку в обратном случае возможна подмена открытого ключа и осуществление несанкционированного доступа к передаваемым зашифрованным данным. Необходим механизм, гарантирующий достоверность корреспондента, например, применение сертификата, созданного авторизованным генератором сертификатов.

 

9. Что такое сертификат

 

Что такое сертификат

Сертификат — это средство, позволяющее гарантированно установить связь между переданным открытым ключом и передавшей его стороной, владеющей соответствующим личным ключом. Сертификат представляет собой набор данных, зашифрованных с помощью цифровой, или электронной, подписи. Информация сертификата подтверждает истинность открытого ключа и владельца соответствующего личного ключа.

Обычно сертификаты содержат дополнительную информацию, позволяющую идентифицировать владельца личного ключа, соответствующего данному открытому ключу. Сертификат должен быть подписан авторизованным генератором сертификатов.

Наиболее распространенным на данный момент стандартом сертификатов является ITU-T Х.509. Эта фундаментальная технология применяется в Windows 2000. Однако это не единственная форма сертификатов.

 

10. Центр сертификации

 

Центр сертификации

Центр сертификации (ЦС), или поставщик сертификатов (Certificate Authority, СА), — это организация или служба, создающая сертификаты. ЦС выступает в качестве гаранта истинности связи между открытым ключом субъекта и идентифицирующей этот субъект информацией, содержащейся в сертификате. Различные ЦС могут применять для проверки связи различные средства, поэтому перед выбором достойного доверия ЦС важно хорошо понять политику данного ЦС и применяемые им процедуры проверки.

 

11. Доверие и проверка

 

Доверие и проверка

Получив подписанное сообщение, следует решить: насколько можно доверять данной подписи? Действительно ли подпись была поставлена тем, кого она представляет? Математическую верность подписи можно проверить по получении подписанного сообщения. Для этого применяется открытый ключ. Но при этом нет полной уверенности в том, что используемый открытый ключ действительно принадлежит корреспонденту, от которого получено подписанное сообщение. Возникает необходимость проверки принадлежности открытого ключа. Она может быть проведена с помощью сертификата, созданного центром авторизации, пользующимся доверием у стороны, получившей подписанное сообщение. В сертификате должна содержаться следующая информация:

Криптографически верная подпись, идентифицирующая создателя сертификата.
Подтверждение связи между стороной, приславшей подписанное сообщение, и ее открытым ключом.
Сертификат должен быть создан ЦС, которому приемная сторона доверяет.

Истинность полученного сертификата может быть проверена с помощью открытого ключа, принадлежащего создавшему этот сертификат ЦС. Однако здесь возникает еще одна проблема. А действительно ли открытый ключ принадлежит данному ЦС? Для получения ответа на этот вопрос необходимо применить еще один сертификат. В результате возникает цепочка сертификатов, начинающаяся с сертификата открытого ключа стороны, передавшей подписанное сообщение, и заканчивающаяся сертификатом ЦС, которому приемная сторона безоговорочно доверяет. Такой сертификат называется корневым сертификатом доверия (trusted root certificate), поскольку он формирует корень (верхний узел) иерархии открытых ключей к идентификаторов связи, которую приемная сторона рассматривает как достойную доверия. Если приемная сторона определила ЦС, которому она будет безоговорочно доверять, то полным доверием будут пользоваться и все дочерние (подчиненные) ЦС, идентифицированные корневым сертификатом доверия.

Описанная выше модель идентификации передающей стороны предполагает, что секретно приемная сторона должна получить информацию только о наборе корневых сертификатов доверия.

 

 

12. Применение алгоритмов шифрования с открытым ключом в Windows 2000

 

Применение алгоритмов шифрования с открытым ключом в Windows 2000

Операционная система Windows 2000 обладает развитыми средствами шифрования данных с открытым ключом, представляющими собой дальнейшее развитие служб шифрования информации Windows NT. На данный момент Windows 2000 располагает интегрированным набором служб и инструментов администрирования, предназначенных для создания, реализации и управления приложениями, использующими алгоритмы шифрования с открытым ключом. Это позволит независимым разработчикам программного обеспечения интенсивно применять в своих продуктах технологию общего ключа (shared key). В то же время предприятия получают возможность создавать и поддерживать эффективные защищенные вычислительные среды, применяя для этого хорошо развитый и легкий в работе набор инструментов и механизмов обеспечения соблюдения политик безопасности.

 

13. Компоненты Windows 2000, обеспечивающие шифрование

 

Компоненты Windows 2000, обеспечивающие шифрование

На рис. 26.1 схематично показана логическая взаимосвязь средств Windows 2000, позволяющих применять шифрование с открытым ключом.

Изображенные на рис. 26.1 средства не обязательно должны размещаться на отдельных компьютерах. Несколько служб могут эффективно работать на одном компьютере. Ключевое звено схемы — служба сертификатов Microsoft (Microsoft Certificate Services). Она позволяет создать один или несколько ЦС предприятия, поддерживающих создание и отзыв сертификатов. Они интегрированы в Active Directory, где хранится информация о политике ЦС и их местоположении. Кроме того, с помощью Active Directory выполняется публикация информации о сертификатах и их отзыве.

Рис 26.1. Взаимосвязь средств Windows 2000, предназначенных для работы с открытым ключом


Средства работы с открытым ключом не заменяют существующих механизмов доверительных отношений между доменами и аутентификации, реализованных с помощью контроллеров доменов и центров распространения: ключей Kerberos (Key Distribution Center, KDC). Напротив, данные средства взаимодействуют с этими службами, что позволяет приложениям безопасно передавать конфиденциальную информацию через Интернет и корпоративным глобальным каналам.

Поддержка прикладных средств шифрования информации с открытым ключом включена в состав программного обеспечения операционных систем Windows 2000, Windows NT, а также Windows 95/98. На рис. 26.2 показана структура служб, предназначенных для поддержки прикладных программ. Основой архитектуры поддержки прикладных программ шифрования информации с открытым ключом является библиотека CryptoAPI. Она позволяет работать со всеми устанавливаемыми поставщиками услуг шифрования (Cryptographic Service Providers, CSP) через стандартный интерфейс. CSP могут быть реализованы на программном уровне или с помощью специального оборудования. Они поддерживают различные длины ключей и алгоритмы шифрования. Как видно на рис. 26.2, один из CSP поддерживает смарт-карты. Услугами служб шифрования пользуются службы управления сертификатами. Они соответствуют стандарту Х.509 v3 и позволяют организовывать принудительное хранение, службы подсчета и дешифрования. Кроме того, эти службы предназначены для работы с различными отраслевыми стандартами сообщений. В основном они поддерживают стандарты PKCS и разработанный в IETF (Internet Engineering Task Force) набор предварительных стандартов PKIX (Public Key Infrastructure, X.509).

Рис 26.2. Службы средств шифрования информации с открытым ключом, поддерживающие прикладные программы


Остальные службы используют CryptoAPI для придания дополнительной функциональности прикладным программам. Защищенный канал (Secure Channel) поддерживает сетевую аутентификацию и шифрование в соответствии со стандартными протоколами TLS и SSL, обращение к которым может быть выполнено с помощью интерфейсов Microsoft Winlnet и SSPI. Служба Authenticode предназначена для проверки и подписи объектов и в основном используется при получении информации через Интернет.

В состав программного обеспечения служб поддержки прикладных средств шифрования входит поддержка интерфейса, предназначенного для работы со смарт-картами. Они используются для регистрации на компьютере и в сети Windows 2000.

 

26.1.gif

Изображение: 

26.2.gif

Изображение: 

14. Политики безопасности

 

Политики безопасности

Политики безопасности действуют в рамках сайта, домена или контейнера (подразделения, организационной единицы, OU) и распространяются на группы, компьютеры и пользователей — то есть на все объекты администрирования. Безопасность шифрования с открытым ключом является одним из аспектов общей политики безопасности Windows 2000 и интегрирована в ее структуру. Это механизм, с помощью которого можно посредством объектов политики безопасности централизованно осуществлять настройку и управление глобальной политикой работы с открытым ключом.

С помощью политики открытого ключа можно определять следующие аспекты безопасности Windows 2000:

Доверенные корни ЦС
Регистрация и обновление сертификатов
Регистрация в системе с помощью смарт-карты

 

15. Протокол аутентификации Kerberos

 

Протокол аутентификации Kerberos

Основы протокола Kerberos

Kerberos представляет собой набор методов идентификации и проверки истинности партнеров по обмену информацией (рабочих станций, пользователей или серверов) в открытой (незащищенной) сети. Процесс идентификации не зависит от аутентификации, выполняемой сетевой операционной системой, не основывается в принятии решений на адресах хостов и не предполагает обязательную организацию физической безопасности всех хостов сети. Кроме того, допускается, что пакеты информации, передаваемые по сети, могут быть изменены, прочитаны и переданы в любой момент времени. Следует, однако, отметить, что большинство приложений использует функции протокола Kerberos только при создании сеансов передачи потоков информации. При этом предполагается, что последующее несанкционированное разрушение потока данных невозможно. Поэтому применяется прямое доверие, основанное на адресе хоста. Kerberos выполняет аутентификацию как доверенная служба третьей стороны, используя шифрование с помощью общего секретного ключа (shared secret key).

Аутентификация выполняется следующим образом:

1. Клиент посылает запрос серверу аутентификации (Authentication Server, AS) на информацию, однозначно идентифицирующую некоторый нужный клиенту сервер.
2. Сервер AS передает требуемую информацию, зашифрованную с помощью известного пользователю ключа. Переданная информация состоит из билета сервера и временного ключа, предназначенного для шифрования (часто называемого ключом сеанса). С .
3. Клиент пересылает серверу билет, содержащий идентификатор клиента и ключ сеанса, зашифрованные с помощью ключа, известного серверу.
4. Теперь ключ сеанса известен и клиенту, и серверу. Он может быть использован для аутентификации клиента, а также для аутентификации сервера.

Ключ сеанса можно применять для шифрования передаваемой в сеансе информации или для взаимного обмена ключами подсеанса, предназначенными для шифрования последующей передаваемой информации.

Протокол Kerberos функционирует на одном или нескольких серверах аутентификации, работающих на физически защищенном хосте. Серверы аутентификации ведут базы данных партнеров по обмену информацией в сети (пользователей, серверов и т. д.) и их секретных ключей. Программный код, обеспечивающий функционирование самого протокола и шифрование данных, находится в специальных библиотеках. Для того чтобы выполнять аутентификацию Kerberos для своих транзакций, приложения должны сделать несколько обращений к библиотекам Kerberos. Процесс аутентификации состоит из обмена необходимыми сообщениями с сервером аутентификации Kerberos.

Протокол Kerberos состоит из нескольких субпротоколов (или протоколов обмена сообщениями). Существует два метода, которыми клиент может запросить у сервера Kerberos информацию, идентифицирующую определенный сервер. Первый способ предполагает, что клиент посылает AS простой текстовый запрос билета для конкретного сервера, а в ответ получает данные, зашифрованные с помощью своего секретного ключа. Как правило, в данном случае клиент посылает запрос на билет, позволяющий получить билет (Ticket Granting Ticket, TGT), который в дальнейшем используется для работы с выдающим билеты сервером (Ticket Granting Server, TGS). Второй способ предполагает, что клиент посылает TGT-билеты на TGS-сервер так же, как будто он обменивается информацией с другим сервером приложений, требующим аутентификации Kerberos.

Информация, идентифицирующая сервер, может быть использована для идентификации партнеров по транзакции, что позволит гарантировать целостность Передаваемых между ними сообщений или сохранить в секрете передаваемую информацию.

Для идентификации партнеров по транзакции клиент посылает билет на сервер. Поскольку посылаемый билет "открыт" (некоторые его части зашифрованы, но они не помешают выполнить посылку копии) и может быть перехвачен и использован злоумышленником, для подтверждения истинности партнера, пославшего билет, передается дополнительная информация, называемая аутентификатором. Она зашифрована с помощью ключа сеанса и содержит отсчет времени, подтверждающий, что сообщение было сгенерировано недавно и не является копией оригинальной посылки, Шифрование аутентификатора с помощью ключа сеанса доказывает, что информация была передана истинным партнером по обмену данными. Поскольку, кроме запрашивающего партнера и сервера, никто не знает ключ сеанса (он никогда не посылается по сети в открытом виде), с его помощью можно полностью гарантировать истинность партнера.

Целостность сообщений, которыми обмениваются партнеры, гарантируется с помощью ключа сеанса (передается в билете и содержится в информации идентификации партнера). Этот подход позволяет обнаружить атаки типа посылки злоумышленником перехваченной копии запроса и модификации потока данных. Это достигается генерированием и пересылкой контрольной суммы (хэш-функции) сообщения клиента, зашифрованной с помощью ключа сеанса. Безопасность и целостность сообщений, которыми обмениваются партнеры, может быть обеспечена шифрованием передаваемых данных с помощью ключа сеанса, передаваемого в билете и содержащегося в информации идентификации партнера.

Описанная выше аутентификация требует доступа на чтение к базе данных Kerberos. Однако иногда записи базы данных могут быть модифицированы. Это происходит, например, при добавлении новых партнеров по обмену информацией или при изменении секретного ключа партнера. Изменения базы данных выполняются с помощью специального протокола обмена между клиентом и сервером Kerberos, применяющимся и при поддержке нескольких копий баз данных Kerberos.

 

16. Взаимодействие с удаленными владениями

 

Взаимодействие с удаленными владениями

Протокол Kerberos может работать вне пределов одной компании. Клиент данной организации может быть аутентифицирован на сервере, находящемся в другой организации. Каждое предприятие, желающее применять в своей сети Kerberos, должно установить границы своего владения (realm; используется также термин сфера). Имя владения, в котором зарегистрирован данный пользователь, составляет часть его имени и может быть использовано конечной службой для принятия решения об удовлетворении данного запроса.

Установив общие ключи для владений, администраторы могут позволить клиентам различных владений выполнять удаленную аутентификацию. Конечно, обладая необходимыми разрешениями, клиент может зарегистрировать партнера, имеющего не связанное с данным владением имя, и установить нормальный обмен сообщениями. Однако даже при незначительном количестве удаленных регистрации такой подход создает большие неудобства, поэтому рекомендуются более автоматизированные методы. При обмене общими во владениях ключами (inter realm keys) (при передаче информации в каждом направлении может быть использован отдельный ключ) службы выдачи билетов регистрируются в противоположном владении в качестве партнера по обмену данными. После этого клиент может получать ТОТ от локальной службы выдачи билетов для такой же службы, находящейся в удаленном владении. При использовании этого TGT для его дешифрования удаленная служба выдачи билетов применяет общий для владений ключ, который, как правило, отличается от ключа TGS-сервера. Это гарантирует, что данный TGT был передан собственным TGS-сервером клиента. Билеты,

посланные удаленной службой выдачи билетов, укажут конечной службе, что аутентификация клиента была выполнена в удаленном владении.

Одно владение может обмениваться информацией с другим владением, если оба они обладают общим ключом, или если локальная служба выдачи билетов обладает общим ключом с промежуточным владением, в свою очередь обладающим общим ключом с целевым владением. Путь аутентификации — это последовательность промежуточных владений, каждое из которых может обмениваться информацией со своими соседями.

Как правило, владения организованы в иерархическую структуру. Каждое владение обладает общим ключом со своим родителем и отдельным общим ключом с каждым дочерним владением. Если между двумя владениями не существует общего ключа, иерархическая структура позволяет легко установить путь аутентификации. Если иерархическая структура владений не используется, для обнаружения пути аутентификации следует применять базу данных.

Иерархическая организация владений делает возможным альтернативный путь аутентификации — минуя промежуточные владения. Это может оптимизировать обмен данными между двумя владениями. Конечной службе важно знать, через какие владения проходит путь аутентификации, поскольку от этого зависит достоверность всего процесса аутентификации. Для облегчения принятия такого решения каждый билет содержит поле, где хранятся имена всех владений, которые составляют путь аутентификации.

 

17. Требования к рабочему окружению

 

Требования к рабочему окружению

Протокол Kerberos налагает несколько требований на рабочее окружение, в котором он может эффективно работать:

Kerberos не противодействует атакам типа "отказ в обслуживании". Особенности протокола Kerberos позволяют злоумышленнику заставить приложение не принимать, участие в процессе аутентификации. Обнаружение и борьба с атаками этого типа (часть которых может проявляться в установлении необычных режимов работы программного обеспечения), как правило, лучше всего выполняются администраторами систем.
Партнеры по обмену данными должны хранить свои секретные ключи в надежном месте. Если злоумышленник каким-либо образом похитит секретный ключ, он сможет выдать себя за одного из партнеров или имперсонализировать сервер для законного клиента.
Kerberos не противодействует атакам типа "подбор пароля". Если пользователь задает легко угадываемый пароль, злоумышленник с большой ве-ро'ятностью может его определить подбором с применением словаря.
Каждый хост сети должен иметь часы, которые приблизительно синхронизируются с часами других хостов. Синхронизация необходима, чтобы было легче обнаружить факт передачи копии заранее перехваченного сообщения. Степень приблизительности синхронизации может быть установлена индивидуально для каждого сервера. Сам протокол синхронизации серверов сети должен быть защищен от атак злоумышленников.
Идентификаторы партнеров не могут быть повторно использованы через небольшой промежуток времени. Как правило, для управления доступом применяются списки управления доступом (Access Control List, ACL), в которых хранятся разрешения доступа, предоставленные всем партнерам по обмену данными. Если в базе данных списков управления доступом остался список уничтоженного партнера по обмену данными, идентификатор которого используется вторично, то новый партнер унаследует все права доступа уничтоженного партнера. Избежать подобной опасности можно, только если запретить использование идентификаторов уничтоженных партнеров в течение продолжительного времени, а лучше вообще сделать идентификаторы уникальными.


18. Флаги, используемые в запросах

 

Флаги, используемые в запросах

Каждый билет Kerberos содержит набор флагов, используемых для указания различных атрибутов данного билета. Большинство флагов требуются клиенту при получении билета. Некоторые из них автоматически устанавливаются и снимаются сервером Kerberos.

 

 

19. Протоколы обмена сообщениями

 

Протоколы обмена сообщениями

Далее описаны протоколы взаимодействия клиента и сервера и используемые при этом типы сообщений.

Протокол службы аутентификации. Протокол службы аутентификации предназначен для обмена информацией между клиентом и сервером аутентификации (AS) Kerberos. Обычно обмен инициируется клиентом при попытке получения на сервере некоторой информации для идентификации. Для шифрования и дешифрования используется секретный ключ клиента! Этот протокол обычно применяется при инициализации сеанса входа в систему для получения информации идентификаций на TGS-сервере, который впоследствии будет использован для получения идентификационной информации других серверов без применения секретного ключа клиента. Также протокол службы аутентификации может быть использован для запроса идентификационной информации у служб, доступ к которым не может быть получен с помощью службы выдачи билетов, а требует применения секретного ключа партнера по обмену данными. К таким службам относится, например, служба изменения пароля. Запрос на изменение пароля не может быть удовлетворен до тех пор, пока клиент не сообщит свой старый пароль — текущий секретный пароль пользователя, — иначе любой пользователь мог бы сменить чужой пароль.

Протокол службы аутентификации по сути никак не идентифицирует пользователя. Для аутентификации пользователя, входящего в локальную систему, идентификационная информация, полученная по протоколу службы аутентификации, сначала может быть использована при обмене с TGS-сервером для получения идентификационной информации локального сервера, о достоверности которой говорит успешное установление соединения между клиентом и локальным сервером.

Протокол службы аутентификации состоит из двух сообщений: KRB_, AS_REQ, отправляемого от клиента серверу Keiberos, и KRB_AS_REP или KRB_ERROR, приходящего в ответ.

Запрос, посылаемый клиентом в открытом текстовом формате, содержит свой собственный идентификатор и идентификатор сервера, для которого необходимо получить идентификационную информацию. Сообщение ответа, KRB_AS_REP, содержит билет, предназначенный для клиента, который необходимо представить серверу, и ключ сеанса, который является общим для клиента и сервера. Ключ сеанса и дополнительная информация зашифровываются с помощью секретного ключа клиента. Сообщение KRB_AS_REP содержит информацию, которая может быть использована для обнаружения отправки заранее перехваченных копий и ассоциирования ее с сообщением, в ответ на которое она была послана. При возникновении ошибок вместо KRB_AS_REP посылается сообщение KRB_ERROR. Сообщение об ошибке не шифруется. Информация сообщения позволяет ассоциировать его с соответствующим запросом, но отсутствие шифрования не позволяет обнаружить факт подмены таких сообщений.

Как правило, сервер аутентификации не знает, является ли клиент, приславший запрос, тем партнером по обмену данными, имя которого указано в запросе. Сервер просто посылает ответ. Его не интересует, кому он передает информацию. Это допускается, поскольку никто, кроме партнера по обмену данными, идентификатор которого указан в запросе, не сможет использовать ответ, т. к. вся информация зашифрована с помощью секретного ключа партнера, пославшего запрос. Первоначальный запрос содержит необязательное поле, которое может служить для передачи дополнительной информации, необходимой при инициировании обмена информацией.

Протокол аутентификации клиента и сервера. Протокол аутентификации клиента и сервера используется сетевыми приложениями для аутентификации клиента на сервере и наоборот. Для успешного выполнения аутентификации клиент должен заранее получить с помощью службы выдачи билетов или TGS информацию идентификации сервера.

Протокол выдачи билетов. Протокол выдачи билетов предназначен для обмена информацией между клиентом и сервером Kerberos, выдающим билеты (TGS). Он инициируется клиентом При необходимости получить информацию идентификации для определенного сервера (который может быть зарегистрирован в удаленном владении). С помощью полученной информации клиент сможет проверить или обновить существующий билет или получить proxy-билет. В первом случае клиент должен заранее получить билет с помощью службы выдачи билетов ТОТ. Обычно такой билет клиент получает при первоначальной аутентификации в системе, например при входе в систему. Формат сообщения протокола выдачи билетов практически совпадает с форматом сообщений протокола службы аутентификации. Основное различие в том, что шифрование и дешифрование информации в протоколе выдачи билетов выполняются без использования ключа клиента. Вместо него используется ключ сеанса, находящийся в билете на получение билета, или ключ субсеанса, находящийся в аутентификаторе. Как в случае серверов приложений, билеты, срок действия которых истек, не принимаются в TGS. Поэтому после того как время работы обновляемого билета или билета на получение билета истекло, клиент должен с использованием специального протокола получить работоспособный билет.

Протокол выдачи билетов состоит из двух сообщений: запрос от клиента к серверу Kerberos, выдающему билеты, — KRB_TGS_REQ — и ответ на этот запрос — KRB_TGS_REP или KRB_ERROR. Сообщение KRB_TGS_REQ несет информацию, аутентифицирующую пользователя, а также запрос на идентификационную информацию. Информация аутентификации содержит заголовок аутентификации (KRB_AP_REQ), включающий предварительно полученный клиентом билет на получение билета, обновляемый или неработоспособный билет. Если передается билет на получение билета, запрос может включать следующую дополнительную информацию: список сетевых адресов, набор типизированных данных авторизации, которые должны быть помещены в билет для дальнейшего использования в процессе авторизации сервером приложения, или дополнительные билеты. Сообщение KRB_TGS_REP содержит запрошенную информацию идентификации, зашифрованную с помощью ключа сеанса, находящегося в билете на получение билета или в обновляемом билете, или с помощью ключа субсеанса, находящегося в аутентификаторе. Сообщение KRB_ERROR содержит код ошибки и текстовое объяснение причины ее возникновения. Это сообщение не шифруется. В сообщении KRB_TGS_REP находится информация, позволяющая обнаружить факт посылки заранее перехваченной копии данных, а также ассоциировать ответ с вызвавшим его запросом. Информация сообщения KRB_ERROR тоже позволяет ассоциировать его с соответствующим запросом, но отсутствие шифрования не позволяет обнаружить факт подмены таких сообщений.

Протокол KRB_SAFE. Сообщение KRB_SAFE используется клиентами при необходимости обнаружения несанкционированной модификации сообщений, которыми они обмениваются. Модификация сообщений обнаруживается с помощью подсчета контрольной суммы данных пользователя и дополнительной контрольной информации. Контрольная сумма шифруется с помощью специального ключа, который выбирается в результате переговоров, или с помощью ключа сеанса.

Протокол KRB_PRIV. При помощи сообщения KRB_PRIV клиенты при необходимости передают чрезвычайно конфиденциальные данные и обнаруживают несанкционированную модификацию сообщений. Это делается с помощью подсчета контрольной суммы данных пользователя и дополнительной контрольной информации.

Протокол KRB_CRED. Сообщение KRB_CRED используется клиентами при необходимости отправки информации идентификации Kerberos от одного хоста другому хосту. Этот протокол предполагает отправку билетов вместе с зашифрованными данными, содержащими ключи сеанса и другую информацию, ассоциированную с билетами.

 

20. База данных Kerberos

 

База данных Kerberos

Сервер Kerberos должен иметь доступ к базе данных Kerberos, где хранится информация об идентификаторах партнеров по обмену данными и секретные ключи аутентифицируемых партнеров. Реализация сервера Kerberos не предполагает обязательное расположение сервера и баз данных на одной машине. Существует возможность хранения базы данных партнеров по обмену данными в пространстве имен сети, если записи этой базы защищены от несанкционированного доступа. Однако, с точки зрения целостности и безопасности данных, это не рекомендуется.

 

21. Аутентификация Kerberos в доменах Windows 2000

 

Аутентификация Kerberos в доменах Windows 2000

По мере роста и усложнения компьютерных сетей предприятия, построенных на основе Windows NT, становится необходимым применение протокола, обеспечивающего более совершённую и надежную аутентификацию пользователей при доступе к распределённым ресурсам. В операционной системе Windows 2000 для этих целей применяется протокол аутентификации Kerberos версии 5, входящий в систему безопасности доменов Windows 2000, тесно интегрированную с Active Directory. Реализация протокола Kerberos версии 5 в Windows 2000 основана на RFC 1510. Этот документ широко обсуждался и корректировался многими организациями, работающими в области создания и применения защищенных средств передачи информации по компьютерным сетям. Аутентификация Kerberos полностью отвечает требованиям к протоколам подобного назначения и позволяет создать высокопроизводительную и защищенную сеть предприятия. Программное обеспечение Kerberos, созданное Microsoft, поддерживает всех клиентов, удовлетворяющих RFC 1510. Однако полную поддержку сетей Windows 2000 осуществляет только клиент JCerberos, разработанный Microsoft, поскольку версия Kerberos Microsoft обладает рядом расширений.

Протокол Kerberos интегрирован в существующую модель распределенной безопасности Windows 2000. В Windows 2000 используются расширения протокола Kerberos — так же, как и другие архитектуры безопасности, например DCE и SESAME. Протокол Kerberos — один из протоколов безопасности, поддерживаемых Windows 2000. Кроме него эта операционная система поддерживает протоколы NTML для совместимости с предыдущими версиями, SSL и стандарт IETF безопасности транспортного уровня. В качестве механизма безопасности Windows 2000 использует протокол защищенных переговоров (Simple Protected Negotiation, SPNEGO). Для обеспечения безопасности передачи данных на сетевом уровне применяется технология IP Security (IPSec).

 

22. Модель распределенной безопасности Windows 2000

 

Модель распределенной безопасности Windows 2000

Модель распределенной безопасности Windows 2000 основана на трех основных концепциях:

Каждая рабочая станция и сервер имеют прямой доверенный путь (trust path) к контроллеру домена, членом которого является данная машина. Доверенный путь устанавливается службой NetLogon с помощью аутен-тифицйрованного соединения RPC с контроллером домена. Защищенный канал устанавливается и с другими доменами Windows NT с помощью междоменных доверительных отношений. Он используется для проверки информации безопасности, включая идентификаторы безопасности (Security Identifiers, SID) пользователей и групп.
Перед выполнением запрошенных клиентом операций сетевые службы имперсонализируют контекст безопасности этого клиента; Имперсонализация основана на маркере адреса безопасности, созданном локальным администратором безопасности (Local Security Authority, LSA). Он представляет собой авторизацию клиента на сервере. Поток, находящийся на сервере и соответствующий данному клиенту, имперсонализирует контекст безопасности клиента, и выполняет операции в соответствии с авторизацией данного клиента, а не в соответствии с идентификатором безопасности сервера. Имперсонализация поддерживается, всеми службами Windows 2000, включая, например” службу удаленного файлового сервера CIFS/SNB. Аутентифицированный RPC и DCOM поддерживают имперсонализацию для распределенных приложений. Серверы семейства BackOffice: Exchange Server, SNA Server и Internet Information Server также поддерживают имперсонализацию.
Ядро Windows 2000 поддерживает объектно-ориентированное управление доступом, сравнивая SID в маркере доступа с правами доступа, определенными в списке управления доступом данного объекта. Каждый объект Windows 2000 (ключи реестра, файлы и каталоги NTFS, общие ресурсы, объекты ядра, очереди печати и т. д.) имеют собственные списки управления доступом. Ядро Windows 2000 проверяет разрешения при каждой попытке доступа к данному объекту. Управление доступом и аудит осуществляются с помощью настройки свойств безопасности объекта, позволяющих предоставить пользователю или группе доступ к объекту. Управление авторизацией выполняется централизованно посредством включения пользователей в группы Windows 2000, которым предоставлены необходимые права доступа операционной системе Windows 2000 существуют дополнительные средства обеспечения безопасности — аутентификация клиента с помощью открытого ключа посредством SSL/TLS и протокола Kerberos версии 5, которые интегрированы в систему безопасности.

 

23. Интегрированная аутентификация Kerberos

 

Интегрированная аутентификация Kerberos

В Windows 2000 аутентификация Kerberos реализована на уровне доменов, что позволяет выполнять одну регистрацию в системе при доступе ко всем ресурсам сети и поддерживать модель распределенной безопасности Windows 2000. На любом участке дерева доменов Windows 2000 протокол Kerberos обеспечивает взаимную аутентификацию, ускоренную аутентификацию и транзитное доверие на аутентификацию. Аутентификация Kerberos в Windows 2000 используется для выполнения интерактивной регистрации пользователя в домене. Расширение стандартной аутентификации Kerberos для применения открытого ключа позволяет применять регистрацию в Windows 2000 с помощью смарт-карты. Протокол Kerberos реализован в виде поставщика безопасности, доступ к которому осуществляется с применением интерфейса поддержки поставщика безопасности (Security Support Provider Interface, SSPI).

Поставщик безопасности Kerberos используется клиентом и сервером 8MB (Server Message Block). Он также доступен для DCOM, авторизованного RPC и любого протокола, использующего SSPI для обеспечения безопасности информации, передаваемой по сети. SSPI — это интерфейс безопасности Win32, который существует в составе Windows NT, начиная с версии 3.5. Он также поддерживается в Windows 95/98. В SSPI применяются те же архитектурные концепции, что и в наборе программных вызовов общих служб безопасности (Generic Security Services API, GSS-API), соответствующих RFC 1964; SSPI позволяет освободить приложения от непосредственного взаимодействия с протоколами сетевой безопасности.

В Windows 2000 реализован Центр распространения ключей Kerberos (Kerberos Key Distribution Center, KDC). На каждом контроллере домена Windows 2000 помимо службы Active Directory имеется служба KDC, выполняющаяся вместе с Active Directory как процесс в привилегированном режиме. Оба процесса осуществляют управление жизненно важной информацией, включая пароли учетных записей пользователей. Active Directory выполняет автоматическую репликацию служебной информации на всех контроллерах домена. Поэтому создавать новые учетные записи пользователей, настраивать членство пользователей в группах или переустанавливать пароли можно на любом контроллере домена. Это означает, что в отличие от Windows NT 4.0, где изменить административную информацию можно было только на Главном контроллере домена (Primary Domain Controller, PDC) с последующим обновлением доступных только для чтения реплик на Резервных контроллерах домена (Backup Domain Controller, BDC), в Windows 2000 можно изменять любую реплику Active Directory, хранящуюся на некотором контроллере домена.

Клиенты и серверы используют протокол Kerberos для взаимной аутентификации. Запрос Kerberos содержит билет сеанса и аутентификатор, получаемый в KDC и позволяющий исключить возможность подмены билета сеанса. Поставщик безопасности Kerberos на стороне клиента интегрируется с локальным администратором безопасности), поддерживающим локальный кэш билетов. При инициализации клиентом контекста безопасности, поставщик безопасности Kerberos считывает билет сеанса, соответствующий целевой службе, или запрашивает новый билет сеанса в KDC. Сообщение запроса Kerberos, созданного поставщиком безопасности Kerberos, соответствует форматам маркера механизма GSS KerbS, описанным в RFC 1964. Клиенты могут аутентифицироваться для любой службы домена или доверенного владения, поддерживающего механизм GSS. Поставщик безопасности Kerberos может воспринять запрос Kerberos, который сгенерирован любым клиентом, поддерживающим форматы маркера в стандарте GSS, RFC 1964.

Такой уровень взаимодействия позволяет осуществлять поддержку традиционной аутентификации Kerberos, основанной на именах, в многоплатформных средах. Для имперсонализации и управления доступом в рамках модели распределенной безопасности Windows 2000 службам Windows 2000 достаточно данных авторизации, находящихся в билете сеанса.

 

24. Протокол Kerberos и авторизация Windows 2000

 

Протокол Kerberos и авторизация Windows 2000

Имперсонализация Windows 2000 требует, чтобы локальный администратор безопасности (LSA) сервера мог безопасно получать SID пользователя и список идентификаторов безопасности членов групп. Идентификаторы безопасности генерируются системой безопасности домена и используются в LSA при создании маркеров доступа для имперсонализации. После создания соединения связанный с ним поток имперсонализирует зарегистрировавшегося пользователя, после чего Windows 2000 сравнивает маркер доступа клиента с ACL объекта, к которому пользователь пытается получить доступ. При аутентификации NTLM идентификаторы безопасности пользователя и группы передаются с помощью защищенного канала NetLogon прямо с контроллера домена или любого доверенного домена. При использовании протокола Kerberos идентификаторы безопасности пользователей и групп передаются в составе данных авторизации билета сеанса Kerberos.

Данные авторизации, находящиеся в билете Kerberos, полученном из KDC, содержат список идентификаторов безопасности пользователей и идентификаторов, определяющих членство в группах. Локальному администратору безопасности данные авторизации нужны для поддержки имперсонализации поставщика безопасности Kerberos.

Протокол Kerberos позволяет обращаться к данным авторизации билета Keiberos, которые определяются приложением. Они полностью соответствуют RFC 1510. Кроме того, их структура преобразована для уменьшения проблем, возникающих при совместной работе с другими операционными системами.

При первоначальной регистрации пользователя в домене КОС помещает в ТОТ данные авторизации, включающие идентификаторы безопасности пользователей или групп домена учетных записей (account domain). Членство в группах также определяется при первоначальной регистрации. После этого КОС копирует данные авторизации из ТОТ в билеты сеанса, применяемые для аутентификации серверов приложений. В сети с несколькими доменами КОС, управляющий запросами на получение билетов сеанса, может добавлять в данные авторизации дополнительные группы целевого домена, к которым может принадлежать пользователь.

По мере развития ОС Windows 2000 формат данных авторизации может изменяться. Но в любом случае эти данные будут содержать список идентификаторов безопасности, предназначенных для поддержки аутентификации Kerberos в многоплатформных системах, а также подпись, обеспечивающую целостность данных и устанавливаемую КОС.

 

25. Применение Kerberos в сетях Windows 2000

 

Применение Kerberos в сетях Windows 2000

Аутентификация Kerberos используется многими службами домена Windows 2000. SSPI применяется для аутентификации в большинстве системных служб, поэтому их перевод с аутентификации NTLM на Kerberos требует минимальных усилий. Более сложные изменения необходимы на сервере 8MB, который не использовал SSPI до версии Windows 2000. Многие новые распределенные службы Windows 2000 уже используют аутентификацию Kerberos. Примеры областей применения аутентификации Kerberos в Windows 2000:

Аутентификация в Active Directory с применением LDAP для запросов или управления каталогом
Протокол удаленного доступа к файлам CIFS/SMB
Управление распределенной файловой системой DFS
Защищенное обновление адресов DNS
Служба печати
Необязательная взаимная аутентификация IPSec-хостов в ISAKMP/Oakley
Запросы резервирования для службы качества обслуживания (Quality of Service)
Аутентификация интрасети в Internet Information Services
Аутентификация запросов сертификата открытого ключа, приходящих от пользователей и компьютеров домена, в Microsoft Certificate Service
Удаленное управление сервером или рабочей станцией с помощью аутентифицированного RPC и DCOM

Это первый шаг к основной цели, поставленной в Windows 2000, — полному исключению аутентификации NTLM в компьютерных сетях, основанных на этой операционной системе.

 

26. Совместная работа средств обеспечения безопасности сети

 

Совместная работа средств обеспечения безопасности сети

Домены Windows 2000 должны иметь возможность одновременно поддерживать клиентские компьютеры .и серверы, на которых работает программное обеспечение Windows NT 3.*—4,0, Windows 95/98, а, также Windows 2000 Professional/Server. Для этого в Windows 2000 остается поддержка аутентификации NTLM, обеспечивающей совместимость с операционными системами более ранних версий (однако, обновленный клиент имеется только Для систем Windows NT 4.0). Кроме того, в состав Windows 2000 входит обновленная версия (client extension) клиента распределенных систем (Distributed Systems Client) для Windows 9x. Эта версия реализует, в частности, некоторые преимущества от использования Active Directory и поддерживает расширенные возможности аутентификации по протоколу NTLM v.2; протокол Kerberos не поддерживается.

Совместная работа протокола Kerberos с ОС UNIX тестируется с помощью MIT КегЬ5 1.0 и дополнительных пакетов обновления. Компания CyberSafe и другие производители программного обеспечения, работающего с протоколом Kerberos, проводят независимое тестирование взаимодействия ОС UNIX и Windows 2000 с помощью протокола Keiberos; Основная цель такого взаимодействия — позволить клиентам, использующим SSPI и GSS-APIна UNIX, аутентифицироваться в серверах приложений Windows 2000,х поддерживающих Kerberos. Эта возможность зависит, в основном, от поддержки имен Windows 2000 службами Kerberos, а не от самого протокола.

 

27. Взаимодействие Windows 2000 КDС и UNIX

 

Взаимодействие Windows 2000 КDС и UNIX

Часто возникает вопрос: как Windows 2000 будет работать с существующими серверами Kerberos, функционирующими в ОС UNIX? Windows 2000 взаимодействует с КОС, работающими на MIT Kerberos, двумя способами:

Компьютер с Windows 2000 может быть настроен на применение UNIX КОС. Пользователи могут входить в систему с помощью учетной записи, определенной в UNIX КОС, точно так же, как это делают станции UNIX, Любое приложение Windows 2000 или UNIX, требующее только аутентификации, основанной на имени, может использовать UNIX КОС в качестве сервера Kerberos. Например, сервер баз данных, имеющий собственную таблицу авторизации на доступ к базе, может аутентифицировать клиента Windows 2000 с помощью билетов Kerberos, полученных у UNIX KDC. Поскольку сервер баз данных не использует средства управления доступом Windows 2000, он может работать в среде Windows 2000 без применения имперсонализации. Для приема билетов сеанса, выдаваемых UNIX KDC, и запроса контекста безопасности для определенного имени клиента сервер вызывает поставщика безопасности Kerberos. Билеты, выданные UNIX KDC, могут быть использованы при взаимной аутентификации и защите сообщений. Однако без данных авторизации контекст безопасности не может быть использован для имперсонализации.
Windows 2000 может взаимодействовать с MIT Kerberos посредством доверия, установленного между владением UNIX и доменом Windows 2000. Это наилучший способ поддержки служб Windows 2000, использующих имперсонализацию и средства управления доступом. Доверие, установленное между владениями, очень похоже на широко применяемую модель нескольких доменов Windows NT 4.0, которые делятся на домены учетных записей и домены ресурса”. В этом случае KDC выполняет роль домена учетных записей, а службы, работающие в среде Windows 2000, находятся в домене ресурсов. Windows 2000 KDC — это сервер авторизации для служб Windows 2000. Данные авторизации Windows 2000 добавляются в KDC к билетам сеанса, предназначенным для серверов домена Windows 2000. Данные авторизации хранят соответствие между именами партнеров по обмену данными владения UNIX и теневыми (proxy) учетными записями; при этом учитывается принадлежность учетных записей к группам, информация о которых хранится в Active Directory. Эти учетные записи могут быть синхронизированы с помощью LDAP.

Может ли UNIX KDC быть сервером авторизации для служб Windows 2000? Модель распределенной безопасности Windows 2000 зависит не только от списка идентификаторов безопасности, хранящихся в данных авторизации билетов Kerberos. Например, Редактору ACL, используемому для управления безопасностью файлов, расположенных в NTFS, требуется для работы сервер домена, предназначенный для поиска соответствия имени и SID, в процессе которого посредством защищенного канала NetLogon выполняется RFC-вызов к контроллеру домена. Без трансляции идентификаторов, выполняемой интерфейсом RPC, Редактор ACL отображает права доступа к файлам NTFS для учетной записи, имя которой неизвестно (account unknown), поскольку идентификатор безопасности не может быть распознан.

Интерфейс пользователя должен позволять выбирать учетные записи, которым следует предоставить права доступа. Эта функция позволит администратору выбрать пользователя или группу из списка, являющегося результатом запроса LDAP к Active Directory. В нем установлены все соответствия между именами учетных записей и их идентификаторами безопасности.

Для успешной работы UNIX KDC в качестве сервера авторизации служб Windows 2000 необходимо, чтобы KDC обеспечивал поддержку имен NetBIOS. Пользователи Windows NT хорошо знакомы с именами компьютеров для NetBIOS. Кроме того, приложения должны иметь возможность аутентифицироваться в серверах с помощью имен типа \\project1\projectshare. Наконец, поставщик безопасности Kerberos проверяет данные авторизации, находящиеся в билетах Kerberos и присланные не обладающими доверием приложениями, с помощью RPC к контроллеру домена. Защищенный RPC используется, чтобы проверить подпись KDC для предотвращения несанкционированного использования привилегий членства в группах.

Замена контроллера домена на UNIX KDC потребует от MIT Kerberos возможности выполнения дополнительных функций, связанных с поддержкой защищенного канала NetLogon, аутентифицированного RPC, имен NetBIOS и протокола LDAP.

На данный момент компания Microsoft интенсивно работает над созданием сетевой системы безопасности, обладающей возможностью работы на различных платформах и основанной на протоколах, являющихся отраслевыми стандартами, например SSL, TLS, ISAKMP/Oakley и Kerberos версии 5. Следует отметить, что возможности взаимодействия со средствами обеспечения безопасности, работающими на других платформах, демонстрируемые Windows 2000, открывают новые перспективы построения защищенных распределенных компьютерных систем на базе гетерогенных сетей предприятий. Управление инфраструктурой системы безопасности сети предприятия требует целого набора протоколов, позволяющих поддерживать модель распределенной безопасности. Важнейшими элементами инфраструктуры распределенных систем на основе Windows 2000 являются аутентификация с использованием Active Directory и протокол Kerberos 5.

 

28. Шифрующая файловая система EFS

 

Шифрующая файловая система EPS

На персональном компьютере операционную систему можно загрузить не с жесткого, а с гибкого диска. Это позволяет обойти проблемы, связанные с отказом жесткого диска и разрушением загрузочных разделов. Однако, поскольку с помощью гибкого диска можно загружать различные операционные системы, любой пользователь, получивший физический доступ к компьютеру, может обойти встроенную систему управления доступом файловой системы Windows 2000 (NTFS) и с помощью определенных инструментов прочесть информацию жесткого диска. Многие конфигурации оборудования позволяют применять пароли, регулирующие доступ при загрузке. Однако такие средства не имеют широкого распространения. Кроме того, если на компьютере работает несколько пользователей, подобный подход не дает хороших результатов, да и сама защита с помощью пароля недостаточно надежна. Вот типичные примеры несанкционированного доступа к данным:

Хищение переносного компьютера. Любой злоумышленник может похитить переносной компьютер, а затем получить доступ к конфиденциальной информации, находящейся на его жестком диске.
Неограниченный доступ. Компьютер оставлен в рабочем состоянии, и за ним никто не наблюдает. Любой пользователь может подойти к такому компьютеру и получить доступ к конфиденциальной информации.
Основной целью создания системы безопасности является защита конфиденциальной информации, которая обычно находится в незащищенных файлах на жестком диске, от несанкционированного доступа. Доступ к данным можно ограничить с помощью средств NTFS. Такой подход обеспечивает хорошую степень защиты, если единственной загружаемой операционной системой является Windows 2000, жесткий диск не может быть физически удален из компьютера, и данные находятся в разделе NTFS. Если кто-либо захочет получить доступ к данным, он может осуществить свое желание, получив физический доступ к компьютеру или жесткому диску. Существуют инструменты, позволяющие получить доступ к файлам, находящимся в разделе NTFS, из операционных систем MS-DOS или UNIX в обход системы безопасности NTFS.

Из приведенных выше соображений следует вывод: единственный надежный способ защиты информации — это шифрующая файловая система. На рынке программного обеспечения существует целый набор продуктов, обеспечивающих шифрование данных с помощью образованного от пароля ключа на уровне приложений. Однако такой подход имеет ряд ограничений:

Ручное шифрование и дешифрование. Службы шифрования большинства продуктов непрозрачны для пользователей. Пользователю приходится расшифровывать файл перед каждым его использованием, а затем опять зашифровывать. Если пользователь забывает зашифровать файл после окончания работы с ним, информация остается незащищенной. Поскольку каждый раз необходимо указывать, какой файл должен быть зашифрован (и расшифрован), применение такого метода защиты информации сильно затруднено.
Утечка информации из временных файлов и файлов подкачки. Практически все приложения в процессе редактирования документов создают временные файлы. Они остаются на диске незашифрованными, несмотря на то что оригинальный файл зашифрован. Кроме того, шифрование информации на уровне приложений выполняется в режиме пользователя Windows 2000. Это значит, что ключ, применяемый для такого типа шифрования, может храниться в файле подкачки. В результате, с помощью изучения данных файла подкачки можно получить ключ и расшифровать все документы пользователя.
Слабая криптоствйкость ключей. Ключи образуются от паролей или случайных фраз. Поэтому в случае, если пароль был легко запоминаемым, атаки с помощью словарей могут легко привести к взлому системы защиты.

Все перечисленные выше проблемы позволяет решить шифрующая файловая система (Encrypting File System, EPS), реализованная в Windows 2000 и работающая только на NTFS 5.O. В следующих разделах подробно описаны технология шифрования, место шифрования в операционной системе, взаимодействие с пользователями и способ восстановления данных.

 

29. Архитектура EFS

 

Архитектура EFS

EFS содержит следующие компоненты операционной системы Windows 2000 (рис. 26.3):

Драйвер EFS. Драйвер EFS является надстройкой над файловой системой NTFS. Он обменивается данными со службой EFS — запрашивает ключи шифрования, наборы DDF (Data Decryption Field) и DRF (Data Recovery Field), — а также с другими службами управления ключами. Полученную информацию драйвер EFS передает библиотеке реального времени файловой системы EFS (File System Run Time Library, FSRTL), которая прозрачно для операционной системы выполняет различные операции, характерные для файловой системы (чтение, запись, открытие файла, присоединение информации).
Библиотека реального времени файловой системы EFS. FSRTL — это модуль, находящийся внутри драйвера EFS, реализующий вызовы NTFS, выполняющие такие операции, как чтение, запись и открытие зашифрованных файлов и каталогов, а также операции, связанные с шифрованием, дешифрованием и восстановлением файлов при их чтении или записи на диск. Хотя драйверы EFS и FSRTL реализованы в виде одного компонента, они никогда не обмениваются данными напрямую. Для передачи сообщений друг другу они используют механизм вызовов (callouts) NTFS, предназначенный для управления файлами. Это гарантирует, что вся работа с файлами происходит при непосредственном участии NTFS. С помощью механизма управления файлами операции записи значений атрибутов EFS (DDF и DRF) реализованы как обычная модификация атрибутов файла. Кроме того, передача ключа шифрования файла РЕК (см. ниже), полученного службой EFS, в FSRTL выполняется так, чтобы он мог быть установлен в контексте открытого файла. Затем контекст файла используется для автоматического выполнения операций шифрования и дешифрования при записи и чтении информации файла.



Рис 26.3. Архитектура EFS



Служба EFS. Служба EFS (EFS Service) является частью системы безопасности операционной системы. Для обмена данными с драйвером EFS она использует порт связи LPC, существующий между локальным администратором безопасности (Local Security Authority, LSA) и монитором безопасности, работающим в привилегированном режиме. В режиме пользователя для создания ключей шифрования файлов и генерирования данных для DDF и DRF служба EFS использует CryptoAPI. Она также поддерживает набор API для Win32.
Набор API для Win32. Этот набор интерфейсов прикладного программирования позволяет выполнять шифрование файлов, дешифрование и восстановление зашифрованных файлов, а также их импорт и экспорт (без предварительного дешифрования). Эти API поддерживаются стандартным системным модулем DLL — advapi32.dll.

 

26.3.gif

Изображение: 

30. Технологии шифрования EFS

 

Технологии шифрования EFS

EFS основана на шифровании с открытым ключом и использует все возможности архитектуры CryptoAPI в Windows 2000. Каждый файл шифруется с помощью случайно сгенерированного ключа, зависящего от пары открытого (public) и личного, закрытого (private) ключей пользователя. Подобный подход в значительной степени затрудняет осуществление большого набора атак, основанных на криптоанализе. При криптозащите файлов может быть применен любой алгоритм симметричного шифрования. Текущая версия EFS использует алгоритм DESX (расширенный DES) с длиной ключа 56 бит. EFS позволяет осуществлять шифрование и дешифрование файлов, находящихся на удаленных файловых серверах.

Примечание

В данном случае EPS может работать только с файлами, находящимися на диске. Шифрующая файловая система не осуществляет криптозащиту данных, передаваемых по сети. Для шифрования передаваемой информации в операционной системе Windows 2000 следует применять специальные сетевые протоколы, например SSL/PCT.

 

31. Принципы шифрования

 

Принципы шифрования

В EFS для шифрования и дешифрования информации используются открытые ключи. Данные зашифровываются с помощью симметричного алгоритма с применением ключа шифрования файла (File Encryption Key, FEK). FEK — это сгенерированный случайным образом ключ, имеющий определенную длину.

В свою очередь, FEK шифруется с помощью одного или нескольких открытых ключей, предназначенных для криптозащиты ключа. В этом случае создается список зашифрованных ключей FEK, что позволяет организовать доступ к файлу со стороны нескольких пользователей. Для шифрования набора FEK используется открытая часть пары ключей каждого пользователя. Список зашифрованных ключей FEK хранится вместе с зашифрованным файлом в специальном атрибуте EFS, называемом полем дешифрования данных (Data Decryption Field, DDF). Информация, требуемая для дешифрования, привязывается к самому файлу. Секретная часть ключа пользователя используется при дешифровании FEK. Она хранится в безопасном месте, например на смарт-карте или другом устройстве, обладающем высокой степенью защищенности.

Примечание

Шифрование на основе ключа пользователя может быть выполнено с помощью симметричного алгоритма, применяющего ключ, образованный из пароля. EFS не поддерживает этот подход, поскольку схема, основанная на пароле пользователя, не обладает необходимой устойчивостью к атакам с применением словарей.

FEK применяется для создания ключей восстановления. Для этого FEK шифруется с помощью одного или нескольких открытых ключей восстановления. Список РЕК, зашифрованных для целей восстановления, хранится вместе с зашифрованным файлом в специальном атрибуте EFS, называемом полем восстановления данных (Data Recovery Field, DRF). Благодаря существованию набора зашифрованных FEK файл может восстановить несколько агентов восстановления данных (см. ниже). Для шифрования РЕК в DRF

необходима только общая часть пары ключей восстановления, ее присутствие в системе необходимо в любой момент времени для нормального функционирования файловой системы. Сама процедура восстановления выполняется довольно редко, когда пользователь увольняется из организации или забывает секретную часть ключа. Поэтому агенты восстановления могут хранить секретную часть ключей восстановления в безопасном месте, например на смарт-картах или других хорошо защищенных устройствах.

 

32. Операция шифрования

 

Операция шифрования

Шифрование данных производится в следующем порядке:

1. Незашифрованный файл пользователя шифруется с помощью сгенерированного случайным образом ключа шифрования файла, РЕК.
2. РЕК шифруется с помощью открытой части пары ключей пользователя и помещается в поле дешифрования данных, DDF.
3. РЕК шифруется с помощью открытой части ключа восстановления и помещается в поле восстановления данных, DRF.

 

33. Операция дешифрования

 

Операция дешифрования

Дешифрование данных производится следующим образом:

1. Из DDF извлекается зашифрованный РЕК и дешифруется с помощью секретной части ключа пользователя.
2. Зашифрованный файл пользователя дешифруется с помощью РЕК, полученного на предыдущем этапе.

При работе с большими файлами дешифруются только отдельные блоки, что значительно ускоряет выполнение операций чтения.

 

34. Процесс восстановления файла после утраты секретной части ключа

 

Процесс восстановления файла после утраты секретной части ключа

Для восстановления данных выполняются следующие операции:

1. Из DDF извлекается зашифрованный РЕК и дешифруется с помощью секретной части ключа восстановления.
2. Зашифрованный файл пользователя дешифруется с помощью РЕК, полученного на предыдущем этапе.

Описанная выше общая система криптозащиты позволяет применять максимально надежную технологию шифрования и дает возможность многим пользователям и агентам восстановления получать общий доступ к зашифрованным файлам. Она полностью независима от применяемого алгоритма шифрования, что очень важно, поскольку позволит в будущем легко перейти на новые, более эффективные алгоритмы.

 

35. Место EFS в Windows 2000

 

Место EFS в Windows 2000

EPS тесно взаимодействует с NTFS 5.0. Временные файлы, создаваемые приложениями, наследуют атрибуты оригинальных файлов (если файлы находятся в разделе NTFS). Вместе с файлом шифруются также и его временные копии. EPS находится в ядре Windows 2000 и использует для хранения ключей специальный пул, не выгружаемый на жесткий диск. Поэтому ключи никогда не попадают в файл подкачки.

Конфигурация EFS, устанавливаемая по умолчанию, позволяет пользователю шифровать свои файлы без всякого вмешательства со стороны администратора. В этом случае EFS автоматически генерирует для пользователя пару ключей (открытый и личный), применяемую для криптозащиты данных. Шифрование и дешифрование файлов может быть выполнено как для определенных файлов, так и для целого каталога. Криптозащита каталога прозрачна для пользователя. При шифровании каталога автоматически шифруются и все входящие в него файлы и подкаталоги. Каждый файл обладает уникальным ключом, позволяющим легко выполнять операцию переименования. Если вы переименовываете файл, находящийся в зашифрованном каталоге, и переносите его в незашифрованный каталог, сам файл остается зашифрованным (при условии, что целевой каталог находится на томе NTFS 5.0). Средства шифрования и дешифрования доступны через Проводник. Кроме того, можно использовать все возможности криптозащиты данных с помощью набора утилит командной строки и интерфейсов администрирования.

EFS исключает необходимость предварительного расшифровывания данных при доступе к ним. Операции шифрования и Дешифрования выполняются автоматически при записи или считывании информации. EFS автоматически распознает зашифрованный файл и найдет соответствующий ключ пользователя в системном хранилище ключей. Поскольку механизм хранения ключей основан на использовании CryptoAPI, пользователи получают возможность хранить ключи на защищенных устройствах, например, смарт-картах. Если зашифрованные файлы хранятся на общих ресурсах, то для работы с ними пользователи должны иметь сертификат и личный ключ того, кто установил шифрование этих файлов. Впоследствии каждый пользователь может при необходимости независимо расшифровать файл при помощи своего личного ключа.

Предупреждение

Будьте внимательны: нельзя шифровать сжатые файлы и папки (и наоборот — сжимать зашифрованные данные)!

Напомним, что каталоги и файлы можно шифровать только на томах NTFS.

 

36. Работа с EFS

 

Работа с EFS

Управление сертификатами пользователей

Пользователи могут запрашивать, экспортировать, импортировать сертификаты, служащие в EFS для идентификации пользователей, а также управлять ими. Эта возможность предназначена для опытных пользователей, которые хотят иметь средство управления собственными сертификатами. Обычно пользователям не приходится самостоятельно управлять сертификатами, поскольку EFS автоматически генерирует для них пару ключей при первом обращении к ней — т. е. при попытке зашифровать файл или каталог (при этом открытый ключ сертифицируется в центре сертификации, а если таковой недоступен, то EFS сама подписывает открытый ключ).

Примечание

В вышесказанном легко убедиться, если после инсталляции системы запустить оснастку Сертификаты и раскрыть узел (папку) Личные: этот узел будет пуст. Если затем зашифровать некоторый файл или папку и вернуться в оснастку Сертификаты, то можно увидеть, что в папке Личные появился сертификат, выданный текущему пользователю.

Управление сертификатами, их импорт и экспорт осуществляется с помощью контекстных меню оснастки Сертификаты (Certificates) (см. ниже раздел "Сертификаты" и рис. 26.13). Пользователи имеют возможность управлять только своими собственными сертификатами.

Предупреждение

Если вы зашифровали какую-нибудь информацию, то обязательно выполните экспорт сертификата с записью его на дискету! Если вдруг понадобится выполнить заново инсталляцию системы и вы забудете расшифровать эту информацию (что весьма вероятно!), то доступ к ней навсегда будет утерян.

 

37. Утилита cipher

 

Утилита cipher

Эта утилита командной строки позволяет шифровать и дешифровать файлы. Ниже приведен ее синтаксис, описание ключей дано в табл. 26.1.

cipher [/Е | D] [t/S:каталог] [/A] [/I] [/F] [/Q] [/Н] [/К] [путь [...]]

Таблица 26.1. Ключи утилиты cipher

Ключ Описание
Шифрует указанные в качестве параметра путь файлы. Каталоги помечаются как зашифрованные, все файлы, которые будут помещены в них впоследствии, шифруются автоматически
/D Дешифрует все указанные после ключа файлы. Каталоги помечаются как незашифрованные — все файлы, которые будут помещены в них впоследствии, шифроваться не будут
/S Выполняет заданную операцию с каталогом каталог и всеми его подкаталогами, файлы при этом не обрабатываются
Выполняет определенную ключом операцию как для каталогов, так и для отдельных файлов
/I Продолжает выполнение указанной операции даже после возникновения ошибочной ситуации. По умолчанию при появлении ошибки программа cipher останавливается
/F Осуществляет принудительное шифрование всех файлов, указанных после ключа, даже если они уже зашифрованы. По умолчанию уже зашифрованные файлы не подвергаются вторичному шифрованию
/Q Выдает только краткую информацию
Отображает файлы, для которых установлены атрибуты скрытый (Hidden) и системный (System)
Создает новый ключ шифрования файлов для пользователя, запустившего команду; при этом все другие ключи команды игнорируются

Параметр путь может быть маской, файлом или каталогом. Команда cipher без параметров выдает информацию о том, зашифрован ли данный каталог или файлы, находящиеся в нем. Если параметр путь присутствует, то имен файлов может быть несколько. Между собой параметры должны быть разделены пробелом.

Для того чтобы зашифровать каталог Мои документы, введите команду:

c:\cipher /Е "Мои документы"

Для того чтобы зашифровать все файлы с расширением doc, введите команду:

c:\cipher /В /A *.doc

 

38. Шифрование файлов и каталогов

 

Шифрование файлов и каталогов

Поскольку шифрование и дешифрование выполняется автоматически, пользователь может работать с файлом так же, как и до установки его криптозащиты. Например, можно так же открыть текстовый процессор Word, загрузить документ и отредактировать его, как и прежде. Все остальные пользователи, которые попытаются получить доступ к зашифрованному файлу, получат сообщение об ошибке доступа, поскольку они не владеют необходимым личным ключом, позволяющим им расшифровать файл.

Следует отметить, что пользователи (в данном случае администраторы) не должны шифровать файлы, находящиеся в системном каталоге, поскольку они необходимы для загрузки системы, в процессе которой ключи пользователя недоступны. Это сделает невозможным дешифрование загрузочных файлов, и система потеряет работоспособность. Проводник предотвращает возможность возникновения такой ситуации, не позволяя шифровать файлы с атрибутом системный.

Шифрование информации задается в окне свойств файла или папки:

1. Укажите файл или папку, которую требуется зашифровать, нажмите правую кнопку мыши и выберите в контекстном меню команду Свойства (Properties).
2. В появившемся окне свойств на вкладке Общие (General) нажмите кнопку Другие (Advanced). Появится окно диалога Дополнительные атрибуты (Advanced Attributes) (рис. 26.4).
3. В группе Атрибуты сжатия и шифрования (Compress or Encrypt attributes) установите флажок Шифровать содержимое для зашиты данных (Encrypt contents to secure data) и нажмите кнопку ОК.
4. Нажмите кнопку ОК в окне свойств зашифровываемого файла или папки. В появившемся окне диалога укажите режим шифрования.



Рис 26.4. Окно диалога Дополнительные атрибуты Advanced Attributes)


При шифровании папки можно указать следующие режимы применения нового атрибута:

Только к этой панке (Apply changes to this folder)
К этой папке и всем вложенным папкам и файлам (Apply changes to this folder, subfolders and files)

 

26.4.gif

Изображение: 

39. Дешифрование файлов и каталогов

 

Дешифрование файлов и каталогов

1. Чтобы дешифровать файл или папку, на вкладке Общие окна свойств соответствующего объекта нажмите кнопку Другие.
2. В открывшемся окне диалога в группе Атрибуты сжатия и шифрования сбросьте флажок Шифровать содержимое для защиты данных.

 

40. Копирование, перемещение, переименование и уничтожение зашифрованных файлов и папок

 

Копирование, перемещение, переименование и уничтожение зашифрованных файлов и папок

Операции копирования, перемещения, переименования и уничтожения зашифрованных файлов и папок выполняются точно так же, как и с незашифрованными объектами. Однако следует помнить, что пункт назначения зашифрованной информации должен поддерживать шифрование (должен иметь файловую систему NTFS 5.0). В противном случае при копировании данные будут расшифрованы, и копия будет содержать открытую информацию.

 

41. Архивация зашифрованных файлов

 

Архивация зашифрованных файлов

Резервную копию зашифрованного файла можно создать с помощью простого копирования его на другой жесткий диск или с использованием утилиты архивации. Однако, как сказано в предыдущем разделе, простое копирование, например, на дискету или оптический диск может привести к тому, что резервная копия будет содержать открытые данные. То есть, если скопировать зашифрованный файл на раздел FAT или на дискету, копия будет не зашифрована и, следовательно, доступна для чтения любому пользователю. Специализированная операция архивации не требует для ее выполнения доступа к открытым ключам пользователя — только к архивируемой информации. Поэтому для обеспечения безопасности конфиденциальных данных при создании резервных копий рекомендуется применять специальные утилиты архивации. В Windows 2000 для этих целей предназначена стандартная утилита архивации данных NTBackup (см. главу 8).

В процессе архивации зашифрованные данные будут скопированы на указанный носитель без дешифрования. Целевой носитель может не поддерживать NTFS 5.O. Например, резервная копия зашифрованных файлов может быть создана на гибком диске.

 

42. Восстановление зашифрованных файлов на другом компьютере

 

Восстановление зашифрованных файлов на другом компьютере

Часто возникает необходимость восстановить зашифрованную информацию не на том компьютере, на котором она была заархивирована. Это можно выполнить с помощью утилиты архивации. Однако необходимо позаботиться о переносе на новый компьютер соответствующего сертификата и личного ключа пользователя с помощью перемещаемого профиля либо вручную.

На любом компьютере, где зарегистрировался пользователь, обладающий перемещаемым профилем, будут применяться одни и те же ключи шифрования.

Ручной перенос личного ключа и сертификата выполняется в два этапа: сначала следует создать резервную копию сертификата и личного ключа, а затем восстановить созданную копию на другом компьютере. Создание резервной копии сертификата состоит из следующих шагов:

1. Запустите оснастку Сертификаты.
2. В левом подокне оснастки Сертификаты откройте папку Личные (Personal), а затем папку Сертификаты. В правом подокне появится список ваших сертификатов.
3. Укажите переносимый сертификат и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Все задачи (All Tasks). В ее подменю выберите команду Экспорт (Export). Запустится Мастер экспорта сертификатов (Certificate Export Wizard).
4. Нажмите кнопку Далее.
5. В следующем окне мастера выберите опцию Да, экспортировать закрытый ключ (Yes, export the private key). Затем нажмите кнопку Далее.
6. В следующем окне мастера доступен только один формат (PFX), предназначенный для персонального обмена информацией. Нажмите кнопку Далее.
7. В следующих окнах сообщите пароль, защищающий данные файла *.pfx, а также путь сохранения файла *.pfx; затем нажмите кнопку Далее.
8. Отобразится список экспортируемых сертификатов и ключей. Нажмите кнопку Готово.
9. Завершите работу мастера экспорта нажатием кнопки ОК в окне диалога, сообщающем об успешном выполнении процедуры экспорта.

В результате сертификат и секретный ключ будут экспортированы в файл с расширением pfx, который может быть скопирован на гибкий диск и перенесен на другой компьютер.

Для восстановления сертификата из резервной копии:

1. Перенесите созданный на предыдущем этапе файл с расширением pfx на компьютер, где вы планируете восстанавливать зашифрованные данные.
2. Запустите оснастку Сертификаты.
3. В окне структуры оснастки Сертификаты откройте папку Личные, затем папку Сертификаты. В правом подокне появится список ваших сертификатов.
4. Щелкните правой кнопкой мыши на пустом месте правого подокна. В появившемся контекстном меню выберите команду Все задачи. В ее подменю выберите команду Импорт (Import). Запустится Мастер импорта сертификатов (Certificate Import Wizard).
5. Следуйте указаниям мастера — укажите местоположение файла с расширением pfx и сообщите пароль защиты данного файла. Восстановление данных из резервной копии должно быть выполнено в папку Личные.
6. Для начала операции импорта нажмите кнопки Готово и ОК. После завершения процедуры импорта нажмите кнопку ОК и закройте окно мастера импорта.

В результате текущий пользователь получит возможность работать с зашифрованными данными на этом компьютере.

Примечание

Официальные источники от Microsoft утверждают, что в текущей версии Windows совместное использование зашифрованных файлов невозможно. Однако описанная процедура позволяет получить доступ не только к своим зашифрованным данным, но и обеспечить доступ к информации на общем ресурсе всем пользователям, которые установят сертификат и ключ, примененные для шифрования (при большом числе пользователей это, конечно, обеспечить непросто). Предоставляем читателям возможность еще раз проверить это утверждение.

 

43. Восстановление данных, зашифрованных с помощью неизвестного личного ключа

 

Восстановление данных, зашифрованных с помощью неизвестного личного ключа

EFS располагает встроенными средствами восстановления зашифрованных данных в условиях, когда Неизвестен личный ключ пользователя. Необходимость подобной операции может возникнуть в следующих случаях:

Пользователь был уволен из компании и ушел, не сообщив свой пароль.
Работа с зашифрованными файлами такого пользователя невозможна.
Пользователь утратил свой личный ключ.
Органы государственной безопасности направили запрос на получение доступа к зашифрованным данным пользователя.

Windows 2000 позволяет создать необходимые ключи для восстановления зашифрованных данных в описанных ситуациях. Пользователи, которые могут восстанавливать зашифрованные данные в условиях утраты личного ключа, называются агентами восстановления данных. Агенты восстановления данных обладают сертификатом (Х509 version 3) на восстановление файлов и личным ключом, с помощью которых выполняется операция восстановления зашифрованных файлов. Используя ключ восстановления, можно получить только сгенерированный случайным образом ключ, с помощью которого был зашифрован конкретный файл. Поэтому агенту восстановления не может случайно стать доступной другая конфиденциальная информация. Средство восстановления данных предназначено для применения в разнообразных конфигурациях вычислительных сред. Параметры процедуры восстановления зашифрованных данных в условиях утраты личного ключа задаются политикой восстановления. Она представляет собой одну из политик открытого ключа. При установке Windows 2000 Server политика восстановления автоматически создается на первом контроллере домена. Администратор домена одновременно является и агентом восстановления. Могут быть добавлены и другие агенты. Это делается с помощью оснастки Групповая политика (Group Policy), в которой нужно раскрыть узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики открытого ключа | Агенты восстановления шифрованных данных (Computer Settings | Security Settings I Public Key Policies | Encrypted Data Recovery Agents) и выполнить в контекстном меню команду Добавить (Add) или Создать (Сгеа1е)(в первом случае выбирается пользователь с имеющимся сертификатом агента восстановления, во втором — запрашивается и устанавливается новый сертификат для текущей учетной записи). Политика восстановления существует и на одиночном компьютере. В этом случае агентом восстановления автоматически становится администратор компьютера.

Примечание

Из вышесказанного следует, что политика восстановления определяется только для компьютера, но не для пользователя.

Политика восстановления, применяемая по умолчанию, создается на каждом компьютере при инсталляции системы. Если компьютер подключается к сети, для него политика восстановления может быть определена также на уровне его домена или подразделения, причем она должна быть установлена до того, как начнет применяться шифрование, и имеет приоритет над политиками восстановления, задаваемыми локальными администраторами.

Существует три "типа" политик восстановления:

Политика агентов восстановления. Когда администратор добавляет одного или нескольких агентов восстановления, начинает действовать политика агентов восстановления. Это наиболее широко используемый тип политики.
Пустая политика восстановления (empty policy). Когда администратор уничтожает всех агентов восстановления и их сертификаты открытых ключей, начинает действовать пустая политика восстановления. Это значит, что не существует ни одного агента восстановления, и в пределах области действия данной политики пользователи не могут шифровать свои данные. Применение пустой политики восстановления эквивалентно отключению работы EFS.
Отсутствие политики восстановления (no policy). Когда администратор удаляет групповую политику восстановления, для восстановления зашифрованных данных в условиях утраты личного ключа используются локальные политики восстановления, существующие на каждом компьютере, и процессом восстановления управляет локальный администратор компьютера.

Настройка параметров политики восстановления выполняется с помощью оснастки Групповая политика (узел Политики открытых ключей ).

Примечание

Некоторое неудобство графическою интерфейса оснастки Групповая политика состоит в том, что в узле Политики открытых ключей нечетко отображаются состояния "пустая политика" и "отсутствие политики". При отсутствии записей в этом узле о текущем состоянии можно судить косвенно по опциям контекстного меню: в первом случае присутствует команда Удалить политику и нельзя добавить/создать агента восстановления (хотя мастер и выполнит все операции), а во втором — имеется команда Инициализировать пустую политику.

 

44. Безопасность IР

 

Безопасность IP

Средства безопасности протокола IP позволяют управлять защитой всего IP-трафика от источника информации до ее получателя. Возможности Управления безопасностью IP (IP Security Management) в системе Windows 2000 позволяют назначать и применять политику безопасности IP , которая гарантирует защищенный обмен информацией для всей сети. Механизм безопасности IP представляет собой реализацию протокола безопасности IP (IP Security, IPSec), прозрачную для пользователя, администрирование безопасности централизовано и совмещает гарантии безопасного обмена информацией с легкостью применения.

Потребность в защите сетей, основанных на протоколе IP, уже достаточно велика и растет с каждым годом. В настоящее время в тесно взаимосвязанном деловом мире сетей Интернет, интранет, экстранет (extranet — корпоративная сеть, части которой связаны через открытые сети, например, через Интернет), филиалов и удаленного доступа по сетям передается важная информация, конфиденциальность которой нельзя нарушать. Одним из основных требований, предъявляемых к сети со стороны сетевых администраторов и прочих профессионалов, обслуживающих и использующих сети, является требование гарантии, что этот трафик будет защищен от:

Доступа субъектов, не имеющих на это прав
Перехвата, просмотра или копирования
Модификации данных во время пути по сети

Эти проблемы характеризуются такими показателями, как целостность данных, конфиденциальность и подлинность. Кроме того, зашита от повторного использования (replay protection) предотвращает принятие повторно посланного пакета.

Примечание

Реализация безопасности IP в Windows 2000 основана на стандартах RFC, разработанных консорциумом Internet Engineering Task Force (IETF), рабочей группой IP Security (IPSEC).

 

45. Достоинства безопасности IP

 

Достоинства безопасности IP

Сетевые атаки могут привести к неработоспособности системы, считыванию конфиденциальных данных и другим дорогостоящим нарушениям. Для защиты информации требуются методы "сильного" шифрования и сертификации, основанные на криптографических алгоритмах. Однако высокий уровень безопасности не должен ухудшать производительность труда пользователей или увеличивать затраты на администрирование.

Безопасность IP в Windows 2000 обеспечивает следующие преимущества, которые помогают достичь высокого уровня безопасности взаимодействия при низких затратах:

Централизованное администрирование политикой безопасности, что уменьшает затраты на административные издержки
Политика IPSec может быть создана и назначена на уровне домена (при этом она хранится в Active Directory), что устраняет необходимость индивидуального конфигурирования каждого компьютера. Однако если компьютер имеет уникальные требования, или это автономный компьютер, политика может быть назначена непосредственно.
Прозрачность безопасности IP для пользователей и прикладных программ
Не нужно иметь отдельные программные средства безопасности для каждого протокола в стеке TCP/IP, поскольку приложения, использующие TCP/IP, передают данные уровню протокола IP, где они шифруются. Установленная и настроенная служба IPSec прозрачна для пользователя и не требует обучения.
Гибкость конфигурирования политики безопасности, которая помогает решать задачи в различных конфигурациях
Внутри каждой политики можно настроить службы безопасности, чтобы обеспечить потребности на всех уровнях, начиная с уровня индивидуального пользователя и заканчивая уровнем серверов или предприятия. Политику можно сконфигурировать в соответствии с экспортными правилами и ограничениями.
Конфиденциальные службы, предотвращающие попытки несанкционированного доступа к важным данным во время передачи этих данных между поддерживающими связь сторонами.
Туннелирование
Данные могут быть посланы через безопасные туннели для обмена информацией в Интернете и корпоративных сетях.
Усиленная служба аутентификации, которая предотвращает перехват данных путем подмены идентификаторов.
Ключи большой длины и динамический повторный обмен ключами в течение текущих сеансов связи, что помогает защитить соединение против атак.
Безопасная связь от начала до конца для частных пользователей сети внутри одного и того же домена или через любой доверенный (trusted) домен внутри корпоративной сети.
Безопасная связь между пользователями в любом домене корпоративной сети, основанной на протоколе IP.
Отраслевой стандарт IPSec открыт для реализации других технологий шифрования IP, что позволяет взаимодействовать с другими платформами и продуктами.
Сертификаты с открытым ключом и поддержка ключей pre-shared
Это требуется для разрешения установления безопасной связи с компьютерами, которые не являются частью доверенного домена.
IPSec работает во взаимодействии с другими механизмами защиты, сетевыми протоколами и базовыми механизмами безопасности Windows 2000,
Поддерживается шифрование сообщений RSVP для реализации QoS и ACS в Windows 2000, т. е. IPSec не мешает использовать все преимущества приоритетного управления шириной полосы пропускания, обеспечиваемые этими службами.

Возможности стандарта IPSec и подробности реализации очень сложны и описаны подробно в ряде RFC и проектов IETF, а также в документах Microsoft. IPSec использует криптографическую защиту для обеспечения управления доступом, целостности без установления логического соединения, удостоверения подлинности данных, защиты от повторного использования, полной и ограниченной конфиденциальности потока данных. Поскольку протокол IPSec работает на уровне IP, его услуги доступны протоколам верхнего уровня в стеке и, очевидно, существующим приложениям. IPSec дает системе возможность выбрать протоколы защиты, решить, какой (какие) алгоритм(ы) использовать для служб(ы), а также устанавливать и поддерживать криптографические ключи для каждой защищенной связи.

IPSec может защищать пути между компьютерами, между шлюзами защиты или между шлюзами защиты и компьютерами. Услуги, доступные и требуемые для трафика, настраиваются с использованием политики IPSec. Политика IPSec может быть настроена локально на отдельном компьютере. или может быть назначена через механизмы групповой политики Windows 2000 в Active Directory. Политика IPSec определяет, как компьютеры доверяют друг другу. Самое простое — полагаться на применение доменов доверия Windows 2000, основанных на протоколе Kerberos. Для того чтобы доверять компьютерам в том же самом или в другом доверенном домене Windows 2000, задается предопределенная политика IPSec.

Каждая датаграмма на уровне протокола IP сравнивается с набором фильтров, предоставляемых политикой безопасности, которая поддерживается администратором для компьютера, пользователя, организационной единицы (OU) или всего домена. С любой датаграммой службы IP могут выполнить одно из трех действий:

Передать на обработку службам IPSec
Передать ее без изменений
Игнорировать ее

Установка IPSec включает описание характеристик трафика для фильтрации (IP-адрес источника/адресата, протокол, порт и т. д.) и определение того, какие механизмы требуется применить для трафика, соответствующего фильтру (фильтрам). Например, в очень простом случае два автономных компьютера могут быть сконфигурированы для использования IPSec между ними в одном и том же домене Windows 2000 и активизации политики "закрытости" (lockdown). Если два компьютера — не элементы одного и того же или доверенного домена, то доверие должно быть сконфигурировано с использованием пароля или ключа pre-shared в режиме "закрытый":

Установка фильтра, который определяет весь трафик между двумя компьютерами.
Выбор метода опознавания (выбор ключа pre-shared или ввод пароля).
Выбор политики переговоров (в режиме "закрытый", при этом весь трафик, соответствующий фильтру (фильтрам), должен использовать IPSec).
Определение типа подключения (ЛВС, коммутируемое соединение или оба типа подключения).

Применение политики "закрытости" также ограничит все другие типы трафика от достижимых адресатов, которые не понимают IPSec или не являются частью той же самой доверенной группы. Безопасная политика инициатора обеспечивает установки, применяемые лучше всего к тем серверам, для которых предпринята защита трафика, но если клиент "не понимает" IPSec, то результатом переговоров будет возобновление посылки "чистых" текстовых пакетов.

Когда IPSec применяется для шифрования данных, производительность сети понижается из-за непроизводительных затрат на обработку и шифрование. Один из возможных методов уменьшения воздействия этих непроизводительных затрат — обработка на аппаратном уровне. Поскольку NDIS 5.0 поддерживает такую функцию, можно включить аппаратные средства шифрования в сетевой адаптер. Адаптер, обеспечивающий перегрузку IPSec на аппаратные средства, скоро представят на рынке несколько поставщиков аппаратного обеспечения.

Протокол IPSec обещает быть очень популярным для защиты и корпоративного трафика, и внутреннего общего трафика, который требует конфиденциальности. Одним из вариантов реализации может быть применение политики "закрытости" протокола IPSec только к специфическим серверам, которые предназначены для сохранения и/или обслуживания конфиденциальной информации.

 

46. Базовые механизмы и концепции

 

Базовые механизмы и концепции

Алгоритмы шифрования

Для защиты данных применяются математические алгоритмы шифрования. Безопасность IP в Windows 2000 использует следующие стандартные криптографические алгоритмы:

Методика Diffie-Hellman (D-H)
Алгоритм шифрования с открытым ключом (названный по имени изобретателей — Diffie и Hellman), который позволяет двум поддерживающим связь объектам договариваться об общедоступном ключе без требования шифрования во время порождения ключа. Процесс начинают два объекта, обменивающиеся общедоступной информацией. Затем каждый объект объединяет общую информацию другой стороны со своей собственной секретной информацией, чтобы сгенерировать секретное общедоступное значение.
Код аутентификации хэшированного сообщения (НМАС, Hash Message Authentication Code)
НМАС — алгоритм шифрования с закрытым ключом, обеспечивающий целостность сообщений, установление их подлинности и предотвращение повторного использования. Установление подлинности, использующее функции хэширования (перемешивания), объединено с методом закрытого ключа. Хэшированное значение, известное также как дайджест (digest), или выборка, сообщений, используется для создания и проверки цифровой подписи. Это уникальное значение намного меньше, чем первоначальное сообщение, созданное из цифровой копии кадра данных. Если передаваемое сообщение изменилось по пути следования, то хэши-рованное значение будет отличаться от оригинала, а IP-пакет будет отброшен.
HMAC-MD5
Дайджест сообщений-5 (MD5, Message Digest) — функция хэширования, которая порождает 128-разрядное значение, являющееся подписью данного блока данных. Эта подпись служит для установления подлинности, целостности и предотвращения повторного использования.
HMAC-SHA
Безопасный алгоритм хэширования (SHA, Secure Hash Algorithm) — еще одна функция хэширования, которая порождает 160-разрядное значение подписи, необходимое для установления подлинности, целостности и предотвращения повторного использования.
DES-CBC
Стандарт шифрования данных (Data Encryption Standard, DES) — формирование цепочки шифрованных блоков (Cipher Block Chaining, СВС) — алгоритм шифрования с закрытым ключом, обеспечивающий конфиденциальность. Генерируется случайное число, которое используется совместно с закрытым ключом для-шифрования данных.

 

47. Ключи

 

Ключи

Для обеспечения безопасности данных в криптографии совместно с алгоритмами используются ключи. Ключ — это некоторое значение, применяемое для шифрования или дешифрования информации. Для шифрования в системах безопасности могут использоваться как закрытые, так и открытые ключи. Даже если алгоритм известен, без ключа данные нельзя просмотреть или изменить. Возьмем, например, замок с секретом. Алгоритм открывания замка с секретом общеизвестен — чтобы открыть замок, необходимо установить диски в заданном порядке. Однако ключ к замку, число комбинаторного кода, является секретным и известно только хозяину замка. Безопасность IP в Windows 2000 использует ключи большой длины, чтобы обеспечить повышенную безопасность. Если длину ключа увеличить на один бит, число возможных комбинаций удваивается. Безопасность IP в Windows 2000 также применяет динамическое обновление ключей; это означает, что после определенного интервала для продолжения обмена данными генерируется новый ключ. Такое решение позволяет защититься от злоумышленника, который получил доступ к части информации во время ее передачи.

 

48. Протоколы безопасности

 

Протоколы безопасности

На базе протоколов безопасности реализуются различные службы, обеспечивающие безопасный обмен информацией по сети. Windows 2000 использует следующие протоколы безопасности:

Протокол ассоциаций безопасности и управления ключами Internet (ISAKMP, Internet Security Association and Key Management Protocol)
Прежде чем IP-пакеты будут переданы от одного компьютера другому, должна быть установлена ассоциация, или сопоставление, безопасности (Security Association, SA). SA — набор параметров, который определяет необходимые для защищенной связи услуги и механизмы, типа ключей для безопасных протоколов. SA должна существовать между двумя поддерживающими связь сторонами, использующими безопасность IP. ISAKMP определяет основу для поддержки и установления ассоциаций безопасности. Протокол ISAKMP не связан ни с одним конкретным алгоритмом, методом порождения ключей или протоколом безопасности.
Oakley
Протокол определения ключей, который использует алгоритм обмена ключами Diffie-Hellman (D-H). Oakley генерирует ключи, необходимые для безопасного обмена информацией.
Заголовок аутентификации IP (АН, Authentication Header)
АН обеспечивает целостность, установление подлинности и защиту от повторного использования. Также при помощи АН поддерживается конфиденциальность. АН основан на некотором алгоритме вычисления ключевого кэшированного значения сообщения (НМАС) для каждого IP-пакета (рис. 26.5).



Рис 26.5. Заголовок аутентификации АН



Протокол инкапсуляции безопасности (ESP, Encapsulating Security Protocol)

В дополнение к услугам АН, описанным выше, ESP обеспечивает конфиденциальность, используя алгоритм DES-CBC (рис. 26.6).

Рис 26.6. Протокол инкапсуляции безопасности ESP

 

26.5.gif

Изображение: 

26.6.gif

Изображение: 

49. Архитектура безопасности IP

 

Архитектура безопасности IP

Механизм безопасности IP в Windows 2000 разработан для защиты любого сквозного соединения между двумя компьютерами (рис. 26.7). При сквозном соединении два осуществляющих связь компьютера (системы) поддерживают IP-безопасность на каждом конце соединения. Сделано предположение, что располагающаяся между ними среда, по которой передаются данные, небезопасна. Данные прикладной программы компьютера, начинающего связь, перед пересылкой по сети автоматически (прозрачно для прикладной программы) шифруются. На компьютере адресата данные так же автоматически дешифруются — прежде, чем они будут переданы приложению-получателю. Шифрование всего сетевого IP-трафика гарантирует, что любая связь с использованием TCP/IP защищена от подслушивания. Поскольку данные передаются и шифруются на уровне протокола IP, для каждого протокола в наборе протоколов TCP/IP не требуются отдельные пакеты, обеспечивающие безопасность.

Рис 26.7. Архитектура безопасности IP в Windows 2000


Безопасность IP в Windows 2000 объединяет методы шифрования с открытыми и закрытыми ключами для повышения уровня безопасности и большей производительности.

Управление безопасностью IP в Windows 2000 допускает создание политики, определяющей тип и уровень безопасности, необходимые во время обмена информации:

Политика безопасности (security policy)
Каждая конфигурация атрибутов безопасности IP называется политикой безопасности. Политика безопасности базируется на политиках установления соединений и IP-фильтрах. Политика безопасности связана с политикой контроллера домена. Политика безопасности IP может быть приписана к заданной по умолчанию политике домена, ^заданной по умолчанию локальной политике или созданной пользовательской политике домена. Во время регистрации компьютера в домене автоматически подбираются реквизиты заданной по умолчанию политики домена и заданной по умолчанию локальной политики, включая политику безопасности IP, приписанную к этой политик домена.
Политика переговоров (negotiation policy)
Политика переговоров определяет службы безопасности, используемые во время связи. Можно выбрать услуги, включающие конфиденциальность (ESP) или не обеспечивающие конфиденциальность (АН), или можно определить, какой алгоритм нужно использовать для безопасности IP. Можно установить несколько методов безопасности для каждой политики переговоров. Если первый метод недопустим для ассоциации безопасности, служба ISAKMP/Oakley продолжит просмотр этого списка до тех пор, пока не будет найден тот алгоритм, который безопасность IP сможет использовать для установления ассоциации. Если переговоры не увенчались успехом, устанавливается соединение без безопасности IP.
IP-фильтры
IP-фильтры определяют различные действия, зависящие от направления передачи IP-пакета, от типа применяемого IP-протокола (например, TCP или UDP) и от того, какие порты используются в соответствии с протоколом. Фильтр применяется непосредственно— как шаблон, с которым сравниваются IP-пакеты. Каждый IP-пакет сверяется с IP-фильтром и, если соответствие найдено, для посылки данных применяются реквизиты связанной политики безопасности.

Для поддержки обмена информацией с использованием безопасности IP на каждом компьютере с Windows 2000 устанавливаются локальные службы и драйверы:

Служба агента политики безопасности (Policy Agent Service)
Агент политики — локальный, резидентный агент. Он отыскивает политику безопасности IP в Active Directory во время инициализации системы. Затем он передает информацию о политике сетевому драйверу безопасности IP (IPSec-драйверу) и службе ISAKMP/Oakley. Агент политики не хранит политику безопасности локально, а находит ее в Active Directory (рис. 26.8).
Служба управления ключами ISAKMP/Oakley
Это локальный, резидентный агент, который получает политику безопасности от агента политики. При использовании политики безопасности служба ISAKMP устанавливает ассоциацию безопасности (SA) с компьютером-получателем (рис. 26.9). Тождество поддерживающих связь сторон опознается с помощью центра распределения ключей Kerberos. В заключение служба ISAKMP посылает SA и информацию о ключе драйверу IPSec. Служба ISAKMP/Oakley запускается агентом политики.



Рис 26.8. Функционирование агента политики безопасности




Рис 26.9. Функционирование службы ISAKMP/Oakley



Драйвер безопасности IP (IPSec-драйвер)
Это локальный, резидентный агент, который просматривает все IP-пакеты на соответствие фильтру IP. Если он находит соответствие, то задерживает пакеты в очереди, в то время как служба ISAKMP/Oakley генерирует необходимую SA и ключ, чтобы защитить обмен информацией. Агент, получив эту информацию от службы ISAKMP, шифрует IP-пакеты и посылает их компьютеру-адресату (рис. 26.10). Драйвер IPSec запускается агентом политики.



Рис 26.10. Функционирование драйвера IPSec


Все три перечисленные компонента установлены в Windows 2000 по умолчанию и запускаются автоматически.

Примечание

Каждый контроллер домена содержит центр распространения ключей Kerberos (Kerberos Distribution Center, КОС) для установления подлинности, который конфигурируется сетевым администратором. Kerberos служит третьим доверенным лицом, которое проверяет подлинность поддерживающей связь стороны. Безопасность IP в Windows 2000 использует протокол Kerberos для идентификации компьютеров.

Рассмотрим пример, в котором пользователь Компьютера А (Пользователь 1) посылает данные пользователю Компьютера В (Пользователю 2). Безопасность IP установлена на обоих компьютерах.

На уровне пользователя процесс доставки IP-пакетов прозрачен. Пользователь 1 просто запускает приложение, которое использует протокол стека TCP/IP, например FTP, и посылает данные Пользователю 2. Политики безопасности, назначенные Компьютеру А и Компьютеру В администратором, определяют уровень безопасности взаимодействия. Они выбираются агентом политики и передаются службе ISAKMP/Oakley и драйверу IPSec. Служба ISAKMP/Oakley на каждом компьютере использует политику переговоров, связанную с назначенной политикой безопасности, чтобы установить ключ и общий метод переговоров (ассоциация безопасности). Результаты переговоров о политике ISAKMP между двумя компьютерами передаются драйверу IPSec, который использует ключ для шифрования данных. В заключение драйвер IPSec посылает шифрованные данные на Компьютер В. Драйвер IPSec на Компьютере В дешифрует данные и передает их приложению-получателю (см. описание процесса на рис. 26.11).

Рис 26.11. Пример реализации безопасности IP



Примечание

Любые маршрутизаторы или коммутаторы, которые находятся на пути между поддерживающими связь компьютерами, вне зависимости от того, общаются ли два пользователя или пользователь и файловый сервер, должны просто пропускать шифрованные IP-пакеты к адресату. Если между поддерживающими связь компьютерами находится брандмауэр или другой шлюз, поддерживающий систему безопасности, то на нем должна быть разрешена функция пересылки IP-пакетов или настроена специальная фильтрация, которая разрешает пересылку пакетов безопасности IP, чтобы IP-пакеты правильно достигали адресата.

 

26.10.gif

Изображение: 

26.11.gif

Изображение: 

26.7.gif

Изображение: 

26.8.gif

Изображение: 

26.9.gif

Изображение: 

50. Разработка плана безопасности

 

Разработка плана безопасности

Перед тем как реализовать безопасность IP в Windows 2000, полезно разработать и задокументировать план безопасности, охватывающий всю корпоративную сеть. Необходимо:

Оценить тип данных, посылаемых по сети. Нужно определить, являются ли эти данные конфиденциальной информацией, частной информацией или сообщениями электронной почты. Если вся информация такого рода передается по сети или через Интернет, то она может быть перехвачена, исследована или изменена кем-то, кто прослушивает сеть.
Определить вероятные сценарии связи. Например, удаленным отделам сбыта может потребоваться связь с главным офисом, а внутренней сети — соединение с сетями других компаний. Удаленным пользователям может понадобиться связь с частными пользователями сети из дома, а другим может потребоваться связь с файловым сервером, содержащим конфиденциальную информацию.
Определить уровень безопасности, необходимый для каждого сценария. Например, могут быть некоторые отделы или пользователи, которые нуждаются в более высоком уровне безопасности, чем другие.

Необходимо создать и сконфигурировать политику безопасности для каждого сценария, который был указан в плане.

Например, в компании может быть юридический отдел, которому требуется собственная политика безопасности для любых данных, посланных с использованием IP-протокола. Пользователи в юридическом отделе должны иметь высокий, обеспечивающий конфиденциальность, уровень безопасности для любых данных, посылаемых за пределы отдела. Однако в плане безопасности компании может быть определено, что пользователи в юридическом отделе не требуют конфиденциальности при посылке данных друг другу.

Чтобы реализовать план безопасности для юридического отдела, администратор может выполнить следующие шаги:

1. Создать политику безопасности с именем Legal и привязать ее к заданной по умолчанию политике домена (Default Domain Policy). Поскольку каждый компьютер входит в домен компании, агент политики компьютера выберет политику безопасности Legal в каталоге Active Directory. Политика безопасности Legal могла бы иметь описанные ниже политику переговоров и IP-фильтры, связанные с ней.
2. Создать две политики переговоров и связать их с политикой безопасности Legal:
Первую политику переговоров, Legal NP 1, настроенную на службы и обеспечивающую конфиденциальность для взаимодействия пользователей юридического отдела с пользователями других отделов ("передаваемые данные будут конфиденциальны, подлинны и не модифицированы" — парадигма протокола безопасности ESP).
Вторую политику переговоров, Legal NP 2, настроенную на службы и обеспечивающую только установление подлинности и защиту от изменений, когда пользователи юридического отдела общаются друг с другом ("передаваемые данные будут подлинны и не модифицированы"— парадигма протокола безопасности АН).
3. Создать два IP-фильтра и связать каждый с политикой переговоров.
Пользователи в юридическом отделе находятся в сети 157.55.0.0 с маской подсети 255.255.0.0. Пользователи других отделов находятся в сети 147.20.0.0 с маской подсети 255.255.0.0.
Первый IP-фильтр, Legal IP Filter 1, предназначен для пользователей в юридическом отделе, которые связываются с пользователями других отделов. Он будет связан с политикой переговоров Legal NP 1. Администратор устанавливает свойства фильтра в соответствии со следующими значениями:
  • Заданный IP-адрес для источника — 157.55.0.0. Этот адрес будет соответствовать любому адресу IP в сети юридического отдела, т. к. он является IP-адресом подсети
  • Заданный IP-адрес для получателя — 147.20.0.0
  • Поскольку план безопасности компании обусловливает безопасность всех данных, посланных при помощи протокола IP, тип протокола — любой (Any)


Пользователи юридического отдела, поддерживающие связь с другими пользователями внутри отдела, используют второй IP-фильтр, Legal IP Filter 2. Он связан с политикой переговоров, Legal NP 2, а параметры фильтра установлены в соответствии со следующими значениями:

  • Заданный IP-адрес для источника — 157.55.0.0
  • Заданный IP-адрес для получателя — 157.55.0.0
  • Тип протокола — любой (Any)

Когда пользователь в юридическом отделе посылает информацию любому другому пользователю, адреса источника и получателя IP-пакетов вверяются с IP-фильтрами политики безопасности Legal. Если адреса соответствуют одному из фильтров, связанная политика переговоров определяет уровень IP-безопасности для поддержания взаимодействия.

Например, если пользователь в юридическом отделе с адресом IP 157.55.2.1 посылает данные пользователю с адресом 147.20.4.5, это соответствует Legal IP Filter 1. Это означает, что связь будет организована на уровне безопасности, определенном политикой переговоров Legal NP 1, которая обеспечивает установление подлинности, защиту от изменений и конфиденциальность связи.

 

51. Администрирование безопасности IP

 

Администрирование безопасности IP

Управление безопасностью IP в Windows 2000 позволяет администраторам создавать настраиваемую политику безопасности с уникальной политикой переговоров и IP-фильтрами. Не требуются никакие изменения приклад ных программ. Также не требуется обучать конечных пользователей, поскольку администраторы конфигурируют всю политику безопасности в службе Active Directory, а действия шифрования прозрачны на уровне конечного пользователя.

Можно конфигурировать безопасность IP, используя оснастки Локальные параметры безопасности (на локальном компьютере, рис. 26.12) или Групповая политика (узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики безопасности IP (IP Security Policies)) (для компьютера или домена) или подключив к консоли ММС изолированную оснастку Управление политикой безопасности IP (IP Security Policy Management) (для компьютера или домена). Только администратор или пользователь, которому назначены права администратора на управление Active Directory (или администратор на локальной машине), могут создавать и конфигурировать политику безопасности IP.

Рис 26.12. Оснастка Локальные параметры безопасности (Local Security Policy), узел Политики безопасности IP на "Локальном компьютере" (IP Security Policies on Local Machine)

 

26-12.jpg

Изображение: 

52. Поиск неисправностей

 

Поиск неисправностей

Если сетевое взаимодействие с использованием безопасности IP не функционирует должным образом или невозможно создавать и конфигурировать политики:

  Убедитесь, что агент политики (Policy Agent) запущен на компьютере. Можно открыть оснастку Службы (Services) и просмотреть список служб и их состояние. Если агент не запущен, определите возможные причины отказа при помощи оснастки Просмотр событий (Event Viewer).
  Агент политики останавливается, если он не находит никакой политики безопасности в Active Directory. После того как политика безопасности была создана и назначена, необходимо перезагрузить компьютеры, которым эта политика была назначена. Это заставит агента политики снова обратиться к службе Active Directory.
  Убедитесь, что служба ISAKMP/Oakley работает на компьютере. Агент политики должен быть запущен до запуска службы ISAKMP. Можно просмотреть список служб и их состояние с помощью оснастки Службы. Если служба не запущена, используйте оснастку Просмотр событий, чтобы определить возможные причины отказа.
  Можно воспользоваться Сетевым монитором (Network Monitor), чтобы видеть пакеты, обработанные безопасностью IP. В качестве номера протокола для таких пакетов будет отображаться 50 (номер протокола ESP в десятичной форме), а для протокола АН 'будет отображаться 51 (десятичное). Для ISAKMP/Oakley будет виден номер порта UDP = 500 (десятичное число).

 

53. Взаимодействие безопасности IP с различными программными продуктами

 

Взаимодействие безопасности IP с различными программными продуктами

Следующие замечания относятся к текущей версии Windows 2000 Server:

  Для работы безопасности IP оба компьютера должны работать под управлением Windows 2000.
  Безопасность IP в Windows 2000 не будет функционировать с Microsoft Proxy Server или брандмауэрами третьих фирм, если не разрешена пересылка IP-пакетов.
  Сетевой монитор показывает пакеты, обработанные безопасностью IP, но не может отображать шифрованную информацию.

 

54. Сертификаты

 

Сертификаты

Сертификаты с открытым ключом (public key certificate) представляют собой средство идентификации пользователей в незащищенных сетях (таких как Интернет), а также предоставляют информацию, необходимую для проведения защищенных частных коммуникаций.

Под незащищенными сетями понимаются компьютерные сети, к которым пользователи могут получить доступ без разрешений. Коммуникации в таких сетях открыты для просмотра другими пользователями. Также существует определенная опасность возникновения ложных коммуникаций, когда отправителями сообщений являются ложные пользователи.

Даже частные локальные сети подвержены нападениям взломщиков с целью получения физического доступа к сети. Совершенно защищенные сети практически невозможны. Тем не менее, в защищенных сетях большие бреши в системе безопасности возникают крайне редко. Поэтому, поскольку пользователи доверяют друг другу, в таких сетях можно обмениваться данными, не применяя средств безопасности.

В открытых сетях, таких как Интернет, информация может попасть в руки пользователей, намерения которых никому не известны. Информация, не представляющая особой ценности, не нуждается и в безопасности. Однако, если информация является ценной или конфиденциальной, необходимо предпринять соответствующие меры безопасности для ее защиты.

 

55. Использование сертификатов для обеспечения безопасности

 

Использование сертификатов для обеспечения безопасности

Сертификаты можно использовать для решения различных задач безопасности. В их число входят:

Аутентификация (authentication) или проверка подлинности. Проверка того, что объект, с которым вы взаимодействуете, является в ДействитеЛьнб;-сти авторизованным объектом.
Конфиденциальность (privacy) или секретность. Обеспечение доступа к информации только авторизованным пользователям, даже если любой пользователь сети может перехватить сообщение.
Шифрование (encryption). Обеспечивает доступ к информации только для того пользователя, кому она предназначена.
Цифровые подписи (digital signatures). Обеспечение целостности и подлинности данных.

 

56. Аутентификация

 

Аутентификация

Аутентификация является необходимым условием обеспечения секретности обмена данными. Пользователи должны иметь возможность подтвердить свою подлинность и проверить идентификацию других Пользователей, с которым они общаются. Цифровой сертификат является распространенным средством идентификации.
Сертификаты служат для обеспечения аутентификации следующих случаях:
  • Аутентификация пользователя для защищенного веб-узла посредством Transport Layer Security (TLS) или протокола Secure Sockets Layer (SSL)
  • Аутентификация сервера для пользователя посредством TLS
  • Регистрация в домене Windows 2000

 

57. Конфиденциальность

 

Конфиденциальность

Для обеспечения конфиденциальности при передаче данных в незащищенных сетях или по частным локальным сетям применяется шифрование с секретным, или закрытым, ключом (secret key encryption).
Сертификаты обеспечивают конфиденциальность передаваемых данных при помощи ряда методов. Протоколы, наиболее широко используемые для обеспечения секретности:
  • Secure Multipurpose Internet Mail Extensions (S/MIME)
  • Transport Layer Security (TLS)
  • IP Security (IPSec)

 

58. Центры сертификации

 

Центры сертификации

Центр сертификации (также встречается термин поставщик сертификатов) (Certification Authority, CA) представляет собой службу, которой доверен выпуск сертификатов, если индивидуальный пользователь или организация, которые запрашивают сертификат, удовлетворяют условиям установленной политики. Это осуществляется путем принятия запроса на получение сертификата, проверки и регистрации имени запрашивающего сертификат пользователя и открытого ключа в соответствии с политикой. Каждый ЦС должен получить от запрашивающей сертификат стороны подтверждение ее идентичности, такое как удостоверение личности или физический адрес. Затем производится подписание и назначение сертификата, подтверждающего выполнение пользователем критериев политики, которые были установлены для авторизации. Большинство используемых на сегодня сертификатов основаны на стандарте Х.509, эта фундаментальная технология применяется в инфраструктуре открытых ключей Windows 2000.

Центром сертификации может быть удаленная организация, такая как VeriSign, или локальная служба, созданная в вашей организации путем инсталляции Служб сертификации (Microsoft Certificate Services). Выбор ЦС основывается на доверительном отношении (trust). Вы доверяете, что ЦС использует правильную политику при рассмотрении запросов на подписание сертификатов. Кроме того, вы доверяете, что ЦС отзывает сертификаты с истекшим сроком действия путем публикации списка отозванных сертификатов (certificate revocation list).

Центры сертификации также имеют собственные сертификаты. Причем вышестоящий центр подписывает сертификаты для нижестоящих центров. Таким образом, формируется иерархия сертификатов (certificate hierarchy).

В системе Windows 2000 доверие центру сертификации устанавливается при наличии копии корневого сертификата в хранилище доверяемых корневых центров сертификации, а также действительного пути к сертификату. Это означает, что ни один из сертификатов иерархии (пути сертификатов) не был отозван и не имеет истекшего срока действия.

Если в вашей организации используется Active Directory, то доверие к центрам сертификации вашей организации устанавливается автоматически на основе решений и установок, выполненных системным администратором.

Сертификат удостоверяет, что индивидуальный пользователь или ЦС, представляющий сертификат, был авторизован в соответствии с политикой, которая была установлена для ЦС, выпустившего сертификат. Обычно сертификаты содержат следующую информацию:

Открытый ключ (public key) владельца сертификата
Идентификационную информацию владельца сертификата
Период действия сертификата
Информацию о центре сертификации
Цифровую подпись (digital signature)

Все сертификаты имеют ограниченный срок действия. Даты начала и окончания срока действия сертификата указываются в сертификате. Для каждого ЦС устанавливается политика обновления сертификатов с истекшим сроком действия.

Если в вашей организации для запуска центра сертификации на Windows 2000 Server установлены службы сертификации, то используется один из двух типов ЦС:

Центр сертификации предприятия (enterprise certification authority). Требует наличия Active Directory. Использует информацию, доступную в Active Directory, для проверки идентификационной информации запрашивающего сертификат. Публикует списки отозванных сертификатов в Active Directory, а также в общей папке.
Изолированный (автономный) центр сертификации (stand-alone certification authority). He зависит от Active Directory. По умолчанию пользователи могут запрашивать сертификаты у данного центра только с веб-страниц. Изолированный центр сертификации публикует списки отозванных сертификатов в общей папке или в Active Directory (если служба каталогов доступна).

 

59. Использование сертификатов в Интернете

 

Использование сертификатов в Интернете

При работе в Интернете браузер Internet Explorer использует два типа сертификатов: персональный сертификат (personal certificate) и сертификат веб-узла (Web site certificate). Персональный сертификат удостоверяет личность пользователя. Информация сертификата используется при передаче личной информации через Интернет на веб-узел, который требует проверки пользователя посредством сертификата. Сертификат веб-узла подтверждает, что данный узел является безопасным и подлинным. При этом гарантируется, что никакой другой веб-узел не является идентичным оригинальному веб-узлу. Internet Explorer при подключении к веб-узлу проверяет, что Интернет-адрес в сертификате совпадает с действительным адресом и срок действия сертификата еще не истек

Для получения персонального сертификата зайдите на узел Microsoft Certification Authorities (http://www.microsoft.com/ca/ca.htm) и следуйте приведенным там инструкциям. Сертификат веб-узла можно получить при подключении к данному узлу или из базы данных центра сертификации узла. Использование сертификатов при работе с Internet Explorer и Outlook Express описано в главе 21.

 

60. Хранилища сертификатов

 

Хранилища сертификатов

Windows 2000 сохраняет сертификаты локально на том компьютере, с которого запрашивался сертификат для данного компьютера или для пользователя, работающего за данным компьютером. Место хранения сертификатов называется хранилищем сертификатов (certificate store). С помощью оснастки Сертификаты (Certificates) (рис. 26.13) можно просматривать хранилища сертификатов для пользователя, компьютера или сервиса, в которых сертификаты можно сортировать (переключатели в окне Параметры просмотра (View Options)) — вызывается из меню Вид (View)) по назначению (Purpose) или по логическим хранилищам (Logical Store) (табл. 26.2). При сортировке сертификатов по логическим хранилищам можно также отобразить физические хранилища с указанием их иерархии.

Примечание

Оснастка Сертификаты не включается в меню при инсталляции системы, ее нужно запускать (создать инструмент консоли ММС) вручную. Процедура создания инструмента ММС описана в разделе "Создание новой консоли" главы 6.

При наличии соответствующих прав вы можете импортировать или экспортировать сертификаты из любой папки в хранилище сертификатов. Если личный ключ, связанный с сертификатом, доступен для экспорта, то вы можете экспортировать сертификат и личный ключ в файл, соответствующий стандарту PKCS #12.

Оснастка Сертификаты также позволяет публиковать выпущенные сертификаты в Active Directory. Публикация сертификата в Active Directory дает возможность всем группам, которые имеют необходимые разрешения, извлекать сертификат при необходимости.

При наличии соответствующих прав можно запрашивать или импортировать сертификаты из любой папки в хранилище сертификатов. Однако вы можете экспортировать сертификаты из хранилищ сертификатов только при отображении физическогр хранилища.

Команда Поиск сертификатов (Find Certificates) (контекстного меню или меню Действие (Action)) помогает отыскать выпущенные сертификаты в хранилищах сертификатов. Вы можете провести поиск в определенном хранилище или во всех хранилищах и ограничить поиск на основании определенной информации сертификатов, например, искать сертификаты, выпущенные определенным центром сертификации.

Рис 26.13. Окно оснастки Сертификаты (Certificates)


Таблица 26.2. Папки хранилища сертификатов

Сортировка по Папка Содержит
Логическим хранилищам Личные (Personal) Сертификаты, связанные с личными, закрытыми ключами пользователя
Доверенные корневые центры сертификации (Trusted Root Certification Authorities) Доверяемые корневые центры сертификации
Доверительные отношения в предприятии (Enterprise Trust) Список доверительных отношений сертификатов (certificate trust list). Обеспечивает механизм доверия к корневым сертификатам со стороны других организаций
Промежуточные центры сертификации (Intermediate Certification Authorities) Сертификаты, выпущенные для других пользователей и центров сертификации
Объект пользователя Active Directory (Active Directory User Object) Сертификаты, связанные с вашим пользовательским объектом и опубликованные в Active Directory
REQUEST Сертификаты, для которых запущен запрос, и отклоненные сертификаты
Назначению (основные группы) Проверка подлинности сервера (Server Authentication) Сертификаты, которые используются серверными программами для аутентификации при обращении к клиентам
Проверка подлинности клиента (Client Authentication) Сертификаты, которые используются клиентскими программами для аутентификации при обращении к серверам
Подписывание кода (Code Signing) Сертификаты, связанные с парами ключей, используемых для подписи активного содержания
Защищенная электронная почта (Secure Email) Сертификаты, связанные с парами ключей, используемых для подписи электронных сообщений
Шифрованная файловая система (Encrypting File System) Сертификаты, связанные с парами ключей, которые шифруют и дешифруют симметричный ключ, используемый для шифрования и дешифрования данных
Восстановление файлов (File Recovery) Сертификаты, связанные с парами ключей, которые шифруют и дешифруют симметричный ключ, используемый для восстановления зашифрованных данных

 

26.12a.gif

Изображение: 

26.12b.gif

Изображение: 

61. Запрос сертификата

 

Запрос сертификата

Если ваш администратор создал политику открытого ключа для автоматизации запросов на получение сертификатов, то вам, возможно, никогда не придется запрашивать сертификаты самостоятельно, если только вы не работаете со смарт-картами. Пользователи смарт-карт должны запрашивать свои сертификаты.

Если вы пользуетесь смарт-картами, или в вашей организации не применяются автоматические запросы на получение сертификатов, то вы можете запросить новые сертификаты. Запросить новый сертификат можно с помощью Мастера запроса сертификата (Certificate Request Wizard) или на веб-страницах служб сертификации. При запросе сертификатов в центре сертификации предприятия Windows 2000 используется, как правило, Мастер запроса сертификата, вызываемый из оснастки Сертификаты. Кроме того, центр сертификации, установленный на Windows 2000 Server, имеет веб-страницу, на которой можно запрашивать базовые и расширенные сертификаты. По умолчанию эти сертификаты находятся по адресу http://servemame/certsrv, где servername — имя сервера Windows 2000, на котором находится ЦС.

Для того чтобы запросить сертификат в оснастке Сертификаты :

1. Откройте окно оснастки Сертификаты.
2. На панели структуры (левое подокно) откройте нужный узел (для пользователя Сертификаты — текущий пользователь (Certificates | Current User), для компьютера — Сертификаты (локальный компьютер) (Certificates | Computer Name)).
3. Если вы находитесь в режиме просмотра "по логическим хранилищам", выберите папку Личные. Если вы в режиме "по назначению", выберите соответствующий режим (папку).
4. В меню Действие выберите команду Все задачи | Запросить новый сертификат (All Tasks | Request New Certificate).
5. В окне мастера запроса сертификата выберите:
  • Шаблон сертификата, который вы запрашиваете
  • ЦС, который выдаст сертификат (если имеется несколько ЦС) (если установлен флажок Дополнительные параметры (Advanced Options))
  • Поставщика службы криптографии (Cryptographic Service Provider, CSP) (если установлен флажок Дополнительные параметры)
6. После выбора и проверки всех параметров нажмите кнопку Готово (Finish), а затем, после получения сертификата — кнопку Установить сертификат (Install Certificate). Перед установкой выданный сертификат можно просмотреть.

 

62. Просмотр сертификатов

 

Просмотр сертификатов

С помощью оснастки Сертификаты можно просматривать информацию о выпущенных сертификатах. Для этого дважды щелкните на названии сертификата.

Откроется диалоговое окно Сертификат (Certificate) с тремя вкладками: Общие (General), Состав (Details) и Путь сертификации (Certification Path). На вкладке Общие приведена обзорная информация о сертификате: тип сертификата, выдавший сертификат ЦС, пользователь или ЦС, для которого выдан сертификат, и период действия сертификата.

На вкладке Состав (рис. 26.14) и в табл. 26.3 отображена информация о сертификате.

Рис 26.14. Полная информация о сертификате

Таблица 26.3. Поля вкладки Состав (Details)
Поле Описание
Версия (Version) Номер версии стандарта Х.509
Серийный номер (Serial Number) Уникальный серийный номер, который ЦС назначил сертификату. Серийный номер является уникальным для всех сертификатов, выпущенных данным центром сертификации
Алгоритм подписи (Signature Algorithm) Алгоритм хэширования (hash algorithm), который ЦС использует для цифровой подписи сертификата
Поставщик (Issuer) Информация о ЦС, который выпустил сертификат
Действителен с (Valid from) Дата начала действия сертификата
Действителен по (Valid to) Дата окончания действия сертификата
Субъект (Subject) Имя индивидуального пользователя или ЦС, для которого выпущен сертификат. Если выпустивший сертификат ЦС находится на сервере — члене домена вашего предприятия, то данное имя является отличительным именем внутри вашей организации. В противном случае в этом поле будут записаны полное имя и адрес электронной почты
Открытый ключ (Public Key) Тип и длина открытого ключа, связанного с сертификатом
Улучшенный ключ (Enhanced Key Usage) Дополнительные задачи, для решения которых можно использовать открытый ключ, связанный с сертификатом
Алгоритм печати (Thumbprint Algorithm) Алгоритм хэширования, который генерирует снимок или дайджест данных для цифровых подписей
Печать (Thumbprint) Снимок или дайджест
Понятное имя (Friendly Name) Дружественное или общее имя

Вкладка Путь сертификации содержит путь выпустившего сертификат ЦС.

 

26-14.jpg

Изображение: 

63. Импорт и экспорт сертификатов

 

Импорт и экспорт сертификатов

При импорте или экспорте сертификатов сертификат копируется в хранилище или из хранилища. Импорт или экспорт сертификата проводится при выполнении следующих задач:

Инсталляция сертификата, полученного вами от другого пользователя (импорт).
Восстановление сертификата, который хранился в виде резервной копии (импорт).
Создание резервной копии сертификата (экспорт).
Копирование сертификата или ключа для использования на другом компьютере (экспорт).

Передавать сертификаты можно в следующих форматах:

Personal Information Exchange (Обмен персональной информацией) (PKCS#l2).
Данный формат (Personal Information Exchange, PFX) позволяет приложениям передавать сертификаты и соответствующие личные ключи с одного компьютера на другой, на съемный накопитель или смарт-карту.
PKCS #12 является стандартным в отрасли форматом, применяемым для передачи или резервного копирования и восстановления сертификатов и их ключей. Сертификаты в этом формате могут передаваться между продуктами одного или различных производителей, например, Microsoft и IBM. Для использования формата PKCS #12 поставщик услуг шифрования (CSP) должен считать сертификаты и ключи доступными для экспорта.
Экспорт личного ключа — рискованная операция, поскольку ключом могут завладеть посторонние лица. Поэтому PKCS #12 является единственным форматом, который Microsoft поддерживает для экспорта сертификатов и связанных с ними личных ключей.
Cryptographic Message Syntax Standard (Криптографический стандарт на синтаксис сообщений) (PKCS #7).
Определяет общий синтаксис данных и дает рекомендации по шифрованию, цифровым подписям и цепочкам сертификатов. PKCS #7 определяет точный формат, в котором данные шифруются или подписываются, а также то, как определяются алгоритмы шифрования.
PKCS #7 позволяет передавать сертификат и все сертификаты в пути сертификата с одного компьютера на другой или с компьютера на съемный диск. Имена файлов сертификатов имеют расширение р7Ь.
DER Encoded Binary X.509.
Формат могут использовать центры сертификации, находящиеся не на серверах Windows 2000. Имена файлов сертификатов имеют расширение сеr.
Base64 Encoded XJ09.
Данный формат могут применять ЦС, находящиеся не на серверах Windows 2000, — например, ЦС, использующие программное обеспечение Netscape. Имена файлов сертификатов имеют расширение сеr.

 

64. Обновление сертификатов

 

Обновление сертификатов

Каждый выпущенный сертификат имеет определенный срок действия, по истечении которого сертификат становится недействительным. В общем случае вы можете обновить сертификат с истекшим сроком действия. Если ваш администратор создал политику открытых ключей для автоматических запросов на получение сертификатов, то сертификаты будут обновляться автоматически.

Если вы пользуетесь смарт-картой, или в вашей организации не применяется политика автоматических запросов на получение сертификатов, то оснастка Сертификаты уведомит вас об истечении срока действия сертификата и при этом:

Сообщит вам информацию о центре сертификации, выпустившем сертификат.
(необязательно) Предложит вам выбрать новую пару "открытый/личный ключи". Если вы хотите получить новую пару ключей, то вам будет предложено выбрать поставщика службы криптографии (CSP), используемого для генерации пары ключей.

 

65. Установка центра сертификации

 

Установка центра сертификации

Центр сертификации (ЦС, СА) — важный элемент в системе безопасности организации, поэтому в большинстве организаций имеется собственный ЦС. В системе Windows 2000 есть два модуля политик, которые обеспечивают следующие два класса ЦС: ЦС предприятия (Enterprise СА) и изолированный ЦС (Stand-alone СА). Внутри каждого класса могут быть два типа ЦС: корневой (root) и подчиненный (subordinate). Модули политик определяют действия, которые должен выполнить ЦС при поступлении запроса на получение сертификата.

В большинстве случаев центры сертификации организованы в иерархическом порядке, где наиболее доверяемый или корневой центр находится на вершине иерархии. В корпоративной сети все остальные ЦС в иерархии являются подчиненными. В корпоративной сети ЦС предприятия имеет максимальное доверие. ЦС предприятия имеют специальный модуль политик, который определяет, как обрабатываются и выпускаются сертификаты. Информация политики из данного модуля хранится в Active Directory, поэтому для инсталляции ЦС предприятия сперва следует установить Active Directory и сервер DNS. Изолированные ЦС имеют очень простой модуль политик и не хранят никакой информации на удаленном сервере, поэтому для инсталляции данного центра не требуется наличие Active Directory.

Для инсталляции собственного ЦС:

1. Выберите на панели управления значок Установка и удаление программ (Add/Remove Programs).
2. В открывшемся диалоговом окне нажмите кнопку Добавление и удаление компонентов Windows (Add/Remove Windows Components). Откроется диалоговое окно Мастер компонентов Windows (Windows Components Wizard).
3. Установите флажок Службы сертификации (Certificate Services) и нажмите кнопку Далее (Next).
4. В следующем диалоговом окне необходимо выбрать тип ЦС:
  • корневой ЦС предприятия (Enterprise root CA) — установите переключатель в это положение, если данный ЦС будет выпускать сертификаты для всех устройств, подключенных к сети в организации, и будет зарегистрирован в Active Directory. Данный ЦС являемся корнем в корпоративной иерархии ЦС. Обычно корневой ЦС предприятия выпускает сертификаты только для подчиненных ЦС.
  • подчиненный ЦС предприятия (Enterprise subordinate CA) — если у вас уже установлен корневой ЦС предприятия, выберите это положение переключателя. Однако данный ЦС не имеет наивысшего доверия в организации, поскольку он подчиняется корневому ЦС.
  • изолированный корневой ЦС (Stand-alone root CA) — данный ЦС устанавливается для выпуска сертификатов за пределами корпоративной сети. Например, требуется установить изолированный корневой ЦС, если этот ЦС не будет участвовать в корпоративном домене и будет выпускать сертификаты для узлов во внешних сетях. Корневой ЦС обычно используется для выпуска сертификатов для подчиненных ЦС.
  • изолированный подчиненный ЦС (Stand-alone subordinate CA) — подчиненный ЦС, который выпускает сертификаты для узлов за пределами корпоративной сети.
5. Если вы собираетесь изменить установки шифрования, установите флажок Дополнительные возможности (Advanced Options).
6. Нажмите кнопку Далее.
7. В следующих диалоговых окнах вам будет предложено указать сведения о вас и о вашей компаний, которые будут занесены в сертификат, выбрать каталог, в котором будет находиться информация сертификатов. Введите необходимую информацию и нажмите кнопку Далее.
8. По окончании процедуры инсталляции нажмите кнопку Готово (Finish).

 

66. Запуск оснастки Центр сертификации (Certification Authority)

 

Запуск оснастки Центр сертификации (Certification Authority)

После инсталляции центра сертификации выберите команду Пуск | Программы | Администрирование | Центр сертификации (Start | Programs | Administrative Tools | Certification Authority). Откроется окно оснастки (рис. 26.15), с помощью которой можно просматривать списки сертификатов и политики безопасности, а также управлять ими.

Рис 26.15. Окно оснастки Центр сертификации (Certification Authority)


 

26.13.gif

Изображение: 

Глава 27. Групповые политики

Глава 27. Групповые политики

1. Что такое групповые политики?

 

Глава 27

Групповые политики


Что такое групповые политики?

Эффективное функционирование ни одной многопользовательской операционной системы невозможно без четкого разграничения доступа к ресурсам. Одним из средств, позволяющих настраивать параметры безопасной работы пользователей в сети в операционных системах Windows, являются политики безопасности. В предыдущих версиях Windows NT Server политика безопасности домена хранилась в базе данных Диспетчера учетных записей безопасности SAM (Security Accounts Manager). Политика состояла из дескриптора безопасности, предоставляющего доступ к выполнению операции (таких, например, как создание учетной записи и просмотр учетных записей) и свойств, описывающих политики в отношении паролей и блокировки учетных записей пользователей. Локальная политика хранилась в базе данных политик и состояла из информации о привилегиях пользователей и конфигурации аудита. Она реплицировалась между контроллерами домена, поэтому все контроллеры получали одинаковые настройки аудита и привилегий. Политика домена действовала в отношении всего домена, но не могла быть общей для нескольких доменов. Дополнительное управление политиками могло быть осуществлено с помощью членства пользователей в группах.

Реализация политик безопасности в Windows 2000 предоставляет значительно более широкие возможности. При необходимости вы можете устанавливать политики для всего дерева доменов. Различные контроллеры в пределах одного домена могут обладать индивидуальными политиками безопасности. Установив политику безопасности в одном месте, администраторы могут контролировать безопасность всех серверов и рабочих станций домена. Политики безопасности в Windows 2000 реализуются с помощью средств групповых политик (group policy).

Групповая политика имеет следующие преимущества:

Основываясь на службе Active Directory системы Windows 2000, позволяет как централизованно, так и децентрализовано управлять параметрами политики.
Обладает гибкостью и масштабируемостью. Может быть применена в широком наборе конфигураций системы, предназначенных как для малого бизнеса, так и для больших корпораций.
Предоставляет интегрированный инструмент управления политикой с простым и хорошо понятным интерфейсом — оснастку консоли управления Групповая политика (Group Policy).
Обладает высокой степенью надежности и безопасности.

Групповые политики расширяют и используют преимущества Active Directory. Их настройки находятся в объектах групповых политик (Group Policy Object, GPO), которые в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы).

Политики безопасности Windows 2000 хранятся в двух типах объектов GPO: локальном объекте групповой политики и объекте групповой политики домена.

 

2. Объекты групповой политики (GPO)

 

Объекты групповой политики (GPO)

Оснастка Групповая политика (Group Policy)

При создании, настройке и хранении параметров групповых политик применяется подход, позволяющий работать с GPO как с документами.

После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере. Дополнительными средствами настройки групповых политик в контейнере являются группы безопасности и дискреционные разрешения доступа.

GPO создается с помощью оснастки консоли управления Групповая политика, которая может вызываться как изолированный инструмент и в качестве расширения таких оснасток, как Active Directory—пользователи и компьютеры (Active Directory Users and Computers) или Active Directory—сайты и службы (Active Directory Site and Services). Для вызова оснастки Групповая политика в качестве расширения в окне соответствующей оснастки укажите нужный контейнер и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Свойства (Properties). В открывшемся окне перейдите на вкладку Групповая политика (Group Policy). С ее помощью вы сможете просматривать контейнеры Active Directory и ассоциированные с ними GPO.

Для запуска оснастки Групповая политика в виде изолированной оснастки:

1. Нажмите кнопку Пуск (Start). Выберите команду Выполнить (Run). В поле ввода введите с клавиатуры и нажмите кнопку ОК. Запустится консоль управления Microsoft.
2. В окне консоли управления в меню Консоль (Console) выберите команду Добавить/удалить оснастку (Add/Remove Snap-in), затем нажмите кнопку Добавить (Add). В открывшемся окне выберите элемент Групповая политика и нажмите кнопку Добавить.
3. В следующем окне нажмите кнопку Обзор (Browse). В открывшемся окне диалога выберите GPO, который будет загружен в оснастку (можно выбрать GPO для отдельного компьютера, подразделения, сайта или домена), и нажмите кнопку ОК. Нажмите кнопки Готово (Finish), Закрыть (Close) и ОК. (Пример окна оснастки приведен ниже, на рис. 27.1) Теперь оснастку можно сохранить в файле с любым именем.

Создать групповую политику для контейнера Active Directory можно только при наличии определенного набора условий. Необходимо иметь работающий контроллер домена Windows 2000. Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в системный том контроллеров домена (папка Sysvol). Кроме того, он должен иметь право модификации выбранного контейнера Active Directory.

После запуска оснастки Групповая политика в окне структуры появляется набор узлов, которые являются расширениями этой оснастки. По умолчанию все расширения загружаются в процессе запуска оснастки. Однако их состав можно изменить с помощью средств создания индивидуальной конфигурации консоли ММС и с помощью политик, определяющих работу самой консоли. Подход, предполагающий применение расширений, позволяет пользователям создавать свои собственные расширения оснастки Групповая политика, наделяя ее способностью устанавливать дополнительные групповые политики. Любое расширение может в свою очередь состоять из расширений, поэтому оснастка Групповая политика — чрезвычайно гибкий инструмент, который можно сконфигурировать для конкретной компьютерной среды.

 

3. Схема именования GPO и его структура

 

Схема именования GPO и его структура

 

При запуске оснастка Групповая политика загружает корневой узел, представляющий собой GPO, присоединенный к определенному контейнеру. Имя этого GPO и имя контейнера, к которому он присоединен, отображаются в окне структуры в следующем формате:

Политика Имя_СРО[.Имя_домена.сот]

Затем пространство имен подразделяется на два узла более низкого уровня — Конфигурация компьютера (Computer Configuration) и Конфигурация пользователя (User Configuration). Используя их, можно создавать и настраивать групповые политики для компьютера и пользователей.

 

4. Узел Конфигурация компьютера (Computer Configuration)

 

Узел Конфигурация компьютера (Computer Configuration)

 

Узел Конфигурация компьютера содержит параметры всех политик, определяющих работу компьютера. Они регулируют функционирование операционной системы вид рабочего стола, задают параметры выполняемых приложений определяют работу средств обеспечения безопасности и т. д. Групповая политика применяется к компьютеру на этапе загрузки системы и в дальнейшем при выполнении циклов обновления, о которых сказано ниже.

 

5. Узел Конфигурация пользователя (User Configuration)

 

Узел Конфигурация пользователя (User Configuration)

 

Узел Конфигурация пользователя содержит параметры всех политик, определяющих работу пользователя на компьютере. Они регулируют вид рабочего стола как и в предыдущем случае, задают параметры выполняющихся приложений, определяют работу средств обеспечения безопасности и пользовательских сценариев входа и выхода. Групповая политика применяется к пользователю при его регистрации на компьютере и в дальнейшем при выполнении циклов обновления.

 

6. Расширения оснастки Групповая политика

 

Расширения оснастки Групповая политика

Ниже родительских узлов Конфигурация компьютера и Конфигурация пользователя находятся дочерние узлы, каждый из которых является полноценным расширением оснастки Групповая политика. Они могут находиться в обоих родительских узлах, хотя и с различными параметрами, или индивидуально расширять узлы Конфигурация компьютера или Конфигурация пользователя. Оснастка Групповая политика имеет следующие расширения (рис. 27.1):

Административные шаблоны. (Administrative Templates). Здесь находится групповая политика, определяющая параметры реестра, задающие работу и внешний вид рабочего стола, компонент операционной системы и приложений.
Параметры безопасности (Security Settings). Служит для настройки параметров системы безопасности компьютеров, на которые воздействует данный объект групповой политики. С помощью групповых политик можно настроить безопасность локального компьютера, домена и целой сети. О Установка программ (Software Installation). Служит для централизованного управления программным обеспечением организации. С его помощью можно задавать различные режимы установки новых программ на компьютеры пользователей.
Сценарии (Scripts). Сценарии используются для автоматического выполнения набора команд при загрузке операционной системы и в процессе завершения ее работы, а также при регистрации и отключении пользователя от сети. Для выполнения сценариев, написанных на Microsoft JScript и Microsoft Visual Basic Scripting Edition, можно применять сервер сценариев (Windows Scripting Host).
Перенаправление папок (Folder Redirection). Позволяет перенаправлять обращение к специальным папкам в сеть.
Рис. 27.1. Развернутое дерево оснастки Групповая политика (Group Policy), в котором можно видеть ее расширения (в виде узлов дерева)

 

27.1.gif

Изображение: 

7. Административные шаблоны (Administrative Templates)

 

Административные шаблоны (Administrative Templates)

С помощью расширения Административные шаблоны администратор системы может настроить целый набор параметров реестра, задающих режим функционирования компонентов операционной системы и приложений.

Задать конкретные параметры, доступные для модификации с помощью интерфейса пользователя оснастки Групповая политика, можно с помощью специальных административных шаблонов. Модифицируемые значения параметров реестра, относящиеся к зарегистрированному в компьютере пользователю, записываются в раздел реестра HKEY_CURRENT_USER. Значения шаблонов, относящиеся к компьютеру, записываются в раздел HKEY_LOCAL_MACHINE.

Административный шаблон представляет собой текстовый файл в кодировке Unicode с расширением adm, информация которого определяет, как доступные для модификации параметры реестра должны отображаться в окне интерфейса пользователя оснастки Групповая политика. Кроме того, административные шаблоны задают разделы реестра, куда должны быть записаны модифицированные значения параметров, с их помощью проверяется допустимость вводимых значений параметров. В некоторых случаях с помо-цЦью шаблонов могут быть заданы значения параметров реестра, выбираемые по умолчанию. Операционная система Windows 2000 содержит два файла административных шаблонов — system.adm и inetres.adm, где описаны все параметры реестра, доступные для изменения и отображаемые в расширении Административные шаблоны по умолчанию. Узел Административные шаблоны может быть расширен. Для этого администратор должен присоединить индивидуальный административный шаблон:

1. Установите указатель мыши на узел Административные шаблоны и нажмите правую кнопку.
2. В появившемся контекстном меню выберите команду Добавление и удаление шаблонов (Add/Remove Template).
3. В окне Добавление и удаление шаблонов нажмите кнопку Добавить. Если вы на данном этапе хотите удалить ненужный шаблон, нажмите кнопку Удалить (Remove).
4. Если была нажата кнопка Добавить, появится окно диалога Шаблоны политики (Policy Templates), в котором следует выбрать добавляемый шаблон и нажать кнопку Открыть (Open) (рис. 27.2).
5. В окне Добавление и удаление шаблонов нажмите кнопку Закрыть (Close).

Внутри узла Административные шаблоны появятся дополнительные папки, соответствующие добавленному шаблону. С их помощью администратор может редактировать параметры дополнительного набора разделов реестра.

Создание индивидуального административного шаблона. При установке нового программного обеспечения содержимое реестра изменяется. Как правило, в нем появляются новые параметры и даже ветви. Ими нельзя управлять с помощью оснастки Групповая политика, поскольку стандартные административные шаблоны не предоставляют доступ к вновь появившимся разделам реестра. В таких случаях необходимо создать индивидуальный административный шаблон. Он может быть сгенерирован с помощью любого текстового редактора, позволяющего работать с файлами в кодировке Unicode, например, программы Блокнот (Notepad). В административном шаблоне с помощью специального языка определяется иерархия категорий и подкатегорий, задающая взаимоотношения между доступными для модификации параметрами реестра. Каждая из категорий и подкатегорий может состоять из нескольких политик. Каждая политика, в свою очередь, может состоять из нескольких частей. Все политики и части политик описываются с помощью операторов языка создания административных шаблонов. Они позволяют описать название политики, параметр реестра, который регулирует политика, набор допустимых значений параметра, элементы управления пользовательского интерфейса оснастки Групповая политика, с помощью которых можно настроить данный параметр и т. д. Состав и синтаксис языка создания административных шаблонов в данной книге подробно не рассматривается. Дополнительную информацию по этому вопросу можно получить на сайте компании Microsoft.


Рис. 27.2. Присоединение административного шаблона

 

27.2.gif

Изображение: 

8. Параметры безопасности (Security Settings)

 

Параметры безопасности (Secyrity Settings)

С помощью расширения Параметры безопасности в GPO можно определить параметры политики безопасности, определяющие различные аспекты работы системы безопасности Windows 2000. Созданная в объекте групповой политики конфигурация воздействует на все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.

Расширение Параметры безопасности позволяет настраивать следующие аспекты системы безопасности компьютера:

Политики учетных записей (Account Policies). Можно настраивать политики безопасности как учетных записей в масштабах домена, так и локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и новая политика Kerberos, распространяющаяся на весь домен.
Локальные политики (Local Policies). Можно настраивать политику аудита, назначать права пользователей и различные параметры безопасности, доступные для настройки в системе Windows 2000.
Журнал событий (Event Log). Можно настраивать политики безопасности, определяющие работу журналов событий приложений, системы и безопасности.
Группы с ограниченным доступом (Restricted Groups). Можно регулировать членство пользователей в специфических группах. Сюда обычно включают встроенные группы, такие как Администраторы, Операторы архива и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и другие группы, безопасность которых требует особого внимания и членство в которых должно регулироваться на уровне политики.
Системные службы (System Services). Можно настраивать безопасность и параметры загрузки для работающих на компьютере служб. В этом разделе могут быть использованы расширения, с помощью которых можно осуществлять настройку безопасности, специфическую для данной службы. Например, расширение File Sharing Service позволяет настраивать политику безопасности для службы создания общего доступа к файлу (активизация подписи 8MB, ограничение анонимного доступа к общим ресурсам, формирование безопасности различных сетевых общих ресурсов и т. д.).
Реестр (Registry). Можно настраивать безопасность различных разделов реестра.
Файловая система (File System). Можно настраивать безопасность определенных файлов.
Политики открытого ключа (Public Key Policies). Можно настраивать политики безопасности в отношении шифрования информации с помощью EFS, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т. д.
Политики безопасности IP (IPSEC). Позволяет настраивать политику безопасности IP для компьютеров, находящихся в определенной области действия.

Политики безопасности, определяемые расширением Параметры безопасности, действуют на компьютеры и частично на пользователей. Поскольку политика безопасности Windows 2000 значительно отличается от политик предыдущих версий Windows NT, при переходе к Windows 2000 низкоуровневые политики безопасности не переносятся. Если при переходе создается новое дерево доменов, одновременно создается и новая политика безопасности, назначаемая по умолчанию. Если при переходе домен присоединяется к уже существующему дереву, политика безопасности берется от родительского домена.

Для модификации настроек безопасности щелкните на папке Параметры безопасности, затем щелчками на соответствующих узлах откройте весь путь, ведущий к интересующим настройкам. В правом подокне окна оснастки Групповая политика двойным щелчком выберите настраиваемую политику и в

 

9. Установка программ (Software Installation)

 

Установка программ (Software Installation)

Оснастка Установка программ предназначена для организации централизованного управления установкой программного обеспечения на компьютеры сети Windows 2000. Она позволяет настроить два режима установки ПО на группу компьютеров , или для группы пользователей — назначение (assignment) и публикация (publishing).

Назначение ПО группе пользователей или компьютеров предполагает, что все пользователи, которым необходима данная программа, будут автоматически получать ее без привлечения администраторов или технического персонала. Если для приложения установлен принудительный режим, ярлык, соответствующий данной программе, появляется в меню Пуск, а в реестр заносится информация о данном приложении, включая местоположение пакета и других файлов, необходимых для установки данного ПО. При первом обращении пользователя к ярлыку соответствующее программное обеспечение устанавливается и запускается.

Публикация программного обеспечения предполагает, что пользователь сам сможет решить, устанавливать ему данное приложение или нет. В данном случае ярлык в меню Пуск не появляется, локальный реестр тоже не изменяется. Вся информация, необходимая для установки программы, находится в Active Directory. Для установки программы:

1. Запустите утилиту Установка и удаление программ (Add/Remove Programs) из панели управления.
2. В окне диалога Установка и удаление программ нажмите кнопку Установка новой программы (Add New Programs).
3. Система выполнит поиск, всех программных пакетов, для которых настроена публикация. Результат, поиска (список всех приложений, для установки которых настроена публикация) будут отображены в поле Установка программ из сети (Add programs from your network).
4. Щелчком выберите нужную программу,

Для настройки автоматической установки программного обеспечения на компьютеры клиентов:

1. Запустите оснастку Групповая политика.
2. Откройте узел Установка программ.
3. В правом подокне или на узле Установка программ нажмите правую кнопку мыши. В открывшемся контекстном меню выберите команду Создать | Пакет (New | Package).
4. Откроется окно диалога Открыть, в котором нужно перейти к местоположению настраиваемого программного пакета, выбрать его и нажать кнопку Открыть.
5. Откроется окно диалога Развертывание программ (Deploy Software). Укажите в нем, какой метод развертывания программного пакета необходим: публичный (Published) (этот режим может быть установлен только для пользователя), назначенный (Assigned) или публичный или назначенный с особыми свойствами (Advanced published or assigned). В последнем случае откроется окно диалога Свойства для настройки необходимых свойств программного пакета. Если в дальнейшем понадобится изменить свойства программного пакета, настроенного для автоматической установки, щелкните на нем дважды в правом подокне.

Для удаления программного пакета из автоматической установки:

1. В правом подокне укажите удаляемый пакет и нажмите правую кнопку мыши.
2. В контекстном меню выберите команду Все задачи (All Tasks). В появившемся подменю выберите команду Удалить.

 

10. Сценарии (Scripts)

 

Сценарии (Scripts)

С помощью этого расширения можно задать сценарии, которые должны выполняться на компьютере при загрузке и завершении работы операционной системы, а также при регистрации пользователя в системе и окончании сеанса работы. Выполнять сценарии, написанные на Visual Basic Scripting Edition и JScript, можно с помощью сервера сценариев Windows Windows Scripting Host. Это независимый от языка сервер выполнения сценариев, предназначенный для 32-разрядных платформ Windows.

Для задания сценариев:

1. Запустите оснастку Групповая политика.
2. Если необходимо задать сценарий, выполняющийся при загрузке операционной системы или завершении ее/работы, откройте узел Конфигурация компьютера.
3. Чтобы задать сценарий, выполняющийся при регистрации пользователя в системе и выходе из системы, откройте узел Конфигурация пользователя.
4. Откройте узел Сценарии.
5. В правом подокне окна оснастки Групповая политика появится пара образов сценариев: Автозагрузка/Завершение (Startup/Shutdown) — для компьютера и Вход в систему/Выход из системы (Logon/Logoff) — для пользователя.
6. Для подключения сценария укажите соответствующий образ и нажмите правую кнопку мыши. В контекстном меню выберите команду Свойства. Откроется окно диалога свойств сценариев.
7. В этом окне нажмите кнопку Добавить. Откроется окно диалога Добавление сценария (Add a Script), в котором введите имя присоединяемого сценария и задайте необходимые значения параметров. Если имя сценария неизвестно, нажмите кнопку Обзор — отобразится содержимое папки, где по умолчанию хранятся сценарии (каждый тип сценария находится в собственной папке на общем томе SYSVOL). Здесь можно выбрать необходимый сценарий. Для быстрого перехода к папке со сценариями служит кнопка Показать файлы (Show Files) в окне свойств сценариев.
8. После завершения ввода информации нажмите кнопку ОК.

 

11. Перенаправление папки (Folder Redirection)

 

Перенаправление папки (Folder Redirection)

Оснастка Перенаправление папки позволяет перенаправить некоторые папки профиля пользователя в другое место (как правило, на общий ресурс сети). Перенаправление возможно для следующих папок:

Application Data
Мои рисунки (My Pictures)
Рабочий стол (Desktop)
Главное меню (Start Menu)
Мои документы (My Documents)

Перенаправление папки на общий ресурс сети позволяет, например, обеспечить доступ к информации перечисленных папок для различных компьютеров сети (особенно важно для папки Мои документы), а также повысить отказоустойчивость и упростить создание резервных копий информации.

Для перенаправления специальной папки на общий ресурс сети:

1. Запустите оснастку Групповая политика.
2. Найдите узел Перенаправление папки и откройте его.
3. Укажите специальную папку и нажмите правую кнопку мыши. В открывшемся контекстном меню выберите команду Свойства.
4. В окне свойств папки в раскрывающемся списке Значение (Setting) выберите пункт Базовый (Basic), если данная специальная папка переназначается в одно место для всех пользователей. Появится поле ввода Размещение конечной папки (Target Folder Location).
5. Нажмите кнопку Обзор и укажите местоположение переназначаемой информации.
6. Если специальная папка для различных групп переназначается в разные места, в списке Значение выберите пункт Расширенный (Advanced). В этом случае в нижней части окна свойств папки появится поле Членство в группе безопасности (Security Group Membership).
7. Нажмите кнопку Добавить. В открывшемся окне диалога Выбор группы и размещения (Specify Group and Location) введите имя группы пользователей и соответствующее ей целевое местоположение переназначаемой информации.

 

12. Расширения остнастки Групповая политика на стороне клиента

 

Расширения оснастки групповая политика на стороне клиента

Некоторым расширениям оснастки Групповая политика, находящимся на сервере, соответствуют расширения, работающие у клиента. Они предназначены, для отработки настроек групповых политик на клиентских компьютерах. Расширения, работающие на стороне клиента, представляют собой модули DLL (табл. 27.1), загружаемые в операционной системе клиентского компьютера по требованию в процессе отработки настроек групповых политик. При загрузке операционная система запрашивает список доступных объектов групповой политики. Затем последовательно просматриваются существующие расширения на стороне клиента и определяется, имеют ли они какие-либо данные в доступных GPO. Если расширение на стороне клиента имеет данные в каком-нибудь из доступных объектов групповой политики, оно вызывается с параметром — списком объектов групповой политики, которые необходимо обработать.

Таблица 27.1. Соответствие модулей DLL расширениям оснастки Групповая политика на клиентской стороне

Расширение на клиентской стороне Имя модуля DLL
Административные шаблоны Usernv.dll
Квоты диска (Disk Quota) Diskquota.dll
Переназначение папки Fdeploy.dll
Сценарии Gptext.dll
Установка программ Appmgmts.dll
Безопасность (Security) Scecli.dll
Безопасность IP Gptext.dll
Восстановление EPS (EPS Recovery) Scecli.dll

 

13. Хранение GPO

 

Хранение GPO

Объекты GPO и Active Directory

GPO хранит информацию о настройках групповых политик в двух структурах — контейнере групповых политик (Group Policy Container, GPC) и шаблоне групповых политик (Group Policy Template, GPT). Контейнер групповых политик представляет собой объект Active Directory, в котором хранятся свойства GPO: версия, список расширений, которые хранят свои настройки в объекте групповой политики, состояние GPO и т. д. Шаблон групповых политик — это папка, где находится информация о настройках, модифицируемых с помощью оснастки Групповая политика: политики, настраиваемые с помощью административных шаблонов, настройки безопасности, приложения, управление которыми осуществляется посредством расширения Установка программ, сценарии, заданные с помощью расширения Сценарии, и т. д. Папка шаблона групповых политик находится на системном томе контроллеров доменов в папке Policies. При работе с GPO имя папки его шаблона групповых политик выступает в качестве глобального уникального идентификатора (Global Unique Identifier, GUID), уникально характеризующего данный объект групповой политики.

Оснастку Групповая политика можно настроить так, что информация о групповых политиках будет храниться вне GPO. Однако в этом случае в одном из стандартных мест хранения информации о групповых политиках необходимо сохранить ссылку (link) на местоположение данных GPO.

 

14. Локальные GPO

 

Локальные GPO

На каждом компьютере сети Windows 2000 существует локальный объект групповой политики, представляющий собой шаблон групповых политик. По умолчанию он содержит только информацию безопасности. Его данные расположены в папке %.SystemRoot/w.R0of%\System32\GroupPolicy. Администраторы и операционная система обладают полным доступом к этой папке. Пользователи получают доступ только на чтение.

 

15. Подкаталоги шаблона групповых политик

 

Подкаталоги шаблона групповых политик

Внутри папки шаблона групповых политик имеются следующие подкаталоги:

Adm (если компьютер входит в домен). Здесь находятся все файлы *.adm для данного шаблона групповых политик.
Machine. Здесь хранится файл Registry.pol со значениями параметров реестра, устанавливаемыми для компьютера. При загрузке операционной системы файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_LQCAL_MACHINE. Если компьютер входит в домен, в папке Machine появляется подкаталог Scripts (где находятся все сценарии и связанные с ним файлы), в котором находятся подкаталоги Shutdown и Startup для сценариев выключения и запуска системы (соответственно).
User. Здесь хранится (если компьютер входит в домен) файл Registry.pol со значениями параметров реестра, устанавливаемыми для пользователей. Когда пользователь регистрируется в системе, файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_CURRENT_USER. Если компьютер входит в домен, падка User содержит подкаталог Scripts, где находятся все сценарии и связанные с ними файлы, и подкаталоги Logoff и Logon (для сценариев выхода из системы и регистрации в системе).

 

16. Порядок применения групповых политик

 

Порядок применения групповых политик

Применение групповых политик происходит в последовательности, соответствующей иерархии GPO: сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью, Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно. Кроме того, на порядок выполнения групповых политик влияет применение групп безопасности, о которых речь пойдет ниже.

По умолчанию настройки групповой политики, применяемые к контейнеру определенного уровня, наследуются всеми контейнерами более низких уровней и находящимися внутри них пользователями и компьютерами. Если с дочерней организационной единицей (контейнером) связан свой GPO, он может устанавливать для нее индивидуальные настройки групповых политик, отменяющие применение к ней наследуемых настроек. Если некоторые настройки групповых политик родительского контейнера не заданы (not defined), то они не наследуются и дочерними контейнерами. Если родительский контейнер обладает сконфигурированными настройками групповых политик, которые не заданы в GPO дочернего контейнера, то такие настройки наследуются.

Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае совместимости этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками. Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера,, выполняются только настройки GPO, связанного с дочерним контейнером.

Подобное положение вещей может быть изменено. Установка флажка Блокировать наследование политики (Block Policy inheritance), находящегося на вкладке Групповая политика окна свойств некоторого контейнера, запрещает наследование каких-либо групповых политик, установленных для родительского контейнера.

Существует средство, позволяющее настроить принудительное применение групповой политики, настроенной для некоторого контейнера, всеми контейнерами более низкого уровня. Для этого на вкладке Групповая политика окна свойств контейнера следует нажать кнопку Параметры (Options). В появившемся окне диалога Параметры имя_подразделения необходимо установить флажок Не перекрывать (No override). В этом случае дочерние контейнеры будут наследовать (т. е. не смогут переопределить) все настройки родительского контейнера, даже в том случае, если для дочерних контейнеров установлен флажок Блокировать наследование политики.

По умолчанию групповая политика применяется синхронно, т. е. политики компьютера применяются до появления окна Вход в Windows (Log on to Windows), а политики пользователя — до передачи операционной системой управления оболочке, интерактивно взаимодействующей с пользователем. Подобный порядок можно изменить, однако делать это не рекомендуется, поскольку асинхронное применение групповых политик может привести к непредсказуемым и нежелательным результатам.

Применение групповых политик не ограничивается только, например, моментом загрузки операционной системы компьютера или регистрацией пользователя в системе. При работе компьютера в сети групповые политики могут измениться, поэтому они применяются периодически (по умолчанию — каждые 90 минут). Длительность периода применения политик можно изменять. Если задать его равным нулю, групповые политики применяются через каждые 7 секунд. Следует учитывать, что при уменьшении периода применения групповых политик значительно увеличивается нагрузка на систему. На контроллерах доменов период применения политик равен 5-ти минутам.

Настройки расширений Установка программ и Переназначение папки применяются только при загрузке операционной системы или регистрации пользователя в системе, поскольку периодическое применение этих групповых политик может вызвать нежелательные результаты.

Для блокировки и настройки принудительного выполнения групповой политики:

1. Запустите оснастку Active Directory—пользователи и компьютеры, укажите нужный контейнер и нажмите правую кнопку мыши.
2. В появившемся контекстном меню выберите команду Свойства.
3. В окне свойств перейдите на вкладку Групповая политика (рис. 27.3). Нажмите кнопку Параметры.
4. В открывшемся окне установите флажок Не перекрывать. Теперь настройки дочерних объектов групповой политики не смогут изменять действие (переопределять) настроек данного объекта.
5. Нажмите кнопку ОК.
6. В окне свойств контейнера установите флажок Блокировать наследование политики, что запретит распространение групповой политики более высокого уровня на текущий контейнер и контейнеры нижних уровней.



Рис. 27.3. Окно свойств групповых политик некоторого подразделения



Синхронное и асинхронное выполнение сценариев настраивается с помощью оснастки Групповая политика — узлы Административные шаблоны | Система | Групповая политика.

 

27.3.gif

Изображение: 

17. Применение групповых политик на клиентской стороне

 

Применение групповых политик на клиентской стороне

Периодичность применения групповых политик на клиентской стороне во многом определяется пропускной способностью канала, по которому клиент обменивается информацией с серверами сети. При работе по медленному каналу администратор может увеличить период применения групповых политик.

Если система обнаружила, что клиент присоединен по низкоскоростной линии, устанавливаются соответствующие флаги, влияющие на применение групповых политик. По умолчанию при наличии медленного канала загружаются только настройки узлов Административные шаблоны и Параметры безопасности. Однако с помощью специальных настроек можно регулировать работу расширений оснастки Групповая политика на клиентской стороне. Среди таких настроек отметим следующие политики:

  Обнаружение медленных подключений для групповой политики (Group Policy slow link detection). Данная политика позволяет указать пороговую скорость подключения: если реальная скорость передачи обновлений групповых политик на компьютер будет ниже заданного порога, система считает это подключение "медленным".
  Запретить фоновое обновление групповой политики (Disable background refresh of Group Policy). Как уже говорилось, все групповые политики компьютера применяются при загрузке операционной системы, а политики пользователя — при его регистрации в системе. Периодическое фоновое применение групповых политик происходит каждые 90 минут. В условиях работы по медленному каналу удобнее отключить фоновое применение групповых политик для сохранения определенного уровня производительности системы.
  Интервал обновления групповой политики для компьютеров (Group Policy refresh interval for computers). Можно изменить заданную по умолчанию частоту обновлений в фоновом режиме. Помимо фонового обновления, политика для компьютера всегда применяется при запуске системы. Существует аналогичная политика для пользователей.

Для настройки всех перечисленных выше и других параметров:

1. Запустите оснастку Групповая политика.
2. Если требуется настроить параметр для группы компьютеров, откройте узел Конфигурация компьютера.
3. Если требуется настроить параметр для группы пользователей, откройте узел Конфигурация пользователя.
4. Откройте узел Административные шаблоны | Система | Групповая политика.
5. Дважды щелкнув по нужной политике, установите необходимый параметр.

 

18. Настройка групповых политик на автономном компьютере

 

Настройка групповых политик на автономном компьютере

В операционной системе Windows 2000 реализована новая концепция управления политиками безопасности компьютера. Каждый компьютер обладает своим собственным локальным объектом групповой политики (Local Group

Policy Object, LGPO), который можно редактировать. Если компьютер Windows 2000 не присоединен к домену, то на нем активна только локальная групповая политика. После присоединения к домену групповые политики применяются в соответствии с их иерархией. Следует обратить внимание, что локальная групповая политика применяется даже при включенной блокировке наследования политики от контейнеров более высокого уровня.

Для редактирования локального объекта групповой политики загрузите его в оснастку Групповая политика (при присоединении оснастки в поле ввода Объект групповой политики нужно указать опцию Локальный компьютер). Ниже на примерах показано, как редактировать параметры локальных политик.

 

19. Блокирование локальных учетных записей

 

Блокирование локальных учетных записей

После нескольких неудачных попыток регистрации в системе учетная запись пользователя должна быть заблокирована. Вы можете установить допустимое максимальное количество неудачных попыток. Следует заметить, что разблокировать учетную запись может только администратор.

Рис. 27.4. Узел Политика блокировки учетной записи (Account Lockout Policy)


Для модификации локальной политики учетных записей:

1. В оснастке Групповая политика откройте узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики учетных записей | Политика блокировки учетной записи (рис. 27.4). Откроется окно, отображающее набор настроек политики блокировки.
2. Для запуска средства редактирования сделайте двойной щелчок на разделе, настройку которого вы хотите изменить, например, на Пороговое значение блокировки (Account lockout threshold).
3. В открывшемся окне Параметр локальной политики безопасности (Local Security Policy Setting) в поле при ошибках входа в систему (invalid logon attempts) введите новое значение.
4. Нажмите кнопку ОК. В результате будет установлено новое значение параметра.

 

27.4.gif

Изображение: 

20. Настройка безопасности для раздела реестра

 

Настройка безопасности для раздела реестра

Ниже показано, как можно настроить безопасность для раздела реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT. Администраторы получат полный контроль, а все остальные аутентифицированные пользователи будут иметь доступ только на чтение. Последовательность настройки безопасности для раздела реестра:

1. Запустите оснастку Групповая политика.
2. Откройте узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности, выберите папку Реестр.
3. Нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Добавить раздел (Add Key). Запустится браузер реестра.
4. Перейдите к узлу MacIune\Software\Microsoft\Windows NT. (В качестве альтернативы можно ввести полный путь к редактируемому полю.)
5. Нажмите кнопку ОК. Откроется стандартное окно редактора списков управления доступом (ACL), в котором можно настроить разрешения для выбранного раздела.
6. Для изменения списка объектов, имеющих разрешение доступа к данному разделу, используйте кнопки Добавить и Удалить. Здесь вы можете задать полный доступ только для администраторов и доступ только на чтение для остальных пользователей. По завершении корректировки данных нажмите кнопку ОК.
7. При настройке безопасности раздела реестра можно задать три типа действия безопасности:
  • Распространить наследуемые разрешения на все подразделы (Propagate inheritable permissions to all subkeys) — разрешения, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. При этом все напрямую заданные разрешения на доступ к подразделам будут сохранены, и к ним будут добавлены унаследованные разрешения.
  • Заменить текущие разрешения во всех подразделах наследуемыми

    (Replace existing permissions on all subkeys with inheritable permissions) — разрешения на доступ, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. Но в данном случае любые напрямую заданные права доступа к подразделам будут перезаписаны новыми установками. Действовать будут только вновь созданные разрешения.

  • Запретить замену разрешений в этом разделе (Do not allow permissions on this key to be replaced). Если для родительского раздела установлены новые разрешения, то они наследуются всеми подразделами и перезаписывают все остальные прямые установки. Однако один из подразделов может быть сконфигурирован так, что настройки безопасности родительского раздела будут игнорироваться и не будут распространяться ниже по дереву.
8. Закройте программы настройки. Все сделанные вами изменения в настройках будут сохранены и начнут работать в локальной политике безопасности.

 

21. Настройка безопасности для всего диска С:

 

Настройка безопасности для всего диска С:

С помощью политик безопасности вы можете установить различные права доступа к устройству для разных пользователей (например, полный контроль для администраторов и права на чтение и создание подкаталогов, а также полный контроль над создаваемыми файлами — для пользователей)! Такая настройка невозможна для обычных компьютеров. Для настройки безопасности устройства на контроллере домена:

1. Запустите оснастку Групповая политика для локального объекта групповой политики.
2. Откройте узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности, выберите папку Файловая система.
3. Щелкните правой кнопкой мыши и выберите в контекстном меню команду Добавить файл (Add File). Запустится браузер файловой системы.
4. В окне диалога Добавление файла или папки (Add file or folder) выберите диск С: и нажмите кнопку ОК.
5. По умолчанию группа Все (Everyone) имеет полный доступ к диску. В открывшемся окне диалога Безопасность базы данных (Database Security for) с помощью кнопки Удалить можно очистить список пользователей. Нажав кнопку Добавить, можно выбрать пользователей и группы, а затем определить соответствующие разрешения для диска С:. Чтобы настроить особые права доступа, нажмите кнопку Дополнительно (Advanced).
6 После установки необходимых разрешений нажмите кнопку ОК.
7. В открывающемся затем окне Параметр шаблона политики безопасности (Template Security Policy Setting) выберите тип действия безопасности (распространить, заменить и игнорировать разрешения). Здесь можно нажать кнопку Изменить безопасность (Edit Security) и вернуться к редактированию разрешений.
8. Закончив выбор необходимых действий, нажмите кнопку ОК.

 

22. Настройка групповых политик компьютера в домене

 

Настройка групповых политик компьютера в домене

Создание объектов политики безопасности в Active Directory

Каждый домен по умолчанию обладает ассоциированной с ним групповой политикой. Объект групповой политики (Group Policy Object, GPO) автоматически создается при создании домена. Впоследствии этот объект можно отредактировать. Используя групповые политики, можно одновременно управлять поведением всех компьютеров в домене, а также контролировать делегирование прав администрирования.

При формировании сети предприятия очень важно правильно организовать групповые политики, что позволит минимизировать избыточность параметров и оптимизировать управление сетью. К сожалению, эти цели в определенном смысле противоречат друг другу. Для минимизации избыточности GPO должны с максимальной точностью описывать каждую из политик, действующих на конкретные домены и подразделения (организационные единицы, OU), что приводит к увеличению числа GPO. Для улучшения управления сетью следует, наоборот, создавать небольшое число GPO. Поэтому в каждом конкретном случае нужно правильно сбалансировать количество объектов политик безопасности.

Для правильного планирования структуры групповых политик сети следует:

Разделить политики на логические группы. Например, политики учетных записей могут быть объединены в одну группу.
Для каждой логической" группы создать один или несколько объектов GPO, имеющих различные настройки групповых политик.
Распределить объекты-компьютеры по иерархическим древовидным структурам, состоящим из подразделений. В качестве критерия при таком распределении следует выбрать функцию, которую выполняет данный компьютер.

В основном, каждое подразделение должно иметь определенную групповую политику, действующую на все находящиеся в ней компьютеры. Зачастую

это сделать непросто, поскольку подразделения могут отражать географическое расположение организации, а также иерархию управления сетью. В случаях, когда групповые политики должны распространяться на подмножество компьютеров организации, можно сделать следующее:

Создать в различных подразделениях организации внутренние подразделения, переместить туда нужные объекты-компьютеры и назначить внутренним подразделениям собственные групповые политики.
Если вы не хотите создавать внутренние подразделения, можно использовать схему фильтрации GPO, основанную на разрешениях доступа. С ее помощью вы сможете задать соответствие компьютеров и действующих на них GPO.

 

23. Работа с групповыми политиками домена

 

Работа с групповыми политиками домена

Ниже приведен ряд примеров, демонстрирующих работу с групповыми политиками домена.

Создание объекта групповой политики. Для создания самостоятельного, изолированного GPO:

1. Запустите консоль управления Microsoft (MMC).
2. Выберите в меню Консоль команду Добавить/удалить оснастку, в следующем окне нажмите кнопку Добавить.
3. В окне Добавить изолированную оснастку выберите элемент Групповая политика, затем нажмите кнопку Добавить.
4. В окне Поиск объекта групповой политики нажмите кнопку Обзор. Запустится браузер GPO.
5. Для создания нового GPO с именем, установленным по умолчанию, нажмите кнопку Новый объект групповой политики (Create New Group Policy Object) (рис. 27.5).
6. Переименуйте вновь созданный GPO. Дайте ему более информативное имя.

Примечание

Операционная система не следит за уникальностью имен объектов групповых политик безопасности, поскольку каждый GPO обладает внутренним глобальным уникальным идентификатором (GUID). За уникальность имени отвечает его создатель.

7. Чтобы закрыть окно браузера GPO, нажмите кнопку ОК. Нажмите кнопку Готово, чтобы закрыть окно диалога Поиск объекта групповой политики.
8. Нажмите кнопку Закрыть, чтобы закрыть окно диалога Добавить изолированную оснастку, затем закройте окно диалога Добавить/удалить оснастку.
9.



Рис. 27.5. Окно диалога Поиск объекта групповой политики (Browse for a Group Policy Object) и кнопка Новый объект групповой политики (Create New Group Policy Object)


Теперь в оснастке Групповая политика загружен только что созданный GPO. Отредактируйте его в соответствии с общей концепцией обеспечения безопасности и ассоциируйте его с соответствующим доменом или OU.

Примечание

Можно создавать и редактировать GPO сразу для конкретного контейнера. Это делается на вкладке Групповая политика в окне свойств этого контейнера (см. ниже раздел "Привязка GPO к объектам Active Directory" ).

Загрузка уже созданного GPO. Чтобы загрузить GPO:

1. Запустите оснастку Групповая политика. При запуске оснастки укажите загружаемый GPO. Для этого нажмите кнопку Обзор. Запустится браузер GPO.
2. В открывшемся окне диалога Поиск объекта групповой политики выберите нужный GPO и нажмите кнопку ОК.

Редактирование GPO. Чтобы отредактировать GPO:

1. Загрузите нужный GPO в оснастку Групповая политика.
2. После запуска оснастки переместитесь по дереву узлов и откройте редактируемые параметры групповой политики.
3. В правом подокне окна оснастки Групповая политика щелкните на редактируемом параметре. В открывшемся окне установите нужное значение.

Привязка GPO к объектам Active Directory. Чтобы привязать созданный GPO к сайту, домену или подразделению (создать ссылку на некоторый GPO):

1. Запустите оснастку Active Directory—сайты и службы — для работы с сайтами или Active Directory—пользователи и компьютеры — для доменов и подразделений.
2. Укажите тот контейнер, для которого устанавливается ассоциация с GPO, и нажмите правую кнопку мыши. В появившемся меню выберите команду Свойства и в открывшемся окне перейдите на вкладку Групповая политика.
3. Для того чтобы добавить новый GPO, нажмите кнопку Добавить. Запустится браузер GPO.
4. Найдите объект групповой политики, с которым вы хотите ассоциировать выбранный контейнер, и выберите его. Нажмите кнопку ОК. GPO будет добавлен к списку ассоциированных объектов. Для изменения приоритета политик (порядка следования элементов в списке) используйте кнопки Вверх (Up) и Вниз (Down).

Настройка политики паролей для локальных учетных записей. Для настройки политики паролей в некотором домене или подразделении:

1. Создайте GPO, предназначенный для формирования политики паролей, как было описано выше.
2. Загрузите созданный GPO и откройте узел Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Политики учетных записей | Политика паролей.
3. Установите необходимые значения параметров политики паролей.
4. Закройте окно оснастки Групповая политика. Все сделанные вами изменения будут записаны в GPO.
5. Выполните процедуру привязки созданного GPO к домену или подразделению, описанную в предыдущем разделе.

Теперь можно переместить в этот домен или подразделение все компьютеры, на которые должна действовать созданная вами политика паролей.

Включение аудита на контроллерах домена. При создании контроллера домена в контейнере Domain Controllers для него по умолчанию формируется GPO, определяющий локальные политики всех контроллеров домена. Для того чтобы настроить аудит на всех контроллерах домена, можно просто отредактировать этот GPO.

Для изменения политики аудита контроллеров домена:

1. Запустите оснастку Политика безопасности контроллера домена (Domain Controller Security Policy) — команда Пуск | Администрирование | Политика безопасности контроллера домена (Start | Administrative Tools | Domain Controller Security Policy). Можно также открыть GPO для контроллеров домена, подключив к нему изолированную оснастку Групповая политика.
2. Раскройте узел Локальные политики. Вы увидите три подраздела, относящиеся к трем настройкам локальной политики.
3. Выберите раздел Политика аудита (Audit Policy). В правом подокне появятся политики аудита
4. Выберите двойным щелчком политику Аудит доступа к службе каталогов (Audit Directory Service Access).
5. Для активизации аудита установите флажок Определить следующие параметры политики (Define these policy settings). Аудит неудачных попыток получения доступа к каталогу активизируется установкой флажка отказ (Failure) в группе Вести аудит следующих попыток доступа (Audit these attempts). Для активизации аудита удачных попыток получения доступа к каталогу установите флажок успех (Success).
6. Нажмите кнопку ОК. Все сделанные вами изменения появятся в правом подокне.
7. Закройте окно оснастки. Новая политика вступит в силу.

Настройка привилегий пользователей и групп при работе в домене с Active Directory. С помощью GPO можно определить набор привилегий, имеющихся у всех пользователей домена или подразделения. Для настройки привилегий группы пользователей или индивидуального пользователя при работе с ресурсами компьютера:

1. Создайте GPO, хранящий необходимые значения параметров групповой политики. Процедура создания объекта описана выше.
2. Загрузите его в оснастку Групповая политика.
3. В окне оснастки Групповая политика откройте узел Конфигурация компьютера | Конфигурация Windows | Локальные политики | Назначение прав пользователя (User Rights Assignments).
4. В правом подокне окна оснастки Групповая политика дважды щелкните, например, на строке Обход перекрестной проверки (Bypass traverse checking). В открывшемся окне (рис. 27.6) установите флажок Определить следующие параметры политики и нажмите кнопку Добавить. В открывшемся окне Добавление пользователя или группы введите имя настраиваемой группы или нажмите кнопку Обзор и выберите нужные группы или пользователей.
5. После выбора групп нажмите кнопку ОК. Все изменения будут записаны в GPO.
6. С помощью описанной выше процедуры установите ассоциацию между созданным GPO и контейнером Active Directory, в котором будут осуществляться только что настроенные привилегии.



Рис. 27.6. Окно диалога Параметр политики безопасности (Security Policy Setting), позволяющее редактировать привилегии пользователей и групп

 

27.5.gif

Изображение: 

27.6.gif

Изображение: 

24. Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию

 

Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию

Определить, какой контроллер домена (Domain Controller, DC) выбирается по умолчанию оснасткой Групповая политика при работе с GPO, можно двумя способами: указать это в самой оснастке Групповая политика или установить политику выбора контроллера домена (см. следующий раздел).

В первом случае необходимые установки выполняются с помощью команды DC Options.

Для настройки контроллера домена, выбираемого по умолчанию:

1. Запустите оснастку Групповая политика для групповой политики контроллера домена.
2. Выберите корневой узел.
3. Выберите в меню Вид команду Параметры контроллера домена (DC Options). Откроется окно диалога Параметры для выбора контроллера домена (Options for domain controller selection) (рис. 27.7).
Рис. 27.7. Окно Параметры для выбора контроллера домена (Options for domain controller selection)
4. Выберите один из трех возможных вариантов:
  • Хозяин операций для эмулятора РОС (The one with the Operations Master token for the PDC emulator). Это самый распространенный и предпочтительный принцип выбора DC. В данном случае существует полная гарантия, что объекты групповой политики будут редактироваться на одном и том же контроллере домена. Если по ошибке или каким-то другим причинам редактирование одного и того же GPO выполнялось на различных контроллерах домена, велика вероятность, что изменения, выполненные на одном из них, будут утеряны в результате репликации.
  • Контроллер, используемый оснастками Active Directory (The one used by the Active Directory Snap-ins). В данном случае оснастка Групповая политика выбирает тот же контроллер домена, что и оснастки управления Active Directory. Каждая из них обладает возможностью подключения к разным работающим DC. В данном случае оснастка Групповая политика будет следовать выбору контроллера домена, сделанному в оснастках управления Active Directory.
  • Любой доступный контроллер домена (Use any available domain controller). Данный вариант не рекомендуется для широкого использования. В этом случае с большой долей вероятности будет выбран контроллер домена локального сайта.

 

27.7.gif

Изображение: 

25. Настройка политики выбора контроллера домена

 

Настройка политики выбора контроллера домена

Можно сконфигурировать групповую политику, определяющую, какой контроллер домена будет выбираться по умолчанию при запуске оснастки Групповая политика. Для этого:

1. Запустите оснастку Групповая политика для групповой политики контроллера домена или для политики всего домена.
2. Откройте узел Конфигурация пользователя | Административные шаблоны | Система | Групповая политика.
3. Выберите в списке политику Выбор контроллера домена групповой политики (Group Policy domain controller selection) — откроется окно настройки политики.
4. Включите политику и установите нужный вариант выбора контроллера домена:
  • Использовать основной контроллер домена (Use the Primary Domain Controller)
  • Унаследовать от оснасток Active Directory (Inherit from the Active Directory Snap-ins)
  • Использовать любой доступный контроллер домена (Use any available domain controller)

После того, как политика установлена, команда Параметры контроллера домена в меню Вид окна оснастки Групповая политика будет недоступна.

 

26. Использование групп безопасности

 

Использование групп безопасности

Группы безопасности (security groups) предназначены для решения следующих двух задач: ограничения влияния групповой политики и делегирования управления объектами групповой политики.

 

27. Ограничение влияния настроек групповой политики

 

Ограничение влияния настроек групповой политики

Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере, подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным контейнером. Для более тонкой настройки влияния определенного объекта груп повой политики на группы пользователей и компьютеров применяют группы безопасности. Они не могут быть связаны с GPO, но с помощью вкладки Безопасность окна свойств объекта групповой политики можно задать, будет ли данный GPO влиять на членов определенной группы безопасности.

Примечание

Обратите внимание, что фильтрация влияния политик безопасности может быть выполнена только с помощью групп безопасности. Группы дистрибуции (distribution groups) для этого не подходят.

Для ограничения влияния настроек групповой политики:

1. В правом подокне окна оснастки Групповая политика укажите корневой узел объекта групповой политики и нажмите правую кнопку мыши.
2. В появившемся контекстном меню выберите команду Свойства.
3. В окне свойств объекта групповой политики перейдите на вкладку Безопасность.
4. Нажмите кнопку Добавить и добавьте нужную группу.
5. Установите для нее надлежащие права доступа к объекту групповой политики. Можно разрешить или запретить доступ к GPO. На членов группы, для которой в строке Применение групповой политики флажок установлен в позиции Разрешить, влияют настройки данного объекта групповой политики. Чтобы запретить влияние групповой политики на определенную группу, в строке Применение групповой политики флажок необходимо установить в позиции Запретить (Deny). Если флажок не установлен ни в одной из позиций, это значит, что к данной группе не применяются настройки ни одной из установленных политик.

Примечание

Следует очень хорошо осмыслить факт влияния групповых политик на группы безопасности! Хотя, как указывается в любой документации от Microsoft, относящейся к групповым политикам, "групповые политики (различные GPO) могут распространять свое влияние на сайты, домены и подразделения" — т. е. на контейнеры Active Directory, однако, используя механизмы безопасности, можно построить систему групповых политик, ориентированную на группы. Например, можно создать несколько политик на уровне домена и разрешить применение каждой из политик только к отдельным группам (при этом нужно в каждой политике удалить или запретить подключаемую по умолчанию группу Прошедшие проверку (Authenticated Users), в которую попадаются все пользователи). Иногда такой подход может оказаться весьма полезным и гибким.

 

28. Делегирование управления объектами групповой политики

 

Делегирование управления объектами групповой политики

С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога. Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права: П Управление связями GPO с сайтом, доменом или подразделением (OU). Для этого с помощью инструмента управления Active Directory укажите сайт, домен или OU и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Делегирование управления (Delegate Control). Запустится Мастер делегирования управления (Delegation of Control Wizard). С его помощью можно выбрать объект групповой политики, группу или пользователя, которому должны быть делегированы права, а также и само право (в данном случае Управление ссылками групповой политики (Manage Group Policy links)).

Создание и удаление всех дочерних объектов групповой политики. По умолчанию правом создания объектов в GPO обладают администраторы домена (Domain Admins) и администраторы предприятия (Enterprise Admins), а также операционная система. Для делегирования пользователю права управления объектами групповой политики домена необходимо включить его в группу Создатели-владельцы групповой политики (Group Policy Creator Owners).
Редактирование свойств объектов групповой политики. По умолчанию правом редактирования GPO обладают администраторы домена, администраторы предприятия и операционная система. Для делегирования пользователю права редактирования объекта групповой политики необходимо включить его в одну из указанныхтрупп безопасности.

 

29. Инструменты настройки безопасности

 

Инструменты настройки безопасности

Обеспечение эффективной безопасности системы имеет несколько аспектов.

Во-первых, операционная система должна соответствовать базовым требованиям к безопасности. Например, требования к системе, соответствующей уровню безопасности С2, включают защиту памяти, дискреционное управление доступом и наличие средств аудита.

Во-вторых, для создания эффективной безопасности следует создать инструмент, позволяющий управлять всеми средствами обеспечения безопасности, заложенными в операционной системе. В Windows 2000 для управления безопасностью системы применяется Набор инструментов настройки безопасности (Security Configuration Tool Set). В него включены параметры безопасности операционной системы, собранные в единый блок управления, и ряд программных инструментов, позволяющих управлять этими параметрами.

Набор инструментов настройки безопасности состоит из следующих компонентов:

Служба настройки безопасности (Security Configuration Service) — служба, являющаяся ядром Набора инструментов настройки безопасности. Она работает на любой машине и отвечает за выполнение функций, связанных с настройкой безопасности и ее анализом. Эта служба является центральной для всей инфраструктуры безопасности системы.
Начальная безопасность (Setup Security) — первоначальная конфигурация безопасности, создаваемая при установке Windows 2000 с помощью заранее определенного шаблона, поставляемого вместе с системой. На каждом компьютере Windows 2000 формируется первоначальная база данных безопасности, называемая локальной политикой компьютера (Local Computer Policy).
Оснастка Шаблоны безопасности (Security Templates) — этот инструмент позволяет определять конфигурации безопасности, не зависящие от машины, которые хранятся в виде текстовых файлов.
Оснастка Анализ и настройка безопасности (Security Configuration and Analisys ) — этот инструмент позволяет импортировать одну или несколько хранящихся конфигураций безопасности в базу данных безопасности (это может быть база данных локальной политики компьютера или любая другая личная база). Импорт конфигураций создает специфическую для машины базу данных безопасности, которая хранит композитную настройку. Ее можно активизировать на компьютере и проанализировать состояние текущей конфигурации безопасности по отношению к композитной настройке, хранящейся в базе данных.

 

30. Оснастка Шаблоны безопасности (Security Templates)

 

Оснастка Шаблоны безопасности (Security Templates)

Редактор шаблонов безопасности реализован в виде оснастки ММС. Он предназначен для создания и редактирования текстовых файлов конфигурации безопасности операционной системы Windows 2000. Такие файлы значительно легче переносятся с одной системы на другую, чем соответствующие им базы данных безопасности.

Созданные при помощи оснастки Шаблоны безопасности текстовые файлы хранятся на жестком диске и при необходимости могут быть импортированы в базу данных безопасности. В этом случае все хранимые настройки безопасности начнут действовать.

С помощью оснастки Шаблоны безопасности можно конфигурировать:

Политики безопасности учетных записей (Account Security). Здесь вы сможете настроить такие параметры безопасности, как политика паролей, политика блокировки паролей и т. д.
Локальные политики (Local Policies). Здесь можно настроить параметры безопасности, касающиеся политики аудита, прав пользователей и индивидуальных параметров безопасности конкретной машины Windows 2000. Большинство этих параметров безопасности соответствуют значениям переменных реестра.
Журнал событий (Event Log). Здесь настраиваются параметры, определяющие работу журналов системы, безопасности, приложений и службы каталогов (Directory Service).
Группы с ограниченным доступом (Restricted Groups). Параметры, определяющие членство в группах, включая поддержку встроенных групп контроллеров домена.
Системные службы (System Services). Здесь можно настроить параметры безопасности, касающиеся режима загрузки и управления доступом для всех системных служб, а также параметры, определяющие безопасность редиректора и сервера.
Реестр (Registry). Можно управлять доступом к разделам реестра системы.
Файловая система (File System). Можно настроить параметры управления доступом к файлам и папкам локальных томов файловой системы и деревьев каталога.

Значения параметров всех перечисленных выше областей обеспечения безопасности заносятся в текстовые файлы с расширением inf, называемые шаблонами безопасности. С их помощью можно конфигурировать систему. Кроме того, при анализе безопасности системы шаблоны могут быть использованы в качестве рекомендованной конфигурации.

Информация о конфигурации безопасности расположена в нескольких разделах. Вся информация шаблонов обрабатывается ядром оснастки Шаблоны безопасности. Шаблоны обладают гибкой архитектурой, позволяющей в случае необходимости создавать новые разделы для конфигурации и анализа информации безопасности.

Оснастка Шаблоны безопасности располагает набором созданных заранее шаблонов безопасности. По умолчанию они хранятся в папке %SystemRoot% \Security\Templates. Они могут быть модифицированы с помощью этой оснастки и импортированы в расширение Параметры безопасности (Security Settings) оснастки Групповая политика.

Шаблоны безопасности отличаются друг от друга совокупностью хранящихся в них настроек. С помощью разных шаблонов можно устанавливать различные по степени защищенности конфигурации безопасности компьютера Windows 2000. Применять шаблоны безопасности, можно только в случае, если система была уже настроена с помощью параметров безопасности, установленных по умолчанию. Новые шаблоны безопасности не изменяют все старые настройки параметров системы безопасности, они лишь дополняют их, увеличивая (инкрементируя) степень защищенности компьютера. Поэтому их называют инкрементирующими шаблонами безопасности. Вы можете использовать их без изменения содержимого или в качестве основы для создания своих собственных шаблонов. Инкрементирующие шаблоны безопасности можно применять в системах Windows 2000, установленных на разделе NTFS. Если компьютер Windows 2000 был установлен путем обновления его из компьютера Windows NT 4.0, на нем необходимо предварительно установить базовый шаблон безопасности, который содержит значения параметров, безопасности, установленные по умолчанию. Если операционная система установлена в разделе FAT, такой компьютер не может быть защищен.

Оснастка Шаблоны безопасности предоставляет средства изменения информации, содержащейся в шаблонах. Поскольку усиленная безопасность часто отрицательно сказывается на производительности системы, настройки безопасности, определенные в заранее созданных шаблонах, не должны применяться в рабочем режиме без тщательного предварительного анализа последствий установки той или другой конфигурации безопасности.

Заранее определенные компанией Microsoft конфигурации безопасности делятся на следующие типы:

Базовая (Basic). Это набор настроек безопасности, генерируемых по умолчанию на рабочих станциях, серверах и контроллерах доменов при первоначальной установке Windows 2000. Базовая конфигурация в основном служит для того, чтобы прекращать действие более жестких типов конфигураций безопасности. Операционная система Windows 2000 содержит три базовых шаблона безопасности:
  • basicwk.inf — для рабочих станций
  • basicsv.inf — для серверов
  • basicdc.inf — для контроллеров доменов

Базовые шаблоны безопасности содержат настройки параметров безопасности, устанавливаемые по умолчанию для всех областей обеспечения безопасности, за исключением прав пользователя и групп. Эти шаблоны можно применять в системе Windows 2000 с помощью оснастки Анализ и настройка безопасности или с помощью утилиты Secedit.exe.

Совместимая (Compatible). Эти настройки безопасности генерируются в системах, где не требуются жесткие меры безопасности, и где работают устаревшие программные продукты. В выборе между обеспечением выполнения всех функций приложения и обеспечением безопасности данная конфигурация принимает сторону приложения. Помимо некоторого улучшения установок безопасности, совместимые конфигурации содержат в себе специальные настройки, предназначенные для защиты пакета Microsoft Office. В случае, если в системе используется этот продукт, совместимая конфигурация должна быть включена после установки пакета Office. Однако следует помнить, что конфигурация безопасности, создаваемая этим шаблоном, не считается защищенной. Файл совместимого шаблона безопасности называется compatws.inf.
Защищенная (Secure). Обеспечивает более надежную безопасность по сравнению с совместимой конфигурацией. В выборе между обеспечением выполнения' всех функций приложения и обеспечением безопасности данная конфигурация принимает сторону безопасности. Она содержит жесткие настройки безопасности для политики учетных записей, аудита и некоторых широко используемых разделов реестра. Защищенную конфигурацию рекомендуется ставить на компьютеры, где не задействованы все возможности Microsoft Office, или если данный компьютер предназначен для решения узкого круга задач. Шаблоны защищенной безопас ности находятся в файлах securews.inf и securedc.inf.
Сильно защищенная (High Security). Эта конфигурация позволяет получить идеально защищенную систему Windows 2000, не учитывающую функциональность приложений. Подобная конфигурация при обмене информацией предполагает обязательное использование электронной подписи и шифрования, которое обеспечивается только средствами Windows 2000. Поэтому компьютеры, на которых установлена сильно защищенная конфигурация безопасности, не могут обмениваться данными с другими операционными системами Windows. Сильно защищенную конфигурацию можно применять в системах, где работают приложения, предназначенные для функционирования в среде с усиленной системой безопасности. Шаблоны защищенной безопасности находятся в файлах hisecws.inf и hisecdc.inf.

Приложения, которые успешно работают на определенном уровне безопасности, обеспеченной заранее созданными шаблонами, также успешно функционируют на более низких уровнях безопасности.

Архитектура оснастки Шаблоны безопасности предполагает возможность расширения этого программного инструмента. Вы можете добавить расширения в качестве новых направлений обеспечения безопасности или в качестве новых атрибутов внутри существующих направлений. Поскольку информация конфигурации хранится в стандартных текстовых файлах, ее можно легко дополнить новыми параметрами и разделами с полным сохранением обратной совместимости.

Кроме того, в настоящее время в шаблоне определен раздел, относящийся к службам системы, архитектура которого дает возможность расширять его внутреннюю структуру. Это позволяет любой службе обратиться к оснастке Шаблоны безопасности и настроить с ее помощью свои параметры безопасности. Поэтому различные системы Windows 2000 могут быть сконфигурированы для работы с индивидуальными наборами служб. Кроме того, компания Microsoft ожидает, что независимые разработчики программного обеспечения, создающие новые службы, будут добавлять к общей структуре безопасности необходимую информацию конфигурации и анализа безопасности своих служб.

В следующих разделах приведены примеры работы с редактором шаблонов безопасности.

 

31. Загрузка оснастки Шаблоны безопасности

 

Загрузка оснастки Шаблоны безопасности

Для работы с оснасткой Шаблоны безопасности необходимо запустить консоль управления Microsoft и подключить к ней оснастку. Для знакомства с шаблонами в окне оснастки откройте, например, узел Шаблоны безопасности, щелчком выберите шаблон безопасности securews и просмотрите его папку Политика паролей (рис. 27.8).

Как показано на рис. 27.8, помимо раскрытого шаблона безопасности securews.inf существуют и другие стандартные шаблоны, конфигурации которых позволяют получить различные по надежности системы безопасности.

Рис. 27.8. Просмотр папки Политика паролей шаблона безопасности securews

 

27.8.gif

Изображение: 

32. Просмотр и редактирование шаблона безопасности

 

Просмотр и редактирование шаблона безопасности

Щелкните на одном из стандартных шаблонов безопасности, которые вы видите в окне оснастки Шаблоны безопасности. Если вы хотите модифицировать какую-либо настройку безопасности, дважды щелкните на ней и отредактируйте значения параметров.

Создание пользовательского объекта в папке Файловая система или Реестр. Обратите внимание, что для этих папок в правом подокне отображаются не все объекты, а только те, которые представляют интерес с точки зрения политики безопасности.

Кроме того, важно отметить, что модель наследования дискреционного списка управления доступом (Discretionary Access Control List, DACL), принятая в Windows 2000, позволяет распространять действие настроек безопасности на дочерние объекты файловой системы или реестра, список которых приведен в шаблоне безопасности. Например, даже если каталог 96SystemRoot96\System32 не присутствует в списке объектов файловой системы шаблона securews, он унаследует настройки безопасности от своего родительского каталога %SystemRoot%, который определен в списке объектов.

Для того чтобы добавить объект в папку Файловая система:

1. Выберите папку в окне структуры оснастки Шаблоны безопасности и нажмите правую кнопку мыши.
2. В появившемся контекстном меню выберите команду Добавить файл (Add File).
3. В открывшемся окне диалога Добавление файла или папки (Add file or Folder) выберите устройство или папку, которые вы хотите добавить в список объектов файловой системы, и нажмите кнопку ОК.
4. В окне Безопасность базы данных можно выбрать пользователей и группы и задать им разрешения на указанный файл или папку. Нажмите кнопку ОК.
5. Откроется окно диалога Параметры шаблона политики безопасности (рис. 27.9) Здесь можно выбрать один из способов применения устанавливаемой безопасности (например, Распространить наследуемые разрешения на все подпапки и файлы).
6. Если нужно вернуться к настройкам разрешений, нажмите кнопку Изменить безопасность. Откроется стандартное окно редактора списков управления доступом (ACL). В нем можно установить необходимые значения параметров безопасности.
7. После ввода необходимых значений нажмите кнопку ОК.

Следует отметить, что установленные вами настройки безопасности записываются в файл шаблона безопасности. Их работа начнется, только когда конфигурация, определенная данным шаблоном, будет активизирована в системе (например, импортирована в некоторую групповую политику).

Рис. 27.9 Выбор способа применения устанавливаемой безопасности


Ограничение доступа к группе. Для ограничения членства в группе:

1. В окне оснастки Шаблоны безопасности выберите необходимый шаблон безопасности и откройте его. Укажите папку Группы с ограниченным доступом и нажмите правую кнопку мыши.
2. Выберите команду Добавить группу (Add Group).
3. В открывшемся окне диалога Добавление группы (Add Groups) введите имя нужной группы или нажмите кнопку Обзор и выберите группу из списка. Эта группа будет добавлена в список групп, членством в которых вы хотите управлять.
4. Двойным щелчком выберите настраиваемую группу в правом подокне окна оснастки Шаблоны безопасности.
5. В окне Настройка членства (Configure Membership) можно выбрать пользователей, которые имеют право быть членами конфигурируемой группы, а также указать, в какие группы входит данная группа (эта возможность отсутствует на изолированных компьютерах).
6. Нажмите кнопку ОК и закройте окно.

Сохранение пользовательских шаблонов безопасности. Для сохранения откорректированного стандартного шаблона безопасности под другим именем:

1. Укажите откорректированный стандартный шаблон и нажмите правую кнопку мыши.
2. В появившемся контекстном меню выберите команду Сохранить как (Save As).
3. Введите с клавиатуры новое имя файла (например, custom.inf). По умолчанию шаблоны безопасности располагаются в каталоге %SystemJRoot98\Security \Templates.

Пользовательский шаблон будет добавлен в определенную заранее конфигурацию безопасности и сохранен под введенным вами именем.

 

27.9.gif

Изображение: 

33. Утилита командной строки secedilt

 

Утилита командной строки secedit

Утилиту secedit.exe можно использовать из командной строки или с Диспетчером задач для активизации и анализа некоторой конфигурации безопасности. Secedit.exe загружает в локальную базу данных настройки безопасности, определенные в шаблоне. Загруженные новые настройки безопасности начинают работать в следующих случаях:

После перезагрузки машины.
Когда администратор конфигурирует систему с помощью оснастки Анализ и настройка безопасности (режим Настроить компьютер (Configure Computer Now)).

Существуют следующие варианты синтаксиса команды secedit:

Для выполнения анализа безопасности введите команду:

eecedit /analyze /DB ймя_файла [/CFG Имя_файла] [/log Путь_к_журналу ] [/verbose] [/quiet]

где

/db имя_файла — путь к базе данных, с помощью которой выполняется анализ. Результаты анализа заносятся в самой базе данных вместе с находящейся в ней информацией о настройках безопасности. Этот параметр является обязательным.

/cfg имя_файла — имеет значение только при условии, что предыдущий параметр задает имя новой (еще не существующей) базы данных. Тогда значение Имя_файла в данном параметре определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением анализа.

/log путь_к_журналу — путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь %SystemRoot%\Security\ Logs\Scesrv.log.

/verbose — в журнал должна быть занесена подробная информация о ходе анализа.

/quiet — ничего не заносить в журнал и не выводить на экран.

Для выполнения конфигурации безопасности введите команду:

secedit /configure /DB Имя_файла [/CFG Иня_файла] [/overwrite] [/areas Области...] [/log Путь_к_журналу] [/verbose] [/quiet]

- где

/db имя_файла — путь к базе данных, с помощью которой выполняется конфигурация безопасности. Этот параметр является обязательным. /cfg имя_файла — значение Имя_файла определяет файл конфигурации, который должен быть загружен в новую (только что созданную) базу данных перед выполнением конфигурации безопасности.

/overwrite — применяется только совместно с параметром /cpg. Этот параметр говорит, что информация, загружаемая из файла, указанного в параметре /cfs, должна перезаписать любую существующую конфигурацию, находящуюся в базе данных.

/areas области... — определяет, какие области обеспечения безопасности будут подвергаться конфигурации. По умолчанию конфигурируются все области. Если в данном параметре вводится несколько значений, они должны быть разделены пробелами. Перечислим значения данного параметра:

securitypolicy — определяет локальную политику и политику домена, применяемые к данной системе.

  • group_mgmt — настройки групп с ограниченным членством.
  • user_rights — привилегии пользователей при регистрации и работе с объектами Active Directory.
  • regkeys — разделы реестра.
  • filestore — безопасность локально хранимых файлов.
  • services — настройки безопасности для всех служб.

/log Путь_к_журналу — путь к журналу процесса. Если данный параметр не задан, по умолчанию используется путь %SystemRoot98\Secur\ty\ Logs\Scesrv.log.

/verbose — в журнал должна быть занесена детальная информация, /quiet — ничего не заносить в журнал и не выводить на экран.

Для обновления политики введите команду:

secedit /refreshPolicy {MACHINE_POLICY | USER_POLICY} [/enforce]

где

machine_policy — обновляемая политика для локальной машины.

oser_policy — обновляемая политика для зарегистрировавшегося пользователя.

/enforce — предписывает заново применить политику, даже в случае, если в GPO не было сделано никаких изменений.

Для проверки целостности базы данных введите команду: secedit /validate Имя_файла

где

Имя_файла — имя файла базы данных, целостность которой необходимо проверить.

 

34. Oснастка Анализ и настройка безопасности (Security Configuration and Analysis)

 

Оснастка Анализ и настройка безопасности (Security Configuration and Analysis)

Здесь мы поговорим об использовании оснастки Анализ и настройка безопасности для анализа различных аспектов безопасности систем Windows 2000. Эту оснастку, как и утилиту командной строки secedit, можно применять для интерактивного сбора анализируемых данных в системе или для выполнения периодического сбора информации с помощью сценария, запускаемого в соответствии с заданным расписанием.

Изолированная оснастка Анализ и настройка безопасности запускается стандартным образом, при помощи консоли управления. Пользовательский интерфейс оснастки прост и интуитивно понятен. Визуализация проблем (нарушении политики безопасности) выполняется с помощью специальных значков, шрифтов и цветовых выделений. При этом выводится информация, помогающая в устранении проблем. Применяются простые таблицы со списками атрибутов и соответствующих им значений, а также рекомендованных значений.

При выполнении анализа безопасности оснастка использует информацию базового шаблона безопасности, содержащего предпочтительные или рекомендуемые настройки, помещенные в базу данных безопасности. Ядро анализа оснастки Анализ и настройка безопасности запрашивает текущие настройки различных атрибутов по каждому из направлений настройки безопасности и сравнивает полученные величины с рекомендациями базового шаблона. Если настройка совпадает с шаблоном, она признается правильной. В обратном случае идентифицируется потенциальная проблема, требующая дополнительного исследования.

 

35. Создание личной базы данных и анализ компьютера

 

Создание личной базы данных и анализ компьютера

База данных, с помощью которой выполняется анализ безопасности системы, задается следующим образом:

1. Запустите оснастку Анализ и настройка безопасности и нажмите правую кнопку мыши на корне структуры.
2. В появившемся контекстном меню выберите команду Открыть базу данных (Open Database).
3. Введите имя новой базы данных и нажмите кнопку ОК. По умолчанию базы данных располагаются в каталоге Имя_диска\Оосимегй& and Settings \Имя_пальзователя\Му Documents\Security\Database.
4. В следующем окне выберите шаблон безопасности, информация которого должна быть перенесена в создаваемую базу данных, и нажмите кнопку Открыть. По умолчанию шаблоны безопасности находятся в каталоге %iSystemRoot%\Security\Templates.

Анализ безопасности по личной базе данных. В данном случае вы анализируете одну из возможных политик безопасности, которая впоследствии может стать системной политикой, но только после тщательного анализа ее правильности.

Для того чтобы выполнить анализ безопасности системы по личной базе данных:

1. Выберите корень оснастки Анализ и настройка безопасности и нажмите правую кнопку мыши. Если база данных конфигураций безопасности только что была создана (см. выше), то нужно перейти к пункту 3.
2. С помощью команды Открыть базу данных открывшегося контекстного меню загрузите личную базу данных.
3. В том же контекстном меню выберите команду Анализ компьютера (Analyze Computer Now).
4. Введите с клавиатуры имя файла журнала и нажмите кнопку ОК. По умолчанию файлы журналов создаются в каталоге Имя_диска\ Documents and Settings \Имя_пользователя \Local Settings\Temp.

 

36. Просмотр результатов анализа

 

Просмотр результатов анализа

Для просмотра результатов анализа:

1. Откройте оснастку Анализ и настройка безопасности.
2. Откройте папки, отображающие различные аспекты безопасности.
3. Исследуйте найденные отличия текущих настроек безопасности системы и рекомендованных настроек, находящихся в шаблоне безопасности. Отличия помечены хорошо заметным красным значком, совладения — зеленой галочкой (рис. 27.10). Если в строке результатов нет метки, это значит, что данная настройка безопасности не входит в применяющийся при анализе шаблон.



Рис. 27.10. Результаты анализа политики безопасности системы

 

27.9.gif

37. Установка новой политики безопасности системы с помощью шаблона

 

Установка новой политики безопасности системы с помощью шаблона

Процесс установки новой политики безопасности состоит из нескольких описанных ниже этапов.

Импорт конфигурации безопасности в базу данных системной политики безопасности. Чтобы импортировать некоторую конфигурацию:

1. Выберите папку Анализ и настройка безопасности и нажмите правую кнопку мыши.
2. В появившемся контекстном меню выберите команду Импорт шаблона (Import Template).
3. В открывшемся окне введите с клавиатуры имя шаблона безопасности и нажмите кнопку Открыть. При необходимости можно установить флажок Очистить эту базу данных перед импортом (Clear this database before inporting).

В результате в базу данных безопасности будет занесена новая информация о настройках, хранящаяся в указанном вами шаблоне безопасности.

Анализ и корректировка настроек безопасности. Конфигурацию из импортированного шаблона можно проанализировать и при необходимости скорректировать отдельные параметры безопасности. Для этого нужно двойным щелчком выбрать параметр и в диалоговом окне установить требуемые значения или изменить существующие. Затем анализ можно повторить.

 

Активизация новых настроек безопасности, занесенных в базу данных.

Для анализа новой конфигурации:

1. Выберите папку Анализ и настройка безопасности и нажмите правую кнопку мыши.
2. В контекстном меню выберите команду Настроить компьютер.
3. В открывшемся окне введите с клавиатуры имя файла журнала и нажмите кнопку ОК.

Появится окно, показывающее этапы установки новой конфигурации безопасности системы. По завершении конфигурирования настройки безопасности системы будут соответствовать значениям параметров безопасности, заданных выбранным вами шаблоном. После настройки компьютера использованная база данных выгружается.

Экспорт политики безопасности системы. Оснастка Анализ и настройка безопасности позволяет не только импортировать конфигурацию безопасности системы, определенную в шаблоне, но и экспортировать текущую конфигурацию безопасности в файл после выполнения анализа конфигурации. Для экспорта конфигурации безопасности системы:

1. Выберите папку Анализ и настройка безопасности и нажмите правую кнопку мыши.
2. В появившемся контекстном меню выберите команду Экспорт шаблона (Export Template).
3. В открывшемся окне введите с клавиатуры имя нового файла шаблона безопасности и нажмите кнопку Сохранить.

 

38. Анализ нарушений политики безопасности системы

 

Анализ нарушений политики безопасности системы

Пусть политика безопасности системы предполагает, что в группу Администраторы могут быть включены только администраторы системы, а в группу Опытные пользователи — только определенные пользователи. Если членом этих групп станет другой пользователь, произойдет нарушение политики безопасности. Выполнив с помощью оснастки Анализ и настройка безопасности анализ текущей конфигурации безопасности системы, можно выявить эти и любые другие нарушения:

1. В окне оснастки укажите корневой узел и нажмите правую кнопку мыши.
2. В появившемся контекстном меню выберите команду Открыть базу данных. Убедитесь, что в качестве рабочей базы данных выбрана база, соответствующая текущей конфигурации безопасности системы.
3. В этом же контекстном меню выберите команду Анализ компьютера. Начнется процесс анализа соответствия текущих настроек безопасности системы параметрам безопасности, хранящимся в базе данных.

Для просмотра результатов анализа текущих настроек безопасности в окне структуры откройте интересующую вас папку настроек безопасности (в данном примере, Группы с ограниченным доступом) (рис. 27.11). Не совпадающая с параметром базы данных текущая настройка безопасности будет помечена красным значком (крестиком или восклицательным знаком) и строка будет отмечена словом "Исследовать" (Investigate). Для получения более детальной информации о нарушении политики безопасности двойным щелчком выберите отмеченный параметр.

Рис. 27.11 Нарушение политики безопасности системы в отношении группы Опытные пользователи

 

27-11.jpg

Изображение: