Администрирование удаленного доступа к сети Windows NT

В комплект поставки Windows NT входит сервис удаленного доступа Remote Access Service (RAS). Удаленный доступ - это частный случай соединения компьютеров через глобальные связи. От обычных вариантов с использованием мостов и маршрутизаторов удаленный доступ отличается тем, что одной из взаимодействующих сторон является не локальная сеть, а отдельный компьютер без сетевого адаптера. Кроме того, удаленный доступ обычно использует низкоскоростные соединения по коммутируемым телефонным аналоговым сетям. Реже используются сети ISDN или Х.25.

Все множество пользователей, которым может потребоваться удаленный доступ, может быть разделено на несколько групп.

Пользователи, которые работают дома только от случая к случаю (home-based worker). Они обычно используют режим удаленного управления своей собственной РC, которую они оставили в офисе. Мобильные пользователи (Mobile users). Обычно это сотрудники, которые по долгу службы проводят рабочий день не в собственном офисе, а непосредственно на местах работы клиентов. Кроме того, к этой группе относятся руководители, находящиеся в отпуске или в командировке. Типичное "снаряжение" этой категории пользователей - переносной компьютер с модемом. Сеанс связи с ЛВС офисов более высоких уровней обычно бывает непродолжительным и может происходить в любое, заранее не запланированное время. Они обычно используют те способы связи, которые они могут найти в тех местах, где они остановились. Поэтому компьютер мобильного пользователя должен быть оснащен разнообразными средствами удаленного доступа. Филиалы или пользователи с одним компьютером (telecommuters, буквально - жители пригорода, работающие в городе). К этой группе относятся малые филиалы с одним компьютером, сотрудники, работающие на дому (например, разработчики программного обеспечения), и представители компании в другой компании. Обычно эти люди используют в своей деятельности персональный компьютер или UNIX-терминал. Связь с офисами более высоких уровней в течение дня должна поддерживаться достаточно продолжительное время. Телекомпьютеры - пользователи, рабочее место которых постоянно находится дома, но которым постоянно требуется информация центрального офиса. Для таких пользователей больше всего подходит режим удаленного узла. Сотрудники небольших удаленных офисов, имеющие собственные локальные сети. Они обычно подключаются к сети центрального офиса с помощью маршрутизаторов через коммутируемые телефонные линии, ISDN или выделенные линии.

Сервис RAS позволяет довольно большому числу удаленных пользователей (до 256) одновременно подключаться к одному серверу Windows NT и по протоколам IPX и TCP/IP получать доступ к ресурсам локальной сети. Клиентская часть программного обеспечения RAS поставляется вместе со всеми операционными системами корпорации Microsoft бесплатно и позволяет клиентским станциям подсоединяться к сети в качестве удаленных узлов.

Для организации удаленного доступа помимо обычной сетевой аппаратуры требуется дополнительное оборудование: модемы, телефонные линии, возможно, некоторое количество выделенных линий, а также специальное программное и аппаратное обеспечение удаленного доступа. Очевидно, что для экономии модемов можно не ставить на каждую телефонную линию отдельный модем, а организовать общий пул модемов и сделать его разделяемым ресурсом как для звонков из локальной сети, так и для звонков извне.

Разделяемый пул модемов создается с помощью так называемого коммуникационного сервера (communication server). Коммуникационный сервер - это обычный компьютер или специализированное устройство, предоставляющее пользователям локальной сети прозрачный доступ к последовательным портам ввода-вывода, к которым подключены разделяемые модемы. Пользователь, подключившийся к коммуникационному серверу, может работать с одним из подключенных к нему модемов точно также, как если бы этот модем был подключен непосредственно к компьютеру пользователя.

Более сложные функции, связанные с обработкой передаваемой информации в системах удаленного доступа, выполняют серверы доступа (access server).

Аппаратные профили

Каждый компьютер, работающий под управлением Windows NT Server или Windows NT Workstation, имеет несколько аппаратных профилей (не следует их путать с профилями пользователей).

Аппаратный профиль содержит список сервисов и драйверов, которые должны стартовать при запуске компьютера с данным аппаратным профилем. Удобно создать несколько аппаратных профилей для разных случаев использования одного и того же компьютера - например, с разными мониторами.

Аппаратные профили создаются с помощью иконки System в Control Panel. Если создано несколько аппаратных профилей, то с помощью иконок Services и Devices можно для каждого аппаратного профиля задать нужный стартовый список сервисов и драйверов.

Выбор нужного аппаратного профиля происходит на этапе загрузки операционной системы - пользователю выдается список имен аппаратных профилей для выбора.

Аудит

5.7.1. Назначение аудита

Аудит - это функция Windows NT, позволяющая отслеживать деятельность пользователей, а также все системные события в сети. С помощью аудита администратор получает информацию

о выполненном действии, о пользователе, который выполнил это действие, о дате и времени выполнения действия.

Администратор использует политику аудита (Audit Policy) для выбора типов событий, которые нужно отслеживать. Когда событие происходит, в журнал безопасности того компьютера, на котором оно произошло, добавляется новая запись. Журнал безопасности является тем средством, с помощью которого администратор отслеживает наступление тех типов событий, которые он задал.

Политика аудита контроллера домена определяет количество и тип фиксируемых событий, происходящих на всех контроллерах домена. На компьютерах Windows NT Workstation или Windows NT Server, входящих в домен, политика аудита определяет количество и тип фиксируемых событий, происходящих только на данном компьютере.

Администатор может установить политику аудита для домена для того, чтобы:

отслеживать успешные и неуспешные события, такие как логические входы пользователей, чтение файлов, изменения в разрешениях пользователей и групп, выполнение сетевых соединений и т.п.; исключить или минимизировать риск неавторизованного использования ресурсов; анализировать временные тенденции, используя архив журнала безопасности.

Аудит является частью системы безопасности. Когда все средства безопасности отказывают, записи в журнале оказываются единственным источником информации, на основании которой администратор может сделать выводы о том, что произошло или готовится произойти в системе.

Установление политики аудита является привилегированным действием: пользователь должен либо быть членом группы Administrators на том компьютере, для которого устанавливается политика, либо иметь права Manage auditing and security log.

5.7.2. Реализация политики аудита

Политика аудита устанавливается отдельно для каждого компьютера. Например, для аудита логического входа пользователей в домен необходимо установить политику аудита на PDC (эта же политика определена и для всех BDC домена). Для наблюдения за доступом к файлам на сервере домена - member server- необходимо установить политику аудита на этом сервере.

События записываются в журнал определенного компьютера, но могут просматриваться из любого компьютера сети пользователем, который имеет права администратора на тот компьютер, где произошло событие.

Установка политики аудита включает два этапа:

определение политики аудита с помощью панели Audit Policy утилиты User Manager for Domains или User Manager; определение каталогов, файлов и принтеров, доступ к которым необходимо отслеживать. Для этого используется Windows NT Explorer или панель Printers. Наблюдение за файлами и каталогами возможно только для файловой системы NTFS.

Просмотр журнала событий осуществляется с помощью утилиты Event Viewer (журнал Security).

Централизованное управление сервисами и драйверами с помощью Server Manager

Утилита Server Manager предназначена для централизованного управления серверами домена, а также сервисами, работающими как на Windows NT Server, так и Windows NT Workstation.

Управление серверами состоит во включении Windows NT Workstation в состав домена (Windows NT Workstation также как и Windows NT Server имеет серверные компоненты - файл-сервер, сервер удаленного доступа и поэтому рассматривается как сервер домена).

Sever Manager также используется для изменения статуса PDC на BDC и наоборот.

Кроме этого, с помощью Server Manager можно управлять сервисами и драйверами Windows NT Server и Windows NT Workstation точно так же, как это делается локально с помощью иконок Services и Devices утилиты Control Panel. Для этого необходимо выбрать нужный сервер или рабочую станцию домена, а затем на экране появляются те же окна диалога, что и при использовании Control Panel локально.

Четыре базовые модели организации доменов

Механизм доменов можно использовать на предприятии различными способами. В зависимости от специфики предприятия можно объединить ресурсы и пользователей в различное количество доменов, а также по-разному установить между ними доверительные отношения.

Microsoft предлагает использовать четыре типовые модели использования доменов на предприятии:

Модель с одним доменом Модель с главным доменом Модель с несколькими главными доменами Модель с полными доверительными отношениями

6.4.1. Модель с одним доменом

Эта модель подходит для организации, в которой имеется не очень много пользователей, и нет необходимости разделять ресурсы сети по организационным подразделениям. Главный ограничитель для этой модели - производительность, которая падает, с увеличением числа серверов в сети.

Преимущества и недостатки модели с одним доменом

Преимущества	Недостатки
Наилучшая модель для предприятий с небольшим числом пользователей и ресурсов.

Централизованное управление пользовательской учетной информацией.

Нет нужды в управлении доверительными отношениями.

Локальные группы нужно определять только однажды.Низкая производительность, если домен имеет слишком много пользователей и/или серверов.

Невозможность группирования ресурсов.

Использование только одного домена также означает, что один сетевой администратор должен администрировать всю сеть. Разделение сети на несколько доменов позволяет назначать несколько администраторов, каждый из которых может администрировать отдельные серверы, входящие в разные домены.

6.4.2. Модель с главным доменом

Эта модель хорошо подходит для предприятий, где необходимо разбить ресурсы на группы в организационных целях, и в то же время количество пользователей и групп пользователей не очень велико. Эта модель сочетает централизацию администрирования с организационными преимуществами разделения ресурсов между несколькими доменами.

Рис. 6.2. Модель с главным доменом

Главный домен удобно рассматривать как чисто учетный домен, основное назначение которого - хранение и обработка пользовательских учетных данных. Остальные домены в сети - это домены ресурсов, они не хранят и не обрабатывают пользовательскую учетную информацию, а поставляют ресурсы (такие как разделяемые файлы и принтеры) для всей сети. В этой модели пользовательскую учетную информацию хранят только основной и резервный контроллеры главного домена.

Преимущества и недостатки модели с главным доменом

Преимущества	Недостатки
Наилучшая модель для предприятия, у которого не очень много пользователей, а разделяемые ресурсы должны быть распределены по группам.

Учетная информация может централизованно управляться.

Ресурсы логически группируются.

Домены отделов могут иметь своих администраторов, которые управляют ресурсами отдела.

Глобальные группы должны определяться только один раз (в главном домене). Плохая производительность, если в главном домене слишком много пользователей и групп. Локальные группы нужно образовывать в каждом домене, где они используются.

6.4.3. Модель с несколькими главными доменами

Эта модель предназначена для больших предприятий, которые хотят поддерживать централизованное администрирование. Эта модель в наибольшей степени масштабируема.

В данной модели имеется небольшое число главных доменов. Главные домены используются как учетные домены, причем учетная информация каждого пользователя создается только в одном из главных доменов. Сотрудники отдела Автоматизированных Информационных Систем (АИС) предприятия могут администрировать все главные домены, в то время как ресурсные домены могут администрировать сотрудники соответствующих отделов.

Каждый главный домен доверяет всем остальным главным доменам. Каждый домен отдела доверяет всем главным доменам, но доменам отделов нет необходимости доверять друг другу.

Рис. 6.3. Модель с несколькими главными доменами

Так как все ресурсные домены доверяют всем главным, то данные о любом пользователе могут использоваться в любом отделе предприятия.

Использование глобальных групп в этой модели несколько сложнее, чем в предыдущих. Если нужно образовать глобальную группу из пользователей, учетная информация о которых хранится в разных главных доменах, то фактически приходится образовывать несколько глобальных групп - по одной в каждом главном домене. В модели с одним главным доменом нужно образовать только одну глобальную группу.

Чтобы упростить решение этой проблемы, целесообразно распределять пользователей по главным доменам по организационному принципу, а не по какому-либо иному, например, по алфавитному.

Преимущества и недостатки модели с несколькими главными доменами

Преимущества	Недостатки
Наилучшая модель для предприятия с большим числом пользователей и центральным отделом АИС.

Хорошо масштабируется.

Ресурсы логически группируются.

Домены отделов могут иметь своих администраторов, которые управляют ресурсами отдела. Как локальные, так и глобальные группы должны определяться по несколько раз в каждом учетном домене. Необходимо управлять большим количеством доверительных отношений.

В одном домене локализуются не все данные о пользователях.

6.4.4. Модель с полными доверительными отношениями

Эта модель обеспечивает распределенное администрирование пользователей и доменов. В этой модели каждый домен доверяет каждому. Каждый отдел может управлять своим доменом, определяя своих пользователей и глобальные группы пользователей, и они могут использоваться во всех доменах предприятия.

Рис. 6.4. Модель с полными доверительными отношениями

Из-за резкого увеличения числа доверительных отношений эта модель не подходит для больших предприятий. Для n доменов нужно установить n(n-1) доверительных отношений.

Перед созданием доверительных отношений с другим доменом администратор действительно должен быть уверен, что он доверяет администратору этого домена. Администратор доверяющего домена должен отдавать себе отчет в том, что после того, как он предоставляет права глобальным группам учетного (доверяющего) домена, администратор последнего может добавить в глобальную группу нежелательных или непроверенных пользователей. При администрировании главных доменов такая опасность также имеется. Но риск здесь ниже из-за того, что пользователей в главные домены добавляют сотрудники центрального отдела АИС, а не произвольно назначенный администратором сотрудник производственного отдела предприятия.

Преимущества и недостатки модели с полными доверительными отношениями

Преимущества	Недостатки
Наилучшим образом подходит для предприятий, на которых нет централизованного отдела АИС

Хорошо масштабируется в отношении количества пользователей.

Каждый отдел имеет полное управление над своими пользователями и ресурсами.

Как ресурсы, так и пользователи группируются по отделам.Модель не подходит для предприятий с централизованным отделом АИС. Нужно управлять очень большим количеством доверительных отношений.

Каждый отдел должен доверять администраторам других отделов том, что те не включат в состав своих глобальных групп нежелательных пользователей.

Доменная справочная служба Windows NT

Домены позволяют структурировать сеть и упрощать задачи администрирования и управления. На основе доменов строится справочная служба сетей Windows NT.

Домен - это совокупность пользователей, серверов и рабочих станций, учетная информация о которых централизованно хранится в общей базе данных, называемой базой SAM (Security Accounts Manager database). Над этой базой данных реализована справочная служба Directory Services, которая, как и любая централизованная справочная служба, устраняет дублирование учетных данных в нескольких компьютерах и сокращает число рутинных операций по администрированию. Наличие общей базы учетных данных дает возможность пользователям получать доступ ко всем ресурсам домена при однократном логическом входе в этот домен.

Если администратор завел пользователя домена, то он имеет возможность зарегистрироваться на любой рабочей станции в этом домене. Для этого достаточно ввести имя, имя домена и пароль при регистрации, и Windows NT Workstation опознает пользователя и воссоздаст его рабочую среду.

В сети Windows NT можно организовать несколько доменов, причем полномочия администратора каждого домена ограничиваются ресурсами только своего домена. Это позволяет декомпозировать сложную задачу администрирования большой сети на несколько более простых задач администрирования отдельных фрагментов сети. Домены достаточно независимы друг от друга, однако администраторы сети могут устанавливать между ними так называемые "доверительные отношения", которые позволяют пользователям одного домена иметь доступ к ресурсам другого домена.

Если запросы пользователей локализуются в пределах некоторой совокупности компьютеров, то каждую такую совокупность пользователей и компьютеров рационально объединить в один домен. Компьютерами Windows NT Server и Windows NT Workstation, являющиеся членами домена, можно управлять централизовано. Это значит, что с помощью утилиты Server Manager администратор может просматривать список сервисов, которые работают на удаленном компьютере точно так, же, как он это делает с помощью кнопки Services утилиты Control Panel локально. Кроме того, администратор может запускать или останавливать сервисы на удаленном компьютере, а также создавать и давать права на доступ к разделяемым каталогам и принтерам удаленных компьютеров - членов домена. К сожалению, такое централизованное управление возможно только компьютерами под управлением Windows NT Server или Windows NT Workstation, но не Windows 95 или Windows for Workgroups.

По сравнению со справочными службами NDS компании Novell или StreetTalk компании Banyan справочная служба Windows NT пока проигрывает в отношении функциональности и масштабируемости. В Windows NT нет иерархического упорядочивания ресурсов - списки пользователей и компьютеров плоские, а в больших организациях возможность распределения ресурсов по производственной иерархии очень важна, и NDS и StreetTalk ее поддерживают.

В отличие от справочной службы NDS NetWare база данных каждого домена не является распределенной. А значит при репликации она может копироваться только целиком. Это вынуждает в больших сетях создавать несколько доменов. Наличие копий SAM BP снижает нагрузку на первичный контроллер домена, но не снимает вопрос о возможности работы на одном компьютере базы, описывающей десятки тысяч пользователей.

Доменная организация уменьшает вероятность возникновения и распространения ошибок администрирования, и тем самым сокращает количество слабых мест в системе защиты.

Компания Microsoft собирается повысить функциональные возможности своей справочной службы в версии Windows NT 5.0, а в версии до 4.0 включительно для создания иерархической и масшитабируемой службы предлагается использовать механизм доверительных отношений (trust relationships).

Если в сети организовано несколько доменов и между ними нет доверительных отношений, то аутентификация пользователя одного домена должна каждый раз выполняться заново, когда он пытается обратиться к ресурсам другого домена, то есть домена, отличного от того, в который он совершил логический вход. У каждого домена должен быть свой администратор, который заводит на пользователей учетные записи в SAM домена и предоставляет этим пользователям права доступа на ресурсы серверов домена.

Доверительные отношения

Для того, чтобы не заводить учетную информацию на одного и того же пользователя в разных доменах, между доменами можно установить доверительные отношения.

Доверительные отношения обеспечивают транзитную аутентификацию, при которой пользователь имеет только одну учетную запись в одном домене, но может получить доступ к ресурсам всех доменов сети.

Рис. 6.1. Доверительные отношения между доменами

Доверяющий домен - trusting - предоставляет доступ к своим ресурсам пользователям из другого домена - доверяемого или trusted. Иногда доверяющий домен называют ресурсным, так как в нем находятся серверы, к ресурсам которых получают доступ пользователи, учетная информация которых находится в SAM контроллеров доверяемого домена, который называют поэтому учетным.

Доверительные отношения не являются транзитивными. Например, если домен А доверяет домену В, а В доверяет С, то это не значит, что А автоматически доверяет С.

Отношение доверия означает, что администратор доверяющего, ресурсного, домена может определять права доступа к ресурсам своего домена не только для своих пользователей, но и для пользователей доверяемого, учетного, домена. Таким образом, право доступа к ресурсам доверяющего домена для пользователей доверяемого домена является потенциальным, реализуемым только при условии согласия администратора доверяющего домена.

Практически же ситуация обычно выглядит следующим образом. В некотором учетном домене формируются глобальные группы. Во всех доменах, доверяющих данному домену, администраторы включают глобальные группы учетного домена в локальные группы своего ресурсного домена. Эти локальные группы уже наделенны определенными правами по доступу к внутренним ресурсам домена. Возникает интересная ситуация: с одной стороны, доступ к ресурсам регулируется администратором доверяющего домена, но с другой стороны, именно администратор учетного домена решает, в какую глобальную группу включить того или иного пользователя.

Файл- и принт-сервисы NetWare в среде Windows NT

Диаметрально противоположную задачу решает служба File and Print Services (рисунок 10.3). Она позволяет предоставить прозрачный доступ клиентам NetWare к серверу NT. При этом на самих клиентах не требуется делать никаких изменений. Все изменения выполняются только на сервере, после чего он начинает имитировать сервер NetWare 3.x.

Рис. 10.3. Сервер Fileand Print Services for NetWare и протокол NWLink превращают для клиентов NetWare сервер Windows NT Server в сервер NetWare 3.12

Администратор может монтировать тома, создавать очереди печати, управлять привилегиями пользователей. Для этого используются те же самые утилиты, что и для администрирования Windows NT Server. Для администратора сети NetWare этот сервер будет так же управляем с помощью традиционных средств управления серверами NetWare.

Результаты тестирования, на которые есть ссылка на сервере www.microsoft.com, показывают, что снижение производительности файлового сервера при этом незначительно, практически не заметно для пользователя.

Файловые системы Windows NT

Windows NT 4.0 поддерживает две файловые системы: существовавшую ранее файловую систему FAT и собственную, новую файловую систему NTFS. (Все предыдущие версии поддерживали также файловую систему HPFS, разработанную для операционной системы OS/2 версии 1.х.)

FAT успешно применяется миллионами пользователей в составе различных ОС (прежде всего DOS и Windows 3.х). Однако не следует забывать, что в то время, когда она создавалась, основными устройствами для хранения данных были гибкие диски. Затем появились и жесткие диски, начался процесс наращивания их емкостей. В результате отдельные технологические решения тех дней потеряли свою актуальность.

К основным недостаткам FAT могут быть отнесены следующие:

ограничения, налагаемые на размер файлов и дискового пространства; ограничение длины имени файла; фрагментация файлов, приводящая к снижению быстродействия системы и износу оборудования; непроизводительные затраты памяти, вызванные большими размерами кластеров; подверженность потерям данных.

Файловая система Windows NT FAT функционирует так же, как если бы она работала в среде MS-DOS или Windows. Практически можно без всяких опасений устанавливать Windows NT в существующем разделе FAT. Однако следует учитывать, что если были использованы какие-либо программы для сжатия или разбиения диска на разделы, то для чтения таких дисков скорее всего могут потребоваться специально разработанные для этих целей драйверы Windows NT. Файлы из разделов FAT могут безболезненно копироваться в разделы NTFS, но при выполнении обратной операции будет потеряна информация о правах доступа и об альтернативных связях файла.

Таким образом, если до установки Windows NT 4.0 на компьютере была установлена MS-DOS (или OS/2, если используется версия Windows NT 3.5х), то нет никакой необходимости переформатировать диск. Система преобразует FAT (или HPFS) в NTFS, сохранив всю информацию на диске. Обратное преобразование невозможно. Не стоит устанавливать NTFS только затем, чтобы использовать длинные (до 255 символов) имена файлов, так как для этих целей прекрасно подойдет и FAT. Возможность использования длинных имен файлов на FAT была введена только в версии Windows NT начиная с 3.5. Можно спокойно называть файлы и каталоги именами, выходящими за пределы традиционного для MS-DOS правила 8.3, нисколько не опасаясь, что эти файлы не будут доступны при работе в MS-DOS. Для таких файлов и каталогов будут назначены вторые, "короткие" имена.

Новая файловая система NTFS обладает лучшими показателями производительности и надежности по сравнению с FAT.

Эта файловая система поддерживает объектно-ориентированные приложения, обрабатывая все файлы как объекты, которые имеют определяемые пользователем и системой атрибуты. NTFS позволяет задавать права доступа к отдельному файлу, а не к каталогу в целом.

1.5.1. Структура файловой системы

Каждый файл на томе NTFS представлен записью в специальном файле, называемом Главной таблицей файлов (Master File Table, MFT).

В отличие от разделов FAT и HPFS все пространство тома NTFS представляет собой либо файл, либо часть файла. Основой структуры тома NTFS является Главная таблица файлов (Master File Table, MFT), которая содержит по крайней мере одну запись для каждого файла тома, включая одну запись для самой себя. Каждая запись имеет длину 2К.

Все файлы на томе NTFS идентифицируются номером файла, который определяется позицией файла в MFT. Каждый файл и каталог на томе NTFS состоит из набора атрибутов.

Базовая единица распределения дискового пространства для файловой системы NTFS - кластер. Размер кластера выражается в байтах и всегда равен целому количеству физических секторов. В качестве адреса файла NTFS использует номер кластера, а не физическое смещение в секторах или байтах.

Загрузочный сектор тома NTFS располагается в начале тома, а его копия - в середине тома. Загрузочный сектор состоит из стандартного блока параметров BIOS, количества секторов в томе, а также начального логического номера кластера основной копии MFT и зеркальной копии MFT.

Файлы NTFS состоят по крайней мере из следующих атрибутов:

заголовок (H - header) стандартная информация (SI - standard information) имя файла ( FN - file name) данные (data) дескриптор безопасности (SD - security descriptor)

Рис. 1.5. Небольшие файлы

Небольшие файлы (small). Если файл имеет небольшой размер, то он может целиком располагаться внутри одной записи MFT размером 2К (рисунок 1.5). Из-за того, что файл может иметь переменное количество атрибутов, а также из-за переменного размера атрибутов нельзя наверняка утверждать, что файл уместится внутри записи. Однако, обычно файлы размером менее 1500 байт помещаются внутри записи MFT.

Большие файлы (Large). Если файл не вмещается в одну запись MFT, то этот факт отображается в значении атрибута "данные", который содержит признак того, что файл является нерезидентным, то есть, что файл находится вне таблицы MFT. В этом случае атрибут "данные" содержит виртуальный номер кластера для первого кластера каждого фрагмента данных (data run), а также количество непрерывных кластеров в каждом фрагменте (рисунок 1.6).

Рис. 1.6. Большие файлы

Очень большие файлы (huge). Если файл настолько велик, что его атрибут данных не помещается в одной записи, то этот атрибут становится нерезидентным, то есть он находится в другой записи таблицы MFT, ссылка на которую помещена в исходной записи о файле (рисунок 1.7). Эта ссылка называется внешним атрибутом (external attribute). Нерезидентный атрибут содержит указатели на фрагменты данных.

Рис. 1.7. Очень большие файлы

Сверхбольшие файлы (extremely huge). Для сверхбольших файлов внешний атрибут может указывать на несколько нерезидентных атрибутов (рисунок 1.8). Кроме того, внешний атрибут, как и любой другой атрибут может храниться в нерезидентной форме, поэтому в NTFS не может быть атрибутов слишком большой длины, которые система не может обработать.

Рис. 1.8. Сверхбольшие файлы

Каждый каталог NTFS представляет собой один вход в таблицу MFT, который содержит список файлов специальной формы, называемый индексом (index). Индексы позволяют сортировать файлы для ускорения поиска, основанного на значении определенного атрибута. Обычно в файловых системах FAT и HPFS используется сортировка файлов по имени. NTFS позволяет использовать для сортировки любой атрибут, если он хранится в резидентной форме.

Имеется две формы списка файлов.

Небольшие списки файлов (small indexes). Если количество файлов в каталоге невелико, то список файлов может быть резидентным в записи в MFT, являющейся каталогом (рисунок 1.9). В этом случае он называется небольшим каталогом. Небольшой список файлов содержит значения атрибутов файла. По умолчанию это имя файла, а также номер записи MTF, содержащей начальную запись файла.

Рис. 1.9. Небольшие каталоги

Большие списки файлов (large index). По мере того, как каталог растет, список файлов может потребовать нерезидентной формы хранения. Однако начальная часть списка всегда остается резидентной в корневой записи каталога в таблице MFT (рисунок 1.10). Имена файлов резидентной части списка файлов являются узлами B-дерева. Остальные части списка файлов размещаются вне MFT. Для их поиска используется специальный атрибут "размещение списка" (Index Allocation - IA), представляющий собой набор номеров кластеров, которые указывают на остальные части списка. Одни части списков являются листьями дерева, а другие являются промежуточными узлами, то есть содержат наряду с именами файлов атрибут Index Allocation, указывающий на списки файлов более низких уровней.

Рис. 1.10. Большие каталоги

1.5.2. Атрибуты файлов и каталогов

Каждый атрибут файла NTFS состоит из полей: тип атрибута, длина атрибута, значение атрибута и, возможно, имя атрибута.

Имеется системный набор атрибутов, определяемых структурой тома NTFS. Системные атрибуты имеют фиксированные имена и коды их типа, а также определенный формат. Могут применяться также атрибуты, определяемые пользователями. Их имена, типы и форматы задаются исключительно пользователем. Атрибуты файлов упорядочены по убыванию кода атрибута, причем атрибут одного и того же типа может повторяться несколько раз. Существует два способа хранения атрибутов файла - резидентное хранение в записях таблицы MFT и нерезидентное хранение вне ее. Сортировка может осуществляться только по резидентным атрибутам.

Ниже приведен список атрибутов.

Attribute List - определяет список атрибутов, которые являются допустимыми для данного конкретного файла; File Name - этот атрибут содержит длинное имя файла, а также номер входа в таблице MFT для родительского каталога; если этот файл содержится в нескольких каталогах, то у него будет несколько атрибутов типа "File Name"; этот атрибут всегда должен быть резидентным; MS-DOS Name - этот атрибут содержит имя файла в формате 8.3; Version - атрибут содержит номер последней версии файла; Security Descriptor - этот атрибут содержит информацию о защите файла: список прав доступа ACL и поле аудита, которое определяет, какого рода операции над этим файлом нужно регистрировать; Volume Version - версия тома, используется только в системных файлах тома; Volume Name - отметка тома; Volume Information - номер версии NTFS; Data - содержит обычные данные файла; MFT bitmap - этот атрибут содержит карту использования секторов на томе; Index Root - корень B-дерева, используемого для поиска файлов в каталоге; Index Allocation - нерезидентные части индексного списка B-дерева; External Attribute Information - содержит номер первого кластера и количество кластеров нерезидентного атрибута; Standard Information - этот атрибут хранит всю остальную стандартную информацию о файле, которую трудно связать с каким-либо из других атрибутов файла, например, время создания файла, время обновления и другие.

1.5.3. Короткие имена

NTFS поддерживает имена файлов длиной до 255 символов. Имена файлов NTFS используют набор символов UNICODE с 16-битовыми символами. NTFS автоматически генерирует поддерживаемое MS-DOS имя для каждого файла. Таким образом, файлы NTFS могут использоваться в сети операционными системами MS-DOS и OS/2. Это особенно важно для файловых серверов в организациях, которые используют персональные компьютеры с этими двумя или тремя операционными системами. Создавая имена файла по схеме 8.3, NTFS также позволяет приложениям MS-DOS и Windows 3.х работать с файлами, имеющими длинные имена NTFS.

Поскольку NTFS использует набор символов UNICODE для имен файлов, существует возможность использования некоторых запрещенных в MS-DOS символов. Для генерации короткого имени файла в стиле MS-DOS NTFS удаляет все запрещенные символы, точки (кроме одной), а также любые пробелы из длинного имени файла. Далее имя файла усекается до 6 символов, добавляется тильда (~) и номер. Например, каждому недублированному имени файла добавляется ~1, повторяющиеся имена файлов заканчиваются символами ~2, ~3 и т.д. Расширение имени файла усекается до 3 символов.

Короткие имена файлов с длинными русскими именами образуются по особой схеме, в зависимости от типа используемой файловой системы.

На FAT короткое имя образуется путем использования первых 6 символов от длинного плюс знак "~" плюс цифра. Далее следует расширение файла. Если в длинном имени имеются пробелы, то они игнорируются. Если имеется несколько файлов с длинными именами, различающимися деталями за пределами первых 6 символов, то у коротких имен, соответствующих им будет изменяться последняя цифра. Если таких похожих файлов больше четырех, то первые 6 символов определяются по специальному алгоритму, а окончание имени всегда одинаково: "~5".

Например, если файл имеет имя "длинное имя файла.русское", то его короткое имя "ДЛИННО~1.РУС". Если у какоголибо файла в этом каталоге первые 6 символов имени и три символа расширения окажутся такими же, например, "длинное письмо.руслан", короткий вариант будет выглядеть так: "ДЛИННО~2.РУС".

На NTFS короткое имя образуется по несколько иному алгоритму, когда за основу берутся не первые 6 символов длинного имени, а их эквивалент в UNICODE.

Например, для файла, длинное имя которого "Очень хороший файл. С расширением", короткое имя будет выглядеть следующим образом: 9а10~1.gif

1.5.4. Надежность NTFS

NTFS является восстанавливаемой (recoverable) файловой системой. Она гарантирует согласованность данных тома, используя стандартную процедуру регистрации транзакций. Каждая операция ввода-вывода, которая изменяет файл на томе NTFS, рассматривается файловой системой как транзакция.

При модификации файла специальная компонента файловой системы - сервис регистрации файлов (Log File Service) - фиксирует всю информацию, необходимую для повторения (redo) или отката (undo) транзакции в специальном файле с именем $LogFile. Если транзакция не завершается нормально, то NTFS пытается закончить транзакцию (повторить) или производит ее откат. Этот метод обеспечивает минимальное время восстановления, однако восстанавливаются только системные данные (метаданные), пользовательские же данные могут быть утеряны.

Для обеспечения сохранности пользовательских данных используется программная поддержка массивов RAID (Redundant Array of Inexpensive Disks). В сочетании с поддержкой зеркализации дисков или расщепления с контролем четности (RAID 5) NTFS может выдержать любой одиночный сбой. В Windows NT поддерживаются уровни 0, 1 и 5.

В RAID 0 данные расщепляются на блоки по 64К, поддерживается от 2 до 32 дисков.

RAID 1 осуществляется на уровне разделов, то есть зеркализируются именно разделы. При отказе зеркализованного раздела администратор должен отменить отношения зеркализации, чтобы использовать оставшийся раздел как отдельный том. Затем можно использовать свободный раздел на другом диске, чтобы вновь установить зеркальные отношения. Зеркализации может быть подвергнут любой раздел, включая загрузочный (Boot Partition). В принципе зеркализация является более дорогим способом, чем другие, так как коэффициент использования дискового пространства составляет только 50%, с другой стороны, для небольших сетей это весьма приемлемый вариант, так как для его реализации достаточно только двух дисков.

RAID 5 требует минимум трех дисков (максимум 32 диска), поддерживает файловые системы FAT, NTFS, причем загрузочный раздел не может быть расщеплен. Если отказывает диск, входящий в состав массива RAID 5, то компьютер может продолжать работу и получать доступ к данным. Однако данные отказавшего диска будут в течение всего времени регенерироваться на основании данных других дисков, и производительность системы может упасть. Можно воссоздать данные отказавшего диска на новом диске. Для этого нужно иметь свободный раздел на каком-либо работоспособном диске равного или большего размера, чем отказавший. Затем запускается процедура восстановления данных из пункта Regenerate меню Fault Tolerance утилиты Disk Manager.

NTFS поддерживает также горячее переназначение секторов, когда при возникновении ошибки из-за наличия плохого сектора данные переписываются в новый хороший сектор, а сбойный исключается из работы. Администратор уведомляется с помощью утилиты просмотра событий Event Viewer о всех событиях, связанных с обработкой сбойных секторов, а также о потенциальной угрозе потери данных, если избыточная копия также отказывает.

Инсталляция и конфигурирование стека TCP/IP

Для использования стека TCP/IP в среде Windows NT Server необходимо сконфигурировать три параметра :

IP-адрес (IP-address) - 32-битовый логический адрес, который идентифицирует TCP/IP-хост маска подсети (subnet mask) - используется для выделения части IP-адреса, соответствующей номеру сети. Когда хост хочет взаимодействовать с другим хостом, то маска подсети используется для того, чтобы определить, принадлежит ли другой хост данной сети или удаленной. маршрутизатор по умолчанию (default gateway) - для взаимодействия с хостом, принадлежащим другой сети, необходимо указать IP-адрес маршрутизатора, с помощью которого можно достичь указанной сети. Если конкретный маршрут к указанной сети не известен, то используется маршрутизатор по умолчанию. Если маршрутизатор по умолчанию не задан, то взаимодействие ограничивается только локальной сетью. Пользователь может добавить статические маршруты с помощью утилиты route, чтобы определить маршрут к конкретной системе. Статические маршруты всегда имеют приоритет перед маршрутами по умолчанию. Для надежности можно определить несколько маршрутизаторов по умолчанию.

Ручное конфигурирование этих параметров необходимо только в том случае, если для этих целей не используется сервер DHCP, описанный в разделе

Тестирование стека TCP/IP с помощью утилиты Ping

Ping (Packet Internet Gropper) - это диагностическое средство, используемое для тестирования конфигурации сети TCP/IP и диагностики ошибок соединения. Ping использует сообщения echo request и echo reply протокола ICMP, для того чтобы определить, доступен ли хост с определенным адресом и работоспособен ли он. Если Ping завершается успешно, то он выдает следующее сообщение:

Reply from IP_address

Для проверки корректности конфигурации вашего компьютера и тестирования соединения с маршрутизатором необходимо выполнить следующие действия.

Выполните команду Ping с адресом обратной связи для того, чтобы проверить, что стек TCP/IP установлен правильно:

ping 127.0.0.1

Выполните команду Ping с IP-адресом вашего компьютера для проверки возможного дублирования IP-адресов:

ping IP-адрес вашего компьютера

Выполните команду Ping с IP-адресом маршрутизатора по умолчанию:

ping IP-адрес маршрутизатора по умолчанию

Выполните команду Ping с IP-адресом удаленного хоста, чтобы проверить, что вы можете осуществлять взаимодействие через маршрутизатор:

ping IP-адрес вашего хоста

Инсталляция по сети

При администрировании большой сети удобно хранить дистрибутивы Windows NT Server и Windows NT Workstation на одном из разделяемых каталогов какого-либо файл-сервера и выполнять инсталляцию систем с его помощью по сети. Этот способ также необходим для установки Windows NT на тех компьютерах, которые либо не имеют CD-проигрывателей, либо имеют их устаревшие модели, которые не поддерживаются Windows NT.

Для инсталляции по сети необходимо сначала скопировать файлы дистрибутива на выбранный разделяемый каталог файл-сервера. Администратор должен иметь права на чтение и запись в этот каталог. В фирменных руководствах этот каталог назван Master Disk.

Если в сети работают только компьютеры на базе процессора Intel, то достаточно скопировать на Master Disk только файлы каталога i386 дистрибутива.

После создания Master Disk на файл-сервере, можно начинать инсталляцию на любом компьютере, уже подключенном к сети с помощью каких-либо сетевых средств. Это может быть компьютер с сетевым клиентом Microsoft для MS-DOS, компьютер с Windows for Workgroups или Windows NT предыдущей версии. Главное, что от него требуется - чтобы его сетевые средства смогли получить доступ к каталогу Master Disk.

Процесс начинается с запуска winnt.exe и winnt32.exe (если на компьютере уже работает одна из версий Windows NT) с Master Disk. Удобнее всего работать без использования гибких дисков, для этого нужно запустить winnt и winnt32 с ключом /b.

Далее процесс инсталляции ничем не отличается от локального.

При дополнительной установке служб или протоколов система будет пытаться брать дистрибутивные файлы с сетевого каталога Master Disk, поэтому необходимо, чтобы в это время компьютер имел с ним соединение.

Использование служб имен DNS и WINS в сетях Windows NT

9.5.1. Способы разрешения имен в сетях Windows

Конфигурирование стека TCP/IP в среде Windows NT связано с назначением IP-адреса и имени компьютера, которые уникально идентифицируют каждый компьютер в сети. Для сети TCP/IP и сети Internet используется составное имя компьютера - это глобально известное системное имя плюс имя домена DNS. (В локальной сети Microsoft имя компьютера - это имя в стиле протокола NetBIOS, которое было определено во время инсталляции Windows NT.)

Для идентификации друг друга компьютеры используют IP-адреса, но пользователи обычно предпочитают работать с именами компьютеров. Следовательно, в сети TCP/IP должен быть предусмотрен механизм для установления соответствия между именами и IP-адресами. Для того, чтобы обеспечить уникальность как имени, так и адреса, компьютер Windows NT, использующий TCP/IP, регистрирует свое имя и IP-адрес во время старта системы. Компьютер Windows NT может использовать один или несколько из следующих методов для того, чтобы обеспечить корректное разрешение имен в интерсетях TCP/IP.

Windows Internet Name Service (WINS)

Компьютеры Windows NT могут использовать сервис WINS, если в сети имеется один или несколько серверов WINS, которые содержат динамическую базу данных, отображающую имена компьютеров на IP-адреса. WINS может использоваться в сочетании с широковещательным разрешением имен для интерсети, в которой другие методы разрешения имен не работают. Как описывается в следующем разделе, WINS - режим работы NetBIOS поверх TCP/IP, определенный в RFC 1001/1002 как режим p-node. Широковещательное разрешение имен

Компьютеры Windows NT могут также использовать широковещательное разрешение имен, которое представляет собой режим работы NetBIOS поверх TCP/IP, определенный в RFC 1001/1002 как режим b-node. Этот метод основан на том, что компьютер посылает широковещательные сообщения IP-уровня для регистрации своего имени в сети. Каждый компьютер этой широковещательной области следит за тем, чтобы регистрируемое имя не дублировалось. Все они также отвечают на запросы о собственных именах. Разрешение имен с помощью DNS

В Windows NT 4.0 реализован клиент службы DNS (Domain Name System). Служба DNS обеспечивает способ просмотра отображения имен при подключения компьютеров к посторонним (не Windows NT) хостам, в которых работают DNS-серверы. Эта служба предназначена для тех случаев, когда подключение осуществляется путем использования NetBIOS поверх TCP/IP или для приложений, использующих интерфейс Windows Sockets, таких как FTP. DNS - это распределенная база данных, разработанная для решения задач направления трафика, которые возникли во время быстрого роста сети Internet в начале 80-х годов. Файл LMHOSTS, в котором задается соответствие имен протокола NetBIOS и IP-адресов, или использование файла HOSTS, в котором задается соответствие DNS-имен и IP-адресов.

Файл HOSTS используется приложениями, работающим с интерфейсом Windows Sockets, а файл LMHOSTS используется приложениями, работающими с интерфейсом NetBIOS поверх TCP/IP. Файл LMHOSTS используется обычно для разрешения имен в сетях небольшого масштаба, где служба WINS не установлена.

Использование службы DHCP для автоматической конфигурации сети

Назначение IP-адресов представляет для администратора утомительную процедуру. Ситуация усложняется еще тем, что многие пользователи не обладают достаточными знаниями для того, чтобы конфигурировать свои компьютеры для работы в интерсети и должны поэтому полагаться на администраторов. Протокол Dynamic Host Configuration Protocol (DHCP) был разработан для того, чтобы освободить администратора от этих проблем. DHCP обеспечивает надежный и простой способ конфигурации сети TCP/IP, гарантируя отсутствие конфликтов адресов за счет централизованного управления их распределением. DHCP динамически распределяет IP-адреса для компьютеров. Администратор управляет процессом назначения адресов с помощью параметра "продолжительности аренды" (lease duration), которая определяет, как долго компьютер может использовать назначенный IP-адрес, перед тем как снова запросить его от сервера DHCP в аренду.

Примером работы протокола DHCP может служить ситуация, когда компьютер, являющийся клиентом DHCP, удаляется из подсети. При этом назначенный ему IP-адрес автоматически освобождается. Когда компьютер подключается к другой подсети, то ему автоматически назначается новый адрес. Ни пользователь, ни сетевой администратор не вмешиваются в этот процесс. Это свойство очень важно для мобильных пользователей.

Протокол DHCP использует модель клиент-сервер (рисунок 9.2). Во время старта системы (состояние "инициализация") компьютер-клиент DHCP посылает сообщение discover (исследовать), которое широковещательно распространяется по локальной сети и передается всем DHCP-серверам частной интерсети. Каждый DHCP-сервер, получивший это сообщение, отвечает на него сообщением offer (предложение), содержащее IP-адрес и конфигурационную информацию.

Рис. 9.2. Клиенты сервиса DHCP

Компьютер-клиент DHCP переходит в состояние "выбор" и собирает конфигурационные предложения от DHCP-серверов. Затем он выбирает одно из этих предложений, переходит в состояние "запрос" и отправляет сообщение request (запрос) тому DHCP-серверу, чье предложение было выбрано.

Выбранный DHCP-сервер посылает сообщение DHCP-acknowledgment (подтверждение), которое содержит IP-адрес, который уже был послан ранее на стадии исследования, а также параметр аренды для этого адреса. Кроме того, DHCP-сервер посылает параметры сетевой конфигурации. После того, как клиент получит это подтверждение, он переходит в состояние "связь", находясь в котором он может принимать участие в работе сети TCP/IP. Компьютеры-клиенты, которые имеют локальные диски, сохраняют полученный адрес для использования при последующих стартах системы. При приближении момента истечения срока аренды адреса компьютер пытается обновить параметры аренды у DHCP-сервера, а если этот IP-адрес не может быть выделен снова, то ему возвращается другой IP-адрес.

Серверы DHCP управляются централизованно с помощью утилиты DHCP Manager.

Для того, чтобы клиентский компьютер получал параметры стека от сервера DHCP, необходимо в параметрах стека TCP/IP отметить опцию "Obtain an IP address from DHCP server".

После перезагрузки компьютер получит IP-адрес от сервера DHCP.

История создания, основные версии, перспективы развития

1.1.1. Истоки Windows NT

Начало работ по созданию Windows NT приходится на конец 88го года. Microsoft поручила Дэвиду Катлеру (David Cutler) возглавить новый проект в области программного обеспечения: разработку ОС новой технологии (New Technology - NT). Дэвид Катлер был главным консультантом фирмы DEC, он проработал в этой фирме 17 лет, разрабатывая ОС и компиляторы: VAX/VMS, ОС для MicroVAX I, OS RSX-11M, компиляторы VAX PL/1, VAX C.

Сначала Windows NT развивалась как облегченный вариант OS/2 (OS/2 Lite), который за счет усечения некоторых функций мог бы работать на менее мощных машинах. Однако со временем, увидев как успешно принимается потребителями Windows 3.0, Microsoft переориентировалась и стала разрабатывать улучшенный вариант Windows 3.1. Новая стратегия Microsoft состояла в создании единого семейства базирующихся на Windows операционных систем, которые охватывали бы множество типов компьютеров, от самых маленьких ноутбуков до самых больших мультипроцессорных рабочих станций.

Windows NT, как было названо следующее поколение Windowsсистем, относится к самому высокому уровню в иерархии семейства Windows. Эта операционная система, первоначально поддерживавшая привычный графический интерфейс (GUI) пользователя Windows, явилась первой полностью 32-разрядной ОС фирмы Microsoft. Win32 API - программный интерфейс для разработки новых приложений - сделал доступными для приложений улучшенные свойства ОС, такие как многонитевые процессы, средства синхронизации, безопасности, ввода-вывода, управление объектами.

Концептуальные преимущества Windows NT по сравнению с парой MS-DOS/Windows 3.1 были очевидны. Ее 32-битная основа вместе с истинными многозадачностью и многонитевостью существенно повышали потенциал системы.

Первые ОС семейства NT - Windows NT 3.1 и Windows NT Advanced Server 3.1 появились в июле 1993 года. Кодовое название следующей версии Windows NT 3.5 - Daytona, - совпадающее с названием скоростной трассы во Флориде, возможно, говорило о том, что ее главным достоинством является скорость. Действительно, производительность версии 3.5 возросла в 1,5 раза по сравнению в версией 3.1, и после ее появления многие корпоративные пользователи, которые отвергли версию 3.1 по тем или иным причинам, пересмотрели свое отношение к линии NT: в 1995 году доля Windows NT в своем секторе рынка возросла в 2 раза и составила 15%.

Измерение сетевого трафика

Наблюдение за сетевой активностью включает:

наблюдение за производительностью сервера; измерение общего сетевого трафика.

С сетевой активностью связано большое количество счетчиков. Все сетевые компоненты - Server, Redirector, протоколы NetBIOS, NWLink, TCP/IP - генерируют набор статистических параметров. Ненормальное значение сетевого счетчика часто говорит о проблемах с памятью, процессором или диском сервера. Следовательно, наилучший способ наблюдения за сервером состоит в наблюдении за сетевыми счетчиками в сочетании с наблюдением за такими счетчиками, как %Processor Time, %Disk Time и Pages/sec.

Например, если сервер показывает резкое увеличение счетчика Pages/sec одновременно с падением счетчика Total bytes/sec, то это может говорить о том, что компьютеру не хватает физической памяти для сетевых операций.

Клиенты NetWare, работающие в среде Windows NT

Входящий в Windows NT Workstation и Windows NT Server продукт Windows Compatible Workstation Service for NetWare (называемый также Client Services for NetWare) представляет собой клиентскую часть протокола NCP и позволяет осуществлять взаимодействие с сервером Novell NetWare для доступа к файлам и принтерам (рисунок 10.1).

Рис. 10.1. При установке редиректора NetWare Compatible Service рабочая станция

Windows NT Workstation может непосредственно обращаться

к серверам NetWare 3.x

Транспортный протокол Microsoft NWLink IPX/SPX обеспечивает связь между компьютером с Windows NT и NetWare файл-сервером и сервером печати. Он поддерживает работу с файлами и с очередями печати на NetWare сервере.

Протокол NW Link IPX/SPX также может использоваться для связи двух Windows NT систем (как Windows NT Workstation, так и Windows NT Server), а также для связи с компьютерами, на которых установлена система Windows for Workgroups или Windows 95 с маршрутизаторами для обслуживания IPX и Novell NetBIOS. Этот протокол, является протоколом, устанавливаемым по умолчанию.

Windows NT Server легко включить в уже существующую сетевую среду с NetWare и использовать в качестве сервера приложений для обеспечения работы баз данных, электронной почты, для связи между хост-машинами или дистрибуции программного обеспечения с использованием родного для NetWare протокола IPX/SPX.

С другой стороны, пользователи Windows NT Workstation получат прозрачный доступ на серверы Netware 2.x, 3.x и 4.х. Начиная с четвертой версии Windows NT поддерживается NDS. Как только произойдет установка Windows NT на какой-либо компьютер в сети Netware, как система тотчас же предложит пользователю зарегистрироваться либо на сервере Netware, либо в определенном контексте NDS.

Концепции Windows NT

Операционная система Windows NT реализована в двух вариантах: Windows NT Server и Windows NT Workstation. Windows NT Server 4.0 - сетевая операционная система с приложениями для Internet, сервисами файлов и печати, службой удаленного доступа, встроенным маршрутизатором, индексированием файлов и управлением сетью. Второй вариант Windows NT - Windows NT Workstation 4.0 во многом напоминает NT Server, но она оптимизирована в качестве операционной системы для рабочей станции. С точки зрения архитектуры и возможностей Windows NT Server является надмножеством Windows NT Workstation и включает в себя все возможности последней. Далее, в случаях когда не указывается, какая из ОС имеется в виду, комментарии относятся к обеим.

Конфигурирование и управление принтером

Конфигурировать и управлять принтером может только пользовать, имеющий разрешение Full Control по отношению к этому принтеру.

Конфигурирование принтера выполняется с помощью панели Properties, вызываемой из окна Printers.

Панель Properties имеет много закладок: General, Ports, Scheduling, Sharing, Security и Device Settings.

Закладка General позволяет установить новый драйвер принтера и установить тип страницы-сепаратора документов.

Закладка Scheduling управляет приоритетом принтера в целом, часами работы принтера и способом спулинга документов. Ее назначение похоже на назначение закладки General свойств документа, но только по отношению к принтеру в целом. Приоритет принтера полезен в том случае, когда для одного устройства печати инсталлировано несколько принтеров.

Закладка Ports позволяет изменить порт, который соединяет данный принтер с устройством печати.

Закладка Sharing позволяет сделать принтер разделяемым, а также предназначена для установки на принт-сервере различных типов драйверов этого устройства для различнх клиентов - например, Windows NT 4.0 MIPS, Windows NT 3.51 и т.п.

Закладка Security управляет разрешениями, аудитом и владельцем данного принтера.

Закладка Device Settings устанавливает параметры устройства печати - формат бумаги для разных лотков, картриджей шрифтов и т.п.

Оперативное управление принтером включает: приостановку принтера - опция Pause Printing (при этом останавливается печать всех документов, находящихся в очереди), возобновление работы принтера - отмена опции Pause Printing, очистку очереди принтера Purge Print Documents, а также переадресацию документов на другое устройство печати.

Управление принтером выполняется из меню Printer окна печати принтера. Приостановка или очистка принтера могут быть полезны при возникновении проблем с данным устройством печати.

Если у устройства печати возникли проблемы (например, заела бумага), то документы, находящиеся в очереди принтера, можно напечатать на другом устройстве.

Если имеется другое устройство печати такого же типа, как и отказавшее, то переадресация осуществляется простой заменой имени порта, связанного с данным принтером в закладке Ports панели свойств принтера.

Можно также переадресовать документы на другой принт-сервер, имеющийся в сети. Для этого необходимо добавить новый порт в список локальных портов и указать в качестве его имени сетевое имя принт-сервера, например, \\Server2\Laser12.

Конфигурирование сервисов и драйверов

Сервисы - это программное обеспечение, предоставляющее общесистемные функции верхних уровней, например, сервис удаленного доступа Remote Access Services, сервис логического входа в сеть NetLogon и т.п.

Драйверы - это системное программное обеспечение, работающее в составе подсистемы ввода-вывода и выполняющее функции управления устройствами ввода-вывода в привилегированном режиме. Драйверы могут выполнять довольно высокоуровневые функции - например, драйверы файловых систем не работают непосредственно с диском, а организуют логическую структуру хранения данных на диске.

Сервисы и драйверы Windows NT конфигурируются с помощью Control Panel. Устанавливаются и конфигурируются новые сервисы и драйверы в различных частях Control Panel - сетевые средства - с помощью группы Networks, драйверы дисплея - с помощью группы Display и т.д.

Однако после установки управление всеми сервисами осуществляется с помощью иконки Services, а драйверами - с помощью иконки Devices. Управление заключается в определении условий старта этих программных компонент одновременно со стартом самой операционной системы. Эти условия задаются с помощью кнопки Startup, вызывающей соответствующее окно диалога, где можно определить три варианта условий старта - автоматический запуск при старте (Automatic), ручной запуск после старта (Manual), а также запретить запуск вообще (Disable).

Ручной запуск осуществляется с помощью кнопки Start, имеющейся как в группе Services, так и в группе Devices. Работающие сервисы или драйверы можно также вручную остановить, нажав кнопку Stop.

Логический вход в компьютер и домен

Когда пользователь выполняет логический вход в компьютер, то после аутентификации по имени и паролю для него создается токен доступа, куда помещается его личный SID, а также SID'ы всех групп, в которые пользователь входит. SID однозначно определяет пользователя, так как создается при занесении данных на пользователя уникальным образом - после удаления пользователя из базы SAM его SID больше повторно никогда не используется в системе.

Если пользователь выполняет логический вход в компьютер, например Windows NT Workstation 1, то его аутентификация выполняется в базе SAM 1 этого компьютера, и SID пользователю присваивается из нее.

Если же этот компьютер является членом домена, то тогда у него появляется возможность выполнить вход в домен (возможность входа в компьютер у него остается по-прежнему за счет выбора имени входа в панели диалога аутентификации).

Процедура логического входа рассматривается в разделе "Практические занятия".

Локальная инсталляция

Наиболее типичный вариант локальной инсталляции состоит в использовании компакт-диска и трех загрузочных дискет, прилагаемых к дистрибутиву на компакт-диске. Дистрибутив, целиком поставляемый на дискетах 3.5 дюйма, состоит из слишком большого числа дискет и поэтому используется редко.

Если у вас есть компакт-диск, но нет стартовых загрузочных дискет, то они могут быть получены на начальной стадии инсталляции. Возможен также вариант инсталляции вообще без загрузочных дискет - для этого необходимо стартовать программы winnt.exe или winnt32.exe с ключом /B. При этом варианте объем требуемого для инсталляции дискового пространства увеличивается за счет того, что сначала все файлы переписываются с дистрибутива в раздел диска (он может отличаться от того раздела, в который устанавливается система), а затем начинается собственно процедура инсталляции.

Перед началом инсталляции необходимо выяснить состав аппаратуры компьютера, так как, хотя программа инсталляции будет пытаться автоматически распознать тип аппаратуры, целесообразно знать ее самому, чтобы контролировать процесс автораспознавания и корректировать его при необходимости.

Перед началом инсталляции необходимо решить, в какой раздел диска будет устанавливаться Windows NT. Microsoft использует нетрадиционную терминологию для названий разделов диска, в которые устанавливаются файлы операционной системы Windows NT. Раздел, в который помещаются загрузочные файлы (boot.ini, ntdetect.com и ntldr), организующие старт операционной системы Windows NT (или передающие управление другим операционным системам), называется системным (system partition). Раздел, в который помещаются все системные файлы Windows NT (каталог systemroot, и входящие в него каталоги system, system32 и т.д.), называется загрузочным (boot partition).

Windows NT может использовать для установки только три типа файловых систем: NTFS, FAT и HPFS. Можно установить Windows NT на существующую файловую систему, при этом все файлы на ней сохранятся, а можно отформатировать в процессе инсталляции раздел для нового типа файловой системы. В этом случае форматирование возможно только для NTFS и FAT.

Если вы хотите, чтобы на компьютере попеременно могли стартовать Windows NT и MS-DOS (Windows 95 для загрузчика Windows NT также выглядит как одна из версий MS-DOS), то необходимо, чтобы активный раздел был отформатирован как FAT. Если же активный раздел будет отформатирован под NTFS, то MS-DOS не сможет стартовать.

Необходимо устанавливать Windows NT после инсталляции MS-DOS или Windows 95, так как только в этом случае загрузчик Windows NT сможет стартовать корректно и предложит вам меню для выбора, если в активном разделе установлены несколько операционных систем.

Переформатировать раздел для установки Windows NT можно в процессе инсталляции. Необходимо при этом помнить, что форматирование уничтожит все файлы в разделе.

Можно также конвертировать раздел FAT в раздел NTFS. В этом случае файлы в разделе останутся. Преобразование файловой системы окончательно произойдет только после окончания процедуры инсталляции и перезагрузки компьютера.

Инсталляция с помощью загрузочных дискет

В режиме Custom пользователь получает возможность контролировать процесс установки в гораздо большей степени. Он может изменить установки, используемые по умолчанию, в отношении SCSI-адаптеров, CD-ROM-дисководов и нестандартных жестких дисков. В этом режиме можно установить драйвер производителя для нестандартного CD-проигрывателя, сетевого адаптера или видеоадаптера.

В этой части процесса установки не следует выбирать русскую раскладку клавиатуры, так как при этом вы не сможете закончить установку - вам не удастся ответить на некоторые вопросы, требующие набора английских букв. Заниматься русификацией клавиатуры лучше после окончания инсталляции. После перезагрузки система начинает работать в графическом режиме. На этом этапе происходит установка драйверов сетевых адаптеров, модемов, сетевых протоколов, принтеров и режим работы видеоадаптера.

Windows NT Server невозможно установить без сетевой поддержки. Сетевым устройством считается либо сетевой адаптер, либо модем, поддерживаемый службой Remote Access Services. При отсутствии таких устройств можно установить фиктивный сетевой адаптер - для этого необходимо выбрать драйвер MS Loopback из списка имеющихся сетевых карт. В конце инсталляции программа Setup предложит создать дискету Emergency Repair Disk. На этой дискете будет храниться наиболее важная информация о параметрах установленной системы Windows NT - структуре системных каталогов и составе находящихся в них файлов, качестве системных файлов - повреждены или нет, переменных загрузки, находящихся в файле boot.ini, данных в загрузочном секторе активного раздела диска, а также о составе и данных базы конфигурации системы - Registry.

Дискету Emergency Repair Disk можно использовать для восстановления системы в том случае, если другие способы - использование опции Last Known Good Configuration при старте системы или анализ журнала системных ошибок не дают положительного результата. Восстановление системы с помощью дискеты Emergency Repair Disk выполняется программой Setup - той же, с помощью которой вы производили инсталляцию. Ее нужно запустить, вызвав winnt.exe, работая под MS-DOS, или же стартовав компьютер с помощью загрузочной дискеты. Для того, чтобы вместо новой инсталляции начался процесс восстановления системы, нужно напечатать r в ответ на вопрос, нужно ли инсталлировать систему или выполнять восстановление (Repair).

После этого можно выбрать, какую часть системы вы хотите восстанавливать - системные файлы, конфигурацию Registry, переменные загрузки или загрузочный сектор диска. В процессе восстановления может понадобиться дистрибутив системы, с которого будут взяты исходные системные файлы для замены поврежденных.

Данные на дискете Emergency Repair Disk желательно обновлять после каждого крупного изменения в системе, иначе восстановится то состояние системы, которое было непосредственно после завершения инсталляции. Обновление системных параметров на Emergency Repair Disk выполняется с помощью программы rdisk.exe. Так как исходные версии дистрибутивов Windows NT Server и Windows NT Workstation, не свободны, к сожалению, от ошибок, необходимо после инсталляции выполнить последнюю версию Service Pack, которая имеется в свободном доступе на www.microsoft.com. Service Pack заменит некоторые системные файлы, в которых были обнаружены ошибки, на их новые версии.

Service Pack необходимо запускать не только после инсталляции системы, но и после установки новых сервисов, служб и протоколов, которые не были установлены первоначально. Например, если на Windows NT Server не была первоначально установлена служба RAS, а затем она добавляется к системе, то после ее установки необходимо запустить последнюю версию Service Pack.

Service Pack, ввиду его большого размера (16 Мбайт и выше), удобно хранить на файлсервере в общедоступном для чтения разделяемом каталоге. Не обязательно устанавливать все службы и протоколы при первоначальной инсталляции. Необходимо установить некоторый минимум, который позволит проверить работоспособность системы в локальном и сетевом режимах. Любую службу или протокол можно добавить потом, после проверки работоспособности основных компонент системы.

Локальные, глобальные и специальные группы

Windows NT Server использует три типа групп: локальные, глобальные и специальные. Каждый тип имеет свое назначение, возможности и ограничения.

Локальная группа может определяться для домена или для компьютера. Локальные группы дают пользователям права и разрешения на ресурсы того компьютера (или домена), где хранится учетная информация локальной группы. Доступ к ресурсам компьютера - Windows NT Workstation или Windows NT Server могут быть определены только для членов локальной группы этого компьютера, даже если эти компьютеры яваляются членами домена. Например, доступ к ресурсам сервера Windows NT Server 2 на рисунке 5.1 может быть определен только для пользователей, учетные данные которых хранятся в SAM 2 этого компьютера.

Так как база SAM PDC копируется на все BDC домена, то пользователи, определенные в PDC, могут иметь права на ресурсы как PDC, так и всех BDC домена.

Доступ к ресурсам компьютера для пользователей домена обеспечивается за счет механизма включения в локальную группу отдельных пользователей домена и глобальных групп домена. Включенные пользователи и группы получают те же права доступа, что и другие члены данной группы. Механизм включения глобальных групп в локальные является основным средством централизованного администрирования прав доступа в домене Windows NT.

Локальная группа не может содержать другие локальные группы. Поэтому в сети, использующей модель рабочей группы нет возможности определить на одном компьютере всех пользовавтелей сети и предоставлять им доступ к ресурсам других компьютеров.

Рис. 5.1. Пример глобальной группы

В любом случае локальная группа объединяет некоторое число пользователей и глобальных групп, которым присваивается общее имя - имя локальной группы. Локальные группы могут включать пользователей и глобальные группы не только данного домена, но и любых доверяемых доменов.

Windows NT Workstation и Server поддерживают несколько встроенных локальных групп для выполнения системных задач. Администратор может создавать дополнительные локальные группы для управления доступом к ресурсам. Встроенные локальные группы делятся на две категории - администраторы (Administrators), которые имеют все права и разрешения на данный компьютер, и операторы, которые имеют ограниченные права на выполнение специфических задач. Для Windows NT Server имеются следующие группы-операторы: операторы архивирования (Backup Operator), репликаторы (Replicator), операторы сервера (Serevr Operator), принт-операторы (Print Operator) и операторы учетной информации (Account Operator). Для Windows NT Workstation имеется только две группы операторов - Backup Operators и Power Users.

Кроме того, как на Windows NT Server, так и на Windows NT Workstation имеются втроенные локальные группы Users - для обычных пользователей, и Guests - для временных пользователей, которые не могут иметь профиля и должны обладать минимальными правами.

Для упрощения организации предоставления доступа пользователям из другого домена в Windows NT введено понятие глобальной группы.

Глобальная группа пользователей - это группа, которая имеет имя и права, глобальные для всей сети, в отличие от локальных групп пользователей, которые имеют имена и права, действительные только в пределах одного домена. Администратор доверяющего домена может предоставлять доступ к ресурсам своего домена пользователям из глобальных групп тех доменов, которым данный домен доверяет. Глобальные группы можно включать в состав локальных групп пользователей ресурсного домена.

Глобальная группа - это некоторое число пользователей одного домена, которые группируются под одним именем. Глобальным группам могут даваться права и разрешения путем включения их в локальные группы, которые уже имеют требуемые права и разрешения. Глобальная группа может содержать только учетную информацию пользователей из локальных учетных баз данных, она не может содержать локальные группы или другие глобальные группы.

Существует три типа встроенных глобальных групп: администратор домена (Domain Admins), пользователи домена (Domain Users) и гости домена (Domain Guests). Эти группы изначально являются членами локальных групп администраторов, пользователей и гостей соответственно.

Необходимо использовать встроенные группы там, где только это возможно. Рекомендуется формировать группы в следующей последовательности:

Специальная группа - используется исключительно Windows NT Server для системного доступа. Специальные группы не содержат учетной информации пользователей и групп. Администраторы не могут приписать пользователей к этим группам. Пользователи либо являются членами этих групп по умолчанию (например, каждый пользователь является членом специальной группы Everyone), либо они становятся ими в зависимости от своей сетевой активности.

Существует 4 типа специальных групп:

Network (Cетевая) Interactive (Интерактивная) Everyone (Каждый) Creator Owner (Создатель-Владелец).

Любой пользователь, который хочет получить доступ к разделяемому ресурсу по сети, автоматически становится членом группы Network. Пользователь, локально вошедший в компьютер, автоматически включается в группу Interactive. Один и тот же пользователь в зависимости от того, как он работает с компьютером, будет иметь разные права. Любой пользователь сети является членом группы Everyone. Администратор может назначить группе Everyone любые права. При этом администратор может предоставить любые права пользователю, не заводя на него учетной информации на своем компьютере. Группа Creator Owner содержит учетную информацию пользователя, который создал ресурс или владеет им.

В файловой системе NTFS разрешения группе Creator Owner даются на уровне каталога. Владелец любого каталога или файла, созданного в данном каталоге, получает разрешения, данные группе Creator Owner. Например, можно назначить какому-либо каталогу для членов группы Everyone разрешения Read (Чтение), а группе Creator Owner предоставить доступ Full Control (Полное управление). Любой пользователь, который создает файлы или подкаталоги в этом каталоге, будет иметь к ним доступ Full Control.

Место размещения продуктов межсетевого взаимодействия

Если в качестве средства межсетевого взаимодействия выбран шлюз, то, как правило, он располагается на сервере той сети, в которой находятся его клиенты. Например, шлюз SNA Server, позволяющий клиентам Windows NT обращаться к мейнфреймам IBM, должен быть установлен на сервере Windows NT Server.

При использовании мультиплексоров протоколов существует два варианта размещения дополнительного стека протоколов - на одном или на другом взаимодействующем компьютере. Для протоколов типа "клиент-сервер" важно учитывать функциональные различия между клиентскими и серверными частями. Если дополнительный стек устанавливается на сервере, то этот сервер становится доступным для всех клиентов с этим стеком. При этом нужно тщательно оценивать влияние установки дополнительного продукта на производительность сервера.

При размещении дополнительного стека на клиентах вопросы производительности не так важны. Здесь более важными являются ограничения ресурсов клиентских машин, а также затраты труда администратора на установку и поддержание дополнительных стеков в работоспособном состоянии на большом числе компьютеров.

При выборе места размещения часто возникает и другой, чисто практический вопрос: имеется ли возможность изменять программное обеспечение обоих взаимодействующих сетей, или одна из них является недоступной? В принципе можно решить задачу взаимодействия двух сетей в полном объеме за счет установки согласующих продуктов только в одной сети - если для нее есть соответствующие продукты. Например, Windows NT позволяет обеспечить двустороннее взаимодействие с сетями NetWare, устанавливая дополнительные продукты только на своей стороне, оставляя в неизменном виде программное обеспечение клиентов и серверов NetWare. Клиенты на базе Windows NT Workstation получают доступ к сети NetWare с помощью установленных в них продуктов NWLink и NWCS, а серверы Windows NT Server предоставляют свои ресурсы клиентам сети NetWare с помощью продукта File and Print Services for NetWare. (Правда, нужно учитывать, что редиректор NWCS, поставляемый в версии 3.5х не поддерживает службу каталогов NDS компании Novell, поэтому для работы с серверами Net-Ware 4.x в качестве полноценных клиентов или тем более администраторов, следует использовать либо клиентов для NetWare, включенных в Windows NT 4.0, либо продукт компании Novell - NetWare Client for Windows NT.)

Методы и средства миграции от сетей NetWare к сетям Windows NT

Для смягчения перехода от NetWare к Windows NT Server разработано несколько инструментальных программ, в том числе утилита Migration Tool, которая включена в комплект поставки Windows NT Server. Эта утилита переносит учетную информацию пользователей (имена пользователей, ограничения и права доступа) и данные с одного или нескольких файловых серверов NetWare на сервер Windows NT. Migration Tool подбирает наилучшее соответствие между возможностями NetWare и возможностями Windows NT. Однако имеется ряд существенных различий в том, как обрабатываются такие вещи, как ограничения. В NetWare подобная информация обрабатывается для каждого пользователя в отдельности, а в Windows NT она общая для целого сервера.

Компания Beame and Whiteside Software создала первый NFS-сервер для Windows NT, а также продукт под названием BW-Multiconnect, который превращает сервер Windows NT в сервер NetWare. Системы Windows NT с установленным продуктом BW-Multiconnect посылают широковещательные сообщения по протоколу SAP (протокол объявления сервисов и серверов по сети - Service Advertising Protocol, с помощью которого клиенты NetWare узнают о наличии в сети серверов и о тех услугах, которые они предоставляют). BW-Multiconnect должен облегчить сосуществование или миграцию от NetWare к Windows NT. Хотя он и может работать как единственный NCP-сервер сети, он не предназначен для этой роли, так как предоставляет лишь ограниченный набор утилит под Windows и DOS и не обрабатывает входных командных файлов NetWare. Но когда в сети есть "настоящий" файловый сервер NetWare, то пользователи могут войти в этот сервер, выполнить системный входной командный файл, а затем подсоединиться к серверу Windows NT. Этот продукт превращает в сервер NetWare как Windows NT Server, так и Windows NT Workstation.

Утилита Migration Tool for NetWare использует протокол NW Link и шлюз GSNW для доступа к серверам NetWare. Она автоматизирует перенос следующей информации:

учетные данные о пользователях и группах, файлы и каталоги, права доступа пользователей и групп.

Если первая версия Migration Tool не делала переноса входных сценариев (Login скриптов), то последняя версия это делает.

Некоторые параметры при переносе теряются, в том числе ограничения на используемое пользователем дисковое пространство (Disk Volume Restrictions). Не переносятся также пароли пользователей.

Для исключения возможных ошибок при переходе существует функция пробной миграции, при которой выполняется имитация перехода с проверкой правильности его выполнения. Все замеченные ошибки заносятся в журнал, что позволит администратору скорректировать параметры миграции. Если же ошибки обнаружены не будут, можно смело выполнять процедуру перехода.

Возможности Migration Tool расширяет продукт Directory Service Manager for NetWare (DSMN), который дает возможность администратору с одной консоли управлять учетной информацией в серверах Windows NT и NetWare 2.x и 3.х.

Работа в гетерогенной сети, включающей в себя домены Windows NT и серверы NetWare 2.х и 3.х, сопряжена с тем неудобством, что на каждом из NetWare серверов имеется своя база пользователей и свои ресурсы, администрирование которых возможно только на этом сервере. Поэтому пользователям сети Microsoft придется дополнительно регистрироваться на каждом из NetWare серверов для доступа к его ресурсам (в этом плане они ничем не отличаются от обычных клиентов NetWare). Для устранения такого неудобства существует дополнительная утилита, называемая Directory Service Manager for NetWare, позволяющая синхронизировать пользователей между доменом Windows NT и серверами NetWare.

Эта утилита позволяет делегировать группы пользователей домена на произвольно выбранные серверы NetWare, обеспечивая тем самым единство пользователей и их профилей. Для администратора Windows NT Server также предоставляется возможность разрешить каждому конкретному пользователю осуществлять доступ к серверам NetWare. Каждому из пользователей можно задать свой сценарий регистрации, а также указать иные параметры обеспечения совместимости с NetWare. DSMN копирует учетную информацию пользователей и групп из серверов NetWare в NT Directory Services, а затем автоматически вносит любые возникшие изменения назад, в сервер NetWare. Администратор может указать DSNM, информацию о каких группах нужно копировать назад в NetWare. Пользователи могут входить под одним и тем же именем и паролем как в серверы Windows NT, так и в серверы NetWare.

Этот продукт не поддерживает глобальную службу каталогов NDS.

В заключение приведем последовательность шагов, необходимую для перехода от NetWare к Windows NT:

Номер шага, действие	Метод	Результаты
Шаг 1. Добавить сервер приложений NT к сети NetWare	NT Server с протоколом NW Link	Клиенты NetWare могут получить доступ к приложениям на NT-сервере Клиенты NetWare продолжают пользоваться файлсервером NetWare
Шаг 2. Предоставить NT-клиентам шлюз к сети Net-Ware	Gateway Service for NetWare (GSNW)	Клиенты NT могут получить доступ к серверам NetWare Все клиенты могут использовать TCP/IP для коммерческого доступа в Internet
Шаг 3. Централизованное администрирование учетной информации пользователей в NT и NetWare	Directory Service Manager for Net-Ware (DSNM)	Возможность управлять пользователями централизованно из службы Directory Services NT
Шаг 4. Дать клиентам Net-Ware доступ к файл- и принт-сервисам NT	File and Print Services for NetWare (FPNW)	Доступ к разделяемым файлам и принтерам на сервере NT
Шаг 5. Миграция пользователей в сервер NT	Migration Tool Удаление серверов NetWare Переименование сервера NT - дать ему имя сервера NetWare	Перенос Login скриптов, файлов, каталогов и прав доступа в NT-сервер Становятся доступными аппаратные средства сервера NetWare
Шаг 6. Переход целиком на сеть NT	Переход к TCP/IP с клиентами Microsoft Добавление Internet Information Server для работы с Internet	Сеть целиком стала сетью Windows NT

Методы инсталляции

Последовательность действий при инсталляции Windows NT Server и Windows NT Workstation имеет много общего, поэтому далее описываются общие этапы инсталляции, а особенности процесса для каждого вида системы оговариваются особо. Выбор роли сервера в домене описан в разделе 2.5.

Существует три основных метода инсталляции:

Инсталляция с дискет 3.5 дюйма Инсталляция с CD Инсталляция по сети

Кроме того, различается начальная инсталляция, когда система устанавливается полностью заново, и модификация - upgrade - уже установленной версии Windows NT. В последнем случае системные файлы заменяются на новые, а все установки, имеющиеся в предыдущей версии, сохраняются.

Вне зависимости от применения одного из описанных выше методов, инсталляцию можно начинать в среде MS-DOS с помощью программы winnt.exe или же в среде Windows NT с помощью программы winnt32.exe.

Микроядерная структура - основа стабильности системы

При разработке структуры Windows NT была в значительной степени использована концепция микроядра. В соответствии с этой идеей ОС делится на несколько подсистем-серверов, каждая из которых выполняет отдельный набор сервисных функций - например, сервис памяти, сервис по созданию процессов или сервис по планированию процессов. Каждый сервер выполняется в пользовательском режиме, выполняя циклическую проверку, не появился ли запрос от клиента на одну из его сервисных функций. Клиент, которым может быть либо другая компонента ОС, либо прикладная программа, запрашивает сервис, посылая сообщение на сервер. Этот запрос перехватывается ядром, которое из-за ограниченности выполняемых функций в случае такой организации называется микроядром. Ядро ОС, работая в привилегированном режиме, доставляет сообщение нужному серверу. Сервер выполняет операцию, после чего ядро возвращает результаты клиенту с помощью другого сообщения (рисунок 1.1). Микроядро играет роль регулировщика - оно проверяет сообщения, пересылает их между серверами и клиентами и предоставляет доступ к аппаратуре.

Рис. 1.1. Структура ОС на базе микроядра

Использование концепции микроядра способствует переносимости операционных систем, поскольку весь машинно-зависимый код изолирован в микроядре, а значит для переноса системы на новый процессор требуется меньше изменений, и все они логически сгруппированы вместе. Операционная система Windows NT может работать на компьютерах, построенных на базе процессоров Intel, PowerPC, DEC Alpha, MIPS.

Технология микроядер является основой построения множественных прикладных сред, которые обеспечивают совместимость программ, написанных для разных ОС. Абстрагируя интерфейсы прикладных программ от расположенных ниже операционных систем, микроядра позволяют гарантировать, что вложения в прикладные программы не пропадут в течение нескольких лет, даже если будут сменяться операционные системы и процессоры. В среде Windows NT, кроме "родных" 32-битовых приложений, могут выполняться приложения MS-DOS, 16-битовые Windows-приложения, Posix- и OS/2-приложения.

Однако, такая гибкость не дается даром. Пересылка сообщений не так быстра, как обычные вызовы функций, и ее оптимизация является критическим фактором успеха операционной системы на основе микроядра. Поэтому разработчики Windows NT отказались от модели микроядра в ее чистом виде. Кроме собственно микроядра, в привилегированном режиме работает часть Windows NT, называемая executive - исполнительная подсистема. Она включает ряд компонентов, которые управляют виртуальной памятью, объектами, вводом-выводом и файловой системой (включая сетевые драйверы), взаимодействием процессов и, частично, системой безопасности. Часть Windows NT, работающая в пользовательском режиме состоит из серверов Windows NT, называемых также защищенными подсистемами (рисунок 1.2).

Рис. 1.2. Структура Windows NT

Так как защищенные подсистемы автоматически не могут совместно использовать память, они общаются друг с другом посредством посылки сообщений. Сообщения могут передаваться как между клиентом и сервером, так и между двумя серверами. Все сообщения проходят через executive. Защищенные подсистемы Windows NT работают в пользовательском режиме и создаются Windows NT во время загрузки операционной системы. Сразу после создания они начинают бесконечный цикл своего выполнения, отвечая на сообщения, поступающие к ним от прикладных процессов и других подсистем. Для упрощения на рисунке взаимодействие приложений с защищенными подсистемами иллюстрируется стрелками, соединяющими их напрямую, однако в действительности взаимодействие приложений с защищенными подсистемами реализуется через ядро путем обмена сообщениями.

Поддержку защищенных подсистем обеспечивает исполнительная часть Windows NT - executive, которая работает в пространстве ядра и никогда не сбрасывается на диск. Ее составными частями являются:

Менеджер объектов. Создает, удаляет и управляет объектами NT executive - абстрактными типами данных, используемыми для представления ресурсов системы. Монитор безопасности. Устанавливает правила защиты на локальном компьютере. Охраняет ресурсы операционной системы, выполняет защиту и регистрацию исполняемых объектов. Менеджер процессов. Создает и завершает, приостанавливает и возобновляет процессы и нити, а также хранит о них информацию. Менеджер виртуальной памяти.

Средства локального вызова процедур. Передают сообщения между клиентскими и серверными процессами одного и того же компьютера. Подсистема ввода-вывода. Включает в себя следующие компоненты: 1) менеджер ввода-вывода предоставляет средства ввода-вывода, независимые от устройств; 2) файловые системы, NT-драйверы, выполняющие файл-ориентированные запросы на ввод-вывод, транслирующие их в вызовы обычных устройств; 3) сетевой редиректор и сетевой сервер, драйверы файловых систем, передающие удаленные запросы на ввод-вывод на машины сети и получающие запросы от них; 4) драйверы устройств NT executive, низкоуровневые драйверы, которые непосредственно управляют устройством; 5) менеджер кэша, реализующий кэширование диска.

Исполнительная часть в свою очередь основывается на службах нижнего уровня, предоставляемых ядром (его можно назвать и микроядром) NT. В функции ядра входит:

планирование нитей, обработка прерываний и исключительных ситуаций, синхронизация процессоров для мультипроцессорных систем, восстановление системы после сбоев.

Обратиться к ядру можно только посредством прерывания. Ядро расположено над уровнем аппаратных абстракций (Hardware Abstraction Level HAL), который концентрирует в одном месте основную часть машинно-зависимых процедур. Располагается HAL между NT executive и аппаратным обеспечением и скрывает от системы такие детали, как контроллеры прерываний, интерфейсы ввода/вывода и механизмы взаимодействия между процессорами. Такое решение позволяет легко переносить Windows NT с одной платформы на другую путем замены только слоя HAL.

Среди всех защищенных подсистем можно выделить так называемые подсистемы окружения - Win32, 16-битный Windows, DOS, OS/2, Posix. Каждая из этих подсистем реализует соответствующий прикладной программный интерфейс. Windows NT использует подсистемы окружения со следующими целями:

Обеспечить несколько программных интерфейсов (APIs), сохраняя как можно более простым базовый программный код (NT executive). Экранировать базовую операционную систему от изменений или расширений в поддерживаемых API. Объединить часть глобальных данных, требуемых всем API, и в то же время отделить данные, требуемые одному API от данных, требуемых другим API. Защитить окружение каждого API от приложений, а также от окружений других API и защитить базовую операционную систему от различных окружений. Позволить операционной системе расширяться в будущем за счет новых API.

Многопротокольная маршрутизация

Многопротокольная маршрутизация в Windows NT Server реализуется маршрутизатором MPR. Этот маршрутизатор выполняет динамическую маршрутизацию по протоколам IP и IPX с использованием протокола обмена маршрутной информацией RIP.

Маршрутизатор MPR включен в состав дистрибутива систем Windows NT Server и Windows NT Workstation 4.0.

На сервере www.microsoft.com находится также более мощный вариант маршрутизатора SteelHead, который наряду с RIP поддерживает также и OSPF.

Направление согласования

В то время как на трех нижних уровнях модели OSI протоколы почти всегда симметричны по отношению к взаимодействующим компьютерам, протоколы прикладного уровня, как правило, несимметричны и состоят из клиентской части, запрашивающей и потребляющей удаленный ресурс, и серверной части, предоставляющей этот ресурс в общее пользование. Клиентскую часть протокола часто называют редиректором или инициатором запросов.

При организации взаимодействия двух разнородных сетей в общем случае нужно решать две задачи - обеспечение доступа клиентов сети А к серверам сети В, и обеспечение доступа клиентов сети В к серверам сети А. Эти задачи независимы, и их можно решать отдельно. При выборе продуктов межсетевого взаимодействия прежде всего нужно выяснить, необходимо ли полное решение или достаточно и частичного.

Большинство имеющихся на рынке продуктов обеспечивает только однонаправленное согласование прикладных сервисов. Например, шлюз Gateway Services for NetWare обеспечивает клиентам Windows NT доступ к файл- и принт-сервисам NetWare, но не предоставляет клиентам NetWare доступ к аналогичным сервисам Windows NT. Обратная задача может быть решена с помощью продукта File and Print Services for NetWare, устанавливаемого на серверах Windows NT. Он представляет собой серверную часть протокола NCP, которая в режиме мультиплексирования работает параллельно с серверной частью "родного" для Windows NT протокола SMB.

Объекты и счетчики Performance Monitor

12.3.1. Типы объектов

Объекты представляют в Performance Monitor процессы, секции разделяемой памяти и физические устройства. Процесс в Windows NT может представлять приложение (например, Word for Windows), сервис системы (например, Print Spooler) или подсистему окружения (например, Posix).

С каждым из объектов связан ряд счетчиков, значения которых можно наблюдать. В сущности, Performance Monitor предоставляет данные не об объектах, а о счетчиках.

Счетчики обычно включают ссылку на объект, к которому они относятся, в форме ОБЪЕКТ:СЧЕТЧИК. Например, PROCESSOR:%PROCESSOR TIME - это счетчик, учитывающий процент использования для данного процессора.

12.3.2. Процессы и экземпляры

Объект, соответствующий процессу, может быть представлен в нескольких экземплярах. Если в системе одновременно активны четыре процесса, то Performance Monitor будет генерировать данные для четырех экземпляров объекта типа процесс.

Любые объекты могут иметь несколько экземпляров. Например, объект Processor может иметь несколько экземпляров, если система многопроцессорная. Если объект имеет несколько экземпляров, то каждый экземпляр может использовать один и тот же набор счетчиков.

12.3.3. Адреса и нити

Каждый процесс, кроме выполняемого файла, имеет также область виртуального адресного пространства и по крайней мере одну нить. Каждая нить, работающая в операционной системе, отображается как отдельный экземпляр объекта типа нить и идентифицируется процессом, в рамках которого она выполняется. Например, если Printer Manager имеет две активные нити, то Performance Monitor идентифицирует их как экземпляры объектанити с именами Printman = 0 и Printman = 1.

12.3.4. Счетчики

С каждым объектом связан набор счетчиков, которые генерируют данные о различных аспектах производительности объекта. В следующей таблице собраны наиболее влияющие на производительность счетчики.

Тип объекта	Счетчик	Возможные действия
Processor (процессор)	%Processor Time (время занятости процессора)	Если значение этого счетчика постоянно велико, а значения счетчика диска и сетевого адаптера невысоки, то нужно проверить процессор
Physical Disk (физический диск)	%Disk Time (время занятости диска)	Если значение этого счетчика постоянно велико, и значение счетчика Disk Queue Length (длина очереди к диску) больше 2, то нужно проверить диск
Memory (память)	Pages/sec (скорость обмена страниц)	Если этот счетчик постоянно больше 5, то нужно проверить память
Server (сервер)	Bytes Total/sec (скорость обмена с памятью)	Если сумма значений счетчиков Bytes Total/sec для всех серверов сети примерно равна максимальной пропускной способности сети, то сеть нужно сегментировать

12.3.5. Способы представления данных

Performance Monitor обеспечивает несколько вариантов представления собранных данных: режим просмотра графиков (chart view), режим отчета (report view), режим предупреждения (alert view) и режим регистрации в файле (log view). Режим просмотра графиков позволяет в реальном времени представлять в одном окне экрана в виде двухмерных графиков последовательные значения нескольких счетчиков.

В режиме отчета данные представляются в формате таблицы. Режим предупреждения позволяет во время работы утилиты Performance Monitor продолжать другие работы. При наступлении заранее определенного события монитор предупреждает администратора путем отображения соответствующего экрана. Предупреждение может происходить при первом наступлении события или при каждом. В этом режиме фиксируется максимум 1000 событий. Режим фиксации данных в файле позволяет просмотреть их позже в удобной форме - в виде графиков, отчетов и предупреждений.

12.3.6. Наблюдение за потреблением ресурсов процессора, дисков и памяти

Процессор

Так как процессор всегда выполняет некоторые команды, то теоретически коэффициент его использования всегда равен 100%. Однако в системе имеются так называемые "нити простоя", которые просто выполняют цикл ожидания следующего события для низкоуровневого кода ядра. Время выполнения этих нитей не учитывается при вычислении коэффициента использования в утилите Performance Monitor.

Performance Monitor характеризует использование процессоров объектами двух типов:

System - характеризует общую загрузку всех процессоров системы; Processor - характеризует загрузку конкретного процессора.

В однопроцессорной системе эти значения совпадают.

Для этих объектов имеются три счетчика, связанные с коэффициентом использования:

% [Total] Privileged Time - доля времени, которое процессор проводит в привилегированном режиме; % [Total] User Time - доля времени, которое процессор проводит в пользовательском режиме; % [Total] Processor time - доля времени, которое процессор проводит, занимаясь полезной работой, то есть не в нитях простоя.

Если значение счетчика % Processor Time превышает 80%, то это говорит о том, что процессор не справляется с работой, и он должен быть заменен на более мощный (или же должен быть добавлен еще один процессор, если система многопроцессорная).

Аналогичные счетчики существуют и для объекта Process. В этом случае они отражают коэффициент использования процессора только нитями одного конкретного процесса.

Кроме того, имеются и другие счетчики для характеристики работы процессоров, из которых наиболее важными являются следующие:

Processor Queue Length - длина очереди к процессору, равна количеству нитей, готовых к выполнению и стоящих в очереди к процессору. Если в течение длительного времени средняя длина очереди превышает значение 2, то это говорит о том, что процессор является узким местом. Обычно значение этого счетчика равно 0. Interrupt/sec - количество прерываний в секунду, характеризует интенсивность запросов обслуживания от устройств ввода-вывода. Резкое увеличение значения этого счетчика без увеличения активности системы говорит об аппаратных проблемах.

Счетчик Process: % Processor Time нужно использовать для отслеживания коэффициента использования процессора для всех процессов. Если более чем два процесса претендуют на большую часть процессорного времени, то необходимо заменить или добавить процессор.

Диск

При наблюдении за диском нужно учитывать, что среднее время доступа к данным для большинства дисков находится в пределах от 8 до 18 миллисекунд.

Статистика о работе дисковой подсистемы может помочь в достижении баланса рабочей нагрузки сетевого сервера. Если дисковая подсистема достаточно производительна, то это создает меньшую нагрузку на подсистему виртуальной памяти и программы будут выполняться быстрее. Performance Monitor поддерживает два типа объектов, которые содержат счетчики дисковой подсистемы:

Physical Disk - счетчики физического диска полезны для обнаружения неисправностей и планирования емкости. Logical Disk - счетчики, генерирующие статистику о свободном пространстве на диске и идентифицирующие любой источник активности на физическом томе.

С производительностью диска тесно связаны два счетчика: Disk Queue Length - средняя длина очереди запросов к диску, и Average Disk sec/Transfer - среднее время выполнения одного запроса к диску.

На основании значений этих счетчиков можно вычислить такой важный показатель, как среднее время ожидания в очереди, которое хорошо отражает производительность дисковой подсистемы.

Среднее время ожидания в очереди = Disk Queue Length x Average Disk sec/Transfer.

Обычно дисковые счетчики в системе отключены чтобы не снижать ее производительности.

Память

Оптимизация памяти состоит в определении трех вещей:

корректного значения размера физической памяти; корректного значения размера страничного файла (ов); корректного распределения страничного файла (ов).

Для определения корректного значения физической памяти необходимо выполнить два шага. Во-первых, решить, нужна ли дополнительная память. Во-вторых, определить количество требуемой дополнительной памяти.

Решение о том, что дополнительная память нужна, принимается на основании количества страничных обменов, которые выполняет система. Если страничный обмен ведется интенсивно, то производительность существенно снижается.

Для того, чтобы определить, что страничный обмен ведется слишком интенсивно, нужно вычислить произведение:

Memory: Pages/sec x Logical Disk: Avg. Disk sec/Transfer,

где Logical Disk относится к диску, на котором находится страничный файл PAGE-FILE.SYS.

Это произведение равно доле времени доступа к диску, которое тратится на страничные обмены. Если эта доля больше 10% (0.1), то система нуждается в дополнительной памяти.

Следующий шаг состоит в определении количества дополнительной памяти. Эта величина определяется на основании значения счетчика Process: Working Set для каждого активного процесса в системе. Нужно по очереди завершать процессы в системе (начиная с процесса с самым большим значением рабочего набора) и следить за интенсивностью страничного обмена. После того, как интенсивность страничного обмена уменьшится до приемлемой величины, нужно найти суммарный объем памяти, потребляемой завершенными процессами, сложив их рабочие наборы. Этот объем и будет величиной требуемой дополнительной памяти.

Оптимизация сервера

Оптимизация Windows NT Server подобна оптимизации Windows NT Workstation за несколькими исключениями:

Компоненты, поддерживающие пользовательский интерфейс, такие как мышь, клавиатура и видеоподсистема, меньше нуждаются в оптимизации, так как в большинстве случаев компьютер с Windows NT Server не будет поддерживать интерактивный доступ пользователей. Серверные компоненты в данном случае более важны, чем редиректор. Если память является узким местом, то можно уменьшить память, выделенную для редиректора и увеличить для сервера. Если сервер выполняет приложения, написанные в модели клиент-сервер, такие как SQL Server, SNA Server или приложения, поддерживающие механизм RPC, то к диску будет обращаться меньше приложений, так что распределение файлов между несколькими дисками может оказаться весьма полезным.

Серверные компоненты Windows NT можно сконфигурировать из панели Network утилиты Control Panel. Имеется четыре общих установки:

Minimize Memory Used - минимизация используемой памяти, изначально уменьшает до 10 максимальное число соединений с клиентами. Balance - баланс между потребляемой памятью и производительностью, поддерживается до 64 соединений. Maximize Throughput For File Sharing - выделяется память для максимально поддерживаемого числа соединений (до 71 000 соединений). Maximize Throughput For Network Applications - выделяется память для максимально поддерживаемого числа соединений, но для кэша выделяется меньше памяти, чем в предыдущем случае.

Процесс обработки сетевых запросов сервером можно наблюдать с помощью счетчика WorkItemShortage объекта Server, а влиять на этот процесс можно путем задания значений для двух переменных базы Registry - InitialWorkItems и MaximumWorkItems. Work Item - это рабочая структура, которая используется сервером для постановки в очередь сетевых запросов от клиентов. Если сервер перегружен, то запрос от клиента может быть отклонен, так как в наличии нет свободной рабочей структуру для его фиксации. При возникновении такого события Performance Monitor наращивает значение счетчика WorkItemShortage. Администратор должен отслеживать этот счетчик и изменять значения переменных Registry, если это необходимо.

Два счетчика информируют администратора о том, что сервер достиг границы максимально доступной для него памяти:

Pool Nonpaged Failures - количество попыток получения памяти из пула не охваченной страничным механизмом памяти, которые были неудачными из-за недостатка ресурсов. Эти события ясно указывают на то, что в компьютере не хватает физической памяти для работы сервера в данной конфигурации. Pool Paged Failures - количество попыток получения памяти из пула свободных страниц, которые были неудачными из-за недостатка ресурсов. Это говорит либо о недостатке физической памяти, либо о недостаточном размере страничного файла.

Оптимизация сервиса рабочей станции

Хотя редиректор Windows NT (сервис Workstation) является самонастраивающимся, администратор должен следить за показаниями нескольких счетчиков:

Current Commands Network Errors/sec Remote Server Bottlenecks

Current Commands - это количество команд, которые находятся в очереди к редиректору. Если это число больше, чем одна команда на один сетевой адаптер, то редиректор может быть узким местом в системе. Это может происходить по трем причинам:

Сервер, с которым взаимодействует редиректор, работает медленней, чем редиректор; Сеть испытывает перегрузки; Редиректор более загружен, чем адаптер.

Если выявлена перегруженность сети, то, возможно, ее можно несколько разгрузить за счет сегментации сети.

Network Errors/sec - это интенсивность возникновения серьезных сетевых ошибок, обнаруженных редиректором. Наличие таких ошибок говорит о том, что нужны дополнительные исследования. Целесообразно использовать для этой цели регистратор событий Event Log.

Производительность редиректора может ограничиваться за счет низкой производительности удаленных серверов, с которыми взаимодействует редиректор. В Performance Monitor есть два счетчика - Reads Denied/sec и Writes Denied/sec, ненулевые значения которых свидетельствуют о том, что удаленные серверы испытывают трудности с выделением оперативной памяти. Необходимо проверить серверы, с которыми данный редиректор обменивается большими файлами. Если на них нет возможности увеличить объем памяти, используемой для режима RAW I/O (рассматривается ниже), то на рабочей станции нужно запретить использование этого режима. Это делается с помощью установки переменных UseRawReads и UseRawWrites в состояние False.

Оптимизация сетевого оборудования

Хотя имеется очень мало возможностей для непосредственной оптимизации сетевого адаптера, но сам выбор хорошего адаптера может удвоить производительность Windows NT Server. Для выбора сетевого адаптера имеются некоторые соображения. Во-первых, нужно выбирать такой адаптер, который использует всю разрядность шины ввода-вывода компьютера. Если компьютер имеет шину EISA, то нужен адаптер для этой шины, а не 8- или 16-разрядный адаптер.

Во-вторых, выбор сетевого адаптера включает выбор драйвера адаптера. Для Windows NT нужно выбирать адаптер, сертифицированный для работы по спецификации NDIS 3.x. Такую информацию можно найти в списке Windows NT Hardware Compatibility.

Организация сетевой печати в Windows NT

Подсистема сетевой печати Windows NT включает следующие элементы:

Устройство печати (print device) - физическое устройство, которое печатает текстовые и графические документы на бумаге, например, Hewlett-Packard Laser Jet 4p или Cannon Bubble-Jet 10B. Обычно это устройство называют принтером, но Microsoft под принтером понимает программное обеспечение. Принтер (printer) - программный интерфейс между операционной системой и устройством печати. Принтер включает драйвер принтера и ряд других программных компонент, организующих печать документов на физическом устройстве. Устройство печати с сетевым интерфейсом (Network-interface print device) - устройство с собственным сетевым адаптером. Оно не должно подключаться к порту компьютера, так как может непосредственно взаимодействовать с сетью. Принт-сервер (print server) - компьютер, на котором работает программное обеспечение принтера. Принт-сервер получает документы от клиентов и организует их печать. Нужно отличать использование этого термина в Windows NT от использования его в Net-Ware и OS/2 - там очередью называют программный интерфейс между операционной системой и устройством печати, то есть то, что в Windows NT имеет название принтер. Принт-спулер (print spooler) - набор динамических библиотек DLL, которые организуют получение, планирование и распределение документов. Спулинг - это процесс записи принтерных работ в файл на диске. Это файл называется спул-файлом. Спулер всегда устанавливается на принт-сервере, а также на клиентах Windows NT Workstation и Windows 95. Использование спулера на клиенте ускоряет работу приложений, печатающих свои документы, так как для приложения в этом случае процесс печати завершается после помещения всех его страниц в локальный спулер, а не в сетевой спулер принт-сервера. Очередь (queue) - группа документов, ожидающих печати. Не нужно Пул печати (printing pool) - обслуживание одним принтером нескольких однотипных устройств печати, подключенных к одному компьютеру. Организация пула печати позволяет переложить на программное обеспечение работу по балансу загрузки физических устройств печати. Пользователь не знает, на какое конкретное устройство он посылает документ.

Для организации сетевой печати в сети Windows NT должен по крайней мере один компьютер, выполняющий роль принт-сервера. Им может быть как Windows NT Server, так и Windows NT Workstation. При использовании Windows NT Workstation имеются ограничения - число одновременных соединений клиентов не может превышать 10, не поддерживаются клиенты Macintosh и NetWare.

Клиентами принт-сервера Windows NT могут быть компьютеры, работающие под управлением:

Windows NT Windows 95 Windows for Workgroups LAN Manager 2.x OS/2 UNIX NetWare * (только для принт-сервера на Windows NT Server) Macintosh * (только для принт-сервера на Windows NT Server)

На клиентах Windows NT Workstation 4.0 и Windows 95 не нужно устанавливать драйвер принтера для печати документа на принт-сервере. Этот драйвер автоматически переписывается с принт-сервера, когда клиент первый раз соединяется с принт-сервером. Клиент Windows NT Workstation 4.0 при каждом последующем соединении проверяет соответствие своей версии драйвера принтера той, которая имеется на принт-сервере и при ее обновлении заново переписывает свежую версию. Клиент Windows 95 так не делает, поэтому обновлять версию драйвера нужно вручную, устанавливая ее на клиенте.

На остальных клиентах для соединения с принт-сервером Windows NT необходимо установить соответствующий драйвер принтера.

Для клиентов не-Microsoft на принт-сервере нужно установить дополнительное программное обеспечение:

Macintosh - Services for Macintosh NetWare - File and Print Services for NetWare UNIX - TCP/IP Printer Service

Необходимо отметить, что принт-сервер может иметь несколько подключенных устройств печати и несколько инсталлированных принтеров.

Связь между принтерами и устройствами может быть достаточно гибкой:

каждое устройство может обслуживаться отдельным принтером; несколько устройств могут обслуживаться одним принтером (пул печати); одно устройство может обслуживаться несколькими принтерами - это позволяет назначить каждому принтеру свой приоритет и документы будут печататься на устройстве в приоритетном порядке, в зависимости от того, на какой принтер пользователь послал документ.

Основной и резервный контроллеры

Домен - это основная единица администрирования и обеспечения безопасности в Windows NT. Для домена существует общая база данных учетной информации пользователей домена (user accounts) и ресурсов домена - компьютеров (computer accounts) и принтеров (printer accounts). Пользователь домена выполняет один логический вход в домен и получает доступ сразу ко всем разрешенным ресурсам этого домена.

Рис. 4.1. Структура домена

Членами домена являются как пользователи, так и компьютеры. При отсутствии доменной организации каждый компьютер Windows NT Workstation и Windows NT Server хранит собственную базу учетных данных пользователей - SAM (Security Access Manager). В этой базе хранится вся необходимая системе информация о пользователе - имя, пароль (в зашифрованном виде) и так называемый SID - Security Identifier. Идентификатор SID играет ключевую роль в процессе предоставления пользователю доступа к защищенным ресурсам системы - файлам, принтерам и т.п. В списке прав доступа ресурса ACL хранится информация о конкретных номерах SID, которым разрешен тот или иной вид доступа. Каждый SID является уникальным числом. При изменении имени пользователя его SID не изменяется.

Компьютер домена также характеризуется именем и идентификатором SID, между которыми имеется такое же соотношение, как и между именем и идентификатором SID пользователя.

В домене обязательно есть сервер Windows NT Server, выполняющий роль первичного контроллера домена - Primary Domain Controller, PDC. Этот контроллер хранит первичную копию базы данных учетной информации пользователей домена - SAM PD. Все изменения учетной информации сначала производятся именно в этой копии. Основной контроллер домена всегда существует в единственном экземпляре.

Кроме основного контроллера, в домене могут существовать несколько резервных контроллеров - Backup Domain Controllers, BDC. Эти контроллеры хранят реплики базы учетных данных. Все резервные контроллеры в дополнение к основному могут обрабатывать запросы пользователей на логический вход в домен. База данных SAM BD всегда является копией (с точностью до интервала синхронизации) базы SAM PD.

Резервный контроллер домена решает две задачи:

Если сеть состоит из нескольких сетей, соединенных глобальными связями, то в каждой из составляющих сетей должен быть по крайней мере один резервный контроллер домена.

Членами домена могут быть также компьютеры, на которых установлены Windows NT Server, не назначенные на роль PDC или BDC. Такие серверы называются отдельно стоящими серверами (Stand-alone servers) или серверами - членами доменами (Member servers). На таких компьютерах, освобожденных от функций аутентификации пользователей и ведения справочной базы данных, могут более производительно выполняться ответственные приложения или файл- и принт-сервисы. Stand-alone серверы не могут быть оперативно переконфигурированы в PDC или BDC, для этого требуется переинсталляция.

Рабочая станция Windows NT Workstation и сервер Windows NT Server, не выполняющий роль PDC или BDC, могут динамически изменять свое членство в домене, а серверы PDC и BDC - только при инсталляции системы. Поэтому при инсталляции очень важно правильно выбрать принадлежность компьютера, назначенного на роль контроллера домена, тому или иному домену.

Процедура присоединения компьютера к домену описана в разделе "Практические занятия".

Основные схемы организации взаимодействия сетей Windows NT и сетей NetWare

Существует много разных причин, которые делают необходимым интеграцию Windows NT и NetWare. Это прежде всего восполнение известного недостатка NetWare - отсутствия хорошего сервера приложений. Windows NT с ее многозадачностью, многопотоковостью, наличием нескольких универсальных прикладных программных интерфейсов и поддержкой мультипроцессорной обработки прекрасно подходит на эту роль.

В состав Windows NT входит надежный сервер удаленного доступа RAS, который может быть использован клиентами сети NetWare. Такая возможность особенно привлекательна для администратора, который с помощью RAS может находясь вдали от сети (например, дома), вызвать утилиту RCONSOLE и выполнить работу по наладке сети. При таком подходе утилиты Net-Ware могут постоянно храниться в домашнем компьютере, а не загружаться каждый раз по медленной линии связи. Очевидно, что для доступа к сети NetWare через RAS необходимо установить на сервере Windows NT шлюз Gateway Service for NetWare.

Еще одним примером применения Gateway Service for NetWare для пользователей сети Net-Ware является возможность работать с Web-страницами, предоставляя им знакомый интерфейс фирмы Novell. Раньше для создания Web-страниц пользователи обращались к Web-серверу, функционирующему на платформе Unix. Предварительно они должны были изучить редактор для среды Unix, чтобы создавать и редактировать документы в формате HTML, и ПО FTP, применяемое для передачи документов, созданных на их компьютерах, на Unix-хост. (Конечно, все эти проблемы в значительной степени решает IntranetWare - новое программное обеспечение компании Novell, ориентированное на поддержку Internet и интрасетей.)

Для интеграции Windows NT Server в среду NetWare корпорация Microsoft предлагает ряд встроенных и добавочных продуктов, а также средства для полного перехода на свою сетевую ОС. Как Windows NT Workstation, так и Windows NT Server имеют встроенную поддержку стека протоколов Novell, а именно протоколов IPX/SPX и клиентской части NCP.

Организация, использующая NetWare, может добавить Windows NT в качестве:

клиентской рабочей станции; файлового сервера или сервера печати наряду с NetWare; файлового сервера или сервера печати вместо NetWare; сервера баз данных или других приложений.

Особенности реализации стека TCP/IP в ОС Windows NT

Так как большинство операционных систем поддерживают протоколы TCP/IP, они могут использовать этот стек протоколов как средство взаимодействия. Используя TCP/IP, Windows NT может общаться со многими операционными системами, включая

хосты сети Internet; системы Apple Macintosh; системы на базе Unix; мэйнфреймы IBM; компьютеры сетей DEC Pathworks; принтеры с сетевыми адаптерами, непосредственно подключенные к сети.

9.1.1. Обзор стека TCP/IP

Transmission Control Protocol/Internet Protocol (TCP/IP) - это промышленный стандарт стека протоколов, разработанный для глобальных сетей.

Стандарты TCP/IP опубликованы в серии документов, названных Request for Comment (RFC). Документы RFC описывают внутреннюю работу сети Internet. Некоторые RFC описывают сетевые сервисы или протоколы и их реализацию, в то время как другие обобщают условия применения. Стандарты TCP/IP всегда публикуются в виде документов RFC, но не все RFC определяют стандарты.

Реализация стека TCP/IP в ОС Windows NT дает следующие преимущества:

Это стандартный корпоративный сетевой протокол, который представляет собой наиболее завершенный и популярный сетевой протокол. Все современные операционные системы поддерживают TCP/IP, а почти все большие сети передают основную часть своего трафика с помощью протокола TCP/IP. Это метод получения доступа к сети Internet. Это технология для соединения разнородных систем. Стек предоставляет многие стандартные средства взаимодействия для доступа и передачи данных между разнородными системами, включая протокол передачи файлов FTP и протокол эмуляции терминала Telnet. Некоторые из этих стандартных средств включены в состав Windows NT. Это устойчивая масштабируемая межплатформенная среда для приложений клиентсервер. Microsoft TCP/IP предлагает интерфейс Windows Sockets, который представляет собой очень удобное средство для разработки приложений клиент-сервер. Эти приложения могут работать на стеках других производителей с интерфейсом Windows Sockets. Приложения для Windows Sockets могут также использоваться другими сетевыми протоколами такими как Microsoft NWLink или NetBIOS.

Стек TCP/IP в среде Windows NT содержит:

Базовые протоколы - TCP, IP, UDP, ARP, ICMP. Прикладные программные интерфейсы - Windows NT Sockets для сетевого программирования, RPC - для взаимодействия между компьютерами, NetBIOS для использования логических имен и сессий в сети, сетевую версию DDE для разделения информации, встроенной в документы, по сети. Сервисы прикладного уровня, включая Finger, FTP, RCP, REXEC, RSH, Telnet, TFTP. Эти сервисы позволяют пользователям Windows NT Server использовать ресурсы компьютеров с ОС, разработанными отличными от Microsoft компаниями, например, Unix. Диагностические средства TCP/IP, включающие ARP, HOSTNAME, IPCONFIG, NBTSTAT, NETSTAT, PING, ROUTE. Эти утилиты используются для обнаружения и устранения сетевых проблем при работе со стеком TCP/IP. SNMP - агент протокола TCP/IP. Эта компонента позволяет управлять компьютером Windows NT по сети, используя такие средства, как Sun Net Manager или HP Open View.

9.1.2. Утилиты и сервисы TCP/IP в Windows NT

Windows NT Server включает дополнительные утилиты и сервисы TCP/IP:

DHCP - обеспечивает автоматическое конфигурирование параметров стека TCP/IP в средах Windows NT Server, Windows NT Workstation, Windows for Workgroups и сетевых клиентов производства компании Microsoft. WINS - динамически регистрирует имена компьютеров и поддерживает их соответствие IP-адресам. LPDSVC - обеспечивает доступ к принтерам работающим в среде Unix. Функция наблюдения для сервера FTP позволяет регистрировать все FTP-операции.

Кроме того, к Windows NT Server добавлен ряд дополнительных простых TCP/IP-протоколов, к которым относятся:

ECHO - возвращает любые получаемые данные назад источнику. DISCARD - отбрасывает любые получаемые данные. CHARGER - это генератор символов, который отправляет данные, не обращая внимания на получаемые данные. Хотя эти данные могут быть любыми, рекомендуется использовать некоторые образцы. QUOTE - отсылает короткую цитату дня. Эта цитата может извлекаться из пользовательского файла цитат или из файла цитат, который поставляется вместе с данным сервисом. DAYTIME - отсылает текущее значение даты и времени в виде символьной строки, без учета получаемых данных.

В качестве основного протокола сетевого уровня (в терминах модели OSI) в стеке используется протокол IP, который изначально проектировался как протокол передачи пакетов в составных сетях, состоящих из большого количества локальных сетей, объединенных как локальными, так и глобальными связями. Поэтому стек TCP/IP хорошо работает в сетях со сложной топологией, рационально используя наличие в них подсистем и экономно расходуя пропускную способность низкоскоростных глобальных линий связи.

Основные функции протокола IP - маршрутизация пакетов, а также сборка и разборка пакетов. Последняя функция необходима в том случае, когда пакеты формируются в одной сети и передаются через другую сеть, максимальная длина пакета в которой меньше. Протокол IP является датаграммным протоколом.

К этому же уровню относится и протокол межсетевых управляющих сообщений ICMP (Internet Control Message Protocol). Этот протокол предназначен для обмена информацией об ошибках между маршрутизатором или шлюзом, системой-источником и системой-приемником, то есть для организации обратной связи. С помощью специальных пакетов ICMP сообщается о невозможности доставки пакета, превышении времени жизни или продолжительности сборки пакета из фрагментов, об аномальных величинах параметров, об изменении маршрута пересылки и типа обслуживания, запросы-ответы о состоянии системы и т.п.

На более высоком уровне функционируют протокол управления передачей TCP (Transmission Control Protocol) и протокол дейтаграмм пользователя UDP (User Datagram Protocol). Протокол TCP обеспечивает устойчивое виртуальное соединение между удаленными прикладными процессами. Протокол UDP обеспечивает передачу прикладных пакетов датаграммным методом, то есть без установления виртуального соединения, и поэтому требует меньших накладных расходов, чем TCP.

Самый верхний уровень стека TCP/IP называется прикладным. За долгие годы использования в сетях различных стран и организаций стек TCP/IP накопил большое количество протоколов и сервисов прикладного уровня. К ним относятся такие широко используемые протоколы, как протокол пересылки файлов FTP, протокол эмуляции терминала telnet, почтовый протокол SMTP, используемый в электронной почте сети Internet, гипертекстовые сервисы доступа к удаленной информации, такие как WWW и многие другие.

Рис. 9.1. Стек протоколов Microsoft TCP/IP

Протокол SNMP ( Simple Network Management Protocol) используется для организации сетевого управления. Модель управления в семействе TCP/IP разделяет проблему управления на две части. Первая часть связана с передачей информации. Протоколы передачи управляющей информации определяют, как программа-клиент, работающая на хосте администратора, взаимодействует с сервером. Они определяют формат и смысл сообщений, которыми обмениваются клиенты и серверы, а также форматы имен и адресов. Вторая часть связана с контролируемыми данными. Стандарты регламентируют, какие данные должны сохраняться и накапливаться в серверах, имена этих данных и синтаксис этих имен. В стандарте SNMP определена спецификация информационной базы данных управления сетью. Эта спецификация, известная как база данных MIB (Management Information Base), определяет те элементы данных, которые хост или шлюз должен сохранять, и допустимые операции над ними.

Протокол управления сетью SNMP определяет правила взаимодействия между программой-клиентом системы управления сетью, с которой работает администратор, и программой-сервером, собирающей информацию.

Протокол пересылки файлов FTP (File Transfer Protocol) реализует удаленный доступ к файлу. Он может использоваться приложениями и пользователями для передачи файлов по сети. Для того, чтобы обеспечить надежную передачу, FTP использует в качестве транспорта протокол с установлением соединений - TCP. Однако, кроме пересылки файлов, протокол FTP предлагает и другие услуги. Так, пользователю предоставляется возможность интерактивной работы с удаленной машиной, например, он может распечатать содержимое ее каталогов. Кроме того, FTP позволяет пользователю указывать тип и формат запоминаемых данных. Наконец, FTP выполняет аутентификацию пользователей. Прежде, чем передать требуемый файл, в соответствии с протоколом пользователи должны сообщить свое имя и пароль.

Хотя FTP является наиболее общим протоколом передачи файлов в стеке TCP/IP, он является и самым сложным для программирования. Приложения, которым не требуются все возможности FTP, могут использовать другой, более экономичный протокол - простейший протокол пересылки файлов TFTP (Trivial File Transfer Protocol). Этот протокол реализует только передачу файлов, причем в качестве транспорта используется более простой, чем TCP, протокол без установления соединения - UDP.

Протокол telnet обеспечивает передачу потока байтов между процессами, а также между процессом и терминалом. Наиболее часто этот протокол используется для эмуляции терминала удаленной ЭВМ. Для обеспечения такой передачи в протоколе telnet терминалам предоставляется широкий спектр средств обслуживания.

Протоколы канального, сетевого и транспортного уровней реализуются в Windows NT, как и в большинстве других сетевых операционных систем, в виде драйверов. Протоколы прикладного уровня стека TCP/IP реализованы в Windows NT в виде утилит, которые работают в режиме командной строки (кроме утилиты telnet). Некоторые вспомогательные утилиты реализуют протоколы или некоторые функции протоколов нижних уровней, таких как ICMP или ARP. Имеются также утилиты, не реализующие коммуникационные протоколы, а отображающие информацию о конфигурации стека TCP/IP или сессии TCP/IP.

Утилиты TCP/IP

PING - проверяет конфигурацию и тестирует соединения. FTP - обеспечивает двунаправленную передачу файлов между компьютерами Windows NT и хостами TCP/IP с использованием протокола UDP. Telnet - обеспечивает эмуляцию терминала. Remote Copy Protocol (RCP) - копирует файлы между компьютером Windows NT и Unix-хостом. Remote Shell (RSH) - запускает команды на удаленном Unix-хосте. Remote Execution (REXEC) - запускает процесс на удаленном компьютере. Finger - получает системную информацию от удаленного компьютера, который поддерживает сервис Finger. ARP - показывает содержимое локального кэша, в котором хранится информация о соответствии IP-адресов МАС-адресам. IPCONFIG - отображает текущую конфигурацию стека TCP/IP. NBTSTAT - показывает список имен компьютеров протокола NetBIOS, которые отображены на IP-адреса. NETSTAT - показывает информацию о сессии TCP/IP. ROUTE - отображает или модифицирует таблицу маршрутизации. HOSTNAME - возвращает имя компьютера, на котором выполняется эта команда.

Отличия режима удаленного узла от режима удаленного управления

В зависимости от потребностей пользователей и возможностей программно-аппаратного обеспечения для удаленного доступа могут использоваться две основных схемы: режим удаленного узла и режим удаленного управления.

Удаленное управление (remote control) - это способ, при котором удаленный компьютер становится, в сущности, виртуальным терминалом компьютера-хоста, который может быть, а может и не быть подключен к сети. Этот вариант позволяет запустить любое приложение на компьютере-хосте, а также получить доступ к любым данным этого хоста. Удаленное управление нужно использовать тогда, когда вы работаете с приложениями, не оптимизированными для работы в сети, например с традиционными СУБД персональных компьютеров, например, dBase, Paradox или Access. Когда приложение находится на одном компьютере, а файлы баз данных - на другом, то в сети создается большой трафик.

Протоколы, используемые программами удаленного управления для передачи информации об обновлении экрана, нажатиях клавиш и перемещениях мыши, являются нестандартными - пользователи Norton pc Anywhera не смогут дозвониться до хоста, работающего под управлением программ ReachOut, LapLink for Windows, Carbon Copy, Remotely Possible или Close-Up.

В Windows NT сервис удаленного доступа RAS реализует режим удаленного узла. (remote node). Программное обеспечение удаленного узла на клиентской машине позволяет последовательному порту и модему (или интерфейсу ISDN) стать медленным узлом канального уровня, взаимодействующим обычным способом с редиректором операционной системы. В локальной сети должен быть установлен сервер удаленного узла, который умеет транслировать приходящие низкоскоростные кадры в кадры протоколов Ethernet, Token Ring и других протоколов, используемых в локальной сети.

Серверы, работающие в режиме удаленного узла, представляют собой функциональный эквивалент маршрутизаторов или мостов с WAN-портами для последовательных или ISDN-линий. Клиенты, работающие в режиме удаленного узла, могут логически войти в сеть таким же образом, как если бы они были локальными пользователями, отображать сетевые диски и даже загружать программы через удаленную связь. Но загрузка больших программ не разумна, так как самый скоростной модем - (28.8 Кб/с) работает со скоростью, составляющей только 3% от скорости сегмента Ethernet, и программа, которая в локальной сети загружается за 30 сек, будет загружаться по удаленной связи в течение 15-20 минут. Поэтому в режиме удаленного узла следует использовать преимущественно локальные копии программ.

Удаленный узел наиболее эффективно работает с системами клиент-сервер, такими как СУБД, файл- и принт-серверы, а также с мейнфреймами.

Операционные системы Mac OS, OS/2, Windows 95 и Windows NT WorkStation включают в стандартной поставке клиентскую часть программного обеспечения удаленного узла. В настоящее время имеется явная тенденция использования клиентами удаленного узла протокола РРР. В результате достигается совместимость клиентских и серверных частей систем, работающих в режиме удаленного узла, различных производителей.

Удаленный доступ может быть реализован по-разному, в зависимости от направления предоставляемого доступа. Dial-in - режим, который позволяет пользователю, работающему на отдельном компьютере, обращаться с запросами в удаленную сеть. Именно это является основной задачей систем удаленного доступа. С этой точки зрения удаленный доступ можно определить как эффективный способ разделения ресурсов централизованных серверов между удаленными клиентами. Однако иногда пользователям или процессам центральной сети может потребоваться обратиться к отдельным удаленным компьютерам. Dial-out - режим, который предоставляет пользователям локальной сети доступ к отдельно стоящим удаленным компьютерам.

Performance Monitor - средство измерения производительности

Performance Monitor - это утилита, разработанная для фиксации активности компьютера в реальном масштабе времени. С помощью этой утилиты можно определить большую часть узких мест, ухудшающих производительность. Эта утилита также включена в Windows NT Workstation.

Performance Monitor основан на ряде счетчиков, которые фиксируют такие характеристики, как число процессов, ожидающих завершения операции с диском, число сетевых пакетов, передаваемых в единицу времени, процент использования процессора и другие.

Performance Monitor генерирует полезную информацию за счет:

Наблюдения за производительностью в реальном времени и в исторической перспективе; Определения тенденций во времени; Определения узких мест; Отслеживания последствий изменения конфигурации системы; Наблюдения за локальным или удаленными компьютерами; Предупреждения администратора о событиях, заключающихся в превышении некоторыми характеристиками заданных порогов.

Performance Monitor работает с такими понятиями, как объекты (objects), счетчики (counters) и экземпляры (instances). Объекты характеризуются различными характеристиками, значения которых подсчитываются соответствующими счетчиками. Объект каждого типа может быть представлен в системе несколькими экземплярами. Например, процессор - это объект, процент процессорного времени - это счетчик, а процессор 0 - это экземпляр объекта процессор.

Счетчики генерируют числа, и на основании этих чисел Performance Monitor определяет статистику. Собираемая в течение определенного времени статистика счетчиков отражает тенденции производительности. Это может помочь администратору понять проблему и оптимизировать сеть. Кроме того, такие данные помогают правильно расширять сеть.

Пользователь может устанавливать интервал времени, в соответствии с которым Performance Monitor будет обновлять данные в файлах регистрации (logs), на графиках (graphs) и в отчетах (reports). Каждое из значений счетчика - это среднее из последних двух замеров, разделенных заданным временным интервалом. Задание интервала времени может также сказаться на количестве памяти и процессорного времени, затрачиваемых утилитой Performance Monitor при работе.

Защита данных обеспечивается за счет того, что две функции Performance Monitor доступны только пользователям - членам административной группы. Это: возможность запускать Performance Monitor с приоритетом задачи реального времени и способность активизировать дисковые счетчики.

Данные, собранные Performance Monitor, можно экспортировать в другие программные продукты, такие как электронные таблицы и базы данных для дальнейшего анализа.