Запрос на активацию области. IP-адреса, заданные в созданной области, не будут выдаваться клиентам, пока область не будет активирована (рис. 10.11):

Рис. 10.11

7. Нажимаем кнопку "Готово" и завершаем работу мастера. Область готова к использованию.

Если какие-либо параметры (например, адреса серверов DNS или WINS) являются общими для всех областей, управляемых данным DHCP-сервером, то такие параметры лучше определить не в разделе параметров каждой области, а в разделе параметров самого сервера (рис. 10.12).

Рис. 10.12

Настройка dhcp-клиентов

Клиентом DHCP может быть практически любое сетевое устройство, настроенное на автоматическое получение IP-адреса. Из операционных систем корпорации Microsoft клиентом DHCP могут быть все системы, имеющие стек TCP/IP (вплоть до системы MS-DOS).

Клиенты посылают запрос на аренду IP-адреса при своей первой загрузке, при смене настройки получения IP-адреса со статической на динамическую, а также с помощью команд ipconfig /release (освобождение арендованного IP-адреса) и ipconfig /renew (запрос на новую аренду).

Внимание! Сервер DHCP обязательно должен иметь статические IP-адреса на всех установленных в нем сетевых адаптерах.

Авторы рекомендуют вообще на всех серверах использовать только статические IP-адреса.

Замечание. При отсутствии в сети DHCP-сервера клиенты, настроенные на автоматическую настройку IP-адреса будут самостоятельно назначать себе IP-адреса из подсети класса B — 169.254.0.0/16. Данная технология называется автоматической IP-адресацией (APIPA, Automatic Private IP Addressing) и поддерживается операционными системами Microsoft, начиная с Windows 98.

Агент ретрансляции dhcp-запросов

Как уже говорилось выше, один сервер DHCP может обслуживать клиентов, расположенных в различных IP-сетях. Чтобы широковещательные запросы на аренду IP-адреса достигали DHCP-сервер из любой подсети, необходимо на маршрутизаторах, объединяющих разные IP-сети в единую сеть, установить и настроить агент ретрансляции DHCP (DHCP Relay Agent). Пример такой конфигурации изображен на рис. 10.13.

Рис. 10.13

В данном примере изображены две IP-сети класса C — 192.168.0.0/24 и 192.168.1.0/24. DHCP-сервер (имеющий IP-адрес 192.168.0.121) установлен в первой подсети и содержит 2 области — Scope-1 с диапазоном адресов 192.168.0.1–192.168.0.100 и Scope-2 с диапазоном адресов 192.168.1.1–192.168.1.100. Между двумя подсетями установлен маршрутизатор R, имеющий в первой подсети сетевой интерфейс с IP-адресом 192.168.0.101, а во второй подсети сетевой интерфейс с IP-адресом 192.168.1.101. На маршрутизаторе запушен агент ретрансляции DHCP-запросов, настроенный на перенаправление широковещательных DHCP-запросов на сервер с IP-адресом 192.168.0.121.

Клиенты DHCP, находящиеся в первой подсети, посылают широковещательные запросы на аренду IP-адреса, которые напрямую попадают на DHCP-сервер.

Клиенты DHCP, находящиеся во второй подсети, также посылают широковещательные запросы на аренду IP-адреса, которые не могут напрямую попасть на DHCP-сервер, т.к. маршрутизаторы не пропускают широковещательные пакеты из одной подсети в другую. Но если широковещательный пакет является запросом на аренду IP-адреса, то агент ретрансляции перехватывает данный пакет и пересылает его напрямую на DHCP-сервер. DHCP-сервер, видя от агента ретрансляции, что запрос пришел из второй подсети, выдает клиенту IP-адрес из пула адресов, заданных во второй области.

Служба wins

Служба WINS (Windows Internet Name Service) выполняет задачи, аналогичные задачам службы DNS, — динамическая регистрация имен компьютеров и других сетевых узлов и их IP-адресов в БД сервера WINS и разрешение имен компьютеров в IP-адреса. Главное отличие в том, что WINS функционирует в совершенно ином пространстве имен, т.н. пространстве имен NetBIOS, которое никак не пересекается с пространством FQDN-имен, в котором работает служба DNS. По этой причине службу WINS еще иначе называют NetBIOS Name Service (NBNS). До появления системы Windows 2000 сетевой программный интерфейс NetBIOS был основным сетевым интерфейсом для обмена данными между компьютерами в сетях на базе технологий Microsoft (технология SMB — предоставление совместного доступа к файлам и печати — работала только с помощью сетевого интерфейса NetBIOS), и поэтому служба WINS была основной службой разрешения имен компьютеров в IP-адреса. После выхода Windows 2000 служба файлов и печати может работать без NetBIOS, и основной технологией разрешения имен в IP-адреса стала служба DNS. Если в вашей сети нет операционных систем Windows 95/98/ME/NT, то вам служба WINS может вообще не потребоваться.

Пространство имен NetBios

Имена NetBIOS не образуют никакой иерархии в своем пространстве, это простой линейный список имен компьютеров, точнее работающих на компьютере служб. Имена компьютеров состоят из 15 видимых символов плюс 16-й служебный символ. Если видимых символов меньше 15, то оставшиеся символы заполняются нулями (не символ нуля, а байт, состоящий из двоичных нулей). 16-й символ соответствует службе, работающей на компьютере с данным именем.

Просмотреть список имен пространства NetBIOS, которые имеются на данном компьютере, можно с помощью команды "nbtstat –n".

Рассмотрим пример на рис. 10.14. На рисунке изображен вывод команды "nbtstat –n" на сервере dc1.world.ru, являющийся списком NetBIOS-имен, сгенерированных данным сервером.

Рис. 10.14

В угловых скобках указан шестнадцатиричный код 16-го служебного символа какого-либо имени. Например, имя DC1 и 16-й символ "00" соответствуют службе "Рабочая станция", которая выполняет роль клиента при подключении к ресурсам файлов и печати, предоставляемых другими компьютерами сети. А то же имя DC1 и символ с кодом "20" соответствуют службе "Сервер", которая предоставляет ресурсы файлов и печати данного сервера для других компьютеров сети. Имя WORLD соответствует либо Net-BIOS-имени домена world.ru (вспомните установку первого контроллера домена), либо имени т.н. сетевой рабочей группы, отображаемой в Сетевом окружении любого Windows-компьютера.

Имя "..__MSBROWSE__." говорит о том, что данный компьютер является Обозревателем сетевого окружения по протоколу TCP/IP. Т.е. если на каком-либо компьютере с системой Windows открыть "Сетевое окружение", то данный компьютер будет запрашивать список компьютеров, сгруппированных в сетевой рабочей группе WORLD, именно с сервера DC1.

Все эти имена, перечисленные в данной таблице, будут автоматически регистрироваться в базе данных сервера WINS после того, как данный сервер будет установлен в сети и данный компьютер станет клиентом сервера WINS.

Установка службы wins

Установка службы WINS выполняется по той же схеме, что и установка службы DHCP: "Пуск" — "Панель управления" — "Установки и удаление программ" — "Установки компонентов Windows" — "Сетевые службы" — кнопка "Состав" — выбрать пункт "WINS" — кнопки "ОК", "Далее" и "Готово" (если потребуется, то указать путь к дистрибутиву системы).

Настройка клиента wins

Для настройки сетевых компьютеров для использования ими сервера WINS необходимо в Свойствах протокола TCP/IP на закладке "WINS" указать IP-адреса используемых в сети WINS-серверов (для узлов со статическими IP-адресами; рис. 10.15) или добавить необходимые параметры в свойствах соответствующей области сервера DHCP (для узлов с динамическими IP-адресами).

Рис. 10.15

Клиент после таких изменений сделает попытку автоматической регистрации своих данных на сервере WINS. Автоматическая регистрация клиента на WINS-сервере осуществляется также в процессе загрузки системы на компьютере или командой "nbtstat –RR".

Просмотр записей, зарегистрированных в бд сервера wins

Для просмотра записей, хранящихся в БД WINS-сервера, необходимо открыть консоль управления WINS, раскрыть в консоли узел, относящийся к данному серверу, щелкнуть правой кнопкой мыши на разделе "Активные регистрации" и выбрать "Отобразить записи" (рис. 10.15):

Рис. 10.16

Затем нажать кнопку "Найти" (рис. 10.17):

Рис. 10.17

На экране консоли будет таблица, изображенная на рис. 10.18:

Рис. 10.18

Если система, поддерживающая NetBIOS, при этом не поддерживает автоматическую регистрацию в БД WINS-сервера, сетевой администратор может занести в БД сервера WINS статические записи для таких компьютеров.

Процесс разрешения имен в пространстве NetBios

Когда один компьютер пытается использовать ресурсы, предоставляемые другим компьютером через интерфейс NetBIOS поверх протокола TCP/IP, то первый компьютер, называемый клиентом, вначале должен определить IP-адрес второго компьютера, называемого сервером, по имени этого компьютера. Это может быть сделано одним из трех способов:

• широковещательный запрос;

• обращение к локальной базе данных NetBIOS-имен, хранящейся в файле LMHOSTS (этот файл хранится в той же папке, что и файл hosts, отображающий FQDN-имена);

• обращение к централизованной БД имен NetBIOS, хранящейся на сервере WINS.

В зависимости от типа узла NetBIOS, разрешение имен осуществляется с помощью различных комбинаций перечисленных способов:

• b-узел (broadcast node, широковещательный узел) — разрешает имена в IP-адреса посредством широковещательных сообщений (компьютер, которому нужно разрешить имя, рассылает по локальной сети широковещательное сообщение с запросом IP-адреса по имени компьютера);

• p-узел (peer node, узел "точка — точка") — разрешает имена в IP-адреса с помощью WINS-сервера (когда клиенту нужно разрешить имя компьютера в IP-адрес, клиент отправляет серверу имя, а тот в ответ посылает адрес);

• m-узел (mixed node, смешанный узел) — комбинирует запросы b- и р-узла (WINS-клиент смешанного типа сначала пытается применить широковещательный запрос, а в случае неудачи обращается к WlNS-серверу; поскольку разрешение имени начинается с широковещательного запроса, m-узел загружает сеть широковещательным трафиком в той же степени, что и b-узел);

• h-узел (hybrid node, гибридный узел) — также комбинирует запросы b-узла и р-узла, но при этом сначала используется запрос к WINS-серверу и лишь в случае неудачи начинается рассылка широковещательного сообщения, поэтому в большинстве сетей h-узлы работают быстрее и меньше засоряют сеть широковещательными пакетами.

С точки зрения производительности, объема сетевого трафика и надежности процесса разрешения NetBIOS-имен самым эффективным является h-узел.

Если в свойствах протокола TCP/IP Windows-компьютера нет ссылки на WINS-сервер, то данный компьютер является b-узлом. Если в свойствах протокола TCP/IP имеется ссылка хотя бы на один WINS-сервер, то данный компьютер является h-узлом. Другие типы узлов настраиваются через реестр системы Windows.

Репликация wins-серверов

В больших сетях для распределения нагрузки по регистрации и разрешению NetBIOS-имен необходимо использовать несколько серверов WINS (рекомендации Microsoft — один WINS-сервер на каждые 10000 сетевых узлов). При этом одна часть клиентов будет настроена на регистрацию и обращение для разрешения имен на один WINS-сервер, другая часть — на второй сервер и т.д. Для того, чтобы все серверы WINS имели полную информацию обо всех имеющихся в корпоративной сети NetBIOS-узлах, необходимо настроить репликацию баз данных серверов WINS между собой. После завершения репликации каждый сервер WINS будет иметь полный список NetBIOS-узлов всей сети. И любой клиент, регистрируясь на "ближайшем" к нему WINS-сервере, при этом может послать запрос "своему" серверу на разрешение имен NetBIOS-узлов, зарегистрированных не только на данном WINS-сервере, но и на всех остальных серверах WINS.

Важное замечание. Клиенты с системами Windows 2000/XP/2003 для разрешения имен всегда используют в первую очередь запросы к серверам DNS, даже если речь идет о пространстве имен NetBIOS.

Служба rras

Служба RRAS (Routing and Remote Access Service, Служба Маршрутизации и Удаленного Доступа) — служба системы Windows Server, позволяющая решать следующие задачи:

• подключение мобильных (или домашних) пользователей к корпоративной сети через коммутируемые телефонные линии и другие средства коммуникаций (например, сети Frame Relay, X.25);

• подключение к сети главного офиса компании удаленных офисов (через телефонные линии и сети Frame Relay, X.25);

• организация защищенных соединений (виртуальные частные сети) между мобильными пользователями, подключенными к сетям общего пользования (например, Интернет), и корпоративной сетью;

• организация защищенных соединений между офисами компании, подключенными к сетям общего пользования;

• маршрутизация сетевого трафика между различными подсетями корпоративной сети, соединенными как с помощью технологий локальных сетей, так и с помощью различных средств удаленных коммуникаций (например, по коммутируемым телефонным линиям).

Служба RRAS обладает богатым набором функций и возможностей. В рамках данного курса мы рассмотрим базовые функции и возможности данной службы, которые в первую очередь необходимо знать любому сетевому администратору.

Службы удаленного доступа, реализованные различными производителями, используют два основных коммуникационных протокола, которые образуют уровень, промежуточный между средствами коммуникаций (коммутируемые телефонные линии, Frame Relay, X.25) и сетевыми протоколами (TCP/IP, IPX/SPX):

• протокол SLIP (Serial Line Interface Protocol) — достаточно старый протокол, реализованный преимущественно на серверах удаленного доступа, функционирующих в системах семейства UNIX (разработан специально для подключения пользователей к сети Интернет); системы семейства Windows поддерживают данный протокол только на клиентской части (SLIP позволяет работать только с сетевым стеком TCP/IP, требует написания специальных сценариев для подключения клиента к серверу, не позволяет создавать виртуальные частные сети);

• протокол PPP (Point-to-Point Protocol) — используемый повсеместно коммуникационный протокол (точнее, семейство протоколов), позволяющий пользователям прозрачно подключаться к серверу удаленного доступа, использовать различные сетевые протоколы (TCP/IP, IPX/SPX, NetBEUI, AplleTalk), создавать виртуальные частные сети (служба удаленного доступа серверов Windows использует именно этот коммуникационный протокол).

Начнем с примера, показывающего процесс установки начальной настройки службы, и обсудим терминологию, технологии, а также все необходимые нам параметры, функции и возможности данной службы.

Установка и первоначальная настройка службы rras

Службу RRAS не нужно добавлять через окно добавления Компонент Windows. Эта служба устанавливается при установке системы, но по умолчанию она отключена. Ее необходимо включить и настроить.

Нажмем кнопку "Пуск", выберем "Все программы" — "Администрирование" — "Маршрутизация и удаленный доступ". Откроется консоль управления службой RRAS, выберем в окне консоли имя сервера, щелкнем правой кнопкой мыши и выберем пункт меню "Настроить и включить маршрутизацию и удаленный доступ". Запустится Мастер установки сервера маршрутизации и удаленного доступа:

1. Вначале мастер просит выбрать один из сценариев использования службы RRAS (рис. 10.19). Для нашего учебного примера выберем вариант "Особая конфигурация" (чтобы увидеть все возможности службы).

Рис. 10.19

2. Далее для варианта "Особая конфигурация" надо выбрать нужные нам функции службы (отметим все варианты; рис. 10.20).

Рис. 10.20

3. Нажмем кнопку "Готово". Мастер спросит, запустить ли службу сразу после настройки, нажмем кнопку "Да". Окно консоли управления службой примет вид, изображенный на рис. 10.21.

Рис. 10.21

Нам для изучения службы RRAS потребуются не все установленные компоненты, поэтому мы часть компонент рассмотрим обзорно, а часть просто удалим из консоли.

Настройка прав пользователей для подключения к серверу удаленного доступа

При отсутствии сервера RADIUS (см. ниже) разрешения на подключение пользователя к серверам удаленного доступа определяются комбинацией Свойств пользователя и Политик удаленного доступа, настраиваемых индивидуально для каждого сервера удаленного доступа.

Если домен Active Directory работает в смешанном режиме, то разрешения на удаленный доступ определяются только в Свойствах пользователя на закладке "Входящие звонки" (Dial-In). При этом есть только два варианта — разрешить или запретить (рис. 10.22). по умолчанию для каждого нового пользователя задается запрещающее правило. Кроме разрешения/запрета можно также настроить Обратный вызов сервера (Call-back). Здесь имеются три варианта:

• "Ответный вызов не выполняется" — при подключении пользователя к серверу удаленного доступа вначале устанавливается телефонное соединение между модемом пользователя и модемом клиента, если доступ разрешен, то устанавливается сетевой соединение и пользователь получает возможность работать в сети;

• "Устанавливается вызывающим" — в этом варианте после установления телефонного соединения между модемами и проверки прав доступа система запросит у клиента ввести номер телефона, с которого подключается данный клиент, после этого сервер разрывает связь и уже самостоятельно производит соединение с клиентом по тому номеру телефона, который сообщил этот пользователь (данный вариант удобен для мобильных пользователей — пользователь экономит на телефонном звонке и повышается защищенность доступа, т.к. в идеале никто, кроме пользователя, не должен знать номер телефона, с которого пользователь инициировал соединение);

• "Всегда по этому номеру" (с указанием номера телефона) — данный вариант похож на предыдущий, только номер телефона уже введен в параметры пользователя и сервер будет перезванивать именно на данный номер (этот вариант будет интересен домашним пользователям — здесь тоже пользователь экономит на телефонном звонке и, кроме того, дополнительная защита — злоумышленнику трудно будет подключиться к серверу, даже если ему известны имя и пароль пользователя).

Рис. 10.22

Если домен работает в основном режиме Windows 2000 или Windows 2003, то можно либо в явном виде разрешать или запрещать доступ к серверам удаленного доступа, причем ко всем сразу, либо настраивать разрешения через Политики удаленного доступа (о Политиках будет рассказано ниже; рис. 10.23). Заметим, что явное разрешения или явный запрет имеют более высокий приоритет, чем Политики удаленного доступа.

В основном режиме в Свойствах пользователя становятся доступны дополнительные параметры:

• "Проверять код звонящего" (Caller ID) — если оператор телефонной связи передает модему номер телефона, с которого был произведен звонок, то сервер будет разрешать подключение только при вызове с данного номера (это еще один уровень защиты от злоумышленников);

• "Статический IP-адрес пользователя" — при установлении соединения пользователю назначается фиксированный IP-адрес;

• "Использовать статическую маршрутизацию" — при установлении соединения пользователю пересылается указанный список маршрутизаторов.

Рис. 10.23

Настройка Свойств сервера

Снова выберем в окне консоли имя сервера, щелкнем правой кнопкой мыши и выберем пункт меню "Свойства".

1. 1. На закладке "Общие" можно изменить сценарии использования службы:

   • только как маршрутизатор (либо только для локальной сети, либо для локальной сети и удаленных сетей, подключенный через средства удаленных коммуникаций);

   • только как сервер удаленного доступа;

   • комбинация обоих вариантов.

2. На закладке "Безопасность" настраиваются используемые методы проверки подлинности (аутентификации) пользователей, подключающихся к службе удаленного доступа. Служба RRAS системы Windows Server поддерживает следующие методы аутентификации (по степени возрастания защищенности данной процедуры):

   • без проверки подлинности — при данном варианте вообще не проверяются имя и пароль пользователя, а также права доступа пользователя к службе RRAS (ни в коем случае не рекомендуем использовать на практике данный метод, т.к. открывает возможность подключения к корпоративной сети любому желающему, имеющему информацию о точке подключения, например, номера телефонов на модемном пуле);

   • протокол PAP (Password Authentication Protocol) — самый простой протокол, унаследованный от старых версий служб удаленного доступа (реализованных не только в системе Windows), при данном протоколе имя и пароль пользователя передаются через средства коммуникаций открытым текстом, по умолчанию данный метод аутентификации отключен;

   • протокол SPAP (Shiva Password Authentication Protocol) — использует протокол шифрования паролей, разработанный компанией Shiva (в прошлом — один из разработчиков средств удаленного доступа), алгоритм шифрования паролей слабее, чем в методах CHAP и MS CHAP, по умолчанию этот метод также отключен;

   • протокол CHAP (Challenge Handshake Authentication Protocol) — для шифрования пароля используется метод хэширования MD-5 (по сети передается значение хэш-функции пароля), данный протокол является одним из отраслевых стандартов и реализован во многих системах удаленного доступа, его рекомендуется использовать при подключении клиентов, работающих не на платформе Windows, по умолчанию также отключен;

   • протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) — версия протокола CHAP, реализованная корпорацией Microsoft с хэш-функцией MD-4;

   • протокол MS-CHAP версии 2 (Microsoft Challenge Handshake Authentication Protocol version 2) — усиленная версия MS CHAP (более длинный ключ шифрования при передаче пароля, вычисление нового ключа при каждом новом сеансе подключения, взаимная аутентификация пользователя и сервера удаленного доступа);

   • протокол расширенной проверки подлинности ЕАР (Extensible Authentication Protocol) — позволяет использование смарт-карт при аутентификации пользователя (требуются сертификаты как для сервера RRAS, так и для пользователей).

Клиенты удаленного доступа, имеющиеся в системах Windows, при подключении к серверу удаленного доступа всегда начинают использовать самый защищенный метод аутентификации. Если на сервере не реализован запрашиваемый протокол аутентификации, клиент пробует менее защищенный протокол. И так до тех пор, пока не будет подобран протокол, поддерживаемый обеими сторонами.

Кроме указанных протоколов можно осуществлять подключение к службе RRAS с помощью службы RADIUS (рассмотрим ниже).

На этой же закладке настраивается использование службы учета сеансов пользователей (служба учета Windows, служба учета RADIUS, либо отсутствие службы учета), по умолчанию — служба учета Windows.

И здесь же задается общий секрет при использовании протокола L2TP для организации виртуальных частный сетей (VPN). Возможность использования общего секрета для VPN на базе протокола L2TP имеется только в Windows Server 2003, в версии Windows 2000 протокол L2TP можно было использовать только при наличии сертификатов для обеих сторон частной сети.

3. На закладке "IP" настраивается разрешение маршрутизации IP-пакетов между компьютером клиента и корпоративной сетью (по умолчанию) и задается способ формирования пула IP-адресов, выдаваемых RRAS-сервером подключаемым к нему клиентам.

Есть два способа формирования пула — использование сервера DHCP, установленного в корпоративной сети, и задание пула IP-адресов на самом сервере удаленного доступа (при этом способе 1-й IP-адрес из пула будет назначен интерфейсу "Внутренний" на самом сервере RRAS, а оставшиеся в пуле адреса будут назначаться RRAS-клиентам)

4. Закладка "PPP". Здесь разрешается или запрещается использование многоканальных подключений протокола PPP (multilink PPP). Протокол PPP позволяет использовать несколько коммуникационных каналов (например, несколько коммутируемых телефонных линий и, соответственно, одновременное использование нескольких модемов на серверной и на клиентской стороне) как одно подключение с соответствующим увеличением пропускной способности и назначением по одному IP-адресу на стороне клиента и сервера. При этом возможно использование динамического управления пропускной способностью (с помощью протоколов BAP/BACP, Bandwidth Allocation Protocol/ Bandwidth Allocation Control Protocol), которые позволяют при возрастании трафика активизировать дополнительные телефонные линии из имеющегося пула телефонных линий, а при уменьшении трафика — отключать телефонные линии.

5. Закладка "Ведение журнала". На этой закладке настраивается уровень протоколирования событий, связанных с сеансами работы удаленных пользователей.

Использование службы radius

Служба RADIUS (Remote Authentication Dial-in User Service) является промежуточным звеном между сервером удаленного доступа (который в данном случае называют клиентом RADIUS) и службой каталогов корпоративной сети. Сервер RADIUS позволяет решить две основные задачи:

• интеграция в единую систему серверов удаленного доступа от различных производителей;

• централизованное управление доступом в корпоративную сеть (служба RRAS в системе Windows Server настраивается индивидуально для каждого сервера RRAS).

Служба RADIUS работает по следующей схеме:

1. вначале устанавливается телефонное (или иное) соединение между клиентом и сервером удаленного доступа;

2. пользователь пересылает серверу RAS запрос на аутентификацию (свои имя и пароль);

3. сервер удаленного доступа (являющийся клиентом сервера RADIUS) пересылает данный запрос серверу RADIUS;

4. сервер RADIUS проверяет запрос на аутентификацию в службе каталогов (например, в службе Active Directory) и посылает в ответ RAS-серверу разрешение или запрещение данному пользователю на подключение к серверу удаленного доступа;

5. сервер удаленного доступа либо подключает пользователя к корпоративной сети, либо выдает отказ в подключении.

Реализация службы RADIUS в системе Windows Server называется службой IAS (Internet Authentication Service).

Раздел "Интерфейсы сети" консоли "Маршрутизация и удаленный доступ"

В данном разделе консоли перечисляются все сетевые интерфейсы, установленные на сервере (сетевые адаптеры, модемы). Напомним, что интерфейс "Внутренний" — это интерфейс, к которому подключаются все клиенты удаленного доступа, независимо от типа подключения (по коммутируемым телефонным линиям, через виртуальную частную сеть и т.д.).

Раздел "Клиенты удаленного доступа" консоли "Маршрутизация и удаленный доступ"

В данном разделе осуществляется мониторинг в реальном времени клиентов, подключившихся к серверу удаленного доступа.

Раздел "Порты" консоли "Маршрутизация и удаленный доступ"

В разделе "Порты" перечисляются все доступные точки подключения к службе удаленного доступа:

• параллельный порт (для прямого соединения двух компьютеров через порт LPT);

• модемы, доступные для службы удаленного доступа;

• порты, доступные для подключений с помощью виртуальных частных сетей (если администратор при настройке сервера указал, что будут использоваться виртуальные частные сети, то на сервер автоматически добавляются по 128 портов для каждого из протоколов PPTP и L2TP, в дальнейшем администратор может изменить количество портов, доступных для того или иного протокола).

Раздел "IP-маршрутизация" консоли "Маршрутизация и удаленный доступ"

В этом разделе добавляются, удаляются и настраиваются как статические маршруты, так и необходимые динамические протоколы маршрутизации:

• Агент ретрансляции DHCP-запросов (DHCP Relay Agent) — использование агента ретрансляции запросов DHCP подробно обсуждалось в пункте, посвященном службе DHCP, настройка данного агента производится именно в данном разделе службы RRAS;

• Протокол IGMP — данный протокол предназначен для маршрутизации multicast-пакетов протокола TCP/IP (данный вид пакетов и адресов используется в основном при передаче мультимедиа-информации);

• Служба трансляции сетевых адресов (NAT, Network Address Translation) — данная служба позволяет обмениваться информацией между сетями с внутренними IP-адресами и сетями с адресами, зарегистрированными в сети Интернет (упрощенный вариант прокси-сервера);

• Протокол RIP версии 2 для IP — протокол динамической маршрутизации IP-пакетов;

• Протокол OSPF (Open Shortest Path First) — также протокол динамической маршрутизации IP-пакетов, более сложный в настройке по сравнению с RIP, но более эффективный в больших сетях.

Подробное изучение протоколов маршрутизации выходит за рамки данного курса.

Виртуальные частные сети

Виртуальные частные сети (Virtual Private Networks) — технология создания защищенных подключений между компьютерами, подключенными к публичным сетям (например, к сети Интернет).

Рассмотрим пример на рис. 10.24. Допустим, некий мобильный пользователь желает подключиться к корпоративной сети. Он может это сделать, подключившись к корпоративному серверу удаленного доступа по коммутируемой телефонной линии. Однако, если пользователь находится в другом городе или даже другой стране, такой звонок может обойтись очень дорого. Может оказаться значительно дешевле подключиться к сети Интернет через местного Интернет-провайдера. Корпоративная сеть, в свою очередь, тоже имеет свое подключение к Интернет. В этом случае нужно решить две задачи:

• как получить доступ в корпоративную сеть (в данном примере IP-адреса корпоративной сети принадлежат к диапазону внутренних адресов и пакеты от мобильного пользователя не смогут попасть в эту сеть);

• как защитить данные, передаваемые через Интернет (все сетевые пакеты, передаваемые через Интернет, содержат информацию в открытом тексте, и грамотный злоумышленник может перехватить пакеты и извлечь из них информацию).

Обе эти задачи решаются созданием VPN-подключений между удаленным пользователем и сервером удаленного доступа. В данном примере пользователю необходимо создать еще одно подключение, но не через модем, а через "Подключение к виртуальной частной сети". При этом в качестве "телефонного номера" выступит IP-адрес внешнего интерфейса сервера удаленного доступа.

Рис. 10.24

Процесс создания подключения выглядит следующим образом:

1. Запускаем Мастер новых подключений (кнопка "Пуск" — "Панель управления" — "Сетевые подключения" — "Мастер новых подключений")

2. Выбираем тип сетевого подключения — "Подключить к сети на рабочем месте" (рис. 10.25):

Рис. 10.25

3. Выбираем способ сетевого подключения — "Подключение к виртуальной частной сети" (рис. 10.26):

Рис. 10.26

4. Задаем имя подключения.

5. Указываем VPN-сервер (имя или IP-адрес; в данном примере — 217.15.1.2; рис. 10.27):

Рис. 10.27

6. Определяем доступность ярлычка этого подключения (для данного пользователя или для всех пользователей).

7. Нажимаем кнопку "Готово".

8. Вводим имя и пароль пользователя, нажимаем кнопку "Подключение" (рис. 10.28):

Рис. 10.28

Если все настройки сделаны правильно, то будет установлено соединение с корпоративным сервером удаленного доступа. Сетевая конфигурация будет такая, как изображено на рис. 10.29:

Рис. 10.29

Между ПК мобильного пользователя и сервером удаленного доступа будет установлен защищенный "виртуальный" канал, клиентский ПК получит IP-адрес из пула адресов сервера RRAS (таким образом будет решена задача маршрутизации IP-пакетов между клиентом и корпоративной сетью), все пакеты, передаваемые между клиентом корпоративной сетью, будут шифроваться.

Аналогично можно создать защищенное виртуальное подключение между двумя офисами корпоративной сети, подключенными к различным Интернет-провайдерам (рис. 10.30):

Рис. 10.30

Технологии виртуальных частных сетей

Для создания виртуальных частных сетей в системах семейства Windows используются два различных протокола — PPTP разработки корпорации Microsoft (Point-to-Point Tunneling Protocol) и L2TP, объединивший лучшие черты протоколов PPTP и L2F компании Cisco (Level 2 Tunneling Protocol). Основной принцип работы обоих протоколов заключается в том, что они создают защищенный "туннель" между пользователем и корпоративной сетью или между двумя подсетями. Туннелирование состоит в том, что пакеты, передаваемые в защищенной сети, снабжаются специальными заголовками (у обоих протоколов свои заголовки), содержимое данных в этих пакетах шифруется (в PPTP — алгоритмом MPPE компании Microsoft, в L2TP — технологией IPSec), а затем пакет, предназначенный для защищенной корпоративной сети и имеющий заголовок с IP-адресами внутренней корпоративной сети, инкапсулируется в пакет, передаваемый по сети Интернет и имеющий соответствующий заголовок и IP- адреса отправителя и получателя.

Отличия между двумя протоколами следующие:

• алгоритмы шифрования (MPPE для PPTP, IPSec для L2TP);

• транспортная среда (PPTP работает только поверх протокола TCP/IP, L2TP может работать также поверх протоколов X.25, Frame Relay, ATM, хотя реализация L2TP в системе Windows работает только поверх TCP/IP);

• L2TP осуществляет взаимную аутентификацию обеих сторон, участвующих в создании защищенной сети, для это используются сертификаты X.509 или общий секрет (preshared key). Общий секрет (предварительный ключ) реализован начиная с версии Windows 2003, устанавливается в Свойствах службы RRAS на закладке "Безопасность" (рис. 10.31).

Рис. 10.31

Политики удаленного доступа

Как уже говорилось выше, в основном режиме домена Windows 2000/2003 разрешениями на подключения к службе удаленного доступа можно управлять с помощью политик удаленного доступа. Напомним, что политики удаленного доступа применяются к учетной записи пользователя при его попытке подключиться к службе удаленного доступа только в том случае, если в Свойствах этой учетной записи указано "Управление на основе политики удаленного доступа". Если в явном виде указано разрешение или запрет подключения, то политики не проверяются.

Каждая политика состоит из трех компонент:

• Условия (Conditions) — определяются условия подключения пользователя (в сетях на базе MS Windows Server наиболее интересные условия — день недели и время, а также членство в определенной группе);

• Профиль (Profile) — определяются некие параметры подключения (например, тип аутентификации или вид коммуникаций);

• Разрешения (Permissions) — разрешить или запретить подключение.

В начале проверки политики всегда проверяются условия — если ни одно из условий не совпадает с параметрами учетной записи пользователя, то происходит переход к следующей политике. Если условия совпали, то проверяются параметры профиля подключения, если параметры политики и пользователя не совпадают, то также происходит переход к следующей политике. Если же параметры профиля совпали и данная политика разрешает подключение, то пользователю выдается разрешение на подключение к серверу удаленного доступа. Если же политика запрещает подключение, то пользователю выдается отказ на подключение к серверу.

11. Лабораторная работа: Сетевые протоколы и службы

Лабораторная работа знакомит с процессом установки и настройки сервера DHCP, сервера WINS на базе ОС Windows Server 2003. Рассматривается установка, управление и настройка службы маршрутизации и удаленного доступа

Упражнение 1. Установка и настройка сервера dhcp.

Упражнение 2. Установка и настройка сервера wins.

Упражнение 3. Установка и настройка службы маршрутизации и удаленного доступа, настройка клиентских подключений, управление доступом через Active Directory и политики службы маршрутизации и удаленного доступа

12. Лекция: Служба резервного копирования

В этой лекции вводятся понятия, и разбираются на примерах темы архивирования и восстановления системы. При архивировании и восстановлении системы используются стандартные утилиты Windows Server 2003. Приводятся задачи сетевого администратора связанные с сохранением, архивированием информации, и ее последующем восстановлении

Ни один носитель информации не является абсолютно надежным, из строя может выйти любое устройство хранения данных, и данные могут быть потеряны. Кроме аппаратных сбоев возможна также потеря данных по причине действия вредоносных программ (вирусы, "троянские кони" и т.д.). А самая распространенная причина порчи или удаления данных — ошибки пользователей (как обычных, так и администраторов), которые могут по ошибке удалить или перезаписать не тот файл.

По этой причине возникает необходимость регулярного создания резервных копий информации — файлов с документами, баз данных и состояния операционной системы.

Системы семейства Windows Server имеют встроенный инструмент создания резервных копий — утилиту ntbackup. Данная утилита позволяет сохранять резервные копии на самых различных носителях — ленточных накопителях, магнитооптических дисках, жестких дисках (как на локальных дисках данного сервера, так и на сетевых ресурсах, размещенных на других компьютерах сети). В версии системы Windows 2003 реализован механизм т.н. теневых копий (Shadow Copy), который заключается в том, что в начале процедуры архивации система делает моментальный "снимок" архивируемых файлов и уже после этого создает резервную копию из этого снимка. Данная технология позволяет архивировать файлы, которые в момент запуска утилиты ntbackup были открыты пользователями.

Сетевой администратор должен совместно с пользователями определить те данные, которые нужно регулярно архивировать, спланировать ресурсы, необходимые для создания резервных копий, составить расписание резервного копирования, настроить программу резервного копирования и планировщик заданий для автоматического создания резервных копий. Кроме этого, в задачу сетевого администратора входит также регулярное тестирование резервных копий и пробное восстановление данных из резервных копий (чтобы вовремя обнаружить возникающие проблемы в создании резервных копий).

В данном разделе описаны технологии создания резервных копий средствами системы Windows Server, даны рекомендации по планированию и настройке службы резервного копирования.

12.1 Архивирование и восстановление файловых ресурсов Базовые понятия службы резервного копирования

Системы семейства Windows не содержат компоненты резервного копирования в смысле системной службы (service). Все операции по созданию резервных копий и восстановлению данных осуществляются утилитой ntbackup. Эту утилиту можно запустить из Главного меню системы (кнопка "Пуск" — "Все программы" — "Стандартные" — "Служебные" — "Архивация данных"), а можно запустить более быстро из командной строки (кнопка "Пуск" — "Выполнить" — "ntbackup" — кнопка "ОК"). При первом запуске утилиты рекомендуем убрать галочку у поля "Всегда запускать в режиме мастера".

Рассмотрим основы резервного копирования файловых ресурсов.

Каждый файл, хранящийся на диске компьютера, независимо от типа файловой системы, имеет атрибут archive, который в Свойствах файла отображается как "Файл готов для архивирования" (откройте Свойства файла и нажмите кнопку "Другие"). Если в Свойствах файла вручную убрать галочку у этого атрибута, то при любом изменении в файле операционная система автоматически снова установит этот атрибут. На использовании изменений данного атрибута основаны все используемые в системе Windows методики резервного копирования.

Типы резервного копирования

Утилитой ntbackup можно создавать резервные копии различных типов. Рассмотрим их отличительные особенности и различные варианты их применения.

Обычный (Normal)

При выполнении данного типа архивирования утилита ntbackup архивирует все файлы, отмеченные для архивации, при этом у всех заархивированных файлов очищается атрибут "Файл готов для архивирования". Данный вид архивирования необходим для создания еженедельных полных резервных копий каких-либо больших файловых ресурсов. Если в компании или организации имеются достаточные ресурсы, то можно ежедневно осуществлять полное архивирование данных.

Разностный (Differential)

При выполнении Разностного архивирования утилита ntbackup из файлов, отмеченных для архивирования, архивирует только те, у которых установлен атрибут "Файл готов для архивирования", при этом данный атрибут не очищается. Использование Обычного и Разностного архивирования позволяет сэкономить пространство на носителях с резервными копиями и ускорить процесс создания ежедневных копий. Например, если раз в неделю (как правило, в выходные дни) создавать Обычные копии, а в течение недели ежедневно (как правило, в ночное время) — Разностные, то получается выигрыш в объеме носителей для резервного копирования. При такой комбинации архивирования "Обычный + Разностный" процесс восстановления данных в случае утери информации потребует выполнения двух операций восстановления — сначала из последней Полной копии, а затем из последней Разностной резервной копии.

Добавочный (Incremental)

При выполнении Добавочного архивирования утилита ntbackup из файлов, отмеченных для архивирования, архивирует только те, у которых установлен атрибут "Файл готов для архивирования", при этом данный атрибут очищается. Использование Обычного (раз в неделю по выходным) и Добавочного (ежедневно в рабочие дни) архивирования также позволяет сэкономить пространство на носителях с резервными копиями и ускорить процесс создания ежедневных копий. Но процесс восстановления данных при использовании комбинации "Обычный + Добавочный" уже будет выполняться иначе: в случае утери информации для восстановления данных потребуется сначала восстановить данные из последней Полной копии, а затем последовательно из всех Добавочных копий, созданных после Полной копии.

Копирующий (Copy)

При таком типе архивирования утилита ntbackup заархивирует все отмеченные файлы, при этом атрибут "Файл готов для архивирования" остается без изменений.

Ежедневный (Daily)

Ежедневный тип архивирования создает резервные копии только тех файлов, которые были модифицированы в день создания резервной копии.

Два последних типа не используются для создания регулярных резервных копий. Их удобно применять в тех случаях, когда с какой-либо целью нужно сделать копию файловых ресурсов, но при этом нельзя нарушать настроенные регулярные процедуры архивирования.

Разработка и реализация стратегии резервного копирования Понятие плана архивации

Создание и реализация плана архивации и восстановления информации — непростая задача. Сетевому администратору надо определить, какие данные требуют архивации, как часто проводить архивацию и т. д.

При создании плана ответьте на следующие вопросы:

• Насколько важны данные? Этот критерий поможет решить, как, когда и какую информацию архивировать. Для критичной информации, например, баз данных, следует создавать избыточные архивные наборы, охватывающие несколько периодов архивации. Для менее важной информации, например, для текущих пользовательских файлов, сложный план архивации не нужен, достаточно регулярно сохранять их и уметь легко восстанавливать.

• К какому типу относится архивируемая информация? Тип информации поможет определить необходимость архивации данных: как и когда данные должны быть сохранены.

• Как часто изменяются данные? Частота изменения влияет на выбор частоты архивирования. Например, ежедневно меняющиеся данные необходимо сохранять каждый день.

• Нужно ли дополнить архивацию созданием теневых копий? При этом следует помнить, что теневая копия — это дополнение к архивации, но ни в коем случае не ее замена.

• Как быстро нужно восстанавливать данные? Время — важный фактор при создании плана архивации. В критичных к скорости системах нужно проводить восстановление очень быстро.

• Какое оборудование оптимально для архивации и есть ли оно у вас? Для своевременной архивации вам понадобится несколько архивирующих устройств и несколько наборов носителей. Аппаратные средства архивации включают ленточные накопители (это наименее дорогой, но и самый медленный тип носителя), оптические диски и съемные дисковые накопители.

• Кто отвечает за выполнение плана архивации и восстановления данных? В идеале и за разработку плана, и собственно за архивацию и восстановление должен отвечать один человек.

• Какое время оптимально для архивации? Архивация в период наименьшей загрузки системы пройдет быстрее, но не всегда возможно провести ее в удобные часы. Поэтому с особой тщательностью архивируйте ключевые данные.

• Нужно ли сохранять архивы вне офиса? Хранение архивов вне офиса — важный фактор на случай стихийного бедствия. Вместе с архивами сохраните и копии ПО для установки или переустановки ОС.

Для построения правильной и эффективной системы резервного копирования необходимо детально изучить и задокументировать все файловые ресурсы, используемые в компании, а затем тщательно спланировать стратегию резервного копирования и реализовать ее в системе. Для планирования стратегии необходимо ответить на следующие вопросы:

• какие именно ресурсы будут архивироваться;

• минимальный промежуток времени для восстановления данного ресурса при возникновении аварии;

• какой объем данных будет архивироваться;

• какова емкость носителей для хранения резервных копий и скорость записи на эти носители;

• сколько времени будет занимать архивирование каждого ресурса;

• как часто будет производиться архивация каждого ресурса;

• если резервные копии записываются на ленты, то как часто будет производиться перезапись лент;

• по какому графику будет производиться тестовое восстановление данных.

При ответе на эти вопросы будет спланирована потребность в количестве и емкости накопителей и устройств для выполнения резервных копий, требования к пропускной способности сети для создания резервных копий, график выполнения резервного копирования, план восстановления на случай аварии.

Выбор архивных устройств и носителей

Определив, какие данные и как часто архивировать, можно выбрать аппаратные средства архивации и необходимые носители. Инструментов для архивации данных множество. Одни быстрые и дорогие, другие — медленные и надежные. Выбор подходящего оборудования для организации зависит от многих факторов.

• Емкость — количество регулярно архивируемых данных. Справится ли оборудование с нагрузкой в отведенное время?

• Надежность аппаратных средств и носителей. Можете ли вы пожертвовать надежностью ради экономии или скорости?

• Расширяемость решения. Удовлетворяет ли ваше решение потребностям роста организации?

• Скорость архивации и восстановления. Можете ли вы пожертвовать скоростью ради снижения стоимости?

• Цена архивации. Приемлема ли она для вашего бюджета?

Типовые решения архивации

Итак, на план архивации влияют емкость, надежность, расширяемость, скорость и цена. Определив, какие из этих факторов наиболее важны для вашей организации, вы примете подходящее решение. Вот некоторые общие рекомендации:

• Ленточные накопители — самые распространенные устройства архивации. Данные хранятся на кассетах с магнитной лентой. Лента относительно недорога, но не особенно надежна: она может помяться или растянуться, с течением времени — размагнититься и перестать считываться. Средняя емкость кассет с лентой варьируется от единиц до десятков Гбайт. По сравнению с другими решениями ленточные накопители довольно медленны. Их достоинство — невысокая цена.

• Накопители на цифровой ленте (digital audio tape, DAT) — пришли на смену традиционным ленточным накопителям. Существует несколько форматов DAT. Наиболее часто используются ленты DLT (Digital Linear Tape) и Super DLT. Ленты DLT IV обладают емкостью 35-40 Гбайт без сжатия и 70-80 Гбайт со сжатием. В крупных организациях иногда разумнее применять ленты LTO (Linear Таре Open) или AIT (Advanced Intelligent Tape). Обычно объем лент LTO составляет 100 Гбайт без сжатия и 200 Гбайт со сжатием. Для лент AIT-3 соответствующие емкости составляют 100 и 260 Гбайт.

• Ленточная библиотека с автозагрузкой — устройство для создания расширенных архивных томов на нескольких лентах, которых хватает для нужд всего предприятия. Ленты набора в процессе архивации или восстановления данных автоматически меняются. В большинстве таких библиотек применяются DAT-ленты. Их главный "минус" — высокая цена.

• Магнитооптические накопители с автозагрузкой подобны ленточным библиотекам, только вместо лент в них используются магнитооптические диски. Цена также очень высока.

• Съемные диски, например Iomega Jazz емкостью 1-2 Гбайт, все чаще используются в качестве устройств архивации. Они обладают хорошей скоростью и удобны в работе, но стоят дороже ленточных или DAT-накопителей.

• Дисковые накопители обеспечивают наивысшую скорость при архивации и восстановлении файлов. Если при архивации на ленту вам потребуются часы, то дисковый накопитель позволяет завершить процесс за несколько минут. К недостаткам дисковых накопителей следует отнести относительно высокую цену.

При установке устройств архивации необходимо указать ОС контроллеры и драйверы, используемые накопителями.

Пример создания задания на выполнения архивации данных

Для создания архивов предназначены "Мастер архивации" и закладка "Архивация". В обоих случаях используются параметры по умолчанию. Чтобы просмотреть или изменить эти параметры, выполните следующие действия:.

• щелкните ссылку "Расширенный режим" в первом окне "Мастера архивации или восстановления";

• выберите в меню "Сервис" пункт "Параметры".

Открывшееся окно содержит пять закладок: "Общие", "Восстановление", "Тип архива", "Журнал архивации" и "Исключение файлов". Описание параметров приведено в табл. 12.1.

Рассмотрим достаточно простой и в то же время очень типичный пример создания заданий на автоматическое выполнение резервных копий.

В данном примере на одном из дисковых носителей имеется папка с файлами Folder1, для которой будет создаваться резервная копия.

1. Запустим утилиту резервного копирования ntbackup.

2. Запустим "Мастер архивации" (на странице "Добро пожаловать" нажать кнопку "Мастер архивации", рис. 12.1):

Рис. 12.1

3. После запуска мастера нажмем кнопку "Далее" и выберем, что нам нужно архивировать, в данном примере — "Архивировать выбранные файлы, диски или сетевые данные" (рис. 12.2):

Рис. 12.2

3. Выберем для архивирования папку Folder1 (рис. 12.3):

Рис. 12.3

3. Выберем место для создания резервной копии, создадим файл с именем "Folder1-Backup", этому файлу автоматически будет назначено расширение ".bkf" (рис. 12.4):

Рис. 12.4

3. Выбор дополнительных возможностей. Если на следующем шаге нажать кнопку "Готово", то утилита резервного копирования однократно создаст резервную копию папки Folder1. Нажмем кнопку "Дополнительно", чтобы задать дополнительные параметры (рис. 12.5):

Рис. 12.5

3. Выбираем тип архивирования (выберем "Обычный").

4. Ничего не меняем на странице "Способы архивации".

5. На странице "Параметры архивации" можно выбрать замену существующих архивов или добавление архива (если файл с архивной копией уже существует).

6. На странице "Когда архивировать" зададим расписание для автоматического создания резервной копии — выберем вариант "Позднее" и зададим расписание архивирования (рис. 12.6–рис. 12.7):

Рис. 12.6

Рис. 12.7

3. Система запросит имя и пароль пользователя, с чьими полномочиями будет выполняться задание архивирования (рис. 12.8.). Рекомендуем для выполнения заданий резервного копирования создать специальные учетные записи, обладающие достаточными правами (как минимум члены группы "Операторы архива").

Рис. 12.8

3. Нажмем кнопку "Готово", задание будет создано, и оно появится в списке "Назначенных заданий". Теперь оно будет выполняться регулярно в соответствии с расписанием.

Замечание. Данные приемы архивирования работают только с файловыми ресурсами. Для архивирования других видов ресурсов (например, баз данных MS SQL Server) необходимо использовать специализированные механизмы создания резервных копий.

Пример восстановления данных из резервной копии

Для восстановления данных в случае какой-либо аварии можно также создать задание на автоматическое восстановление. Но обычно данные восстанавливаются вручную.

Рассмотрим пример восстановления нескольких утраченных файлов из той же папки Folder-1.

1. Запустим утилиту резервного копирования ntbackup.

2. Перейдем на закладку "Восстановление и управление носителем" (рис. 12.9).

Рис. 12.9

3. Если в списке каталогизированных архивов нет нужно архивного файла, то его нужно каталогизировать. Выберем пункт меню "Сервис" — "Каталогизировать архивный файл" и укажем путь к архивному файлу.

4. После появления в списке архивных файлов нужного архива раскроем этот архив и выберем файлы для восстановления из резервной копии. При этом мы можем восстановить файлы в то место, где они были ранее ("Исходное размещение") или выбрать иной путь для их сохранения ("Альтернативное размещение"). После определения всех параметров восстановления нажмем кнопку "Восстановить", утерянные данные будут восстановлены (рис. 12.10):

Рис. 12.10

5. После восстановления можно изучить отчет о выполнении данной процедуры (нажать кнопку "Отчет", рис. 12.11):

Рис. 12.11

Степень детализации отчета можно настроить в меню "Сервис" — "Параметры" — "Журнал архивации". При краткой сводке в журнале регистрируются только моменты начала и окончания работы утилиты ntbackup и количество заархивированных или восстановленных файлов, а также сообщения о наличии ошибок. При полной сводке в журнале регистрируется полный список всех заархивированных или восстановленных файлов. Журналы с регистрацией последних десяти процедур архивации/восстановления находятся в папке "%system drive%\Documents and Settings\Администратор\Local Settings\Application Data\Microsoft\Windows NT\NTBackup\data". Параметр "%system drive%" — это переменная окружения в системе Windows, значение которой — буква диска, на котором данная система установлена. В данном примере указана учетная запись "Администратор", на самом деле журналы будут создаваться в профилях тех пользователей, от имени которых работали задания архивации/восстановления.

Теневые копии

О механизме теневых копий (Shadow Copy) уже говорилось в начале данного раздела. Эта технология, реализованная в Windows 2003, позволяет архивировать открытые файлы с помощью создания "снимка" файловых ресурсов. Но эта технология позволяет также создавать резервные копии папок, к которым открыт доступ через сеть.

По умолчанию теневые копии создаются на том же томе, где хранятся сетевые папки, поэтому они не смогут стать серьезной защитой от аппаратных аварий (например, выход из строя диска, на котором размещены эти данные). Можно настроить создание теневых копий на другом томе, что повысит уровень защиты. Теневые копии позволяют восстанавливать данные, ошибочно удаленные или модифицированные пользователями. При этом пользователи могут восстанавливать данные сами, без участия системного администратора. Теневые копии создаются только на томах с файловой системой NTFS.

Рассмотрим пример создания и использования теневых копий тома.

1. Откроем Свойства какого-либо тома и перейдем на закладку "Теневые копии". По умолчанию создание теневых копий для всех томов отключено.

2. Включим создание теневых копий для тома G: (рис. 12.12):

Рис. 12.12

3. Настроим параметры теневого копирования. Для хранения теневых копий на томе требуется не менее 100 МБ дискового пространства, на каждом томе создается максимум 64 копии. Можно настроить размер пространства для хранения копий и расписание создания теневых копий. По умолчанию теневые копии создаются в рабочие дни, дважды в день — в 7 утра и 12 часов дня (рис. 12.13–12.14):

Рис. 12.13

Рис. 12.14

Замечание. Хотим подчеркнуть, что теневые копии создаются не для всех файлов тома, а только для тех, которые размещены в папках, выставленных в сеть для общего доступа.

Использование теневых копий

После создания теневых копий пользователю становятся доступны Предыдущие версии файлов. Для использования этих возможностей нужна клиентская часть для доступа к теневым копиям. В системе Windows 2003 клиентская часть уже имеется в системе, а для Windows 2000/XP ее нужно установить. Дистрибутив клиента теневых копий хранится на сервере в папке "%SystemRoot%\system32\clients\twclient", в файле twcli32.msi. При установленном клиенте в Свойствах файла, открываемого из сетевых папок, становится доступна закладка "Предыдущие версии" (рис. 12.15).

Рис. 12.15

Пользователь теперь может просмотреть предыдущие копии, скопировать их в другой файл или восстановить содержимое файла в одно из предыдущих состояний. Закладка "Предыдущие версии" доступна в Свойствах не только конкретного файла, но и всей сетевой папки. Поэтому можно восстановить не только измененные файлы, но и ошибочно удаленные.

12.2 Архивирование и восстановление состояния системы

Большую часть работ по резервному копированию составляют задания на копирование бизнес-информации. Но имеется также возможность создания резервных копий для восстановления функционирования самой операционной системы. Есть два варианта архивирования системных данных — архивирование состояния системы (System State) и создания набора для автоматического восстановления системы после аварии (Automated System Recovery).

Архивирование и восстановление состояния системы

Для создания резервной копии состояния системы необходимо в утилите резервного копирования ntbackup при создании задания на архивирования отметить галочкой пункт System State (рис. 12.16):

Рис. 12.16

При этом будут архивироваться следующие данные:

• системный реестр;

• база данных зарегистрированных классов объектов (Class Registration);

• системные загрузочные файлы;

• база данных служб сертификатов (только на серверах, на которых установлена служба сертификатов);

• база данных Active Directory и папка SYSVOL (на контроллерах доменов).

Для архивирования состояния системы, а также для последующего восстановления, обязательно нужны права администратора данного компьютера. Восстановление Active Directory необходимо выполнять только при загрузке системы в режиме восстановления служб каталогов (запуск меню выбора режимы загрузки операционной системы выбираются в начальный момент загрузки нажатием клавиши F8).

База данных Active Directory — это информация, относящаяся к Каталогу, включая объекты и атрибуты домена, схему, конфигурацию и информацию Глобального Каталога.

Базу данных Active Directory рассматривают как транзакционную, что означает, что каждое изменение в ней исполняется как отдельная транзакция (транзакция — неделимая операция, т.е. пока обе стороны, принимающие участие в транзакции, не завершат своей части ее обработки, транзакция не считается завершенной). Эта природа базы данных помогает поддерживать ее целостность в случае сбоев. База данных Active Directory состоит из нескольких файлов:

• Ntds.dit — это файл базы данных, в котором хранятся все Объекты; по умолчанию этот файл (и другие, указанные здесь) расположен в папке "%systemroot%\NTDS";

• Edb*.log — этот файл является журналом транзакций; прежде чем любое изменение будет записано в базу данных, информация о нем сначала заносится в журнал транзакций; каждый файл edb*.log имеет размер 10 МБ, по умолчанию используется "круговое" ведение журнала, т.е. если журнал заполнен, то файл начинает перезаписывать данные о самых старых изменениях; если "круговое" ведение журнала отключено, то после заполнения файла он переименовывается в файл edbxxxxx.log, с цифрами xxxxx, представляющими его порядковый номер, начиная с 00001;

• Edb.chk — это файл контрольных точек, используемый AD для отслеживания изменений, записываемых в файл ntds.dit; он используется для целей восстановления (например, если контроллер домена поврежден и информация об изменениях не заносится в базу данных, файл контрольных точек служит в качестве маркера, отмечающего, какие из записей в журнале должны быть записаны в базу данных в дальнейшем);

• Res1.log и Res2.log — являются резервными файлами журналов, по 10 МБ каждый. Их назначение — позволить Active Directory продолжать ведение журнала изменений в случае, если на жестком диске не остается свободного места, поэтому в резерве всегда остается 20 МБ свободного дискового пространства, которое используется только в случае необходимости;

Автоматическое аварийное восстановление системы

В отличие от резервного копирования состояния системы, при котором сохраняется только часть файлов операционной системы, резервное копирования для автоматического аварийного восстановления системы (ASR, Automated System Recover) архивирует больший объем информации — практически весь том, на котором установлена операционная система. И процедура восстановления системы становится более сложной.

Рассмотрим сначала процесс создания резервной ASR-копии, а затем процесс восстановления системы из этой резервной копии.

Создание asr-копии

На данном этапе потребуется носитель для создания резервной копии системного тома (порядка нескольких гигабайт), причем в случае восстановления системы этот носитель должен быть доступен мастеру установки операционной системы (т.е. это либо ленточный накопитель с драйверами для контроллера и накопителя, либо дисковый накопитель с соответствующими драйверами), а также чистая отформатированная дискета для сохранения информации о конфигурации резервной копии.

1. Запустим утилиту резервного копирования ntbackup.

2. Запустим "Мастер аварийного восстановления системы" (кнопка с соответствующим названием на странице "Добро пожаловать!").

3. Укажем путь для сохранения архива (рис. 12.17).

Рис. 12.17

4. Нажать кнопку "Готово". Утилита резервного копирования начнет создание резервной ASR-копии, в нужный момент будет сделан запрос вставить чистую дискету. После записи конфигурации резервной копии утилита попросит пометить дискету соответствующей информацией (название резервной копии и дата создания).

Восстановление системы с помощью asr-копии

1. Подготовить все необходимое для аварийного восстановления системы: установочный CD с дистрибутивом операционной системы, носитель с резервной копией, дискету с конфигурацией ASR-копии.

2. Запустить процесс установки операционной системы с загрузочного компакт-диска.

3. На первой странице мастера установки системы нажать клавишу F2 для запуска процесса аварийного восстановления.

Далее мастер установки системы выполнит новую установку системы с форматированием системного тома.

4. После выполнения установки операционной системы автоматически запустится утилита резервного копирования, и система попросит вас указать путь к резервной копии для аварийного восстановления и вставить дискету с конфигурацией ASR-копии. Будет выполнено восстановление системы из аварийной резервной копии.

После завершения процесса восстановления будет воссоздан работоспособный сервер в той конфигурации, которая была до аварии (при условии, конечно, что, кроме самой системы, будут также восстановлены и данные, необходимые для работы сервера).

Корпорация Microsoft рекомендует использовать данный метод восстановления для серверов, выполняющих особые функции, которые трудно восстановить простой переустановкой и восстановлением данных, например, контроллер домена, являющийся хозяином операций (Хозяин схемы, Хозяин именования доменов и др.). Если сервер не исполняет какие-либо особые роли, то Microsoft рекомендует на таких серверах архивировать только данные, а в случае аварии заново переустановить сервер, снова включить его в домен и восстановить данные из резервных копий.

13. Лабораторная работа: Резервное копирование и восстановление данных

В лабораторной работе показывается, как запустить и настроить программы резервного копирования и восстановления данных и системы в Windows Server 2003

Упражнение 1. Настройка программы резервного копирования и восстановления данных

Упражнение 2. Создание резервной копии папки с документами и восстановление удаленного документа

Упражнение 3. Создание резервной копии состояния системы

14. Лекция: Управление сервером

В данной лекции описаны две основные технологии управления Windows-системами: консоль управления MMC и протокол удаленного рабочего стола

Удаленное управление сетевыми устройствами — важная часть работы сетевого администратора. В данном разделе на примере систем семейства Windows показаны различные технологии управления сетевыми узлами.

Применение консоли "Управление компьютером" позволяет решать многие задачи удаленного управления Windows-системами.

Более общее знакомство с консолью MMC (Microsoft Management Console) позволит создавать свои собственные консоли для решения различных задач удаленного управления.

Технология удаленного рабочего стола (Remote Desktop Protocol) использована в двух инструментах — "Удаленный помощник" (предназначенный в основном для управления рабочими станциями) и собственно "Удаленный рабочий стол" (называемый также службой терминалов). Данная технология дают возможность подключаться к рабочему столу удаленных компьютеров и работать с ними так же, как при локальном интерактивном входе в систему.

14.1 Консоль "Управление компьютером", консоль mmc (Microsoft Management Console), "Удаленный помощник", "Удаленный рабочий стол" Консоль "Управление компьютером"

Консоль "Управление компьютером", состоящая из одноименной оснастки (подробнее о консолях и оснастках будет рассказано в следующем пункте данного раздела) — один из наиболее часто используемых инструментов управления компьютером на базе системы Windows (как локального, так и удаленного). С использованием этой консоли мы уже неоднократно встречались ранее (например, при изучении управления файловыми ресурсами). Рассмотрим теперь эту консоль более подробно.

Запустить "Управление компьютером" можно либо из раздела "Администрирование" главного меню системы, либо щелкнув правой кнопкой мыши на объекте "Мой компьютер" и выбрав пункт меню "Управление".

После запуска консоли откроется окно, изображенное на рис. 14.1:

Рис. 14.1

В консоли имеются три раздела (узла): "Служебные программы", "Запоминающие устройства" и "Службы и приложения", предназначенные для управления различными параметрами системы.

Каждый из этих разделов в свою очередь содержит подразделы (оснастки) для управления соответствующими компонентами:

• "Служебные программы"

"Просмотр событий" — оснастка для просмотра событий системы, содержит в минимальном варианте три журнала: "Система", "Безопасность", "Приложения"; набор разделов может увеличиваться по мере установки тех или иных компонент (например, на контроллере домена со службой DNS появляются журналы "Служба каталогов", "Служба репликации файлов", "DNS-сервер"); более подробно работа с оснасткой "Просмотр событий" будет рассмотрена в разделе 9;

"Общие папки" — оснастка для управления службой предоставления файлов в общее пользование; Даная оснастка уже изучалась в разделе 5 "Служба файлов и печати"; кратко напомним назначение этой оснастки — раздел "Общие папки" позволяет просматривать, создавать, удалять и менять свойства общих сетевых ресурсов (сетевых папок), раздел "Сеансы" позволяет просматривать список пользователей, подключенных к определенному ресурсу, раздел "Открытые файлы" позволяет просматривать список файлов данного сервера, открытых удаленными пользователями;

"Журналы и оповещения производительности" — оснастка, позволяющая производить мониторинг загруженности тех или иных компонент сервера; подробно будет рассмотрена в разделе 9;

"Диспетчер устройств" — данная оснастка отображает все аппаратные устройства, установленные на данном компьютере, показывает их состояние, версии драйверов, используемые ресурсы (порты ввода/вывода, адреса памяти и номера линий запросов на прерывания, IRQ); с помощью этой оснастки можно отключить или включить какое-либо устройство, обновить драйвер устройства, изменить параметры устройства;

"Локальные пользователи и группы" — управление локальными учетными записями пользователей и групп (на контроллерах домена данный раздел отсутствует);

• "Запоминающие устройства" — с этим разделом мы также познакомились в разделе 5 "Служба файлов и печати", перечислим основные задачи данной оснастки:

"Управление дисками" — конвертирование дисков из базовых в динамические и наоборот, импорт дисков, использовавшихся на других компьютерах, создание разделов, логических дисков и томов, создание отказоустойчивых и высокопроизводительных дисковых конфигураций (технологии RAID);

"Дефрагментация диска" — анализ фрагментация раздела/тома и выполнение дефрагментации;

"Съемные ЗУ" — управление библиотеками ленточных накопителей, сменными оптическими дисками и другими видами съемных устройств хранения информации;

• "Службы и приложения" — набор оснасток для управления службами, установленными в системе (данный набор оснасток зависит от набора установленных в системе служб и приложений). Базовый набор оснасток:

"Телефония" — управление компонентами, работающими с различными видами и устройствами коммуникаций (модемы, службы мультимедиа-коммуникаций H.323 и т.д.);

"Службы" — оснастка для управления системными службами (имеется также в виде отдельной консоли в разделе "Администрирование" главного меню системы), служит для управления службами системы Windows — запуск и остановка служб, изменение режима запуска служб (Авто, Вручную, Отключено), назначение учетных записей, от имени которых работает та или иная служба;

"Управляющий элемент WMI" — управление средствами Windows Management Instrumentation (WMI), специального набора объектов и методов, разработанного для программного управления системой (с помощью программ или языка сценариев);

"Служба индексирования" — оснастка для управления службой индексирования файлов; служба индексирования предназначена для создания индексов файловых ресурсов, позволяющих ускорять поиск информации по имени или содержимому файлов.

Очень важный момент при работе с консолью "Управление компьютером" — она позволяет подключиться к любому удаленному компьютеру (если у вас есть права администрирования этого удаленного компьютера) и производить почти все операции управления точно так же, как при локальном запуске этой консоли. Для этого надо щелкнуть правой кнопкой мыши на значке "Управление компьютером" и выбрать пункт меню "Подключиться к другому компьютеру" (рис. 14.2).

Рис. 14.2

После этого указать имя компьютера или выбрать его в домене с помощью кнопки "Обзор", нажать "ОК" и приступить к удаленному управлению компьютером (рис. 14.3).

Рис. 14.3

Консоль mmc (Microsoft Management Console)

В предыдущем пункте мы разобрали пример использования готовой консоли, установленной в любой системе Windows, начиная с версии Windows 2000. В более общем виде Microsoft Management Console (MMC) — это инструмент для создания и сборки управляющих модулей для решения задач управления различными компонентами системы и приложениями, работающими в системе. Сама по себе консоль MMC — это по сути универсальная оболочка, в которую можно включать специально разработанные модели, называемые оснастками (snap-in). Разработка оснасток — задача программистов, а задача администратора — собирать в консоли необходимые наборы готовых и установленных в системе оснасток. Несмотря на то, что в большинстве случаев администратору хватает готовых консолей, имеющихся в системе, главное достоинство MMC — возможность создания собственных консолей для решения определенных задач управления системой.

Основной элемент технологии MMC — оснастки. Оснастки бывают двух видов: изолированные и оснастки-расширения (extensions). Изолированные оснастки функционируют независимо от других оснасток, оснастки-расширения могут работать только как дочерние объекты других оснасток.

Рассмотрим простой пример создания консоли.

Создадим пустую консоль, добавим в нее оснастки "Управление компьютеров" и "Просмотр событий" для серверов DC1 и DC2 (в данном примере Администратор зарегистрировался локально на сервере DC1).

1. Создаем новую консоль — кнопка "Пуск" — "Выполнить" — ввести mmc — кнопка "ОК" (рис. 14.4):

Рис. 14.4

2. В пустой консоли добавим оснастку "Управление компьютером" для локального компьютера — пункт меню "Консоль" — "Добавить или удалить оснастку" — кнопка "Добавить" — выбрать из списка оснасток оснастку "Управление компьютером" — кнопка "Добавить" — выбрать пункт "локальным компьютером" — кнопка "Готово" (рис. 14.5–рис. 14.6):

Рис. 14.5

Рис. 14.6

3. Не закрывая панели добавления оснасток, еще раз добавить оснастку "Управление компьютером", но при этом выбрать не локальный компьютер, а сервер DC2 (рис. 14.7):

Рис. 14.7

4. Повторить действия, описанные в п. 2–3, но уже для оснастки "Просмотр событий". Нажать кнопки "Закрыть" и "ОК". В итоге должна получиться консоль, изображенная на рис. 14.8

Теперь из одной консоли можно управлять сразу двумя контроллерами домена и просматривать журналы событий этих серверов.

Полученную консоль можно сохранить в виде файла с расширением ".msc" (меню "Консоль" — пункт "Сохранить как" — указать путь и имя консоли — кнопка "Сохранить"). По умолчанию консоли сохраняются в профиле текущего пользователя, в разделе "Администрирование" главного меню.

Рис. 14.8

Параметры консоли

При сохранении консоли можно выбрать режим использования данной консоли. Перечислим доступные режимы (меню "Консоль" — "Параметры"):

• "Авторский" — в данном режиме пользователь может менять консоль (добавлять и удалять оснастки, менять их параметры);

• "Пользовательский – полный доступ" — в данном режиме пользователь не может добавлять и удалять оснастки и менять параметры консоли, но может управлять окнами консоли;

• "Пользовательский – огр. доступ, много окон" — пользователю предоставляется доступ только к тем частям консоли, которые были видны в момент сохранения консоли, при этом пользователь может открывать новые окна в консоли;

• "Пользовательский – огр. доступ, одно окно" — в данном режиме пользователю в дополнение к ограничениям предыдущего режима не разрешено открывать новые окна.

Разные режимы использования консолей позволяют более опытным специалистом создавать управляющие консоли под конкретные задачи и предоставлять возможность использования консолей менее опытным сотрудникам. При этом обеспечивается тот факт, что менее квалифицированный специалист не внесет исправления в консоль, которые могут лишить возможности ее использования или получения более широкого доступа.

"Удаленный помощник"

Технология "Удаленного помощника" предназначена для удаленного управления компьютерами под управлением систем Windows XP/2003 с помощью подключения к рабочему столу удаленного компьютера. "Удаленный помощник" использует протокол управления удаленным рабочим столом (Remote Desktop Protocol, RDP). Данный протокол является основой т.н. Служб терминалов (более подробно об этом протоколе и о Службах терминалов будет рассказано в следующем подразделе этой главы).

"Удаленный помощник" предназначен в первую очередь для оказания помощи в работе пользователям, испытывающим те или иные проблемы. Используя "Удаленный помощник", сетевой администратор может, не покидая своего рабочего места, подключиться к рабочему столу системы Windows на ПК пользователя и совместно с ним решить возникшие проблемы.

Пользователь, нуждающийся в помощи администратора, посылает запрос на оказание поддержки, используя один из следующих способов:

• посредством электронной почты;

• через программу обмена сообщениями Windows Messenger (при этом и пользователь, и администратор должны быть в режиме "он-лайн" системы обмена сообщениями);

• через файл, доступный по сети пользователю и администратору.

По умолчанию разрешение на использование "Удаленного помощника" в системе Windows отключено. Разрешить использование "Удаленного помощника" можно через Свойства компьютера, закладка "Удаленное использование" (или "Удаленные сеансы"), поставив галочку для поля "Удаленный помощник" (рис. 14.9).

Рис. 14.9

Рассмотрим на примере процесс создания запроса, ответа на запрос, подключения к рабочему столу пользователя и совместной работы в одном и том же сеансе системы Windows пользователя и администратора. В данном примере пользователь и администратор оба работают в системе Windows 2003 Server (иллюстрации для Windows XP отличаются незначительными деталями).

1. Отправка пользователем запроса администратору на подключение "Удаленного помощника".

Запрос инициируется из "Центра справки и поддержки" системы Windows: кнопка "Пуск" — "Справка и поддержка". В результате открывается окно "Центра справки и поддержки" (рис. 14.10):

Рис. 14.10

2. В правой верхней части данного окна щелкаем по ссылке "Удаленный помощник", получаем окно отправки приглашения (рис. 14.11):

Рис. 14.11

3. Переходим по ссылке "Отправить приглашение", "Центр справки и поддержки" предлагает варианты способа связи с помощником (рис. 14.12):

Рис. 14.12

4. Выберем вариант "Сохранить приглашение в файл", далее можем указать имя пользователя, сменить срок действия приглашения (по умолчанию — 1 час), можем задать пароль для данного конкретного приглашения, после чего сохраним приглашение в файл в сетевой папке (по умолчанию имя создаваемого файла — RAInvitation.msrcincident; рис. 14.13):

Рис. 14.13

4. Если используются электронная почта или Windows Messenger, то администратор в окне соответствующей программы увидит сообщение с приглашение оказать помощь. При использовании файла пользователь должен каким-то способом (например, по телефону) известить администратора о сохраненном приглашении и необходимости подключиться к рабочему столу пользователя.

5. Администратор открывает сохраненный файл и видит параметры приглашения: дата, время, имя пользователя, отправившего приглашение (рис. 14.14):

Рис. 14.14

4. Администратор соглашается установить соединение с компьютером пользователя User1 (при этом на рабочем месте администратора запускается своя копия "Центра справки и поддержки"), пользователь на своем ПК дает согласие на подключение администратора (рис. 14.15):

Рис. 14.15

4. Администратор в окне "Центра справки и поддержки" нажимает кнопку "Взять управление", пользователь еще раз разрешает администратору подключиться к его ПК, после чего администратор и пользователь совместно работают в одной сессии системы Windows на компьютере пользователя (рис. 14.16):

Рис. 14.16

Администратор может прекратить совместный сеанс работы, нажав кнопку "Вернуть управление", пользователь также может прекратить сеанс кнопкой "Отключить".

В качестве итога еще раз подчеркнем важность данного инструмента удаленного управления в больших организациях. Использование "Удаленного помощника" значительно экономит рабочее время и позволяет сократить количество вызовов администраторов на рабочие места пользователей.

"Удаленный рабочий стол"

Теперь обсудим Службы терминалов системы Windows Server.

Службы терминалов являются многосеансовой средой, которая разрешает доступ удаленных компьютеров к рабочему столу сервера. Службы терминалов включают в себя средства администрирования, которые можно использовать для управления серверами и подключениями. Кроме того, службы терминалов включают в себя программное обеспечение клиента для поддержания клиентов Windows.

Службы терминалов обеспечивают поддержку работы т.н. "тонких клиентов". В среде "тонкого клиента" только изображение на мониторе, нажатия клавиш клавиатуры и движения мыши пересылаются между сервером и клиентом. Все процессы происходят и обрабатываются только на сервере, что значительно снижает требования к системным ресурсам на стороне клиента.

Как уже говорилось выше, службы терминалов использует протокол удаленного рабочего стола (Remote Desktop Protocol, RDP) для передачи данных между клиентом и сервером служб терминалов. Протокол RDP работает только поверх протокола TCP/IP и использует порт 3389 на сервере терминалов. В системе Windows Server имеются клиенты служб терминалов для систем семейства Windows (начиная с версии Windows 3.11 для рабочих групп).

Службы терминалов могут работать в одном из двух режимов:

• режим удаленного управления сервером;

• режим сервера приложений.

Поскольку данный раздел посвящен удаленному управлению, мы подробнее остановимся на режиме удаленного управления, а затем вкратце обсудим режим сервера приложений.

Режим удаленного управления сервером

Для установки служб терминалов в Windows 2000 Server необходимо установить данную службу через "Установку/удаление программ" — "Установку компонентов Windows", выбрать в списке компонент Службы терминалов и указать режим использования — для удаленного управления. В Windows 2003 службы терминалов уже установлены в системе, необходимо для их использования поставить галочку у параметра "Дистанционное управление рабочим столом" на закладке "Удаленное использование" в Свойствах компьютера (рис. 14.17):

Рис. 14.17

В режиме удаленного управления к терминальным службам могут подключаться только пользователи, обладающие административными привилегиями (в Windows 2003 — также пользователи, включенные в группу "Пользователи удаленного рабочего стола"). Сервер будет сконфигурирован для выполнения не более двух клиентских сеансов управления (при этом не требуются клиентские лицензии). В данном режиме к минимуму сведено снижение производительности сервера, неизбежное при запуске служб терминалов (приложения, которые запускает пользователь в сеансе удаленного рабочего стола на сервере работают с низким приоритетом, более высокие приоритеты распределяются системным службам). Поэтому специалисты корпорации Microsoft рекомендуют устанавливать терминальные службы в режиме удаленного управления на всех серверах Windows.

Средства администрирования служб терминалов

Для управления настройками протокола RDP на данном сервере используется консоль "Настройка служб терминалов". В этой консоли есть два раздела: "Подключения" и "Параметры сервера".

Рис. 14.18

Раздел "Подключения" (рис. 14.18) предназначен для настройки Свойств протокола RDP на данном сервере (заметим, что большинство параметров можно настроить индивидуально для каждого пользователя в его Свойствах в консоли "Active Directory – пользователи и компьютеры"; Свойства протокола RDP на сервере позволяют установить общие для всех параметры, независимо от настроек пользователя).

Закладка "Общие" — уровень шифрования при передаче данных между клиентом и сервером:

• "Низкий" — использование 56-битного ключа шифрования;

• "Совместимый с клиентским" — клиент и сервер определят максимально возможный для них уровень шифрования;

• "Высокий" — использование 128-битного ключа шифрования.

Закладка "Параметры входа"

Можно настроить на автоматический вход с определенной учетной записью, можно предоставить клиенту выбор учетной записи, можно настроить на обязательное требование ввода имени пользователя и пароля (параметр "Требовать пароль только для входа").

Закладка "Сеансы" — настройка тайм-аутов для бездействующих и отключенных сессий, а также ограничений времени работы активных сессий пользователей.

Закладка "Среда" — вместо окна с рабочим столом системы пользователю будет показано окно конкретной программы, при закрытии которой будет автоматически закрываться сессия пользователя на сервере терминалов.

Закладка "Удаленное управление" — разрешение на подключение администратора к сессиям пользователей.

Закладка "Параметры клиента" — настройка параметров работы клиентского окна служб терминалов (подключение к сессии на сервере локальных дисков и принтеров с ПК пользователя, параметры глубины цвета, управление буфером обмена).

Закладка "Сетевой адаптер" — привязка служб терминалов к конкретному сетевому адаптеру (если их несколько), назначение максимального числа подключений к серверу.

Закладка "Разрешения" — список пользователей и групп, которым разрешен доступ по протоколу RDP к данному серверу.

Рис. 14.19

Раздел "Параметры сервера" (рис. 14.19) служит для настройки некоторых параметров сеансов работы пользователей — возможность создания временных папок в сеансе пользователя, удаление временных папок по окончании сеанса, рабочий стол Active Desktop, ограничение на количество сеансов для пользователя. Режим лицензирования (для удаленного управления или режим сервера приложений) в консоли изменить нельзя, консоль только показывает текущий режим служб терминалов.

Для управления текущими сеансами пользователей на сервере терминалов служит консоль "Диспетчер служб терминалов" в разделе "Администрирование" (рис. 14.20).

Рис. 14.20

Эта консоль выполняет следующие операции с сеансами пользователей:

• просмотр списка сеансов пользователей (зеленым цветом выделен сеанс пользователя, в котором запущена данная консоль; словом Console обозначен интерактивный сеанс, т.е. сеанс, в котором пользователь локально зарегистрировался в системе);

• принудительное отключение или завершение сеансов пользователей;

• просмотр списка процессов, работающих на сервере для каждой учетной записи;

• принудительное завершение отдельных процессов;

• подключение к сеансу пользователя и совместная работа с пользователем в одном сеансе (аналогично "Удаленному помощнику").

Управление Свойствами пользователя для работы со службами терминалов

В разделе 4, посвященном службам каталогов, подробно описывались Свойства пользователей в консоли "Active Directory – пользователи и компьютеры". Напомним и уточним те свойства, которые описывают параметры для работы со службами терминалов.

Закладка "Профиль служб терминалов":

• управление разрешением пользователя работать на сервере терминалов;

• размещение профиля при работе в терминальной сессии.

Закладка "Среда" — настройка среды пользователя в терминальной сессии:

• запуск определенной программы или режим рабочего стола;

• подключение локальных дисков и принтеров пользователя в терминальную сессию).

Закладка "Сеансы" — управление сеансом пользователя на сервере терминалов:

• длительность сеанса;

• тайм-аут бездействия сеанса (бездействием считается отсутствие каких-либо манипуляций с клавиатурой или мышью);

• параметры повторного отключения к отключенной сессии (с любого компьютера или только с того, с которого был инициирован данный сеанс).

Закладка "Удаленное управление" — параметры подключения администратора к терминальной сессии пользователя:

• разрешение администратору подключаться к терминальной сессии пользователя;

• требуется ли подтверждение пользователя на подключение к его сессии;

• уровень управления (только наблюдение за сеансом или совместная работа администратора и пользователя в сеансе).

Подключение к серверу терминалов

Cиcтемы Windows XP/2003 имеют встроенный клиент для подключения к серверу терминалов, называемый "Подключение к удаленному рабочему столу" (кнопка "Пуск" — "Программы" — "Стандартные" — "Связь" — "Подключение к удаленному рабочему столу"). Для других систем дистрибутивы клиента служб терминалов можно либо найти на CD с дистрибутивом системы Windows Server, либо создать в процессе установки самих служб терминалов.

Познакомимся с клиентом "Подключение к удаленному рабочему столу".

Если запустить данный клиент из программного меню, то на экране появится окно подключения к серверу терминалов (рис. 14.21):

Рис. 14.21

Если в поле "Компьютер" ввести имя компьютера или его IP-адрес и нажать кнопку "Подключить", то запустится процесс создания сеанса на сервере терминалов.

Но сначала мы рассмотрим параметры подключения, которые можно менять, нажав кнопку "Параметры".

Закладка "Общие" (рис. 14.22):

Рис. 14.22

На данной закладке можно ввести имя, пароль и название домена, затем поставить галочку у поля "Запомнить пароль", после чего при вызове данного подключения клиент будет автоматически входить в систему на терминал-сервере с указанными параметрами (при условии, что в Свойствах протокола RDP данного сервера не установлен параметр обязательного ввода пароля — "Требовать пароль только для входа").

Кнопка "Сохранить как…" позволяет сохранить параметры подключения в файле с расширением ".RDP" в папке "Мои документы" и в дальнейшем использовать постоянно данные параметры.

Кнопка "Открыть" позволяет открыть сохраненный ранее файл для модификации параметров или запуска подключения к серверу терминалов.

Закладка "Экран" служит для установки параметров отображения сеанса на экране монитора (рис. 14.23):

Рис. 14.23

Если установить размер удаленного рабочего стола в значение "Во весь экран", то окно терминальной сессии будет перекрывать окна всех других приложения на ПК пользователя (это удобно для пользователей, которые работают только в терминальной сессии), если выбрать меньший размер, то будет более удобно переключаться между окнами приложений (это удобно для пользователей, которые кроме терминальной сессии запускают и другие приложения на своем рабочем месте).

Параметр "Цветовая палитра" определяет количество цветов, доступных в окне терминальной сессии (в версиях, более ранних, чем Windows 2003, поддерживалось не более 256 цветов).

Закладка "Локальные ресурсы" управляет использованием локальных ресурсов клиентского ПК в терминальной сессии :

• передача звуков из приложений, работающих на сервере, на клиентский ПК;

• подключение дисков и принтеров клиентского ПК в терминальную сессию на сервере (чтобы пользователь, работающий на сервере, мог сохранять документы на диски своего ПК и печать на принтер, подключенный к клиентскому ПК);

• настройка поведения комбинации клавиш ALT+TAB на клиентском ПК во время работы терминальной сессии.

Закладка "Программы"

На данной закладке можно указать путь к программе (путь нужно указывать к программе, установленной на сервере), которая будет автоматически запускаться при запуске данного подключения (при этом пользователю не будет доступен рабочий стол в терминальной сессии, а завершение программы приведет к завершению сессии).

Закладка "Дополнительно" позволяет настроить ряд параметров, которые будут оптимизировать работу клиента в зависимости от скорости коммуникаций между клиентом и сервером. В основном эти параметры касаются отключения или включения различных визуальных эффектов, доступных в системе Windows.

Работа в терминальной сессии

Работа в сессии служб терминалов ничем не отличается от работы в систем Windows на персональном компьютере. Нужно лишь постоянно помнить (особенно это касается пользователей, работающих с сервером терминалов в режиме сервера приложений), что все программы выполняются не на ПК пользователя, а на сервере. Отсюда могут быть некоторые нюансы. Например, можно легко переносить фрагменты документов через буфер обмена между приложениями, работающим на сервере терминалов, и приложениями, работающими на клиентском ПК. Но, например, скопировать путем перетаскивания мышью файлы из папки, открытой в терминальной сессии, в папку, открытую на клиентском ПК, не удастся.

Подключение к сеансам других пользователей

Администратор сервера, запустив в окне своего сеанса работы со службами терминалов консоль "Диспетчер служб терминалов", может подключиться к сессии любого другого пользователя, отображаемого в этой консоли. На рис. 14.24 изображен пример открытой консоли в окне сессии администратора.

Рис. 14.24

Если администратор щелкнет правой кнопкой мыши на имени пользователя User1 и выберет в меню пункт "Удаленное управления", то после некоторых манипуляций (в том числе после получения согласия пользователя) он подключится к сеансу данного пользователя и они будут вдвоем работать в одной сессии (данная возможность очень полезна для оказания помощи пользователям, работающим на сервере в режиме сервера приложений).

Кроме клиента "Удаленного рабочего стола" в пакете административных консолей (adminpak.msi) имеется консоль "Удаленные рабочие столы" позволяющая в одной консоли настроить подключения к нескольким серверам. Данная консоль удобна в первую очередь для администратора сети.

Завершение сеанса работы на сервере терминалов

Существуют несколько вариантов прекращения работы в терминальной сессии. Если мы создали сессию на сервере терминалов с учетной: записью администратора, то варианты будут такие (рис. 14.25):

Рис. 14.25

• Завершение сеанса (Logoff) — завершение всех приложений, работающих в терминальной сессии, освобождение всех ресурсов системы, выделенных данному сеансу (т.е. при данном варианте сессия полностью удаляется с сервера);

• Отключение сеанса (Disconnect) — закрывается окно терминальной сессии на клиентском ПК, на сервере сессия полностью сохраняется вместе со всеми работающими приложениями, при повторном подключении данного пользователя к тому же серверу будет возобновлена работа в сессии (Внимание! Если завершить работу клиента удаленного рабочего стола нажатием кнопки с крестиком в правом верхнем углу клиентской программы, то будет выполнено именно "Отключение сеанса");

• Завершение работы (Shutdown) — завершение работы сервера;

• Перезагрузка (Restart) —перезагрузка сервера.

У простого пользователя будут доступны только первые два варианта — "Завершение сеанса" и "Отключение сеанса".

Выбор варианта завершения работы клиента терминалов зависит от конкретной ситуации. Если вы завершаете работу с приложениями и не планируете продолжение работы, то надо завершить сеанс. Если вы запустили какие-либо приложения в терминальной сессии (например, обработку большого объема данных), то можно отключить сеанс, а через некоторое время подключиться к нему снова и посмотреть на результаты работы нужной вам программы.

Настройка разрешений для подключения к серверу терминалов

Еще раз в качестве резюме перечислим те параметры, которые надо включить или настроить, чтобы пользователи могли подключаться к серверу терминалов:

• разрешить подключение к "Удаленному рабочему столу" на сервере для работы в режиме удаленного управления или установить "Службы терминалов" для работы в режиме сервера приложений (для Windows 2000 Server обе эти задачи решаются установкой служб терминалов, но при этом назначается необходимый режим работы);

• в Свойствах пользователя на закладке "Профиль служб терминалов" поставить галочку у параметра "Разрешать вход на сервер терминалов" (а также включить пользователя в группу "Пользователи удаленного рабочего стола");

• в групповых политиках, применяемых к серверу терминалов должна быть политика, разрешающая локальный вход в систему тем пользователям, которым необходимо работать с Удаленным рабочим столом данного сервера (группе "Пользователи удаленного рабочего стола" такое право дано);

• в Свойствах протокола RDP сервера терминалов должны быть определены пользователи (или группы пользователей), имеющие разрешения на подключение к данному серверу по протоколу RDP;

• при работе в режиме сервера приложений у пользователя должна быть установлена лицензия на подключение к серверу терминалов (в противном случае сервер терминалов выдаст пользователю временную лицензию на 90–120 дней, по истечении этого срока пользователь не сможет работать со службами терминалов, если не получит постоянную лицензию).

Если хотя бы один из этих параметров будет отключен или запрещен для какого-либо пользователя, то этот пользователь не сможет подключиться к службам терминалов данного сервера.

Работа служб терминалов в режиме сервера приложений

Работа со службами терминалов в режиме сервера приложений значительно отличается от работы в режиме управления сервером (хотя внешних отличий в работе клиентских программ нет никаких):

• поскольку назначение данного режима — работа простых пользователей с обычными Windows-приложениями (использование служб терминалов позволяет пользователям с устаревшими ПК работать с современными приложениями), то в данном режиме разрешения на подключения к службам терминалов получают простые пользователи, а не только сетевые администраторы, при этом количество одновременных подключений ограничено только количеством купленных лицензий и аппаратными возможностями сервера;

• в данном режиме операционная система перераспределяет приоритеты выполнения задач в пользу интерактивных приложений, а не системных служб, чтобы пользовательские приложения работали с максимальной производительностью (по этой причине очень не рекомендуется сервер терминалов использовать для других задач, например, как сервер баз данных или почтовый сервер);

• в корпоративной сети на одном из серверов должна быть установлена и активирована служба "Лицензирование сервера терминалов" (эта служба входит в состав базовых компонентов системы Windows Server), активация производится вводом специального кода (аналогичного коду, используемому при установке системы), код приобретается через реселлеров программного обеспечения Microsoft, после активации службы лицензирования в консоли управления данной службой устанавливается приобретенный пакет лицензий (также в виде специального кода).

При каждом подключении клиента к серверу терминалов сервер запрашивает у клиента лицензию на работу со службами терминалов. Если у клиента есть лицензия, то он подключается к серверу терминалов. Если лицензии нет, то сервер терминалов запрашивает для клиента лицензию у службы лицензирования, при наличии свободных лицензий новая лицензия выдается пользователю и устанавливается на его компьютере, после чего становится возможным подключение к серверу терминалов.

Кроме установки службы лицензирования и пакета лицензий необходимо также произвести правильную установку приложений на сервере терминалов. Большинство приложений имеют специфические настройки, ориентированные для работы в терминал-сервере (например, отключение анимаций для снижения нагрузки на процессор). Подробная информация о настройке приложений для использования на терминальном сервере содержится в документации, прилагаемой к соответствующему приложению.

15. Лабораторная работа: Управление сервером

Лабораторные работы позволяют получить навыки управления сервером с помощью консоли ММС, а также создания собственных консолей, получить навыки управления сервером с помощью Удаленного помощника, получить навыки управления сервером с помощью Удаленного рабочего стола (служба терминалов), получить навыки управления сервером с помощью консоли "Управление компьютером"

Упражнение 1. Консоль управления (Microsoft Management Console).

Упражнение 2. Удаленный помощник.

Упражнение 3. Удаленный рабочий стол.

Упражнение 4. Консоль "Управление компьютером".

Упражнение 5. Установка набора административных консолей системы Windows Server.

16. Лекция: Мониторинг

Данная лекция посвящена вопросам мониторинга сетевых узлов и состоит из четырех частей: 1)просмотр событий, регистрируемых системой; 2)аудит, т.е. целенаправленное отслеживание определенных видов событий; 3)мониторинг производительности; 4)мониторинг сетевой активности

Задача сетевого администратора сводится к обеспечению работы сетевых систем. Статус системных ресурсов и их загруженность радикально меняются со временем, причем не всегда так, как хочется пользователям и сетевому администратору — останавливаются службы, файловая система испытывает недостаток свободного места, ошибки приложений приводят к системным проблемам, в сеть пытаются проникнуть неавторизованные пользователи. Мониторинг сетевых устройств — это постоянное наблюдение за деятельностью данных устройств, поиск проблем и неисправностей в их работе, принятие решений о ликвидации проблем и неисправностей, повышению эффективности функционирования устройств.

Данный раздел посвящен вопросам мониторинга состояния сетевых узлов на базе систем Windows Server. В разделе обсуждаются вопросы, связанные с просмотром системных событий, аудитом доступа к ресурсам, мониторингом производительности серверов, поиска узких мест в их работе и выработки решений о ликвидации этих узких мест, а также мониторинга сетевой активности.

Мониторинг сетевых устройств. Мониторинг серверов (просмотр событий, аудит, мониторинг производительности, определение узких мест, мониторинг сетевой активности) Просмотр событий

Одно из самых часто используемых и наиболее важных средств мониторинга системы — это регистрация различных событий в журналах операционной системы Windows. Регистрацию событий в системе Windows осуществляет служба "Журнал событий" (Event Log). В любой системе семейства Windows всегда присутствуют 3 журнала:

• журнал "Система" (System) — события, записанные в журнал компонентами операционной системы (например, сбой в запуске службы при перезагрузке); расположение журнала по умолчанию — в папке "%SystemRoot%\system32\config\SysEvent.Evt";

• журнал "Безопасность" (Security) — регистрация событий, относящихся к системе безопасности (например, попытки регистрации пользователей, изменения в политиках безопасности, попытки доступа к различным ресурсам); набор событий, регистрируемых в журнале "Безопасность", настраивается локальной или групповых политик (об управлении аудиотм событий безопасности — в следующем подразделе); расположение по умолчанию — "%SystemRoot%\system 32\сопfig\SecEvent.Evt";

• журнал "Приложение" (Application) — события, порожденные различными приложениями (например, сбой MS SQL при доступе к базе данных); набор событий, регистрируемых в журнале "Приложения", определяется разработчиками приложений; расположение по умолчанию — "%SystemRoot%\system32\config\AppEvent.Evt".

При установке в системе каких-либо компонент могут появиться журналы, регистрирующие события, относящиеся к работе данных компонент.

При установке службы DNS появляется журнал "DNS-сервер" (DNS Server), регистрирующий события, связанные с работой службы DNS (расположение по умолчанию — "%SystemRoot%\system32\config\DNSEvent.Evt").

При создании контроллера домена в системе появляются журналы:

• журнал "Служба каталогов" (Directory Service) — события, порожденные службой каталогов Active Directory;. расположение по умолчанию — "%SystemRoot%\system32\config\NTDS.Evt";

• журнал "Служба репликации файлов" (File Replication Service) — события, связанные с репликацией файлов (в первую очередь файлы в папке SYSVOL и файлы в сетевых папках, управляемых рапределенной файловой системой DFS); расположение по умолчанию — "%SystemRoot%\system32\config\NtFrs.Evt".

Работа с журналами

Открыть системные журналы можно следующими способами:

• открыть консоль "Управление компьютером" и в разделе "Служебные программы" открыть оснастку "Просмотр событий";

• открыть отдельную консоль "Просмотр событий" в разделе "Администрирование" Главного меню системы Windows (рис. 16.1).

Рис. 16.1

В левой части консоли будет список имеющихся на данном компьютере журналов, в правой части — список событий для выбранного журнала.

В большинстве журналов события бывают трех видов:

• Уведомление — информация о событии, связанным с успешным действием (например, успешный запуск или останов службы, успешное завершение операции какой-либо службы);

• Предупреждение — информация о событиях, которые в будущем могут вызвать проблемы в работе системы;

• Ошибка — сообщение об ошибке (например, сбой при запуске службы).

В журнале "Безопасность" — 2 типа событий:

• Аудит успехов — событие, связанное с успешным выполнением действия, связанного с системой безопасности (например, успешный вход в систему или успешный доступ к сетевому ресурсу);

• Аудит отказов — событие, связанное со сбоем в выполнении действия, связанного с системой безопасности (например, отказ в аутентификации пользователя при входе в систему по причине ввода неверного пароля, блокировка учетной записи после нескольких неудачных попыток входа в систему, отказ в доступе к сетевому ресурсу).

В столбцах журнала, кроме типа события, содержатся следующие данные:

• Дата и время регистрации события;

• Источник — приложение, служба или системная компонента, записавшие событие в журнал;

• Категория — категория события, иногда используемая для его более подробного описания;

• Событие — код события;

• Пользователь — учетная запись пользователя, действовавшая в момент события;

• Компьютер — имя компьютера, на котором произошло событие.

Если открыть какое-либо событие, то можно получить более детальную информацию о нем (рис. 16.2):

• Описание — текстовое описание события;

• Данные — любые данные, сгенерированные событием, или связанный с ним код ошибки.

Рис. 16.2

Настройка параметров журналов событий

Размер и способ ведения журналов событий можно настраивать. Для настройки параметров надо щелкнуть правой кнопкой на нужном журнале событий и выбрать в контекстном меню команду Свойства. Откроется диалоговое окно, показанное на рис. 16.3.

Рис. 16.3

По умолчанию размер большинства журналов системы Windows 2003 — 16 МБ (для журнала безопасности — 128 МБ, в предыдущих версиях системы стандартный размер журнала — 512 КБ). При заполнении журнала старые события будут стираться. Администратор может изменить как размер журнала, так и способ управления записями при достижении максимального размера журнала (например, автоматически затирать события старше какого-то определенного количества дней или вообще не затирать старые события, в этом случае новые события в журнале регистрироваться не будут).

Содержимое журналов можно очищать вручную — щелкнуть правой кнопкой мыши на журнале, выбрать в меню команду "Стереть все события". Система предложит сохранить стираемые события в отдельном файле, нужно выбрать требуемый вариант, и журнал будет очищен. При этом сохранять стираемые записи можно в трех разных вариантах: двоичном (с расширением файла ".evt", такой файл можно будет просматривать только программой "Просмотр событий"), или текстовых (с расширением файла ".txt" —со знаком табуляции в качестве разделителя столбцов, а также с расширением файла ".csv" — с запятой в качестве разделителя). Сохранять содержимое журналов можно и без стирания старых записей. Открыть сохраненные записи можно через меню "Действие" консоли "Просмотр событий", выбрав пункт "Открыть файл журнала ".

Просмотр журналов (фильтрация событий)

В каждом из журналов накапливается большое количество событий, в которых трудно иногда найти нужные события. Заметим вначале, что щелчок мышью на заголовке любого столбца в консоли (оснастке) "Просмотр событий" позволяет отсортировать события по убыванию или возрастанию значений данного столбца. Для более точного отбора искомых событий служат средства фильтрации в "Просмотре событий". Если открыть свойства какого-либо журнала, то в открывшейся панели, кроме закладки "Общие", имеется также закладка "Фильтр", позволяющая установить правила для отбора событий. Посмотрим внимательно на данную закладку (рис. 16.4):

Рис. 16.4

Можно установить правила отбора:

• по типу событий — уведомления, предупреждения, ошибки, аудит успехов, аудит отказов;

• по источнику (например, компоненты системы Alerter, Browser, DCOM, DHCP, disk, eventlog, Server, System и др.);

• по категории (например, Диск, Оболочка, Принтеры, Сеть, Службы, Устройства и др.);

• по известному коду события;

• по имени пользователя;

• по имени компьютера;

• задать период времени — с какого по какой момент времени отобрать события.

На рис. 16.5 изображен фильтр, отбирающий события с кодом 6005 с 00 ч 00 мин 20.02.2007 до 12 ч 00 мин 01.03.2007. Результат применения фильтра — на рис. 16.6 (с помощью данного фильтра были отобраны события, регистрирующие процесс запуска системной службы "Журнал событий).

Рис. 16.5

Рис. 16.6

Вернуться к полному просмотру всех событий можно, выбрав в меню "Вид" команду "Все записи" (рис. 16.7):

Рис. 16.7

Аудит

Настройка политик аудита — важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена для протоколирования определенных событий, относящихся к системе безопасности. Политики аудита определяют, какие именно события в области безопасности системы должны регистрироваться в журнале "Безопасность".

Процесс аудита безопасности настраивается с помощью групповых политик (напомним, что групповые политики можно определять для сайта, домена или организационного подразделения, а также для отдельной рабочей станции или сервера). Параметры аудита безопасности находятся в разделе "Параметры безопасности — Локальные политики — Политики аудита" любого объекта групповых политик.

На рис. 16.8 изображены стандартные политики аудита для организационного подразделения "Контроллеры домена".

Рис. 16.8

Рассмотрим параметры этого раздела:

• Аудит входа в систему регистрирует события, связанные с регистрацией пользователя на данном компьютере, окончанием сеанса работы и удаленными соединениями с сетевыми системами;

• Аудит доступа к объектам регистрирует попытки доступа пользователей к различным объектам — файлам, папкам, принтерам и объектам Active Directory;

• Аудит доступа к службе каталогов регистрирует доступ к Active Directory;

• Аудит изменения политики регистрирует изменения разрешений доступа пользователей, аудита и доверительных отношений;

• Аудит использования привилегий регистрирует применение разрешений доступа и привилегий пользователя (например, использование прав резервного копирования файлов и каталогов);

• Аудит отслеживания процессов регистрирует системные процессы и ресурсы, используемые процессами;

• Аудит системных событий регистрирует запуск, выключение и перезагрузку системы, а также действия, влияющие на безопасность системы или на журнал безопасности;

• Аудит событий входа в систему регистрирует события, связанные с регистрацией пользователя в домене;

• Аудит управления учетными записями регистрирует управление учетными записями посредством консоли "Active Directory - пользователи и компьютеры" (события генерируются каждый раз, когда учетные записи пользователя, компьютера или группы создаются, изменяются или удаляются).

Аудит доступа к объектам

Рассмотрим подробнее аудит доступа к объектам. Необходимость регистрации событий доступа к объектам возникает, когда есть подозрения, что кто-то из пользователей пытается получить несанкционированный доступ к информации, к которой он не должен иметь доступа.

По умолчанию на обычном сервере или рабочей станции политики аудита доступа к объектам отключены. Включим данные политики (на уровне сайта, домена или нужного нам ОП) — откроем данный параметр в редакторе политик и установим регистрацию как успешных, так и неуспешных попыток доступа к объектам (рис. 16.9).

Рис. 16.9

После применения политик настроим аудит доступа для нужных объектов (например, для папки Folder1 на сервере DC1) — откроем Свойства данной папки (папка должна быть размещена на разделе с файловой системой NTFS), перейдем на закладку "Безопасность", нажмем кнопку "Дополнительно" и перейдем на закладку "Аудит". Добавим в список пользователей, для которых будут отслеживаться попытки доступа к папке Folder1, группу "Пользователи домена" и установим, какие именно попытки будут регистрироваться в журнале "Безопасность" (например, попытки удаления папок и файлов, успешные и неуспешные, рис. 16.10).

Рис. 16.10

Теперь для проверки работы механизма аудита удалим какой-нибудь файл в этой папке, а затем просмотрим соответствующие события, появившиеся в журнале "Безопасность". Пример события, зарегистрировавшего в журнале безопасности удаление файла "Документ.doc", показан на рис. 16.11 и 16.12:

Рис. 16.11

Рис. 16.12

На рис. 16.11 видно, что пользователь Администратор получил успешный доступ к файлу "H:\Folder1\Документ.doc" на компьютере DC1, а на рис. 16.12 показан вид доступа — DELETE (Удаление).

Не рекомендуем злоупотреблять применением политик аудита доступа к объектам и регистрацией доступа к большому числу объектов, т.к. системой генерируется очень большое число записей, отыскать среди которых нужные будет весьма непросто. К тому же надо будет постоянно заботиться о сохранении старых записей и очистке журнала. Наиболее рациональный способ применения аудита доступа к объектам — настройка данного аудита в те моменты, когда есть обоснованные опасения о наличии в сети попыток несанкционированного доступа.

Мониторинг производительности

Мы рассмотрим два основных инструмента мониторинга производительности систем Windows Server — программу "Диспетчер задач", которая предназначена для мониторинга работы приложений и служб сервера в реальном времени, и консоль "Производительность", которая может осуществлять мониторинг производительности как в реальном времени, так и путем накопления статистики о работе системы за определенный период времени, причем консоль "Производительность" может показывать и собирать данные одновременно с нескольких систем.

Диспетчер задач

Чтобы открыть "Диспетчер задач", основной инструмент мониторинга и управления системными процессами и приложениями, нужно выполнить одно из перечисленных действий:

• нажать комбинацию клавиш CTRL+SHIFT+ESC;

• нажать комбинацию клавиш CTRL+ALT+DELETE и нажать кнопку "Диспетчер задач";

• нажать кнопку "Пуск", выбрать пункт меню "Выполнить", ввести taskmgr и нажать кнопку "ОК";

• щелкнуть правой кнопкой мыши на панели задач и выбрать в контекстном меню команду "Диспетчер задач".

Настройка общих параметров "Диспетчера задач"

Прежде чем изучать работу данной программы по управлению приложениями и процессами, сделаем некоторые настройки, позволяющие повысить удобство использования программы:

• в меню "Параметры" уберем галочку у параметра "Поверх остальных окон" ("Диспетчер задач" не будет перекрывать окна других программ);

• в меню "Вид" у параметра "Скорость обновления" установим значение "Низкая" (это снизит нагрузку на процессор системы со стороны самого "Диспетчера задач").

Управление приложениями

На закладке "Приложения" показан статус программ, работающих в данный момент в системе (рис. 16.13):

Рис. 16.13

Кнопки в нижней части вкладки предназначены для выполнения следующих действий:

• остановка работы приложения — выберите приложение и щелкните кнопку "Снять задачу";

• переход к окну нужного приложения — выберите приложение и щелкните кнопку "Переключиться";

• запуск новой программы — щелкните кнопку "Новая задача" и введите команду для запуска приложения (кнопка "Новая задача" функционально аналогична команде "Выполнить" из меню "Пуск").

Замечание. В столбце "Состояние" для каждого приложения указано, нормально ли выполняется данное приложение. Статус "Не отвечает" свидетельствует о том, что приложение, возможно, "зависло" и надо завершить связанные с ним процессы. Однако некоторые приложения не отвечают на запросы системы в ходе выполнения интенсивных расчетов. Поэтому, прежде чем закрыть приложение, убедитесь, что оно действительно "зависло".

Контекстное меню списка приложений

При щелчке правой кнопкой мыши на строке приложения или группы приложений в списке отображается контекстное меню, позволяющее:

• переходить к приложению и делать его активным;

• переводить приложение на передний план;

• сворачивать и восстанавливать приложение;

• изменять расположение окон приложений;

• закрывать приложение;

• выделять на вкладке "Процессы" процесс, связанный с этим приложением.

Замечание. Команда "Перейти к процессу" полезна, когда необходимо найти основной процесс для приложения, запустившего несколько процессов.

Управление процессами

Подробная информация о выполняемых процессах отображается на закладке "Процессы" (рис. 16.14):

Рис. 16.14

По умолчанию в этом окне перечислены только процессы, запущенные ОС, локальными службами, сетевыми службами и интерактивным пользователем, т. е. пользователем, локально зарегистрировавшимся на компьютере. Чтобы увидеть процессы, запущенные удаленными пользователями, например подключившимися с помощью удаленного рабочего стола, надо установить галочку у поля "Отображать процессы всех пользователей".

В столбцах на закладке "Процессы" содержится информация о выполняемых процессах. Она позволяет выявить те из них, которые поглощают системные ресурсы, например, процессорное время или память. По умолчанию отображаются следующие столбцы:

• Имя образа — имя процесса или исполняемого файла, запустившего процесс;

• Имя пользователя — имя пользователя или системной службы, запустившей процесс;

• ЦП — доля ресурсов ЦП (в процентах), занимаемая данным процессом;

• Память — объем оперативной памяти, занятой процессом в данный момент.

При выборе в меню "Вид" команды "Выбрать столбцы", откроется диалоговое окно, из которого на закладку "Процессы" можно добавить другие столбцы (рис. 16.15):

Рис. 16.15

Некоторые из них могут оказаться очень полезными при поисках причин системной проблемы.

• Идентиф. процесса (PID) — цифровой идентификатор процесса в системе (позволяет найти процесс по его номеру, отображаемому не только в "Диспетчере задач", но и в других утилитах управления);

• Объем виртуальной памяти — объем памяти данного процесса в килобайтах, выгруженной в данный момент в файл подкачки;

• Базовый приоритет — мера объема системных ресурсов, выделенных процессу; чтобы задать приоритет процесса, щелкните его правой кнопкой мыши, раскройте подменю "Приоритет" и выберите нужный вариант — "Низкий", "Ниже среднего", "Средний", "Выше среднего" и "Реального времени"; большинству процессов по умолчанию назначен средний приоритет; наивысший приоритет назначается процессам реального времени;

• Время ЦП — процессорное время, затраченное на выполнение процесса с момента его запуска; чтобы найти процессы, на выполнение которых расходуется больше всего времени, отобразите этот столбец и щелкните его заголовок, чтобы отсортировать процессы по содержимому столбца;

• Выгружаемый пул, Невыгружаемый пул — выгружаемым пулом называется область системной памяти, предназначенная для объектов, которые при ненадобности можно хранить на диске; невыгружаемый пул — это область системной памяти для объектов, которые на диск записывать нельзя (стоит обращать внимание на процессы, которым требуется значительный объем невыгружаемой памяти — если на сервере недостаточно свободной памяти, эти процессы могут стать причиной большого количества ошибок);

• Ошибок страницы — ошибка страницы возникает, если процесс запрашивает страницу памяти, а система не находит ее по указанному адресу; если запрашиваемая страница хранится в другой области памяти, ошибка называется программной; если запрашиваемую страницу приходится считывать с диска, ошибка называется ошибкой физической памяти; процессоры, как правило, справляются с большинством программных ошибок; ошибки физической памяти могут существенно замедлить работу системы

• Память - максимум — максимальный объем памяти, использованной процессом (на разницу между этим параметром и текущим объемом памяти, занятой процессом, тоже следует обращать внимание — если приложению, например, Microsoft SQL Server, в моменты пиковых нагрузок требуется гораздо больше памяти, чем при обычной работе, возможно, стоит сразу при запуске выделять ему больше памяти);

• Счетчик дескрипторов — полное число дескрипторов файлов, поддерживаемых процессом; эта характеристика позволяет оценить, насколько процесс зависит от файловой системы (С некоторыми процессами связаны тысячи дескрипторов открытых файлов, и каждый из них занимает некоторый объем системной памяти);

• Счетчик потоков — текущее число потоков, используемых процессом; большинство серверных приложений являются многопотоковыми, что позволяет одновременно выполнять несколько запросов процесса; некоторые приложения способны динамически управлять числом одновременно исполняемых потоков, что позволяет повысить их производительность; чрезмерное увеличение количества потоков ухудшает производительность, так как ОС приходится слишком часто переключать контексты потоков;

• Число чтений, Число записей — полное число операций чтения с диска и записи на диск с момента запуска процесса; этот параметр показывает, насколько активно процессом используется диск (если рост числа операций ввода-вывода не согласуется с реальной активностью сервера, процесс, вероятно, не способен кэшировать файлы или кэширование файлов неверно настроено).

Замечание. В списке процессов присутствует процесс "Бездействие системы". Он отслеживает объем неиспользуемых ресурсов. Так, число 99 в столбце ЦП (CPU) означает, что 99% системных ресурсов в настоящий момент не используется. Приоритет этого процесса задать нельзя.

Просматривая информацию о процессах, надо помнить, что одно приложение может породить несколько процессов. Обычно все они зависят от родительского процесса и формируют расходящееся от него дерево процессов. Чтобы найти главный (родительский) процесс для данного приложения, на закладке "Приложения" щелкните приложение правой кнопкой мыши и выберите команду "Перейти к процессу". Чтобы корректно завершить работу приложения с помощью "Диспетчера задач", останавливайте либо само приложение, либо его главный процесс. Не останавливайте по отдельности зависимые процессы.

Остановить главный процесс приложения и порожденные им вторичные процессы можно несколькими способами:

• выделить приложение на закладке "Приложения" и щелкнуть кнопку "Снять задачу";

• на закладке "Процессы" щелкнуть правой кнопкой мыши главный процесс приложения и выбрать команду "Завершить процесс";

• на закладке "Процессы" щелкнуть правой кнопкой мыши главный или вторичный процесс приложения и выбрать команду "Завершить дерево процессов".

Мониторинг загруженности системы

На закладке "Быстродействие" в виде графиков и статистических данных отображается степень использования процессора и памяти (рис. 16.16).

Рис. 16.16

Эта информация позволяет быстро оценить нагрузку на системные ресурсы. Чтобы получить более подробные сведения, необходимо используйте консоль "Производительность".

На графиках закладки "Быстродействие" отображена следующая информация:

• Загрузка ЦП — процент используемых в данный момент ресурсов процессора;

• Хронология загрузки ЦП — трафик изменения нагрузки на процессор (если в компьютере несколько процессоров, то по умолчанию для каждого процессора будет отображаться свой график загруженности); чтобы увеличить диаграмму, щелкните ее дважды, повторный двойной щелчок вернет обычный режим просмотра;

• Файл подкачки — объем файла подкачки (т. е. виртуальной памяти), занятый системой в настоящий момент;

• Хронология использования файла подкачки — график использования файла подкачки.

Замечание. Если нагрузка на процессор остается неизменно высокой даже в обычных условиях, для выяснения причин этого стоит заняться более детальным исследованием работы системы. Зачастую причина снижения производительности скрыта в памяти. Проверьте эту возможность, прежде чем принимать решение об обновлении процессора или о добавлении дополнительных процессоров.

Отображение графиков можно настроить или обновить с помощью команды меню Вид.

• команда "Скорость обновления" позволяет изменить скорость обновления графиков, а также приостановить обновление; вариант "Низкая" соответствует обновлению каждые 4 секунды, вариант "Обычная" — обновлению каждые 2 секунды, вариант "Высокая" — обновлению дважды в секунду;

• команда "Загрузка ЦП" в многопроцессорных системах позволяет задать отображение графиков для отдельных процессоров (отдельная диаграмма для каждого процессора) или все графики на одной диаграмме;

• команда "Вывод времени ядра" позволяет отобразить процессорное время, использованное ядром операционной системы (ресурсы, используемые ядром, на графиках отображаются красными линиями).

Под графиками приведены статистические данные:

• Всего — общая информация о загрузке процессора; в поле "Дескрипторов" указано количество используемых дескрипторов ввода-вывода, в поле "Потоков" — число потоков, в поле "Процессов" — число процессов;

• Выделение памяти — информация об общем объеме памяти, используемой ОС; в поле "Всего" отображается объем физической и виртуальной памяти, используемой в данный момент, в поле "Предел" — вся доступная физическая и виртуальная память, в поле "Пик" — максимальный объем памяти, использованный системой с момента загрузки;

• Физическая память — информация об общем объеме оперативной памяти в системе; в поле "Всего" указан объем физической оперативной памяти, в поле "Доступно" — оперативная память, не используемая в данный момент, в поле "Системный кэш" — память, используемая ОС для кэширования (если доступный объем памяти невелик, скажем, менее 5% всей физической памяти, стоит подумать об установке дополнительной памяти);

• Память ядра — информация о памяти, используемой ядром ОС; значительная часть ядра должна работать в оперативной памяти и не может выгружаться в виртуальную память, объем этой памяти указан в поле "Невыгружаемая", объем памяти ядра, которую допустимо выгружать в виртуальную память, отображен в поле "Выгружаемая", общий объем памяти, используемой ядром, указан в поле "Всего".

Мониторинг производительности сети

На закладке "Сеть" приводятся сведения о сетевых адаптерах, используемых системой, — процент загрузки, скорость соединения и статус. Если в системе установлен единственный сетевой адаптер, на сводной диаграмме (рис. 16.17) показана информация об изменении со временем трафика через этот адаптер:

Рис. 16.17

Если сетевых адаптеров в системе несколько, на диаграмме отображается сводный показатель использования всех сетевых подключений. По умолчанию это суммарное количество байт, переданных по сети.

В полях закладки "Сеть" содержится множество сведений о входящем и исходящем сетевом трафике сервера. С их помощью можно, например, установить объем поступающих на сервер данных. По умолчанию отображаются следующие поля:

• Адаптер — имя, под которым адаптер значится в папке Сетевые подключения;

• Использование сети — загрузка сети в процентах от исходной скорости подключения для данного интерфейса (например, адаптер с исходной скоростью подключения 100 Мбит/с и текущим трафиком 10 Мбит/с загружен на 10%);

• Скорость линии — скорость подключения через данный интерфейс;

• Состояние — состояние сетевого адаптера.

Замечание. Если загрузка адаптера часто достигает 50% или больше, внимательнее следите за сетевой активностью сервера и подумайте о приобретении дополнительных сетевых адаптеров.

Для исследования работы сети могут понадобиться дополнительные столбцы на закладке "Сеть". Можно выбрать в меню "Вид" пункт "Выбрать столбцы" и установить отображение следующих столбцов:

• Пропускная способность отправки — процент использования текущей полосы пропускания исходящим трафиком;

• Пропускная способность получения — процент использования текущей полосы пропускания входящим трафиком;

• Пропускная способность всего — процент использования текущей полосы пропускания всем трафиком через данный адаптер;

• Отправлено байт — полное число байт, отправленных по данному подключению;

• Получено байт — полное число байт, полученных по данному подключению;

• Байт — полное число байт, переданных по данному подключению в обоих направлениях.

Мониторинг удаленных подключений

Удаленные пользователи подключаются к системе через службы терминалов, или удаленные рабочие столы. Подключения с помощью удаленного рабочего стола активизируются автоматически при установке Windows Server 2003. "Диспетчер задач" предоставляет один из способов управления такими подключениями. Перейдите на закладку "Пользователи", где перечислены пользовательские сеансы как для локальных, так и для удаленных пользователей (рис. 16.18):

Рис. 16.18

Для каждого подключения указаны: имя пользователя, код сеанса, состояние, клиентский компьютер и тип сеанса. Пользователю, зарегистрировавшемуся локально, соответствует тип сеанса "Консоль" (Console). Для других пользователей в этом столбце указаны тли и протокол подключения, например, RDP-Tcp для подключения с помощью протокола RDP (Remote Desktop Protocol) и транспортного протокола TCP. Щелкнув сеанс правой кнопкой мыши, получаем доступ к следующим командам:

• Подключить — подключение неактивного сеанса;

• Отключить — отключение пользовательского сеанса, с сохранением в сеансе всех запущенных пользователем приложений;

• Выход из системы — принудительное завершение пользовательского сеанса;

• Удаленное управление — переход к удаленному управлению пользовательским сеансом из сеанса администратора (совместная работа в сеансе);

• Отправить сообщение — отправка сообщения пользователям, зарегистрировавшимся на сервере терминалов.

Консоль "Производительность"

Консоль "Производительность" (находящая в разделе "Администрирование" Главного меню системы Windows) позволяет более детально исследовать функционирование системы по сравнению с "Диспетчером задач". И, кроме того, данная консоль позволяет накапливать статистику о работе системы в фоновом режиме, без непосредственного наблюдения администратором системы, а также собирать данные о производительности с нескольких компьютеров одновременно. Данная консоль содержит два раздела — "Системный монитор" и "Журналы и оповещения производительности". "Системный монитор" предназначен для наблюдения за системой (или системами в режиме реального времени), "Журналы и оповещения производительности". используются для накопления статистики в фоновом режиме и последующего изучения накопленных данных.

Работа консоли "Производительность" основана на понятиях "Объект" и "Счетчик". Понятие "Объект" относится к той или иной компоненте системы или к определенному приложению и состоит из набора "Счетчиков", числовых показателей, измеряющих степень загруженности данной компоненты. Набор доступных объектов и счетчиков обновляется при установке служб и дополнительных компонент. Например, после установки на сервере службы DNS консоль "Производительность" пополняется рядом объектов и счетчиков для отслеживания работы этой службы.

"Системный монитор"

Если открыть консоль "Производительность", то мы сразу попадем в раздел "Системного монитора". При этом на экране отображаются 3 самых важных с точки зрения операционной системы счетчика: "Обмен страниц в сек" (объекта "Память"), "Средняя длина очереди диска" (объекта "Физический диск") и "% загруженности процессора" (объекта "Процессор"); обновление данных на экране производится раз в секунду (Рис. 16.19).

Рис. 16.19

Для выбранного мышью активного процесса регистрируются показатели:

• Последний — последнее полученное значение счетчика;

• Средний — среднее из всех полученный значений счетчика;

• Минимум — минимальное значение счетчика за период наблюдений;

• Максимум — максимальное значение счетчика за период наблюдений.

Если открыть Свойства счетчика, то можно изменить способ отображения данного счетчика на экране: цвет, толщину и стиль линии и масштаб (от 1:10000000 до 10000000:1), также изменить частоту сбора показаний.

Нажатием комбинации клавиш CTRL+H можно выделить активный счетчик белым цветом (так лучше видно активный счетчик среди большого количества счетчиков).

Нажатием кнопки со знаком "+" на панели инструментов можно добавить другие счетчики, в том числе полученные с других компьютеров сети (рис. 16.20):

Рис. 16.20

"Журналы и оповещения производительности"

Раздел "Журналы и оповещения производительности" в свою очередь состоит из трех частей:

• "Журналы счетчиков" — выполняют ту же задачу, что и "Системный монитор", но делают это в фоновом режиме и накапливают данные в файле журнале на жестком диске или в базе данных (это наиболее часто используемый раздел журналов производительности);

• "Журналы трассировки" — отслеживания запуска и работы приложений (универсальный системный отладчик, позволяет определить некоторые ошибки в функционировании тех или иных приложений и системных задач);

• "Оповещения" — отслеживание значений счетчиков, но не для накопления в журнале, а для отправки оповещения назначенным для этой задачи пользователям (по электронной почте, с помощью системной компоненты "Оповещатель" (Messenger), и др.).

Рассмотрим подробнее использование "Журналов счетчиков".

Основное назначение этих журналов — накопление статистики загруженности системы, поиск "узких мест" в работе сервера и выработка рекомендаций по модернизации или замене системы (если возникает такая потребность).

Для создания нового журнала в меню "Действие" необходимо выбрать пункт "Новые параметры журнала". Далее надо задать имя журнала (к введенному администратором имени система добавит последовательность цифр, отображающую номер журнала, при каждом новом запуске журнала его номер будет увеличиваться, рис. 16.21).

Рис. 16.21

При создании самого первого журнала на томе с системой Windows создастся папка Perflogs, в которой и будут сохраняться все файлы с журналами. Далее нажатием кнопок "Добавить объекты" или "Добавить счетчики" можно добавить соответственно необходимые для мониторинга объекты (целиком со всем набором счетчиков) или отдельные счетчики. Для примера создадим журнал с именем Log-1, выберем счетчики "Память\Обмен страниц в сек", "Процессор\% загруженности процессора" и "Физический диск\Средняя длина очереди диска" для сервера DC1, установим интервал опроса для сбора данных — 1 секунду (рис. 16.22). Нажмем кнопку "Применить".

Рис. 16.22

Теперь можно менять другие параметры журнала. На закладке "Файлы журнала" можно указать, где накапливать данные — в двоичном файле с расширением ".blg" (по умолчанию), в текстовом с разделителями в виде табуляции или запятой, в базе данных. На закладке "Расписание" задается время и дата запуска журнала. Назначим режим запуска журнала "Вручную" и нажмем кнопку "ОК". Теперь запустим журнал для накопления данных (рис. 16.23). Саму консоль "Производительность" можно закрыть (и даже завершить сеанс работы в системе).

Рис. 16.23

Для тестового примера запустим подряд несколько управляющих консолей и приложений, а также процесс копирования большого объема данных из одной папки в другую (все это в совокупности достаточно сильно нагрузит и процессор, и дисковую подсистему), причем сделаем это несколько раз в течение определенного интервала времени.

По окончании процесса накопления данных снова запустим консоль "Производительность" и удалим автоматически открытые счетчики. Для того чтобы открыть файл журнала для анализа накопленных данных, выполним следующие действия: нажмем кнопку "Просмотр данных журнала" (рис. 16.24) или комбинацию клавиш CTRL+L, выберем для источника данных вариант "Файлы журнала", нажмем кнопку "Добавить", укажем путь к файлу с накопленными данными, откроем этот файл, нажмем кнопку "Применить" (рис. 16.25).

Рис. 16.24

Рис. 16.25

Перейдем на закладку "Данные" и добавим нужные счетчики. Нажмем "ОК". Если период накопления был достаточно долгий, то данных будет накоплено много и картинка получится не очень разборчивая (рис. 16.26).

Рис. 16.26

Для сужения интервала времени, который подвергается анализу, откроем Свойства любого из счетчиков и перейдем на закладку "Источник". В нижней части панели подвинем границы анализируемого интервала и установим нужный нам "Диапазон просмотра" (рис. 16.27).

Рис. 16.27

После этого график приобретет вид (рис. 16.28):

Рис. 16.28

Чтобы значения некоторых графиков не выходили за границы экрана просмотра, произведем масштабирование этих графиков. В итоге получится картинка, вполне пригодная для изучения и анализа (рис. 16.29):

Рис. 16.29

Диапазон просмотра можно менять и переключаться на другие промежутки времени. Соответственно может потребоваться настроить масштаб отображения графиков.

Журнал оповещений

Основное назначение этих журналов — обнаружение ситуации, когда какие-то показатели превышают или становятся меньше определенных критических значений, и выполнение каких-либо действий в качестве реакции на данное событие (регистрация события в системном журнале, отправка сообщения администратору, запуск соответствующей программы).

Для создания нового журнала в меню "Действие" необходимо выбрать пункт "Новые параметры оповещений", после чего надо задать имя журнала. Для нашего примера сразу же определим счетчик, значения которого будет отслеживать данный журнал оповещений — "Процессор\%загруженности процессора", пороговое значение — 5%, отношение — "Больше", и интервал опроса показаний системы — 1 секунда. Нажмем кнопку "Применить" (рис. 16.30):

Рис. 16.30

Эти настройки означают, что журнал оповещений с именем "Alert-1" будет реагировать на события, когда суммарная загруженность процессоров сервера превысит 5%.

На закладке "Действие" определим те действия, которые будет выполнять система в случае возникновения данного события:

• Сделать запись в журнале событий приложений — если включить данный параметр, то при наступлении события в журнале "Приложение" будет сделана соответствующая запись;

• Послать сетевое сообщение — в данном случае система пошлет сообщение на тот компьютер или тому пользователю, чье имя указано в настойках (в примере — пользователю "Администратор"), для отправки и получения сообщений на сервере-отправителе и на компьютере-получателе должна работать служба "Оповещатель" (Messenger; по умолчанию эта служба отключена);

• Запустить журнал производительности — позволяет запустить созданный и настроенный журнал производительности на данном сервере, чтобы начать сбор статистики по интересующим параметрам;

• Запустить программу — запустить любую программу (можно при этом задать параметры командной строки, необходимые для программы).

В нашем примере включим первые 2 параметра (рис. 16.31):

Рис. 16.31

На закладке "Расписание" задается расписание запуска данного журнала (установим ручной режим запуска и запустим данный журнал, при этом включим и запустим службу "Оповещатель").

При превышении загрузки процессора порогового значения 5% на экране рабочего места пользователя с именем "Администратор" будут появляться сообщения, изображенные на рис. 16.32, а в журнале "Приложение" будут регистрироваться аналогичные записи (рис. 16.33).

Рис. 16.32

Рис. 16.33

Рекомендации по критическим значениям счетчиков

Определенный набор счетчиков являются очень наглядными индикаторами загруженности системы. Регулярное превышение предельных значений этих счетчиков является показателем перегруженности тех или иных компонент системы. Перечислим эти счетчики в табл. 16.1.

В каждой системе могут быть и другие важные счетчики, значения которых показывают те или иные перегрузки или недостаток ресурсов (например, % свободного пространства на логических дисках). Для отдельных приложений имеются свои специфические счетчики (в частности, для MS SQL Server). Описание мониторинга данных счетчиков и их предельные значения приводятся в документации по соответствующим приложениям.

Мониторинг сетевой активности

Системы семейства Windows Server позволяют осуществлять мониторинг сетевой активности на низком уровне — на уровне сетевых фреймов, передаваемых и принимаемых сетевыми адаптерами компьютера. Для выполнения этой задачи служит компонента системы "Сетевой монитор" (Network Monitor). Правда, штатная компонента "Сетевой монитор" имеет ограничение — она захватывает только те сетевые пакеты, которые передаются данному компьютеру (на котором запущен "Сетевой монитор") или отправляются с данного компьютера, в том числе широковещательные пакеты. "Сетевой монитор" — мощный инструмент для обнаружения различных сетевых проблем и неполадок, позволяющий детально изучать содержимое передаваемых по сети пакетов.

Все данные, пересылаемые по сети от одного сетевого адаптера другому, состоят из фреймов (кадров). Каждый фрейм содержит следующую информацию:

• Адрес источника (отправителя) — MAC-адрес сетевого адаптера, с которого отправлен кадр;

• Адрес назначения (получателя) — MAC-адрес сетевого адаптера, которому предназначался кадр (этот адрес может также определять группу сетевых адаптеров)$

• Данные заголовка — информация, содержащая описание для каждого протокола, используемого при передаче кадра;

• Данные — передаваемые данные (или часть данных).

В обычном состоянии каждый сетевой адаптер принимает только те фреймы, которые адресованы данному адаптеру (или всем сетевым адаптерам при отправке широковещательных пакетов). Все остальные фреймы сетевыми адаптерами игнорируются. Все захватываемые в процессе работы "Сетевого монитора" фреймы сохраняются в буфере захвата (по умолчанию размер буфера 1 МБ, поэтому "Сетевой монитор" хранит только последний мегабайт захваченных фреймов). Захваченные фреймы после окончания процесса захвата и изучения можно сохранить в файле с расширением ".cap" для последующего более детального изучения.

Установка "Сетевого монитора"

"Сетевой монитор" устанавливается так же, как и другие компоненты системы: "Панель управления" — "Установка и удаление программ" — кнопка "Установка компонентов Windows" — "Средства управление и наблюдения" — кнопка "Состав" — "Средства сетевого монитора". После установки "Сетевого монитора" в разделе "Администрирование" Главного меню системы появляется соответствующий ярлык.

Запуск "Сетевого монитора" и выбор сетевого интерфейса

При запуске "Сетевого монитора" администратору необходимо выбрать тот интерфейс, для которого будет производиться захват сетевых пакетов. "Сетевой монитор" может перехватывать фреймы для различных типов интерфейсов — сетевые адаптеры, модемы, VPN-соединения. После запуска "Сетевого монитора" администратор видит запрос, изображенный на рис. 16.34:

Рис. 16.34

Выберем "Подключение по локальной сети" (рис. 16.35). Для выбранного подключения программа показывает краткую сводку: модель сетевого адаптера, MAC-адрес адаптера, скорость передачи данных, максимальный размер фрейма (в данном примере — 1500 байт).

Рис. 16.35

Первоначальная настройка параметров

В начале работы можно указать размер буфера захвата для временного хранения перехваченных фреймов: пункт меню "Запись" — "Параметры буфера".

Запуск захвата сетевых пакетов

Запуск захвата фреймов осуществляется через меню "Запись" — "Запустить" или нажатием кнопки "Начать запись данных" на панели инструментов (кнопка ). В процессе работы "Сетевой монитор" показывает статистику сетевой активности данного компьютера (рис. 16.36).

Рис. 16.36

Левая верхняя панель показывает процент загруженности сетевого сегмента, скорость передачи кадров и скорость передачи байтов.

Панель слева посередине окна показывает физические адреса адаптеров, с которыми происходит обмен данными.

Нижняя панель показывает детальную статистику обмена пакетами для всех сетевых адаптеров, с которых получены или на которые отправлены фреймы.

Панель справа вверху показывает общую статистику сети.

Останов захвата пакетов

Для останова процесса захвата фреймов нужно выбрать пункт меню "Запись" — "Остановить" (просто для останова) или "Запись" — "Остановить и просмотреть" (чтобы после останова сразу перейти в режим просмотра захваченных фреймов), а также нажатием кнопок соответственно "Закончить запись данных" ( ) или "Закончить запись и отобразить данные" ( ).

Просмотр захваченных фреймов

Если вы сразу после останова записи фреймов не перешли в режим их просмотра, это можно сделать через меню "Запись" — "Отобразить записанные данные" или нажатием кнопки "Отобразить записанные данные" ( ). Первоначально при переходе в режим просмотра окно "Сетевого монитора" примет вид, изображенный на рис. 16.37 (в окне отображается полный список захваченных фреймов с краткой информацией о каждом из них):

Рис. 16.37

Двойным щелчком мыши на любом из фреймов мы переходим в режим просмотра содержимого захваченных фреймов (рис. 16.38).

Рис. 16.38

На данном рисунке:

• верхняя панель — полный список захваченных "Сетевым монитором" фреймов;

• средняя панель — структура выделенного в верхней панели фрейма; рис. 16.39 — общие сведения о фрейме (дата, время, размер); рис. 16.40 — информация о протоколе канального уровня Ethernet (физические адреса адаптера-отправителя и адаптера-получателя, тип протокола — IPv4); рис. 16.41 — содержимое заголовка протокола IP; рис. 16.42 — содержимое заголовка протокола TCP; рис. 16.43 — сама информация, передающаяся по сети (в данном случае — информация о сессии протокола NetBIOS);

• нижняя панель — содержимое фрейма в шестнадцатиричном и символьном виде; содержимое той части фрейма, которая выделена в средней панели, в нижней панели выделено инверсным цветом (рис. 16.44).

Рис. 16.39

Рис. 16.40

Рис. 16.41

Рис. 16.42

Рис. 16.43

Рис. 16.44

Фильтрация просматриваемых данных

В окне просмотра данных, захваченных "Сетевым монитором" можно установить фильтры, ограничивающих множество просматриваемых пакетов. Фильтры просмотра используются для отбора кадров по следующим критериям:

• по адресу отправителя или получателя;

• по протоколу передачи кадров;

• по свойствам и значениям, которые содержит кадр.

Включить фильтр просмотра можно через меню "Отображение" — "Фильтр" или кнопкой "Изменить фильтр отображения" на панели инструментов ( ). Панель редактирования фильтра изображена на рис. 16.45:

Рис. 16.45

Нажатие кнопок логических операторов AND (И), OR (ИЛИ), NOT (НЕ) и значений выражений можно накладывать условия на тип протокола или адреса компьютеров. По умолчанию выбираются все протоколы ("Protocol == Any") и все сетевые адреса с передачей пакетов в обоих направлениях ("ANY <-> ANY").

Фильтрация захватываемых данных

Чтобы уменьшить количество захватываемых фреймов, можно установить фильтр захвата до начала процесса захвата фреймов (меню "Запись" — "Фильтр"). На рис. 16.46 изображена панель редактирования фильтра захвата (записи):

Рис. 16.46

17. Лабораторная работа: Мониторинг сетевых протоколов и служб

Лабораторная работа позволяет изучить применение Сетевого монитора для анализа сетевых пакетов, изучить применение программы "Диспетчер задач" для оперативного анализа производительности работы системы, изучить применение консоли "Производительность" для анализа производительности работы системы

Упражнение 1. Диспетчер задач

Упражнение 2. Мониторинг производительности

Упражнение 3. Сетевой монитор