Папка Сеть и удаленный доступ к сети (Network and Dial-up connections) в Windows 2000 служит для подключения компьютера к Интернету, локальной сети или к другим компьютерам и позволяет использовать сетевые ресурсы и службы в локальной сети или удаленно.

Папка Сеть и удаленный доступ к сети (Пуск | Настройка | Панель управления (Start | Setting | Control Panel)) объединяют средства Dial-up Networking из Windows NT 4.0 и функции, прежде доступные из панели управления (значок Network), например, настройки сетевых протоколов и прочих служебных параметров. Каждое подключение в папке Сеть и удаленный доступ к сети (рис. 16.1) служит для создания и использования связи между данным и другим компьютером или сетью. С помощью таких подключений упрощается настройка сети. Например, изменить набор установленных сетевых протоколов можно выбором пункта Свойства (Properties) контекстного меню и несколькими щелчками в открывшемся окне.

Исходящие подключения (outgoing connections) устанавливают связь с сервером удаленного доступа, используя определенный метод доступа (ЛВС, модем для коммутируемых линий, адаптер и линия ISDN и т. п.) для подключения к сети. В отличие от исходящего, входящее подключение (incoming connection) позволяет компьютеру под управлением Windows 2000 поддерживать подключения, инициализируемые другими компьютерами. Это означает, что этот компьютер может работать как сервер удаленного доступа (remote access server). Вне зависимости от того, является ли связь локальной (ЛВС) или удаленной (телефонная линия, ISDN и т. п.), подключения можно настроить так, чтобы они могли полноценно выполнять все требуемые функции. Например, при помощи любых сетевых подключений можно печатать на сетевых принтерах, получать доступ к сетевым дискам и файлам, просматривать другие сети или получать доступ к Интернету (если подключение поддерживает соответствующие протоколы).

Рис. 16.1. Папка Сеть и удаленный доступ к сети (Network and Dial-up connections)

Поскольку все службы и методы связи настраиваются внутри подключения, для конфигурирования параметров подключения не нужно обращаться к внешним инструментам управления. Например, параметры настройки для телефонного подключения при помощи модема включают те, которые нужно использовать до, в течение и после подключения: тип модема для связи; тип шифрования пароля, необходимый для этого подключения; сетевые протоколы, применяемые после установления соединения. Состояние каждого подключения (продолжительность и быстродействие) можно просматривать непосредственно в окне подключения.

Защита на уровне системы и защита на уровне доменов в Windows 2000, применение хостов безопасности, шифрование данных, аутентификация и ответный вызов обеспечивают безопасный доступ для подключений к сети и удаленного доступа к сети.

Существует пять типов сетевых подключений (табл. 16.1).

Таблица 16.1. Типы сетевых подключений

Windows 2000, базирующаяся на технологиях Windows NT, изменилась по сравнению с Windows NT 4.0 и предыдущими версиями. В табл. 16.2 перечислены общие задачи при работе с сетью и удаленным доступом к сети (интерфейс пользователя для выполнения этих задач Windows 2000 отличается от Windows NT 4.0).

Таблица 16.2. Общие задачи при работе с подключениями и пути их выполнения

Ниже перечислены рекомендации, с которыми желательно ознакомиться перед использованием подключений к сети и удаленного доступа к сети:

Для установления соединения с сетью при помощи подключения откройте папку Сеть и удаленный доступ к сети.

Затем сделайте двойной щелчок на значке того подключения, при помощи которого нужно подключиться к сети. В открывшемся диалоговом окне Подключение: имя подключения (Connect имя подключения) введите имя пользователя, пароль и домен для входа в сеть (рис. 16.2). Как только подключение к сети установлено, можно свернуть окно подключения и использовать электронную почту, проводник Windows и т. д.

Рис. 16.2. Задание аутентификационной информации для подключения

Рис. 16.3. Контекстное меню подключения

Для отключения от сети в папке Сеть и удаленный доступ к сети выберите команду Отключить (Disconnect) контекстного меню подключения.

В Windows 2000 можно добавлять или удалять дополнительные сетевые компоненты (Optional Networking Components) — различные сетевые службы, которые могут работать под управлением Windows 2000, но не устанавливаются автоматически во время установки Windows 2000. Примеры: Простые службы TCP/IP .(Simple TCP/IP Services), Протокол SNMP (Simple Netowrok Management Protocol), Службы печати для, Unix (Printing Services for Unix) и т. п.

Дополнительные сетевые компоненты-можно добавить как для всего компьютера целиком, так и для отдельного подключения.

Устанавливать только те сетевые компоненты, в которых есть реальная необходимость, нужно по следующим причинам:

Рис. 16.4. Дополнительные сетевые компоненты для всего компьютера

Для добавления дополнительных сетевых компонентов в меню Дополнительно (Advanced) в папке Сеть и удаленный доступ к сети выберите команду Дополнительные сетевые компоненты (Optional Networking Components, рис. 16.4). Затем выполните одно из следующих действий:

Дополнительные компоненты (вкладка Сеть (Networking) окна свойств подключения, рис. 16.5) можно разрешить и настроить как для всего компьютера целиком, так и для отдельного подключения.

Рис. 16.5. Сетевые компоненты для подключения

Добавление сетевого компонента. Для добавления сетевого компонента:

Удаление сетевого компонента. Для удаления сетевого компонента:

Разрешение сетевого компонента. Для разрешения сетевого компонента:

Запрещение сетевого компонента. Для запрещения сетевого компонента:

Для изменения порядка привязки протоколов:

1.	В меню Дополнительно папки Сеть и удаленный доступ к сети выберите команду Дополнительные параметры. Рис. 16.6. Привязка протоколов
2.	На вкладке Адаптеры и привязки (Adapters and Bindings, рис. 16.6) в списке Привязка длят имя_подключения (Bindings for имя_подключения) выберите протокол, который требуется переместить в списке выше или ниже, и на-г жмите кнопку со стрелкой вверх или вниз.

Для изменения порядка служб доступа к сети:

Примечание

Обращение к службам доступа к сети производится в порядке этого списка. Для изменения порядка служб доступа к сети необходимо иметь полномочия администратора. Рис. 16.7. Порядок поставщиков услуг

Как правило, компьютеры под управлением Windows 2000 подключены к локальной сети (ЛВС). При инсталляции операционная система обнаруживает сетевой адаптер и создает локальное сетевое подключение для данного адаптера. Это подключение отображается, как и все другие подключения, в папке Сеть и удаленный доступ к сети. По умолчанию локальное подключение всегда активно. Локальное подключение — единственный тип подключения, которое автоматически становится активным после запуска компьютера или установки ОС.

Если разъединить локальное подключение, оно больше не активизируется автоматически (информация об этом хранится в профиле оборудования — hardware profile). В соответствии с требованиями мобильного пользователя происходит автоматическая подстройка оборудования. Например, если пользователь переезжает в удаленный офис корпорации и создает для этого местоположения отдельную конфигурацию оборудования, которая не содержит средств доступа к ЛВС, то Windows 2000 не тратит время впустую на ожидание готовности сетевого адаптера. Адаптер даже не будет производить попыток подключения к несуществующей ЛВС.

Если в компьютере имеется более одного сетевого адаптера, в папке Сеть и удаленный доступ к сети появится значок локального подключения для каждого адаптера.

Для установления локальных подключений применяются среды Ethernet, Token Ring, кабельные модемы, xDSL, FDDI, IP no ATM, IrDA (инфракрасная связь), радио- и эмулированные ЛВС на базе ATM. Эмулированные локальные сети используют драйверы виртуальных адаптеров, например, драйверы, поддерживающие протокол LANE (LAN Emulation, эмуляция ЛВС).

Если в сети произошли изменения, можно настроить существующее локальное подключение, чтобы это отразить. Выбирая в контекстном меню сетевого или коммутируемого подключения пункт Состояние (Status), можно просматривать информацию о подключении (продолжительность и быстродействие подключения, объемы переданных и полученных данных), а также использовать диагностические средства, применимые для конкретного подключения.

При установке на компьютер нового устройства для подключения к ЛВС, после перезапуска Windows 2000 в папке Сеть и удаленный доступ к сети появится новый значок локального подключения. Можно установить сетевой адаптер PCMCIA при включенном компьютере, перезапуск Windows 2000 не потребуется — значок локального подключения немедленно появится в указанной папке.

Для настройки устройства, используемого для подключения, и связанных с ним клиентов, служб и протоколов служит пункт Свойства контекстного

меню. Клиенты определяют доступ через это подключение к компьютерам и файлам в соответствующей сети. Службы предоставляют доступ к ресурсам, например к совместно используемым принтерам и файлам, Протоколы, например TCP/IP, определяют "язык" для связи между компьютерами.

Можно конфигурировать адаптеры ЛВС при помощи пункта Дополнительные параметры (Advanced Settings) меню Дополнительно (Advanced) папки Сеть и удаленный доступ к сети. Можно изменять порядок адаптеров, используемых подключением и связанными с ними клиентами, службами и протоколами.

Создание подключения к ЛВС. Как правило, большинство пользователей Windows 2000 подключены к локальной сети. При запуске Windows 2000 обнаруживает сетевой адаптер и автоматически создает подключение к ЛВС. В отличие от других типов подключений, подключение к ЛВС выполняется автоматически.

Протоколы РРТР или L2TP, по умолчанию установленные на компьютере, обеспечивают надежный доступ к ресурсам в сети, соединяясь с сервером удаленного доступа Windows 2000 через Интернет или другую сеть. Если для создания сетевого подключение к частной (private) сети используется обще доступная (public) сеть, то совокупность таких подключений называется виртуальной частной сетью (Virtual Private Network, VPN). Достоинства таких сетей перечислены в табл. 16.3, а их особенности и способы использования подробно рассматриваются в следующих разделах главы.

Таблица 16.3. Достоинства Использования сетей VPN

Как показано в следующих примерах, есть два способа создать VPN-подключение: устанавливая соединение с ISP, или соединяясь с Интернетом напрямую.

Пример 1. VPN-подключение сначала производит запрос к Интернет-провайдеру. После того как это подключение произведено, VPN-подключение делает другой запрос к серверу удаленного доступа, который устанавливает туннель L2TP или РРТР. После аутентификации можно получать доступ к корпоративной сети, как это показано на рис. 16.8.

Рис. 16.8. VPN-подключение на основе подключения к Интернет-провайдеру

Пример 2. Пользователь, имеющий выход в Интернет, соединяется с сервером удаленного доступа при помощи VPN-подключения (рис. 16.9). Таким

пользователем может быть тот, чей компьютер подключен к локальной сети, пользователь кабельного модема или абонент службы типа ASDL, где протокол IP доступен сразу после включения компьютера. Драйвер РРТР или L2TP создает туннель через Интернет и производит подключение к серверу удаленного доступа, использующему РРТР или L2TP. После аутентификации пользователь может получить доступ к корпоративной сети, как и в предыдущем примере.

Рис. 16.9. VPN-подключение, использующее существующее подключение к Интернету

Меньшая стоимость. При помощи VPN мобильные пользователи и сотрудники-надомники (telecommuters) могут получить доступ к корпоративной локальной сети через Интернет за меньшую плату, чем при традиционных решениях по поддержке удаленного доступа. гораздо эффективнее использовать мощную коммуникационную инфраструктуру телефонной компании, чем прокладывать собственную сеть, устанавливать телефонные линии и закупать коммутаторы.

Подключение к виртуальной частной сети через сетевой адаптер подобно набору номера при помощи модема для подключения к обычному ceрверу удаленного доступа, VPN освобождает корпорацию от эксплуатационных расходов и затрат на покупку модемных пулов и специально предназначенных для этого аналоговых телефонных линий. Модемы и сопутствующая инфраструктура находятся в ведении поставщика услуг Интернета, при этом не страдают ни безопасность, ни возможности управления удаленным доступом. В то же время, очевидны преимущества безопасности доступа к частным данным, обеспечиваемой дополнительной аутентификацией, шифрованием и сжатием данных пользователя.

Аутсорсинг телефонных подключений. Коммуникационное оборудование, необходимое для телефонных подключений, достаточно сложно. На большом предприятии создание сервера удаленного доступа для поддержки телефонных подключений на базе Windows 2000 требует установки модемов; контроллеров, а также прокладки множества коммуникационных кабелей. Кроме того, большинство решений не обеспечивает эффективную поддержку технологий ISDN, V.34 и V.90.

Корпорации часто выбирают аутсорсинг (outsourcing) коммутируемого доступа к своим базовым корпоративным сетям при помощи рентабельного, не зависящего от протокола, безопасного способа, который не требует никаких изменений в существующем адресном пространстве. Поддержка виртуальных глобальных сетей на основе VPN-подключений — один из путей, при помощи которого Интернет-провайдер может обеспечивать потребности корпораций. Таким образом, обслуживающая компания поддерживает и управляет модемами удаленного доступа и каналами связи, оставляя системному администратору корпорации управление пользователями и их аутентификацию. В этом решении воплощены все преимущества аутентификации РРР, шифрования и технологий сжатия (рис. 16.10).

Рис. 16.10. Пример сети, использующей аутсорсинг

В подключении не участвует драйвер РРТР; клиент просто устанавливает РРР-подключение к серверу удаленного доступа или модемному пулу. В свою очередь, сервер или пул модемов должен осуществить подключение с помощью РРТР для связи с сервером удаленного доступа.

Улучшенная безопасность. VPN-подключения, использующие РРТР и L2TP, аутентифицируются по методам аутентификации протокола РРР на уровне пользователя, включающим PAP, CHAP, SPAP, MS-CHAP и, дополнительно, ЕАР.

Благодаря возможностям протокола ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) и средств безопасности IP (IPSec), виртуальная частная сеть предоставляет улучшенную безопасность для удаленных пользователей. Пользуясь преимуществом аутентификации РРР и параметрами шифрования, задавая РРТР-фильтрацию на сервере удаленного доступа и ограничивая сервер удаленного доступа работой только с аутентифицированными РРТР-клиентами, которые используют шифрованные данные, системный администратор может укрепить безопасность данных и управлять удаленными пользователями намного эффективнее.

В некоторых средах данные являются строго конфиденциальными и может потребоваться, чтобы они были физически отделены и скрыты от большинства корпоративных пользователей. Финансовые или личные данные — это данные, требующие максимальной защищенности. Пользователи в корпоративной интрасети, которым предоставлены соответствующие разрешения, могут устанавливать удаленное VPN-соединение с VPN-сервером и получать доступ к защищенным ресурсам частной сети отдельных подразделений корпорации. Весь обмен данными через VPN шифруется, что обеспечивает конфиденциальность данных. Пользователи, не имеющие соответствующих разрешений по установлению VPN-подключения с VPN-сервером, не могут увидеть этот "скрытый" сервер.

Поддержка сетевых протоколов. Поскольку технология организации VPN поддерживает наиболее распространенные сетевые протоколы, клиентам сетей Ethernet, TCP/IP, IPX и NetBEUI не требуются дополнительные затраты на использование VPN. Любой сетевой протокол, поддерживаемый службой удаленного доступа, поддерживается и в технологии VPN. Это означает, что можно удаленно выполнять приложения, зависящие от определенных сетевых протоколов. В свою очередь, это снижает затраты по созданию и поддержке VPN-подключений.

Безопасность IP-адресов. Если в корпоративной сети используется незарегистрированный IP-адрес (или адрес, зарезервированный InterNIC для частных сетей, например, из диапазона Ю.аДэ.с), то можно направлять трафик через Интернет, указывая только один реальный внешний IP-адрес. Внутри VPN-пакета содержится как этот реальный адрес, так и частный адрес получателя. Поскольку пакет зашифрован, адреса абонентов удаленной частной сети защищены от просмотра. В Интернете видны только внешние IP-адреса. Преимущество VPN наиболее очевидно для корпораций с частными внутренними IP-адресами, поскольку им не требуются административные затраты на изменение IP-адресов для организации удаленного доступа.

Администрирование VPN. При помощи Active Directory (на Windows 2000 Server) администратор системы может настраивать VPN для пользователя, значительно усиливая безопасность сети, например, задавать уровни шифрования данных и паролей, а также аутентификацию. Эти требования могут применяться к индивидуальным пользователям или к группе однотипных пользователей (при помощи групповой политики). Например, администратор системы может настроить удаленный доступ, задав такую групповую политику, чтобы для всех пользователей группы, которой она назначена, требовалась аутентификация с использованием протокола ЕАР и сильное шифрование данных (128-битное). При наличии групповой политики критерии безопасности автоматически устанавливаются по отношению к любому пользователю, которому назначена эта групповая политика, когда он соединяется с сервером удаленного доступа.

Создание VPN-подключения. Чтобы создать подключение для виртуальной частной сети:

Рис. 16.11. Выбор типа подключения

Рис. 16.12. Выбор способа подключения

Рис. 16.13. Ввод имени/адреса удаленного компьютера

Рис. 16.14. Разрешение использования подключения другим пользователям

Телефонное (коммутируемое) подключение (dial-up connection) соединяет компьютер с корпоративной сетью или с сетью Интернет при помощи устройств, подключаемых к коммутируемой телефонной сети. Такими устройствами могут быть: модем (стандартная телефонная линия), платы ISDN (линии ISDN) или оборудование для подключения к сети Х.25 по соответствующему каналу.

Обычно у пользователя имеется одно или два модемных подключения, например, с Интернетом и со своей корпоративной сетью. Windows 2000 Server позволяет создавать несколько телефонных коммутируемых подключений, чтобы осуществить более сложную схему подключений.

Можно создать несколько телефонных модемных подключений, копируя их в папке Сеть и удаленный доступ к сети. Переименовывая подключения и настраивая их параметры, можно легко создавать различные подключения для различных модемов, конфигураций дозвона и т. д.

Использование телефонных линий и модемов. Наиболее часто телефонное подключение производится с помощью модемов и стандартных аналоговых телефонных линий, которые есть везде и удовлетворяют большинству требований мобильного пользователя. Стандартные аналоговые телефонные линии также называются PSTN (Public Switched Telephone Network, коммутируемая телефонная сеть общего пользования) или POTS (Plain Old Telephone Service, простая старая телефонная служба).

С Windows 2000 совместимы сотни модемов, соответствующих промышленным стандартам. Однако проблемы возникают при обнаружении и идентификации модемов с помощью стандартных средств Windows. Проверить совместимость устанавливаемого модема можно по списку аппаратной совместимости (Hardware Compatibility List) на сайте Microsoft (http://www.mkrosoft.com) или в файле Hcl.txt на компакт-диске Windows 2000 Server.

Система Windows обнаруживает модемы автоматически, что особенно удобно пользователям, которые не знают, какой модем установлен в их компьютере (например, если это внутренний модем). Для установления телефонного подключения можно использовать общедоступные сетевые модемы (при помощи программного обеспечения сторонних производителей).

Создание телефонного подключения. Для создания телефонного подключения:

Рис. 16.15. Окно программы-мастера сетевых подключений

Копирование телефонного подключения. В контекстном меню телефонного, VPN- или прямого подключения в папке Сеть и удаленный доступ к сети выберите команду Создать копию (Duplicate).

Настройка модема для телефонного подключения. Чтобы настроить модем для телефонного подключения:

Рис. 16.16. Настройка модема для подключения

Папка Сеть и удаленный доступ к сети позволяет создавать физическое соединение с другим компьютером через последовательный кабель, кабель прямого параллельного подключения (DirectParallel), модем, устройство ISDN или другим способом. Например, можно объединить две (или больше) физически не связанные сети, находящиеся в одном здании.

Если требуется доступ к ресурсам обеих сетей с одного компьютера, можно использовать последовательное подключение по нуль-модемному кабелю RS-232C (кабель длиной до 15 м). Подключив кабель RS-232C к СОМ-портам компьютера и сервера удаленного доступа, можно предоставить доступ к сети.

Драйвер прямого параллельного порта поддерживает подключения "компьютер компьютер", используя стандартные и расширенные параллельные порты, соединенные параллельными кабелями разного типа.

Создание прямого сетевого подключения. Для создания прямого сетевого подключения:

После создания подключения его значок появляется в папке Сеть и удаленный доступ к сети ведомого компьютера как Входящее подключение.

Можно создавать множество прямых подключений копированием в папке Сеть и удаленный доступ к сети, переименовывать и настраивать их, легко адаптируя под разные нужды.

Прямые подключения могут обходиться без аутентификации (для этого нужно настроить входящее подключение на ведомом компьютере). Это полезно для устройств, подобных palmtop-компьютерам.

Рис. 16.17. Создание прямого подключения

Если создается прямое подключение через последовательный кабель RS-232C, то порт, выбранный при создании нового подключения, будет разрешен для подключения с использованием нуль-модема.

Если пользователь имеет в системе полномочия администратора, то при создании прямого подключения ему будет предоставлен список устройств для выбора, включая параллельные порты данного компьютера, установленные и разрешенные порты инфракрасной связи и последовательные порты. Если пользователь вошел в систему как обычный пользователь, то при создании прямого подключения список устройств будет включать параллельные порты, установленные и разрешенные порты инфракрасной связи и только те последовательные порты, которые администратор сконфигурировал для использования с нуль-модемом. Если для прямого подключения требуется CQM-порт, попросите администратора настроить один из коммуникационных портов на этом компьютере на работу с нуль-модемом, используя Параметры телефона. и модема (Phone & Modem Properties) на панели управления

При наличии входящего подключения компьютер под управлением Windows 2000 может служить сервером удаленного доступа. Можно создавать входящие подключения для приема вызовов посредством: телефонного подключения (модем, ISDN, X.25), виртуальной частной сети (РРТР, L2TP) или прямого подключения (последовательный, параллельный кабель, инфракрасная связь). Для Windows 2000 Professional входящее подключение может

принимать до трех входящих вызовов для каждого из указанных типов средств. На Windows 2000 Server число входящих вызовов ограничено только возможностями компьютера (его аппаратным обеспечением).

Для настройки нескольких модемов или адаптеров ISDN на работу со входящими телефонными подключениями можно использовать возможности многоканальной связи (multilink).

При создании подключения определяются пользователи, которые могут соединяться с данным входящим подключением, и сетевые протоколы, по которым они могут работать. Для каждого пользователя, подключающегося к входящему подключению, должна существовать локальная учетная запись.

Клиенты входящих подключений. Windows 2000 поддерживает подключение к входящему подключению клиентов следующих операционных систем (помимо клиентов Windows 2000):

Создание входящего подключения. Для создания входящего подключения;

Рис. 16.18. Создание входящего подключения

Предоставление разрешений на установление входящего подключения. Для предоставления разрешения на установление входящего подключения:

Настройка входящего подключения для использования TCP/IP. Чтобы настроить входящее подключение для использования TCP/IP:

Настройка входящего соединения для использования IPX. Чтобы настроить входящее соединение для использования IPX:

Настройка ответного вызова для входящих соединений. Чтобы настроить ответный вызов для входящих соединений:

Подключения к сети и удаленного доступа к сети можно настраивать. Параметры настройки телефонного соединения, например номер телефона подключения, число попыток повторного набора и т. д., задаются для каждого подключения. Они являются атрибутами подключения и не действуют на настройку других подключений. Например, можно создать коммутируемое подключение, которое пытается дозвониться до занятого сервера 15 раз. Можно создать второе коммутируемое подключение, которое пытается дозваниваться до более свободного сервера. Настройка повторного набора для первого подключения не повлияет на параметры повторного набора второго подключения — они автономны, т. е. вне собственных параметров телефонного подключения настройка не требуется.

Однако некоторые параметры сетевых подключений могут воздействовать на другие подключения. Например, если добавить протокол AppleTalk к списку протоколов для одного подключения, этот протокол также будет доступен другим подключениям на том же компьютере.

Можно изменять параметры настройки и переименовывать подключение, даже когда оно установлено. Однако, чтобы изменения вступили в силу, подключение нужно повторно установить.

Каждое подключение создается с общими параметрами настройки, предоставляющими минимальную информацию, необходимую для успешного установления подключения. Эти параметры отражены на вкладке Общие (General): например, для локального подключения достаточно указать сетевой адаптер, для телефонного подключения — устройство для подключения, код города, номер телефона и код страны.

Для исходящего подключения можно задавать дополнительные настройки на вкладках Параметры (Options), Безопасность (Security), Сеть (Networking), Общий доступ (Shared Access). Для входящего подключения можно устанавливать дополнительные настройки на вкладках Пользователи (Users) и Сеть (Networking).

Для улучшения производительности подключений можно дополнительно настраивать параметры в окне команды Дополнительные параметры (Advanced Settings) меню Дополнительно (Advanced) папки Сеть и удаленный доступ к сети. Например, Windows 2000 получает доступ к службам доступа к сети и протоколам в порядке, установленном в этом окне. Если локальному подключению разрешено обращаться к Novell NetWare и сетям Microsoft Windows, использующим TCP/IP и IPX, но базовым подключением является подключение к сети Microsoft Windows с использованием TCP/IP, можно переместить опцию Сеть Microsoft Windows (Microsoft Windows Network) в начало списка Службы доступа к сети (Network Providers) на вкладке Порядок служб доступа (Provider Order) и переместить Протокол Интернета (TCP/IP) (Internet Protocol (TCP/IP)) в начало списка Служба доступа к файлам и принтерам сетей Microsoft (File and Printer Sharing for Microsoft Networks) на вкладке Адаптеры и привязки (Adapters and Bindings). Изменяя порядок провайдеров и порядок протоколов, можно улучшить производительность работы.

Дополнительные возможности настройки набора номера, позволяющие упростить конфигурирование телефонного подключения, приведены в табл. 16.4.

Таблица 16.4. Настройка параметров телефонного подключения

Можно задать количество повторных попыток подключения к серверу удаленного доступа. Можно также настроить повторное автоматическое подключение в случае разрыва связи.

По умолчанию телефонное подключение совершает попытки подключения 3 раза подряд через 1 мин, если соединение с сервером удаленного доступа по какой-либо причине невозможно. Также, по умолчанию, подключение может неопределенно долго бездействовать и не будет повторно устанавливаться при обрыве связи.

Чтобы настроить параметры повторного набора номера:

Пауза между звонками позволяет устройству произвести инициализацию непосредственно перед повторным набором. Значение по умолчанию — 1 мин. Если этого недостаточно, увеличьте значение. Можно также экспериментировать с более короткими паузами, но при слишком короткой паузе устройству не хватит времени на сброс.

Не забывайте, что сервер удаленного доступа тоже может иметь установку по тайм-ауту. Если значение параметра Время простоя до разъединения достаточно велико, нет гарантии, что подключение не будет разорвано до истечения этого времени — сервер может разорвать подключение, руководствуясь собственными настройками.

Рис. 16.19. Настройка параметров набора номера

Возможность многоканальной связи для подключений с использованием РРР позволяет устанавливать соединения через несколько линий ISDN,

Х.25 или телефонных линий. Эта возможность позволяет объединить множественные физические линии связи в единый логический канал. Полученное составное соединение имеет суммарную ширину полосы пропускания, равную сумме полос пропускания входящих в него каналов. Чтобы устанавливать соединения через несколько устройств, как клиент, так и сервер удаленного доступа должны иметь возможность многоканальной связи (multilink), и эта возможность должна быть разрешена.

Подключения динамически управляют многоканальными линиями, т. е. линии используются только тогда, когда они реально требуются. Следовательно, ширина полосы пропускания многоканального соединения в случае необходимости будет автоматически уменьшена. Настраивая параметры подключений, можно сконфигурировать состояния, при которых дополнительные линии подключаются, а недогруженные линии отключаются.

Если для подключения к серверу удаленного доступа, который требует ответного вызова, используется многоканальная связь, то только одно из их устройств в составе многоканального соединения произведет ответ. Причина в том, что в учетной записи пользователя можно записать только один номер. Следовательно, только одно устройство установит соединение, а все другие устройства будут не в состоянии завершить установление соединения, и соединение потеряет функциональные возможности многоканального соединения. Этой проблемы можно избежать:

Для разрешения установления соединения при помощи нескольких устройств:

Для настройки подключения в папке Сеть и удаленный доступ к сети в контекстном меню подключения выберите команду Свойства и выполните одно или несколько действий:

Чтобы настроить протокол TCP/IP для подключения:

Автоматическую настройку IP-адресов (DHCP) желательно использовать всегда, когда это возможно, по следующим причинам:

Для настройки повторного набора номера при разрыве соединения:

Для настройки номера телефона:

Таблица 16.5. Модификаторы набора номера

Например, если номер телефона набирается в офисе с установленной офисной АТС, вероятно, к нему придется добавить "9" для выхода на внешнюю линию. В результате номер может выглядеть, например, так:

9,123-4567.

Запятая после "9" дает паузу, достаточную чтобы выйти на внешнюю линию перед набором оставшейся части номера.

Для назначения нескольких телефонных номеров одному подключению:

Рис. 16.20. Назначение нескольких номеров подключению

Для разрешения ручного набора номера:

Об активном подключении можно получить информацию при помощи пункта Состояние (Status) его контекстного меню.

В окне Состояние можно просматривать:

Для одноканального подключения и для индивидуальных подключений в многоканальном подключении быстродействие определяется во время установления подключения. Для многоканальных подключений быстродействие равно сумме скоростей индивидуальных подключений. Для многоканальных подключений быстродействие может изменяться, если подключения, входящие в его состав, будут удалены или будут добавлены новые подключения.

Если компьютер настроен на прием входящих подключений, значок подключения с именем пользователя, присвоенным этому подключению, автоматически появляется в папке Сеть и удаленный доступ к сети, как только данный пользователь подключается к компьютеру. Можно просматривать состояние входящего подключения, выбирая в его контекстном меню пункт Состояние.

Можно также управлять подключением, выбирая пункт Состояние меню Файл (File) или используя значок на панели задач. Если необходимо просмотреть общее состояние всех подключений, в меню Вид (View) выберите пункт Таблица (Details). Также можно разрывать активные подключения нажатием кнопки Отключить (Disconnect) в диалоговом окне Состояние (или при помощи команды Отключить или Запретить в контекстном меню подключения).

Для регистрации в журнале и просмотра команд модема:

В Windows 2000 Professional регистрация включена всегда, а файл регистрации перезаписывается в начале каждого сеанса связи, если не установлен флажок Добавить в журнал. В Windows 2000 Server регистрация по умолчанию выключена, если не установлен флажок Вести журнал.

Для телефонных и VPN-подключений можно задавать различные методы аутентификации и уровни шифрования данных: в простейшем случае используются незашифрованные имена и пароли, в более сложных — специальные протоколы аутентификации (например, протокол ЕАР). ЕАР обеспечивает гибкую поддержку широкого диапазона методов аутентификации, включая такие механизмы, как жетонная карта (token card), одноразовый пароль и открытый ключ. Можно устанавливать шифрование данных в подключении в зависимости от выбранного уровня аутентификации пароля (MS CHAP или ЕАР). Наконец, можно настраивать параметры ответного вызова для повышения безопасности коммутируемого подключения.

Для настройки ответного вызова:

1.	В меню Дополнительно (Advanced) папки Сеть н удаленный доступ к сети выберите пункт Параметры удаленного доступа (Dial-up Preferences). Рис. 16.21. Настройка ответного вызова
2.	На вкладке Ответный вызов сервера (Callback) выполните -одно из следующих действий (рис. 16.21): Если ответный вызов не нужен, установите переключатель Ответный вызов не выполняется (No callback). Если вопрос о том, нужен ответный вызов или нет, решается во время установления подключения, установите переключатель Иногда. Выдавать запрос при подключении к серверу (Ask me during dialing when the server offers). Если требуется постоянно использовать ответный вызов, установите переключатель Всегда выполнять ответный вызов по указанным номерам (Always call me back at the number(s) below) и укажите модем или устройство, которое будет осуществлять ответный вызов.
3.	Если для выбранного устройства поле Номер телефона (Phone numbe'r) не заполнено, нажмите кнопку Изменить (Edit) и введите нужный номер.
4.	Если нужно удалить модем или устройство из списка устройств ответного вызова, укажите модем или устройство и нажмите кнопку Удалить (Delete).

Настройка аутентификации и шифрования данных телефонного подключения

Для настройки аутентификации и шифрования данных:

Таблица 16.6. Возможные параметры настройки безопасности телефонного подключения

Чтобы настроить аутентификацию и шифрование данных для VPN-подключения:

Рис. 16.22. Настройка аутентификации и шифрования

Таблица 16.7. Возможные параметры настройки безопасности VPN-подключеия

Для разрешения аутентификации при помощи смарт-карт:

При подключении к серверу удаленного доступа стороннего производителя может понадобиться предоставить информацию, для входа в систему в отдельном окне терминала. Данное подключение должно быть соответствующим образом настроено для использования этой возможности.

Существует два метода создания сценария автоматизации входа в систему при помощи терминала. Метод с использованием файла Switch.inf был разработан для ранних версий Windows NT. Можно также использовать более простой, чем Switch.inf, язык сценариев Windows 95.

При подключении к серверу РРР или SLIP удаленный компьютер, к которому производится подключение, может потребовать входа в систему с использованием терминального окна. При этом, после установления подключения к удаленной системе, в терминальном текстовом окне будет отображаться последовательность команд входа в систему на удаленном компьютере. Кроме того, можно автоматизировать процесс входа в систему, используя сценарий Switch.inf.

Для разрешения входа при помощи терминала:

Если последовательность входа в систему постоянна, можно написать сценарий, автоматически передающий информацию на удаленный компьютер во время входа в систему, что позволит полностью автоматизировать подключение.

Для задания сценария в папке Сеть и удаленный доступ к сети выберите пункт Свойства (Properties) контекстного меню подключения. На вкладке Безопасность (Security) установите флажок Сценарий (Execute script). Затем:

Сетевые протоколы, методы доступа и серверные протоколы обеспечивают взаимодействие между компьютером и сетью.

Независимо от того, передается ли информация от компьютера к серверу по прямому последовательному кабелю или по безопасному VPN-подключению

через поставщика услуг Интернета к корпоративной сети, для передачи информации используются различные комбинации методов доступа и протоколы (табл. 16.8).

Таблица 16.8. Используемые протоколы и методы доступа

Протокол управления передачей/Протокол Интернета (Transmission Control Protocol/Internet Protocol, TCP/IP) - наиболее популярный протокол, который является основой сети Интернет. Его возможности маршрутизации трафика обеспечивают максимальную гибкость в сетях в масштабе предприятия.

В сетях на базе TCP/IP необходимо выделять IP-адреса клиентам. Клиентам также может потребоваться наличие службы имен или другого метода разрешения имен (файлы HOSTS, LMHOSTS).

Назначение IP-адресов подключению. В Windows 2000 каждому удаленному компьютеру, подключающемуся к серверу удаленного доступа, который использует TCP/IP, выделяется IP-адрес. IP-адрес автоматически предоставляется службой DHCP или выбирается из статического диапазона, назначенного серверу удаленного доступа.

Если используется IP-адрес, заданный в конфигурации для данного телефонного подключения сервер удаленного доступа Windows 2000 должен быть настроен так, чтобы пользователям было разрешено запрашивать предопределенный адрес.

Разрешение имен для подключения. В дополнение к требованию выделения IP-адреса, сетевому или телефонному подключению в сети на основе TCP/IP может потребоваться механизм разрешения имен компьютеров в IP-адреса. В сети на базе Windows 2000 можно использовать четыре способа разрешения имен: службу доменных имен (Domain Name System, DNS), службу Интернет-имен Windows (Windows Internet Name System, WINS), широковещательное разрешение имен и разрешение имен с помощью файлов HOSTS и LMHOSTS.

Можно назначать подключению К сети и подключениям удаленного доступа к сети те же серверы имен WINS и DNS, которые назначены серверу уда ленного доступа. Параметры настройки сети TCP/IP и телефонного подключения могут отменить эти назначения по умолчанию. В малых сетях, где IP-адреса не изменяются, подключения к сети и подключения удаленного доступа к сети могут использовать файлы HOSTS или LMHOSTS для разрешения имен. Поскольку эти файлы размещены на локальном диске, не требуется передавать запрос на разрешение имен серверу WINS или серверу DNS и ждать ответ на этот запрос через телефонное подключение.

Утилиты Интернета. В состав утилит TCP/IP в Windows 2000 входят программы Ftp и Telnet. Ftp — консольная утилита, позволяющая устанавливать соединение с FTP-серверами и передавать файлы. Утилита Telnet — графическое приложение, позволяющее входить на отдаленные компьютеры и выполнять команды так, будто они введены с клавиатуры удаленного компьютера. Сюда же относится ряд диагностических утилит, например Ping, Tracert и PathPing. Эти утилиты позволяют проверять доступность удаленных компьютеров и диагностировать соединение. Утилита Ping — консольная программа, позволяющая по заданному имени или адресу определить время задержки передачи до указанного компьютера. Утилита Tracert диагностирует последовательность межсетевых соединений (хопов, hop) на пути между двумя компьютерами. Она показывает все маршрутизаторы на пути сигнала и указывает время задержки до каждого из них. Утилита PathPing вмещает в себя средства двух упомянутых утилит и .имеет дополнительные возможности.

Internetwork Packet Exchange/Sequenced Packet Exchange (Протокол обмена пакетами/Последовательный обмен пакетами, IPX/SPX) — протокол, изначально предназначенный для сетей на базе Novell NetWare.

В среде Windows компьютер должен использовать (помимо протокола IPX/SPX) редиректор (redirector) для NetWare, чтобы получить доступ к per сурсам Novell NetWare. На компьютерах под управлением Windows 2000 Professional этот редиректор называется Client Service for NetWare (CSNW, Клиентская служба для NetWare). На компьютерах под управлением Windows 2000 Server этот редиректор (не путать с Client Service!) входит в состав Gateway Service for NetWare (GSNW, Служба шлюза для NetWare).

Сервер удаленного доступа в Windows 2000 является и маршрутизатором IPX/SPX, и агентом SAP (Service Advertising Protocol, протокол объявления служб) (только для клиентов удаленного доступа к сети). Серверы удаленного доступа и клиенты удаленного доступа к сети используют протокол IPXCP (IPX Control Protocol, протокол конфигурации IPX для РРР) в соответствии с RFC 1552 для настройки линии удаленного доступа на использо _: вание IPX/SPX. После того как сервер удаленного доступа настроен, он обеспечивает поддержку служб обмена файлами и печати и позволяет ис пользовать приложения Windows Sockets no IPX/SPX в сети NetWare совместно с подключениями к сети и удаленным доступом к сети.

Адресация IPX для удаленных клиентов. Клиентам сетевых и коммутируемых соединений адрес IPX всегда выдается сервером удаленного доступа. Номер сети IPX генерируется автоматически сервером удаленного доступа, либо серверу удаленного доступа задается статический пул сетевых номеров для назначения сетевым и коммутируемым соединениям.

Для автоматически сгенерированных номеров сети IPX сервер удаленного доступа под управлением Windows 2000 использует протокол RIP (Routing Information Protocol, Информационный протокол маршрутизации) для IPX NetWare, чтобы определить номер сети IPX, который не используется в сети IPX. Сервер удаленного доступа назначает этот номер соединению.

Расширенный интерфейс пользователя для NetBIOS (NetBIOS Extended User Interface, NetBEUI) подходит для использования в малых рабочих группах или несегментированных локальных сетях. Можно устанавливать шлюз NetBIOS (NetBIOS gateway) и клиентский протокол NetBEUI на всех серверах удаленного доступа Windows 2000 и на большинстве сетевых клиентов Windows. Клиенты удаленного доступа Windows NT/2000, LAN Manager, MS-DOS и Windows for Workgroups могут использовать NetBEUI.

Работа с сетью в Apple Macintosh основана на протоколе AppleTalk. Приложения и процессы могут взаимодействовать при помощи одиночной сети AppleTalk или совокупности связанных AppleTalk сетей (ApplTalk internet). Используя AppleTalk, приложения и процессы могут передавать данные и обмениваться информацией, а также совместно использовать ресурсы, например принтеры и файловые серверы. Удаленный доступ AppleTalk поддерживается в соответствии с AppleTalk Remote Access Protocol (Протокол удаленного доступа AppleTalk, ARAP) и AppleTalk Control Protocol (Протокол управления AppleTalk, ATCP).

ARAP — протокол коммутируемого соединения для компьютеров Apple Macintosh. Пользователи Macintosh с помощью ARAP могут удаленно подключаться к компьютеру с поддержкой AppleTalk под управлением Windows 2000, получать доступ к файловым томам Macintosh и принтерам \ppleTalk. Поддерживаются клиенты удаленного доступа AppleTalk (AppteTalk Remote Access client) версий 1.0, 2.x и 3.x.

При помощи ATCP клиенты Macintosh могут работать с сетевым протоколом AppleTalk поверх РРР, а удаленный пользователь может получить доступ к веб-серверам поверх TCP/IP, печатать документы на принтерах

AppleTalk, а также соединяться с файловым сервером Macintosh (по TCP/IP или AppleTalk) по одному коммутируемому РРР-соединению.

Для повышения быстродействия сетевого подключения можно использовать линию ISDN (Integrated Services Digital Network) — цифровую сеть с интегрированными службами. Стандартные телефонные линии обычно позволяют осуществлять обмен со скоростями до 56 Кбит/с, по линии ISDN можно достичь скоростей 64 и даже 128 Кбит/с.

Линия ISDN должна быть установлена телефонной компанией как на сервере, так и на противоположном конце соединения. -Работа ISDN также требует, чтобы на обоих концах были установлены платы ISDN. Затраты на оборудование и линии ISDN могут быть выше, чем на установку стандартных модемов и прокладку телефонных линий. Однако быстродействие связи уменьшает время соединения, что сокращает денежные затраты.

Линия ISDN состоит из двух В-каналов, передающих данные со скоростью 64 Кбит/с, и одного D-канала для передачи управляющих сигналов со скоростью 16 Кбит/с. Можно конфигурировать каждый канал В, чтобы он работал как отдельный порт. При помощи некоторых драйверов ISDN-устройств можно объединять каналы. Это означает, что можно получить большую ширину полосы пропускания, настроив работу обоих В-каналов в качестве единственного порта. При конфигурации такого рода скорость линии увеличивается до 128 Кбит/с.

Функция многоканальной связи (multilink) в Windows 2000 логически объединяет части канала ISDN. Многоканальная связь объединяет несколько физических линий в логическую совокупность (пучок, bundle) с увеличенной шириной йолосы пропускания. Кроме того, можно распределять многоканальную связь динамически, используя линии только тогда, когда они реально требуются. Эта функция устраняет избыточность ширины полосы пропускания, представляя существенное преимущество для пользователей.

Настройка параметров ISDN. Для настройки параметров ISDN:

Протокол последовательной линии (Serial Line Internet Protocol, SLIP) — старый стандарт удаленного доступа, ранее использовавшийся серверами удаленного доступа UNIX. Подключения к сети и удаленный доступ к сети в Windows 2000 поддерживают SLIP и могут соединяться с любым сервером удаленного доступа по стандарту SLIP. Это позволяет клиентам Windows 2000 соединяться с большим количеством серверов UNIX.

Когда производится подключение к серверу SLIP, появляется окно терминала Терминал для входа SLIP (SLIP Logon Terminal Window) для интерактивного входа на сервер SLIP. Вход в систему UNIX замещает и предотвращает обычный вход в систему удаленного доступа. После установления соединения служба удаленного доступа становится прозрачной для пользователя.

Сеть Х.25 передает данные, используя протокол коммутации пакетов; при этом данные передаются не по обычным зашумленным телефонным линиям, а по специальной глобальной сети коммутации пакетов.

Подключения к сети и удаленный доступ к сети поддерживают Х.25, используя сборщик/разборщик пакетов (Packet Assembler/Disassembler, PAD) и смарт-карты Х.25. Можно также использовать модем и специальный коммутируемый доступ к Х-25 (например, Sprintnet или Infonet) вместо PAD или смарт-карты Х.25.

Для установления соединения клиент удаленного доступа Windows 2000 Server может использовать смарт-карту Х.25 или производить телефонное подключение к Х.25 PAD. Чтобы принимать входящие подключения с использованием Х.25 на компьютере под управлением Windows 2000 Server, необходимо использовать смарт-карту Х.25.

Создание коммутируемого соединения с использованием Х.25. Для создания коммутируемого соединения с использованием Х.25:

Протокол "точка-точка" (РРР) — набор стандартных протоколов, обеспечивающих взаимодействие программного обеспечения удаленного доступа от различных поставщиков. При помощи подключения с поддержкой РРР можно производить подключения к удаленным сетям через любой сервер РРР, поддерживающий этот промышленный стандарт. РРР также позволяет компьютеру, на котором функционирует служба удаленного доступа Windows 2000 Server, принимать запросы и обеспечивать доступ к сети клиентам с программным обеспечением удаленного доступа третьих фирм, соответствующим стандартам РРР.

Стандарты РРР также открывают дополнительные возможности, недоступные при более старых стандартах, например SLIP. РРР поддерживает несколько методов аутентификации, сжатие и шифрование данных.- Большинство реализаций РРР позволяет полностью автоматизировать последовательность входа в систему.

РРР также поддерживает несколько сетевых протоколов, в качестве которых могут выступать TCP/IP, IPX или NetBEUI.

РРР — основа для протоколов РРТР и L2TP, которые используются в VPN-соединениях. РРР — эталон для большинства приложений удаленного доступа.

Работа РРР и протоколы. Реализация протокола двухточечного соединения (Point-to-Point Protocol, РРР) должна твердо придерживаться стандартов, установленных в RFC по РРР. Ниже дан краткий обзор механизмов функционирования РРР и протоколов, используемых в РРР-соединении.

Последовательность установления соединения РРР. После начального соединения с удаленным сервером РРР производятся следующие переговоры по установлению РРР-соединения:

Установленное в результате переговоров соединение будет оставаться активным до его разрыва по одной из следующих причин:

Протоколы управления связью. Протоколы управления связью (Link Control Protocols, LCP) устанавливают и настраивают кадрирование (framing) РРР. Кадрирование РРР определяет, как формируются данные перед передачей по глобальной сети. Стандарт кадрирования РРР гарантирует, что программное обеспечение удаленного доступа любых производителей может передавать и распознавать пакеты данных от любого программного обеспечения удаленного доступа, которое твердо придерживается стандартов РРР. РРР и Windows 2000 используют модификацию кадрирования HDLC (Высокоуровневое управление каналом передачи данных, High-level Data Link Control) для последовательного доступа или ISDN.

Протоколы управления сетью. Протоколы управления сетью (табл. 16.9) устанавливают и настраивают различные параметры сетевых протоколов (TCP/IP, IPX, NetBEUI и AppleTalk).

Таблица 16.9. Протоколы управления сетью

Использование РРР для подключения к Интернету. Протокол РРР используется в Windows 2000 по умолчанию. Автономный компьютер под управлением Windows 2000 Server, настроенный на прием входящих подключений, не требует никаких специальных настроек для поддержки входящих подключений с использованием РРР. Если подключение сконфигурировано должным образом, запрос на подключение по РРР автоматически будет удовлетворен.

Если происходит подключение к удаленному РРР-серверу, обычно подходят настройки по умолчанию и не требуется дополнительное конфигурирование. Однако, если требуется, можно настраивать дополнительные параметры РРР для исходящего или входящего подключения.

Доступ к Интернету легко реализуется при помощи сетевых подключений. Для этого требуется выполнение следующих условий:

Подключение к Интернету производится путем установления прямого подключения к Интернет-провайдеру и регистрации в его системе. Последовательность входа зависит от требовании провайдера. Подключения по протоколу РРР обычно полностью автоматизированы. Подключения по протоколу

SLIP могут потребовать входа в систему при помощи терминального окна; этот процесс можно (или нельзя) автоматизировать с применением сценария в файле Switch.inf.

Прежде чем подключение к Интернету будет создано, необходимо связаться с представителем Интернет-провайдера, чтобы проверить параметры настройки подключения:

Подключение к Интернет-провайдеру может использовать модем и телефонную линию, адаптер ISDN и линию ISDN, протокол удаленного доступа AppleTalk (ARAP), протокол управления AppleTalk (АТСР), сеть Х.25, протокол туннелирования "точка-точка" (РРТР) или протокол туннелирования второго уровня (L2TP).

По модему желательно использовать самое надежное (устойчивое) и, по возможности, самое быстрое соединение, что снизит время загрузки данных из Интернета. Рекомендуется использовать модем со скоростью 28,8 Кбит/с или выше, имеющий также поддержку протоколов V.34, V.90 и т. п.

После установления соединения с провайдером пользователь получает доступ к Интернету и любым другим услугам, например к электронной почте, предоставляемым этим провайдером.

Создание подключения к Интернату. Для создания подключения:

Возможность совместного использования Интернет-подключения (Internet Connection Sharing, ICS) позволяет применять Windows 2000 для подключения домашней или малой офисной сети к Интернету. Например, можно создать домашнюю сеть, которая соединяется с Интернетом с помощью телефонного соединения. Если разрешить совместное использование подключения на компьютере, соединенном по телефонной линии, то этот компьютер предоставит службы преобразования сетевых адресов (Network Address

Translation, NAT), выдачи адресов (DHCP) и разрешения имен (DNS) всем компьютерам домашней сети.

Можно настраивать приложения и службы, которые должны работать через Интернет. Например, если пользователи домашней сети хотят получить доступ к ресурсам SQL Server корпоративной сети, можно настроить приложение SQL Server для подключения, которому разрешено совместное использование. Услуги, предоставляемые домашней сетью, можно настроить так, чтобы к ним могли получить доступ пользователи Интернета. Например, если в домашней сети есть веб-сервер, то, чтобы пользователи Интернета могли соединяться с ним, нужно на совместно используемом подключении настроить службу WWW.

Возможность совместного использования удобна в малом офисе или в домашней сети, где конфигурирование сети и подключение к Интернету выполняет компьютер под управлением Windows 2000, на котором располагается данное подключение. Считается, что в этой сети данный компьютер — единственное подключение к Интернету, единственный шлюз в Интернет, и что он назначает все сетевые адреса.

ICS недоступно в сети с контроллерами доменов Windows 2000 Server, серверами DNS, шлюзами, серверами DHCP или системами, настроенными для использования статического IP. Если используется Windows 2000 Server и существует один (или несколько) из этих компонентов, то, чтобы достичь того же результата, необходимо использовать возможности NAT из состава службы маршрутизации и удаленного доступа (RRAS). Компьютеру с ICS требуется два подключения. Первое, обычно адаптер ЛВС, служит для связи с компьютерами в домашней сети, второе подключает домашнюю сеть к Интернету. Необходимо проверить, что совместный доступ разрешен для подключения, которое соединяет домашнюю сеть с Интернетом. При этом домашнее сетевое подключение правильно распределяет адреса TCP/IP внутренним пользователям, а общедоступное подключение будет правильно соединять домашнюю сеть с Интернетом. Пользователи вне домашней сети ограждены от опасности получения пакетов с адресами из домашней сети. Разрешая совместное использование для подключения, компьютер удаленного доступа становится DHCP-сервером для домашней сети. DHCP динамически назначает TCP/IP-адреса компьютерам при их запуске. Если совместное использование ошибочно разрешено на внешнем сетевом адаптере (подключающем сеть к Интернету), домашний сервер DHCP может предоставлять адреса TCP/IP пользователям вне домашней сети, что приведет к проблемам в других сетях.;

Когда разрешается совместное использование подключения, сетевой адаптер, связанный с домашней или малой офисной сетью, получает новый ста тический IP-адрес. Существующие подключения, использующие TCP/IP на компьютере с совместным использованием соединения, будут потеряны и должны быть восстановлены вручную.

Настройка ICS. При разрешении совместного использования подключения некоторые протоколы, службы, интерфейсы и маршруты будут сконфигурированы автоматически (табл. 16.10).

Таблица 16.10. Настройки совместного использования подключения

Разрешение совместного использования Интернет-подключения. Для разрешения совместного использования Интернет-подключения:

Настройка приложений и служб для ICS. Чтобы настроить совместное использование для приложений и служб:

Пример настройки приложения — широко известная игра Diablo. Если вы хотите разрешить пользователям в домашней сети играть в Diablo с другими пользователями в сети Интернет, введите Diablo в качестве имени приложения, не — в качестве номера порта удаленного сервера, а 6112 — для ответного порта U DP.

Пример настройки службы — веб-сервер. Если пользователь в домашней сети поддерживает веб-сервер на компьютере с именем michael, к которому необходимо предоставить доступ пользователям Интернета, введите web server в качестве имени службы, во — в качестве номера порта TCP ( поле Номер порта службы) и michael — в качестве имени компьютера-сервера в частной сети (поле Имя или адрес сервера в частной сети).

Семейство TCP/IP — стандартный набор сетевых протоколов, предназначенных для управления передачей данных между сетевыми компьютерами. Реализация TCP/IP от Microsoft, позволяет осуществлять взаимодействие компьютеров с Windows 2000 и устройств с другим ПО компании Microsoft, а также с системами под управлением ОС, созданных не фирмой Microsoft (например, UNIX). TCP/IP — основной набор протоколов для множества частных глобальных сетей, которые объединяют локальные сети корпораций.

Протокол TCP/IP вообще и его реализация в Windows 2000 имеют следующие достоинства:

Архитектура TCP/IP в операционной системе Windows 2000 (рис. 16.23) обеспечивает интегрированную, не зависящую от протоколов поддержку работы с сетями: работу прикладных программ, работу с файлами, печать и другие услуги поверх любого сетевого протокола, который поддерживает Интерфейс транспортного драйвера (Transport Driver Interface, TDI). Протоколы отвечают за упаковку сетевых запросов к приложениям в соответствующие форматы и отправку этих запросов на соответствующий сетевой адаптер посредством интерфейса NDIS. NDIS позволяет использовать несколько сетевых протоколов поверх разнообразных типов сред и сетевых адаптеров.

В сочетании с транспортно-независимой архитектурой Windows 2000 протоколы TCP/IP могут предоставлять системам на базе Windows возможности работы с сетями. TCP/IР-протоколы дают компьютерам под управлением

Windows 2000, Windows NT, Windows 9x и Windows for Workgroups прозрачный доступ друг к другу и позволяют связываться с другими системами, входящими в сети предприятий. В Windows NT использовались версии 3.1— 4.0 NDIS. Новая версия 5.0, которую поддерживает Windows 2000, обладает рядом преимуществ перед версиями 3.1 и 4.0.

Рис. 16.23. Архитектура TCP/IP в Windows 2000

Основные возможности NDIS 5.0:

TCP/IP компании Microsoft — полная реализация стека протоколов TCP/IP и набора утилит. Стек TCP/IP в Windows 2000 включает следующие функции:

TCP/IP в Windows 2000 не включает полный набор утилит связи TCP/IP или серверных служб (демонов, daemons). Существует много прикладных программ и утилит такого рода, совместимых с реализацией TCP/IP производства Microsoft из состава Windows 2000,1- как свободно распространяемых, так и сторонних производителей.

Протокол TCP/IP претерпел ряд изменений в Windows 2000 по сравнению с предыдущей версией операционной системы. Усовершенствована работа с широкополосными локальными и глобальными вычислительными сетями:

Обеспечивая полную совместимость с предыдущими версиями, WinSock 2 расширяет первоначальную реализацию интерфейса в ряде областей:

В дополнение к поддержке доступа к нескольким сетевым транспортам и механизмам разрешения имен по сравнению со спецификацией WinSock 1.1 изменилась и архитектура Windows Sockets 2, которая теперь включает два основных уровня: уровень динамических библиотек (DLL), обеспечивающих интерфейс Windows Sockets API, и уровень поставщиков услуг, которые располагаются ниже библиотек API и взаимодействуют с ними через интерфейс поставщика услуг (Service Provider Interface, SPI). Описание Windows Sockets 2 включает три отдельных спецификации: описание Windows Sockets 2 API, описание Windows Sockets 2 SPI и приложение (Appendix), описывающее особенности протокола транспортного уровня.

DLL-библиотека Windows Sockets 2 (WS2-32.DLL) включает все API, используемые разработчиками приложений. Она включает существующий Windows Sockets 1.1 API, а также новый API для расширенных средств обмена данными и API обобщенной службы имен. Многие поставщики теперь предлагают параллельный доступ к их собственным транспортам, создавая DLL поставщика услуг, которая соответствует спецификации Windows Sockets 2 SPI. Это означает, что можно разработать приложение, обращающееся через новый API, например, к TCP/IP и IPX/SPX одновременно.

Интерфейс SPI пространства имен позволяет обращаться к нескольким службам разрешения имен (Name Resolution Services) через единый API. Поскольку производители поставляют программные модули уровня поставщика услуг для DNS, для службы каталогов NetWare (NDS) и Х.500 все их функции разрешения имен будут доступны через API пространства имен Windows Sockets 2.

Сетевые администраторы могут использовать Сетевой монитор (Network Monitor) Microsoft Windows 2000 для перехвата и отображения кадров (также называемых пакетами или фреймами) при обнаружении и решении проблем в локальных сетях. Например, с помощью сетевого монитора можно диагностировать аппаратные и программные проблемы в случае, если два (или более) компьютера не могут связаться друг с другом. Можно также зафиксировать (перехватить) сетевой трафик, а затем файл с полученными данными послать специалистам по сетям или организации, занимающейся поддержкой сети. Разработчики сетевых приложений могут использовать сетевой монитор для того, чтобы контролировать и отлаживать сетевые приложения во время разработки.

Сервер Microsoft Systems Management Server (SMS) также включает в себя версию сетевого монитора. В дополнение к функциональным возможностям, описанным в этой главе, версия из состава SMS может перехватывать пакеты, посланные с любого компьютера в сети, редактировать и передавать пакеты по сети, а также дистанционно перехватывать пакеты (например, посредством удаленного доступа по телефонной линии) с других компьютеров в сети, в которой работает Агент сетевого монитора (Network Monitor Agent) (включая компьютеры под управлением Windows 2000 Professional/NT Workstation и Windows 95).

Сетевой монитор контролирует сетевой поток данных, т. е. всю информацию, передаваемую по сети в любой заданный момент времени. До передачи эта информация разделяется сетевым программным обеспечением на меньшие части (пакеты, кадры или фреймы). Каждый кадр содержит следующую информацию:

Чтобы гарантировать безопасность сети на базе Windows 2000, сетевой монитор показывает только те кадры, которые посланы на/с компьютер(а) пользователя, широковещательные кадры и кадры группового (multicast) вещания.

Сетевой монитор может перехватить и запомнить только тот объем информации, который сможет поместиться в доступной памяти компьютера. Обычно не требуется фиксировать большой объем информации, нужно только записать небольшое подмножество кадров, передаваемых в сети. Чтобы выделить подмножество кадров, можно разработать фильтр сбора данных, функционирующий подобно запросу базы данных. Возможна фильтрация на основе адресов источника и адресата, протоколов, свойств протокола или по образцу смещения.

Для того чтобы способ сбора данных отвечал событиям, происходящим в сети, как только они будут обнаружены, разрабатывают триггер сбора данных, который выполняет определенное действие (например, запускает исполняемый файл), когда сетевой монитор обнаруживает в сети набор условий, соответствующий триггеру. Сетевой монитор поддерживает множество популярных протоколов, включая NetBIOS (NetBEUI), IPX, SPX и большую часть протоколов из набора TCP/IP.

После того как данные зафиксированы (и факультативно сохранены в файле сбора данных), их можно просмотреть. Сетевой монитор проделает большую часть работы по анализу данных, формируя из необработанных собранных данных кадр согласно его логической структуре.

Основные функциональные возможности сетевого монитора, описанные в этой главе, поддерживаются службами поддержки продуктов Microsoft (Microsoft Product Support Services, MPSS,). Службы поддержки не решают задачи, зависящие от конкретной сети, такие как интерпретация данных, которые перехватываются и сохраняются в сети.

Из соображений безопасности сетевой монитор в Windows 2000 перехватывает только те кадры (включая широковещательные кадры и кадры группового вещания), которые посланы с локального компьютера или адресованы ему. Сетевой монитор также отображает полную сетевую статистику сегмента для широковещательных кадров, кадров многоадресного вещания, коэффициент использования сети, общее число байтов, полученных за секунду, и общее число кадров, полученных за секунду.

Сетевой монитор в Windows 2000 использует новую особенность спецификации NDIS 4.0 для копирования всех обнаруженных кадров в буфер сбора данных (область памяти переменной длины, предназначенная для хранения данных). Процесс, в ходе которого сетевой монитор копирует кадры, называется фиксацией (перехватом).

Кроме того, чтобы защитить сеть от несанкционированного использования инсталлированного сетевого монитора, сетевой монитор обеспечивает:

Если драйвер сетевого монитора установлен и запущен на компьютере, а пароль не задан, то любой, кто использует на другом компьютере сетевой монитор из поставки Systems Management Server, может подсоединиться к первому компьютеру и использовать его для перехвата данных в сети.

В некоторых случаях архитектура сети может подавить обнаружение одной установленной копии сетевого монитора другой. Например, если установленная копия сетевого монитора отделяется от второй копии маршрутизатором, который не пропускает многоадресные посылки, то вторая копия сетевого монитора не сможет обнаружить первую.

Так называемый парсер, то есть синтаксический анализатор протокола — динамическая библиотека (DLL), которая идентифицирует протоколы передачи кадров по сети. Информацию об этих протоколах можно увидеть, просматривая перехваченные кадры в окне просмотра кадров. Для каждого протокола, который поддерживается сетевым монитором, имеется соответствующий парсер.

Вот список протоколов, поддерживаемых сетевым монитором (сетевой монитор из состава SMS поддерживает также дополнительные синтаксические анализаторы, см. документацию по SMS):

Если требуется перехватывать данные, посылаемые по протоколу, не поддерживаемому сетевым монитором, необходимо использовать сетевой монитор из состава SMS или добавить собственный синтаксический анализатор.

Как уже упоминалось, фиксация происходит тогда, когда сетевая плата передает подмножество кадров в сеть, и они одновременно поступают в сетевой монитор. Сетевой монитор сохраняет эти кадры в буфере сбора данных — специально выделяемой области памяти. Если происходит переполнение буфера сбора данных, самый новый кадр, добавленный в буфер, заменяет самый старый кадр. Для предотвращения переполнения буфера сбора данных и для того, чтобы сделать анализ кадров проще, используют фильтры сбора данных, применяемые для фиксирования только кадров, соответствующих определенным критериям. Чтобы собирать данные в соответствии с событиями, происходящими в сети, разрабатывают триггер сбора данных.

Перехваченные кадры сохраняются в буфере сбора данных. Когда происходит переполнение буфера сбора данных, каждый новый кадр заменяет самый старый кадр в буфере.

На быстроту заполнения буфера, кроме интенсивности сетевого трафика и сложности используемых фильтров, влияют следующие факторы:

Иногда нужно перехватывать только кадры, приходящие с определенных компьютеров. Для этого нужно знать сетевой адрес компьютера. Сетевой монитор может сопоставить шестнадцатеричный адрес компьютера более привычному имени. После того как это соответствие установлено, можно сохранить имя в базе данных адресов (файл *.adr), которую потом использовать для разработки фильтров сбора данных и фильтров отображения.

В дополнение к выбору достаточного размера буфера и созданию фильтра сбора данных можно перевести сетевой монитор в специализированный режим сбора данных, в котором окно сбора данных с динамически изменяющейся статистикой сетевого монитора заменено сокращенным диалоговым окном.

Если на компьютере функционирует несколько сетевых адаптеров, то можно при помощи сетевого монитора получать данные со всех сетевых адаптеров, переключаясь между адаптерами или запустив несколько экземпляров сетевого монитора.

Функции фильтра сбора данных подобны функциям запросов к базе данных. Их можно использовать для определения типа отслеживаемой информации о сети. Например, чтобы видеть только заданное подмножество компьютеров или протоколов, можно создать базу данных адресов, добавить адреса из базы данных в фильтр, а затем сохранить фильтр в файле. Фильтрация кадров экономит ресурсы буфера сбора данных и время. Позже, при необходимости, можно загрузить файл фильтра сбора данных и использовать фильтр снова.

Перехваченные данные из буфера сбора данных записываются для сохранения в файл перехвата данных (с расширением cap). Необходимо сохранять собранные данные в следующих случаях:

Сетевой монитор упрощает анализ данных, интерпретируя необработанные данные, собранные в течение сеанса сбора данных, и отображая их в окне просмотра кадров.