Microsoft®
Windows Server 2003 ®
ПОЛНОЕ РУКОВОДСТВО 2-Е ИЗДАНИЕ
Microsoft®
Windows Server 2003 ®
U N L E A SH E D SECOND EDITION Rand H. Morimoto Kenton Gardinier Michael Noel Omar Droubi
201 West 103rd Street, Indianapolis, Indiana, 46240 USA
Microsoft®
Windows Server 2003 ®
ПОЛНОЕ РУКОВОДСТВО 2-Е ИЗДАНИЕ
Рэнд Моримото Кентон Гардиньер Майкл Ноэл Омар Драуби
Москва · Санкт-Петербург · Киев 2005
ББК 32.973.26-018.2.75 M79 УДК 681.3.07
Издательский дом “Вильямс” Зав. редакцией С.Н. Тригуб Перевод с английского Ю.И. Корниенко, А.А. Моргунова, С.А. Шестакова Под редакцией Ю.Н. Артеменко, А.А. Моргунова По общим вопросам обращайтесь в Издательский дом “Вильямс” по адресу:
[email protected], http://www.williamspublishing.com Моримото, Рэнд, Гардиньер, Кентон, Ноэл, Майкл, Драуби, Омар. M79 Microsoft Windows Server 2003. Полное руководство, 2-е издание. : Пер. с англ. — М. : Издательский дом “Вильямс”, 2005. — 1312 с. : ил. — Парал. тит. англ. ISBN 5-8459-0776-4 (рус.) Книга представляет собой всеобъемлющее учебное и справочное руководство по планированию, проектированию, внедрению и миграции в Windows Server 2003. Windows Server 2003 является новой версией одной из наиболее мощных серверных операционных систем (ОС) с высокой степенью защиты вычислений. Эта ОС может быть эффективно внедрена на предприятиях самых разных размеров. В книге подробно рассматриваются такие вопросы, как планирование перехода, разработка прототипа и тестирование установки Windows Server 2003; разворачивание службы каталогов Active Directory; установка, конфигурирование, управление и администрирование сетевыми службами и системой в целом; организация защиты сетей на базе Windows Server 2003; миграция с предыдущих версий серверных ОС; поиск и устранение неисправностей; повышение производительности серверов на базе Windows Server 2003. Книга рассчитана на пользователей и администраторов средней и высокой квалификации. ББК 32.973.26-018.2.75 Все названия программных продуктов являются зарегистрированными торговыми марками соответствующих фирм. Никакая часть настоящего издания ни в каких целях не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, будь то электронные или механические, включая фотокопирование и запись на магнитный носитель, если на это нет письменного разрешения издательства Sams Publishing. Authorized translation from the English language edition published by Sams Publishing, Copyright © 2004 All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Russian language edition published by Williams Publishing House according to the Agreement with R&I Enterprises International, Copyright © 2005
ISBN 5-8459-0776-4 (рус.) ISBN 0-672-32667-1 (англ.)
© Издательский дом “Вильямс”, 2005 © Sams Publishing, 2004
Оглавление
5
Îãëàâëåíèå Об авторах
43
Посвящения
44
Благодарности
45
От издательства
47
Введение
48
×àñòü I. Îáçîð Windows Server 2003
51
Глава 1. Введение в технологию Windows Server 2003
53
Глава 2. Практические рекомендации по планированию, прототипированию, миграции и развертыванию Windows Server 2003
89
Глава 3. Инсталляция Windows Server 2003
123
×àñòü II. Active Directory â Windows Server 2003
147
Глава 4. Введение в Active Directory
149
Глава 5. Создание Active Directory в Windows Server 2003
181
Глава 6. Создание структуры организационных единиц и групп
209
Глава 7. Инфраструктура Active Directory
233
Глава 8. Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4
263
×àñòü III. Ñåòåâûå ñëóæáû
291
Глава 9. Система доменных имен
293
Глава 10 . DHCP, WINS и контроллеры доменов
329
Глава 11 . Информационные службы Internet версии IIS 6
361
×àñòü IV. Áåçîïàñíîñòü
397
Глава 12 . Безопасность на серверном уровне
399
Глава 13 . Безопасность на транспортном уровне
427
Глава 14 . Паспорта в Windows Server 2003
447
Глава 15 . Политики и средства безопасности
465
×àñòü V. Ìèãðàöèÿ íà Windows Server 2003
485
Глава 16 . Миграция с Windows NT4 на Windows Server 2003
487
Глава 17 . Миграция с Windows 2000 на Windows Server 2003
527
Глава 18 . Тестирование совместимости с Windows Server 2003
571
6
Оглавление
×àñòü VI. Àäìèíèñòðèðîâàíèå è óïðàâëåíèå Windows Server 2003
597
Глава 19 . Администрирование пользователей, групп и сайтов в Windows Server 2003
599
Глава 20 . Системный реестр Windows Server 2003
631
Глава 21 . Групповые политики Windows Server 2003
655
Глава 22 . Практика управления и обслуживания Windows Server 2003
709
Глава 23 . Автоматизация задач с помощью сценариев Windows Server 2003
749
Глава 24 . Документирование среды Windows Server 2003
787
Глава 25. Интеграция диспетчера операций Microsoft с Windows Server 2003
807
×àñòü VII. Òåõíîëîãèè óäàëåííîãî è ìîáèëüíîãî äîñòóïà
833
Глава 26 . Удаленный и мобильный доступ
835
Глава 27. Терминальные службы Windows Server 2003
877
×àñòü VIII. Àäìèíèñòðèðîâàíèå íàñòîëüíûõ êîìïüþòåðîâ
923
Глава 28. Средства администрирования настольных компьютеров в Windows Server 2003
925
Глава 29 . Управление сетевыми клиентами с помощью групповых политик
947
×àñòü IX. Òåõíîëîãèè îáåñïå÷åíèÿ îòêàçîóñòîé÷èâîñòè
977
Глава 30 . Отказоустойчивость файловой системы
979
Глава 31. Отказоустойчивость на уровне системы (кластеризация и балансировка сетевой нагрузки)
1031
Глава 32 . Резервное копирование среды Windows Server 2003
1091
Глава 33 . Аварийное восстановление
1129
×àñòü X. Óñòðàíåíèå ïðîáëåì, îòëàäêà è îïòèìèçàöèÿ
1171
Глава 34 . Ведение журналов и отладка
1173
Глава 35 . Анализ мощности и оптимизация производительности
1213
×àñòü XI. Èíòåãðèðîâàííûå ñëóæáû ïðèëîæåíèé Windows
1237
Глава 36 . Служба Windows SharePoint
1239
Глава 37 . Служба Windows Media
1271
Что находится на CD-ROM
1304
Предметный указатель
1305
Содержание
7
Ñîäåðæàíèå Об авторах
43
Посвящения
44
Благодарности
45
От издательства
47
Введение
48
×àñòü I. Îáçîð Windows Server 2003 Глава 1. Введение в технологию Windows Server 2003 Определение системы Windows Server 2003 Среда Windows .NET Framework и система Windows Server 2003 Что такое Windows .NET Framework Что собой представляет операционная система Windows Server 2003
Выбор варианта реализации Windows Server 2003 Windows Server 2003 как основа для Active Directory Функции Windows Server 2003 как встроенного сервера приложений системы Функции Windows Server 2003 как сервера подключаемых приложений
Когда лучше проводить миграцию? Добавление Windows Server 2003 в среду NT4 или Windows 2000 Миграция с Windows 2000 на Windows Server 2003 Миграция на Windows Server 2003 непосредственно из Windows NT4
Версии системы Windows Server 2003 Windows Server 2003 редакции Web Windows Server 2003 редакции Standard Windows Server 2003 редакции Enterprise Windows Server 2003 редакции DataCenter
Что нового в Windows Server 2003 Визуальные изменения в Windows Server 2003 Изменения, которые упрощают задачи Усиленная безопасность Повышение производительности и функциональности Усиленная поддержка стандартов Возможность удаления объектов схемы Active Directory
Новые возможности администрирования в Windows Server 2003 Фоновая копия тома Создание глобального каталога с носителя IPSec NAT Traversal
Улучшенные пользовательские службы в Windows Server 2003 Управление файлами с помощью распределенной файловой системы Резервирование и отказоустойчивость данных с помощью DFS Резервирование очередей печати
51 53 54 54 55 55
56 57 57 59
60 60 61 62
62 62 63 63 64
65 65 66 67 68 70 71
71 71 72 73
73 74 74 74
8
Содержание Преимущества терминальной службы для тонких клиентов Переадресация локальных дисков и звука Поддержка локального часового пояса Указание типа соединения Каталог сеансов
Преимущества улучшенного управления Автоматическое восстановление сервера Служба удаленной инсталляции серверов Управление по дополнительному каналу
Выход за пределы основных возможностей Windows Server 2003 с помощью пакетов Feature Pack Консоль управления групповыми политиками Служба обновлений программ Active Directory в режиме приложения и пакет возможностей для интеграции учетных данных Служба языка Directory Services Markup Language для Windows Подключаемый модуль удаленного управления пользователями и компьютерами Active Directory Служба Services for NetWare 5.0 SP2 Служба Windows SharePoint Служба управления правами Windows Диспетчер системных ресурсов Windows
Расширение возможностей Windows 2003 с помощью загружаемых средств Средство миграции Active Directory v2.0 Переименование домена Средства совместимости приложений Средство анализа журналов Средства управления операциями Microsoft Средства управления репликацией файлов Знакомство со средствами набора ресурсов Windows 2003
С чего начинать работу с Windows Server 2003 Полезные советы
Глава 2. Практические рекомендации по планированию, прототипированию, миграции и развертыванию Windows Server 2003 Определение масштабов проекта Определение производственных задач и целей при внедрении Windows Server 2003 Высокоуровневые производственные цели Цели отделов и подразделений
75 75 76 76 77
77 78 78 79
79 79 80 80 81 81 81 82 82 82
83 83 83 84 84 84 85 85
86 86
89 90 91 91 92
Определение технических задач и целей при внедрении сервера Windows Server 2003
93
Определение объема работ Определение календарных сроков внедрения или миграции Подбор членов команд разработки и развертывания
95 97 99
Этап обследования: оценка существующей среды Учет географических факторов
100 102
Содержание Управление переносом информации
9 103
Этап проектирования: документирование представления и плана
104
Совместные совещания: принятие проектных решений Организация информации для структурированной проектной документации Проектные решения по Windows Server 2003 Утверждение проекта
104
Этап планирования миграции: документирование процесса миграции Время на разработку плана проекта Скорость против риска Составление документации по миграции
Этап прототипирования: создание и тестирование плана Как создать лабораторный стенд? Результаты лабораторного тестирования среды
Этап опытной эксплуатации: проверка плана на ограниченном количестве пользователей Первый сервер опытного внедрения Разворачивание этапа опытной эксплуатации Устранение проблем на этапе опытной эксплуатации Документирование результатов опытной эксплуатации
Этап миграции/внедрения: проведение миграции или инсталляция Проверка удовлетворенности конечных пользователей Сопровождение новой среды Windows Server 2003
Резюме Полезные советы
Глава 3. Инсталляция Windows Server 2003 Планирование и подготовка инсталляции сервера Соответствует ли оборудование минимальным требованиям Что выбрать: новую инсталляцию или модернизацию Определение типа инсталлируемого сервера Сбор информации, необходимой для дальнейшей работы Резервное копирование файлов
Установка операционной системы Windows Server 2003 Форматирование раздела Региональные и языковые настройки Персонализация программного обеспечения Ввод ключа программного продукта Выбор режима лицензирования Установка имени компьютера и пароля администратора Установка даты и времени Установка параметров сети Включение в рабочую группу или в домен компьютеров Завершение инсталляции Вход в систему Активизация Windows Server 2003
Модернизация до Windows Server 2003 Создание резервной копии сервера
105 107 108
108 109 111 111
113 114 115
116 116 117 118 118
119 119 119
120 120
123 124 124 124 126 126 128
129 129 130 131 131 131 132 133 134 134 134 135 135
136 137
10
Содержание Проверка совместимости системы Выполнение дополнительных задач Проведение модернизации
137 137 137
Использование альтернативных методов инсталляции Выполнение автономной инсталляции Windows Server 2003
138 139
Когда использовать автономную инсталляцию Применение усовершенствованного диспетчера установки Подготовка к автономной инсталляции Создание сценария автономной инсталляции Запуск сценария автономной инсталляции
139 139 139 140 143
Инсталляция Windows Server 2003 из образа Использование службы удаленной инсталляции Использование средства подготовки системы Использование службы автоматического развертывания
Инсталляция Windows Server 2003 с помощью групповой политики и сервера управления системой Резюме Полезные советы
×àñòü II. Active Directory â Windows Server 2003 Глава 4. Введение в Active Directory Эволюция служб каталогов Первоначальные системы управления каталогами Microsoft Основные свойства Active Directory
Развитие Active Directory Ограничения, присущие доменам NT 4.0 Признание компанией Microsoft стандартов Internet
Структура Active Directory Домен Active Directory Деревья доменов Active Directory Леса в Active Directory Режимы аутентификации Active Directory Функциональные уровни в Windows Server 2003 Active Directory Комбинированный функциональный уровень домена Windows 2000 Собственный функциональный уровень Windows 2000 Промежуточный функциональный уровень Windows Server 2003 Функциональный уровень Windows Server 2003
Компоненты Active Directory Active Directory частично основана на протоколе X.500 Схема AD Облегченный протокол доступа к каталогам Репликация с несколькими основными репликами для контроллеров доменов Глобальный каталог и серверы глобального каталога Роли мастера операций
Доверительные отношения между доменами Транзитивные доверительные отношения Явные доверительные отношения
Организационные единицы
143 143 144 145
145 146 146
147 149 150 151 151
152 152 154
154 154 155 156 156 157 157 157 157 158
159 159 159 161 161 161 162
163 164 164
166
Содержание Что использовать — домены или OU?
Роль групп в среде Active Directory Группы или организационные единицы?
Репликация Active Directory Сайты, связи сайтов и серверы-мосты соединений сайтов Записи создания
DNS в Active Directory Пространство имен DNS Динамическая DNS Сравнение стандартных зон DNS и зон DNS, интегрированных с AD Сосуществование AD DNS с посторонними DNS
Безопасность Active Directory Kerberos Информационный сервер Internet v6 по умолчанию отключен Дополнительные соображения по безопасности
Изменения Active Directory в Windows Server 2003 Средство переименования доменов Active Directory в Windows Server 2003 Усовершенствования в мастере конфигурирования сервера Транзитивные доверительные отношения между лесами Поддержка режима отключения сжатия репликаций службы Active Directory Деактивизация атрибутов схемы Инкрементная репликация членства в универсальной группе Active Directory в режиме приложения Дополнительные изменения, внесенные в Windows Server 2003
Резюме Полезные советы
Глава 5. Создание Active Directory в Windows Server 2003 Создание доменов Active Directory Доверительные отношения доменов
Выбор пространства имен домена Внешнее (опубликованное) пространство имен Внутренние пространства имен
Новые возможности создания доменов в Windows Server 2003 Выбор структуры домена Модель с единственным доменом Выбор модели с единственным доменом Реальный пример создания
Модель с несколькими доменами Когда следует добавлять дополнительные домены Реальный пример создания
Модель с несколькими деревьями в одном лесу Когда следует выбирать модель домена со многими деревьями Реальный пример создания
Модель создания интегрированных лесов Когда следует выбирать интегрированные леса Реальный пример создания
Модель домена с выделенным корнем
11 167
167 169
170 170 170
171 171 173 173 173
174 174 174 175
175 175 176 176 176 176 177 177 178
178 179
181 182 183
184 185 185
186 187 188 188 189
191 191 193
194 194 195
196 197 198
199
12
Содержание Когда следует выбирать модель с выделенным корнем Реальный пример создания
Модель с фиктивным доменом Реальный пример создания
Домены специального назначения Реальный пример создания
Переименование домена Active Directory Ограничения на переименования доменов Необходимые условия для переименования доменов Переименование домена
Резюме Полезные советы
Глава 6. Создание структуры организационных единиц и групп Организационные единицы Группы Типы групп: доступа или рассылки Область видимости групп
Создание OU и групп Приступаем к созданию OU Отображение структуры OU на структуру доменов ресурсов NT Излишнее использование OU в структуре домена Гибкость OU
Использование OU для делегирования прав администрирования Групповые политики и структура OU Проектирование групп Полезные советы по применению групп Установление стандартов именования групп Вложенность групп Создание групп рассылки
Примеры конструкторских моделей Построение на основе бизнес-функций Построение на основе географического расположения
Резюме Полезные советы
Глава 7. Инфраструктура Active Directory Понятие репликации Active Directory Репликация в Active Directory Концепции топологии с несколькими хозяевами Последовательные номера обновлений Конфликты репликаций Номера версий базы данных Объекты соединений Латентность репликации Сравнение SMTP- и IP-репликации
Сайты Active Directory Усовершенствования сайтов в Windows Server 2003
199 200
201 202
203 204
204 204 205 206
208 208
209 210 212 213 214
217 217 218 219 219
219 222 223 223 224 224 225
225 225 228
231 231
233 234 234 235 235 236 236 236 237 240
241 241
Содержание Связывание подсетей с сайтами Использование связей сайтов Соединение сайтов с помощью мостов Механизм проверки целостности знаний и генератор межсайтовой топологии Уточнение стоимости сайтов Рекомендуемые ведущие серверы связей сайтов
Планирование топологии репликации Отображение построения сайта на построение сети Создание сайтов Выбор между одним сайтом или многими сайтами Связывание подсетей с сайтами Определение связей сайтов и стоимостей связей сайтов Выбор расписания репликации Выбор между SMTP- и IP-репликацией Шифрование SMTP-связей сайтов Усовершенствования репликации в Windows Server 2003 Повышение контроллера домена с носителя данных Идентификация репликации связанными значениями/кэширование членства в универсальных группах Удаление неактивных объектов Отключение сжатия репликации Отсутствие полной синхронизации глобального каталога с изменениями схемы Улучшения алгоритма генератора межсайтовой топологии
Поддержка IPv6 в Windows Server 2003
13 241 243 244 245 246 247
248 248 248 249 250 250 251 251 251 251 252 253 254 254 255 255
255
Определение структуры IPv6 Понятие адресации в IPv6 Инсталляция IPv6 Миграция на IPv6 Прыжок в IPv6
256 256 257 258 259
Реальные проекты репликации
259
Структура звездообразной репликации Децентрализованная структура репликации
Резюме Полезные советы
259 260
262 262
Глава 8. Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4
263
Знакомство с Services for Unix 3.5 и ее использование
264
Развитие Services for Unix Компоненты Services for Unix Необходимые условия для работы Services for Unix Инсталляция Services for Unix 3.5
Interix как компонент Services for Unix Написание сценариев для Interix Инструменты и языки программирования Interix
Совместное использование файлов в Unix NFS и Windows Шлюз для NFS
265 265 266 266
269 269 269
270 270
14
Содержание Использование сервера для NFS Развертывание клиента NFS
270 271
Синхронизация пользователей в SFU
271
Отображение имен пользователей Синхронизация паролей с помощью SFU
Усовершенствование администрирования в Services for Unix
271 271
272
Удаленное администрирование с помощью сервера и клиента Telnet Использование консоли MMC Services for Unix Выполнение сценариев с помощью ActivePerl 5.6 и SFU
272 273 273
Объединение сред Windows и NetWare с помощью Services for NetWare
273
Gateway Services for NetWare Использование Services for NetWare Инсталляция Services for NetWare 5.02 SP2 Службы файлов и печати NetWare Служба синхронизации каталогов Microsoft Миграция с помощью утилиты миграции файлов
274 274 275 276 277 279
Сервер идентификации и объединения Microsoft
279
История MIIS Знакомство с пакетом возможностей идентификации и объединения (IIFP) База данных SQL Server для MIIS Терминология MIIS Агенты управления MIIS Профили выполнения агентов управления Установка сервера идентификации и объединения Microsoft
Использование возможностей и потенциала MIIS Управление учетными данными с помощью MIIS Разнесение и уничтожение учетных записей с помощью MIIS Резюме по MIIS 2003
Резюме Полезные советы
×àñòü III. Ñåòåâûå ñëóæáû Глава 9. Система доменных имен Внутреннее устройство системы доменных имен Потребность в DNS История DNS
Структура DNS Иерархия DNS Пространство имен DNS
Начало работы с DNS в Windows Server 2003 Установка DNS с помощью мастера конфигурирования сервера Конфигурирование DNS для указания на себя
Понятие записей ресурсов Записи начала полномочий Записи хостов (A) Записи сервера имен (NS) Записи служб (SRV) Записи обмена почтой (MX)
279 280 281 281 282 282 282
284 285 286 289
289 290
291 293 294 294 295
295 296 297
297 297 300
301 301 301 302 303 304
Содержание Записи указателей (PTR) Записи канонических имен (CNAME) Другие типы записей
Зоны DNS Зоны прямого просмотра Зоны обратного просмотра Первичные зоны Вторичные зоны Зоны-заглушки
Переносы зоны Выполнение полного переноса зоны Инициирование инкрементного переноса зоны
DNS-запросы
15 304 304 304
304 306 306 306 307 307
308 309 310
310
Рекурсивные запросы Итеративные запросы
311 311
Другие компоненты DNS
312
Динамическая DNS Время существования Выполнение безопасных обновлений Старение и очистка Корневые ссылки Ретрансляторы Поиск с помощью WINS
Эволюция Microsoft DNS Зоны, интегрированные в Active Directory Динамические обновления Поддержка символов Unicode
Изменения DNS в Windows Server 2003 Информация DNS хранится в логическом разделе приложения Автоматическое создание зон DNS Решение проблемы “острова” Корневая зона леса _msdcs выделена в отдельную зону
DNS в среде Active Directory Влияние DNS на Active Directory Active Directory в реализациях DNS, отличных от Microsoft Использование вторичных зон в среде Active Directory Записи SRV и преобразование сайтов
Устранение неполадок в DNS Использование программы просмотра событий DNS для диагностирования проблем Мониторинг DNS с помощью монитора производительности Кэш на стороне клиента и проблемы с преобразованием с помощью файла HOST Применение утилиты командной строки NSLOOKUP Применение утилиты командной строки IPCONFIG Применение утилиты командной строки TRACERT Применение утилиты командной строки DNSCMD
Резюме
312 312 313 314 314 315 316
317 317 317 317
318 318 318 318 319
319 320 320 320 321
322 322 323 323 323 324 325 326
326
16
Содержание Полезные советы
Глава 10 . DHCP, WINS и контроллеры доменов Обзор “прочих” сетевых служб Основные компоненты сети предприятия Сетевая адресация Преобразование имен Интеграция каталогов Основные изменения сетевых служб в Windows Server 2003
Протокол динамической конфигурации хостов Потребность в DHCP Предшественники DHCP: RARP и BOOTP Служба серверов DHCP Клиентская служба DHCP Автоматическая частная IP-адресация Агенты ретрансляции DHCP DHCP и динамическая DNS Установка DHCP и создание новых областей
Изменения DHCP, внесенные в Windows Server 2003 Автоматизация резервного копирования и восстановления базы данных DHCP Возможность работы клиента DHCP в другой сети
Подхват функций DHCP Повышение отказоустойчивости DHCP с помощью подхвата функций “50/50” Повышение отказоустойчивости DHCP с помощью подхвата функций “80/20” Повышение отказоустойчивости DHCP с помощью подхвата функций “100/100” Метод резервных областей Кластеризация DHCP-серверов
Углубленные концепции DHCP Суперобласти DHCP Широковещательные области DHCP Делегирование административных функций DHCP Утилита командной строки Netsh Обслуживание базы данных DHCP
Безопасность DHCP Авторизация DHCP DHCP и безопасность контроллера домена
Служба Internet-имен Windows Преобразование имен, применявшееся Microsoft в NetBIOS Интеграция WINS и DNS Изменения службы WINS Windows Server 2003
Установка и конфигурирование WINS Установка WINS Конфигурирование принимающих и передающих партнеров Репликация WINS Преобразование клиентов NetBIOS и файл LMHOSTS
Планирование, миграция и обслуживание WINS Проектирование среды WINS Модернизация среды WINS
327
329 330 330 330 331 331 332
332 332 332 333 334 334 335 336 336
338 338 340
340 340 342 342 344 344
344 344 345 345 345 346
347 347 348
349 349 349 350
351 352 352 353 354
355 355 355
Содержание Обслуживание базы данных WINS
Размещение контроллеров домена глобального каталога Глобальный каталог Active Directory Размещение глобального каталога/контроллера домена Кэширование универсальной группы Размещение глобального каталога и контроллера домена
Резюме Полезные советы
Глава 11 . Информационные службы Internet версии IIS 6 Усовершенствования IIS 6 Планирование и проектирование IIS Определение требований к серверу Определение требований к отказоустойчивости
Установка и модернизация IIS Модернизация с других версий IIS
Конфигурирование IIS Использование оснастки IIS Конфигурирование Web-служб Создание Web-сайта с помощью IIS Выбор свойств Web-сайта Создание и конфигурирование виртуального каталога
17 357
357 357 358 358 359
360 360
361 362 364 364 365
366 367
368 368 369 370 370 373
Конфигурирование и оптимизация приложений
375
Изоляция и организация пулов приложений Рециркуляция процессов IIS 6 Мониторинг работоспособности IIS Производительность приложения Параметры приложений
375 376 377 377 378
Установка и конфигурирование служб FTP
378
Изоляция пользователей FTP для защиты данных Создание FTP-сайта Страница свойств FTP
379 380 380
Знакомство с необязательными компонентами IIS
383
Служба SMTP Служба NNTP Служба индексации Internet
Защита IIS Безопасность Windows Server 2003 Блокировка расширений Web-служб Аутентификация IIS Аудит Web-служб Использование сертификатов SSL Конфигурирование параметров безопасности FTP
Обслуживание IIS Ведение журналов IIS
Улучшенное конфигурирование безопасности Internet Explorer для серверов Резюме
383 384 384
385 385 385 386 386 387 390
391 392
393 394
18
Содержание Полезные советы
×àñòü IV. Áåçîïàñíîñòü Глава 12 . Безопасность на серверном уровне Понятие безопасности Windows Server 2003 Инициатива Trustworthy Computing компании Microsoft Common Language Runtime Многоуровневый подход к безопасности сервера
Обеспечение физической безопасности Ограничение физического доступа Ограничение входа в систему Использование команды Run As для получения административного доступа Доступ к системе с помощью смарт-карт Обеспечение безопасности беспроводных сетей Безопасность с помощью брандмауэров
Повышение безопасности сервера Определение ролей сервера Защита сервера с помощью мастера конфигурирования сервера
Обеспечение безопасности сервера с помощью шаблонов безопасности Остановка ненужных служб
Безопасность на файловом уровне Безопасность файловой системы NTFS Сравнение безопасности уровня общих ресурсов и безопасности NTFS Аудит доступа к файлам Шифрование файлов с помощью службы шифрования файлов
Дополнительные меры безопасности Меры антивирусной защиты Обеспечение безопасности с помощью резервного копирования
Работа со службой обновления программного обеспечения Основные принципы SUS: Windows Update Клиент автоматических обновлений Разработка службы обновления программного обеспечения Необходимые условия для развертывания SUS Установка сервера службы обновления программного обеспечения Установка параметров службы SUS Синхронизация сервера SUS Утверждение исправлений программного обеспечения в SUS Автоматическое конфигурирование клиентов с помощью групповых политик Установка исправлений безопасности с помощью SUS
Резюме Полезные советы
Глава 13 . Безопасность на транспортном уровне Введение в безопасность на транспортном уровне в Windows Server 2003 Необходимость безопасности транспортного уровня Безопасность с помощью многоуровневой защиты Основы шифрования
Виртуальные частные сети
395
397 399 400 400 400 401
401 401 402 403 404 405 405
406 406 406
407 408
409 410 411 411 412
413 413 414
414 414 415 415 416 416 417 420 421 422 425
425 425
427 428 428 429 429
429
Содержание
19
Туннели VPN Протоколы туннелирования Протоколы PPTP и L2TP Протокол безопасности L2TP/IPSec Администрирование виртуальных частных сетей с помощью сервера службы аутентификации Internet Создание VPN с помощью службы маршрутизации и удаленного доступа
Инфраструктура открытых ключей Сравнение шифрования секретным ключом и шифрования открытым ключом Сертификаты Службы сертификации в Windows Server 2003 Смарт-карты в инфраструктуре открытых ключей Шифрованная файловая система Интеграция PKI с зонами Kerberos
430 430 430 431 431 433
435 435 436 436 438 439 439
Протокол защиты данных в Internet
439
Принцип работы IPSec Основные возможности IPSec NAT Traversal в IPSec
439 440 440
Конфигурирование простого протокола IPSec между серверами в домене Windows Server 2003
441
Просмотр монитора безопасности IPSec Определение политики IPSec на сервере Определение политики IPSec на клиенте Проверка функционирования IPSec в программе просмотра событий
442 443 443 444
Резюме Полезные советы
Глава 14 . Паспорта в Windows Server 2003 Преимущества применения паспортов .NET Установка и конфигурирование паспортов .NET Получение тестового идентификатора PREP ID Использование утилиты администрирования диспетчера паспортов Получение ключа шифрования Создание паспорта .NET для производственной среды
Работа с учетными записями .NET Passport Преобразование учетных записей Совместное использование учетных записей сайта и паспортов .NET Создание учетных записей паспортов
445 446
447 448 449 450 452 453 455
455 456 456 456
Использование паспортов с Web-приложениями Паспорта .NET и мобильные устройства Дополнительные уровни безопасности
457 458 458
Аутентификация с помощью паспорта .NET Cookie-файлы .NET Passport Защита обмена данными
458 459 460
Политики .NET Passport Методики предоставления честной информации
460 461
Другие паспортные службы
461
.NET Passport for Kids
461
20
Содержание Лицензирование паспортов Резюме Полезные советы
Глава 15 . Политики и средства безопасности Политики безопасности Обучение сотрудников организации Реализация политик Разработка политик безопасности на уровне предприятия Политики безопасности сетевой инфраструктуры Определение политик безопасности на системном уровне Политики безопасности рабочих столов
462 462 463
465 466 466 467 467 468 470 473
Использование инструментальной панели политик безопасности
473
Центры сертификации Средства мониторинга Средства тестирования в предельных режимах Оснастка Security Configuration and Analysis Использование анализатора эталонной безопасности Microsoft Использование мастера конфигурации безопасности Использование службы управления правами доступа Windows
474 475 476 476 478 479 481
Резюме Полезные советы
×àñòü V. Ìèãðàöèÿ íà Windows Server 2003 Глава 16 . Миграция с Windows NT4 на Windows Server 2003 Способы миграции на Windows Server 2003
482 482
485 487 488
Определение наилучшего способа миграции для данной организации
488
Подготовка доменов Windows NT4 для миграции в Windows Server 2003
492
Совместимость аппаратного и программного обеспечения Анализ требований аппаратному и программному обеспечению Перемещение томов, зеркальных томов и полосовых дисковых наборов Windows NT4 Установка и настройка служб для совместимости с Windows Server 2003 Подготовка базы данных SAM операционной системы NT 4.0
492 493
Выполнение модернизации на месте Модернизация первичного контроллера домена Windows NT4 Модернизация до Active Directory Настройка уровней функционирования леса Применение безопасности к режиму восстановления службы каталогов Миграция резервных контроллеров и рядовых серверов домена Начало модернизации контроллера домена или рядового сервера Модернизация резервного контроллера домена Windows NT4 до контроллера домена Windows Server 2003
Миграция существующих доменов Windows NT4 в новый лес Windows Server 2003 Установка и конфигурирование нового леса и домена Windows Server 2003 Конфигурирование доверительных отношений между доменами Windows NT4 и Windows Server 2003
494 495 495
496 496 497 498 499 500 501 501
503 503 506
Содержание Миграция доменов учетных записей и ресурсов в Windows Server 2003 и Active Directory Использование миграции настроек безопасности
Объединение доменов Windows NT4 Модернизация существующего домена Windows NT4 до корневого домена нового леса Active Directory Реструктурирование существующих доменов учетных записей и ресурсов в домены Active Directory
Использование средства миграции Active Directory компании Microsoft Установка средства миграции Active Directory Миграция учетных записей и групп домена в Active Directory Перенос групп NT4 в Active Directory Миграция учетных записей компьютеров в Active Directory Миграция учетных записей служб в Active Directory
Резюме Полезные советы
Глава 17 . Миграция с Windows 2000 на Windows Server 2003 Обзор миграции на Windows Server 2003 Начало процесса миграции Определение задач перехода Определение этапов проекта миграции Сравнение модернизации на месте с миграцией на новое оборудование Стратегии миграции: “большой взрыв” и медленный переход Варианты миграции
Модернизация отдельного рядового сервера Проверка совместимости оборудования Проверка готовности приложений Резервное копирование и организация процесса восстановления Модернизация обособленного сервера
Модернизация леса Active Directory Windows 2000 Миграция контроллеров доменов Модернизация схемы Active Directory с помощью утилиты adprep Модернизация существующих контроллеров доменов Замена существующих контроллеров доменов Передача ролей мастера операций Удаление существующих контроллеров доменов Windows 2000 Удаление “призрачных” контроллеров доменов Windows 2000 Модернизация функциональных уровней домена и леса Перемещение AD-интегрированных зон DNS в разделы приложений
Модернизация отдельных лесов Active Directory до единого леса с помощью переадресации доменов смешанного режима Предварительные условия и ограничения на процедуру переадресации доменов смешанного режима Процедура переадресации доменов смешанного режима
Объединение и миграция доменов с помощью средства миграции Active Directory версии 2.0 Функции ADMT 2.0
21
508 508
509 510 511
511 512 512 517 520 523
524 524
527 528 528 528 529 530 530 531
531 531 532 532 533
534 536 537 539 539 541 543 543 543 546
547 547 547
552 553
22
Содержание Объединение доменов Windows 2000 в домен Windows Server 2003 с помощью утилиты ADMT 2.0 Использование ADMT в лабораторной среде Процедура установки ADMT 2.0 Миграция групп Миграция учетных записей пользователей Миграция учетных записей компьютеров Миграция других функций домена
Резюме Полезные советы
Глава 18 . Тестирование совместимости с Windows Server 2003 Важность тестирования на совместимость Подготовка к тестированию совместимости Определение объема тестирования приложений Определение целей тестирования совместимости Документирование плана тестирования совместимости
Обследование продуктов и приложений Инвентаризация сетевых систем Инвентаризация приложений на существующих серверах Различия между приложениями и службами Windows Составление инвентаризационных ведомостей для каждого приложения Расстановка приоритетов в списке
Проверка совместимости у поставщиков Протоколы обследования совместимости приложений Шесть состояний совместимости Официально несовместимые приложения, которые, похоже, работают нормально Создание матрицы решений модернизации Оценка влияния результатов совместимости на план тестирования совместимости
553 554 554 559 562 566 569
569 569
571 572 573 574 576 580
580 580 581 581 582 583
583 584 584 587 588 588
Лабораторное тестирование существующих приложений
589
Выделение и конфигурирование оборудования Выделение и конфигурирование Windows Server 2003 Загрузка остальных приложений Средство тестирования совместимости приложений Тестирование процесса миграции и модернизации
589 590 590 591 592
Документирование результатов тестирования совместимости Определение необходимости этапа прототипирования Резюме Полезные советы
592 593 594 595
×àñòü VI. Àäìèíèñòðèðîâàíèå è óïðàâëåíèå Windows Server 2003 Глава 19 . Администрирование пользователей, групп и сайтов в Windows Server 2003
597
Определение модели администрирования Централизованная модель администрирования Распределенная модель администрирования
599 600 600 601
Содержание Смешанная модель администрирования
Знакомство с администрированием сайтов Active Directory Компоненты сайта
Конфигурирование сайтов Создание сайта Настройка лицензирования для предприятия Установление связей сайтов Делегирование управления на уровне сайта
Знакомство с группами Active Directory Windows Server 2003 Типы групп Области действия групп в Active Directory
Создание групп Администрирование пользователей в отдельном домене Администрирование пользователей в лесу доменов Группы и уровень функциональности домена Создание групп AD Заполнение группы Управление группами
Управление администрированием пользователей Профили пользователей Типы профилей Создание стандартного профиля Копирование профилей в стандартный профиль пользователя
23 601
601 602
603 604 606 608 610
611 611 612
613 613 613 614 615 615 616
618 618 618 620 621
Управление пользователями с помощью локальных политик безопасности и групповых политик
622
Просмотр политик с помощью редактора объектов групповых политик Создание новых групповых политик Настройка и оптимизация групповой политики Устранение неполадок при применении групповых политик
622 623 626 628
Резюме Полезные советы
Глава 20 . Системный реестр Windows Server 2003 Структура реестра Windows Server 2003 Ульи, ключи и подключи Место расположения и хранения реестра HKEY_LOCAL_MACHINE HKEY_CLASSES_ROOT HKEY_CURRENT_CONFIG HKEY_CURRENT_USER HKEY_USERS
Редактор реестра Windows Server 2003 Изменение строк реестра Поиск в реестре Работа с меню Favorites Подключение к удаленному реестру
Защита реестра Запрет удаленного доступа
629 630
631 632 633 634 634 637 637 638 639
639 640 641 642 642
643 644
24
Содержание Аудит реестра Анализ журналов событий
Сопровождение реестра Управление размером реестра Поддержание структуры реестра Очистка реестра
Резервное копирование реестра Использование утилиты резервного копирования Резервное копирование отдельных ключей Ускорение резервного копирования отдельных ключей Восстановление отдельных ключей реестра
Резюме Полезные советы
Глава 21 . Групповые политики Windows Server 2003 Применение групповых политик
644 646
646 646 647 647
649 650 652 652 652
652 653
655 656
Применение политик компьютеров Применение политик пользователей Понятие интервалов обновления групповых политик
656 656 657
Общие рекомендации по внедрению групповых политик
657
Чем меньше политик, тем лучше: подход “меньше значит больше” Знакомство со средством результирующего набора политик (RSoP) Порядок наследования групповых политик Влияние обнаруженного медленного канала Делегирование прав управления GP Отказ от междоменных назначений политик Использование соглашений по именованию групповых политик Понятие стандартной политики домена
Наследование групповых политик и порядок их применения Полезные советы по наследованию групповых политик Порядок применения объектов групповых политик Изменение наследования групповых политик Настройка переброса групповой политики
Влияние медленных каналов на групповые политики Влияние медленного канала на сайт Определение скорости медленного канала Задание специальной скорости медленного канала
Средства повышения скорости работы Ссылки на групповые политики Конфигурирование оснастки Group Policy Отключение параметров конфигурации Просмотр групповых политик в режиме показа только сконфигурированных политик Удаление неиспользуемых групповых политик
Автоматизация установки приложений Определение успешного выполнения продвижения
Улучшение управляемости с помощью консоли управления групповыми политиками
658 658 658 658 659 659 659 660
660 660 661 661 662
663 663 664 664
665 665 665 665 667 668
669 669
670
Содержание Операции с GPO: резервное копирование, восстановление, копирование и импорт Миграция таблиц Поддержка управления групповыми политиками между лесами Возможность получения HTML-отчетов и вкладка Settings Привязка фильтров WMI Поиск групповых политик в GPMC
Использование в GPMC утилиты Resultant Set of Policies Моделирование групповых политик с помощью утилиты Resultant Set of Policies Использование режима регистрации в журнале RSoP для выявления применяемых политик
Понятие об оснащении управления Windows Использование сценариев WMI Использование фильтров WMI
Повышение безопасности с помощью Group Policy Предопределенные шаблоны безопасности Обязательные стандартные параметры групповой политики домена Ограниченные группы: назначение локальных групп с помощью групповых политик
Эффективное использование перенаправления папок Создание папки для каждого пользователя в корневом пути Перенаправление в домашний каталог (My Documents) Перенаправление на специальный путь Перенаправление в локальный профиль пользователя Использование перемещаемых профилей
Другие полезные инструменты для управления групповыми политиками Использование утилиты gpupdate.exe Использование утилиты gpresult.exe Использование монитора групповых политик Использование средства GPOTool.exe Использование средства FRSDiag.exe Использование средства Sonar.exe
Использование административных шаблонов Сравнение политик и настроек Использование подключаемых шаблонов групповых политик от Microsoft
Модификация административных шаблонов Опции политики клиента Outlook Добавление административного шаблона Outlook Назначение делегатов групповых политик Управление конфигурациями групповых политик Определение эталонных настроек Outlook Управление внешним видом клиента Outlook Конфигурирование и применение параметров групповой политики Outlook Специальная настройка административных шаблонов Group Policy
Работа с объектами групповых политик Открытие оснастки Group Policy Редактирование объекта групповой политики Создание объекта групповой политики
25
670 671 671 672 672 673
673 673 673
674 674 675
676 677 677 678
679 679 680 681 681 682
683 683 683 683 684 684 685
686 686 687
687 687 688 690 691 691 693 693 696
696 697 698 698
26
Содержание Удаление объекта групповой политики Удаление привязки объекта групповой политики Отключение объекта групповой политики
Работа в пространстве имен оснастки Group Policy Использование конфигурации компьютеров и пользователей Работа с настройками программ Работа с настройками Windows Работа с параметрами безопасности Применение административных шаблонов Развертывание инсталляций программного обеспечения Создание и изменение сценариев
Резюме Полезные советы
Глава 22 . Практика управления и обслуживания Windows Server 2003 Управление Windows Server 2003 Управление на основе ролей серверов Контроллеры доменов
Выполнение аудита среды Политики аудита Отслеживание событий входа и выхода пользователя Мониторинг доступа к ресурсам
Дистанционное управление Windows Server 2003 Средства администрирования Удаленный рабочий стол администрирования Использование подключаемого модуля удаленного управления для оснастки Active Directory Users and Computers Использование Telnet для управления удаленным доступом
Определение рисков безопасности Отслеживание и управление лицензиями Упрощение управления с помощью диспетчера операций Microsoft Практические приемы обслуживания Windows Server 2003 Обслуживание DHCP и WINS Обслуживание устаревания и очистки данных DNS
Своевременная установка пакетов обновлений
699 699 700
701 701 701 702 702 704 706 706
707 708
709 710 710 714
715 715 716 717
719 720 721 722 722
723 723 724 724 724 726
726
Средство Windows Update Служба обновления программ Поддержка согласованности
727 728 728
Обслуживание Windows Server 2003
729
Ежедневное обслуживание Еженедельное обслуживание Проверка дисковой памяти Ежемесячное обслуживание Ежеквартальное обслуживание
730 733 733 741 743
Сводка задач и рекомендаций по обслуживанию Резюме Полезные советы
746 747 747
Содержание Глава 23 . Автоматизация задач с помощью сценариев Windows Server 2003 Обзор применения сценариев Сценарии в виде документированных руководств Управление серверами Управление рабочими станциями Сценарии конфигурирования пользователей Сценарии администрирования каталогов Преимущества работы со сценариями
Введение в VBScript Варианты выполнения сценариев на Visual Basic
Обзор создания сценариев для Active Directory Объекты Active Directory Интерфейс служб Active Directory Работа с объектами Active Directory
Доступ к свойствам объектов Оснастка MMC ADSI Edit Оснастка MMC Active Directory Schema
Управление пользователями с помощью сценариев Сценарий создания пользователя Заполнение опциональных атрибутов пользователя Заполнение атрибутов пользователя с помощью переменных Задание свойств Exchange 2000 для Active Directory с помощью сценария
Создание пользователей из файла данных Применение средств Ldifde.exe или Csvde.exe Подключение к источникам данных в виде неструктурированных файлов
Поиск в Active Directory Объекты данных ActiveX Создание сценария поиска с помощью ADO Поиск с помощью оснастки MMC Active Directory Users and Computers
Написание сценариев для Windows Server 2003 Введение в Windows Management Instrumentation Создание простого сценария WMI
Примеры применения сценариев Поиск ненужных групповых политик Поиск установленных программных компонентов Проверка членства в локальных группах Определение доменных принтеров Создание пользователей из данных в CSV-файле Проверка свободного места на томах серверов домена
Резюме Полезные советы
Глава 24 . Документирование среды Windows Server 2003 Преимущества документирования Управление знаниями Финансовые выгоды Базирование
27
749 750 751 752 752 752 752 753
754 754
757 758 759 759
759 760 763
764 765 767 767 768
769 769 770
771 771 771 772
772 773 773
774 775 776 778 780 782 784
785 785
787 788 789 789 790
28
Содержание Устранение неполадок
Документирование проектирования и планирования Документация по проектированию
Документирование миграции Планы проекта Разработка плана тестирования Процедуры миграции серверов Процедуры миграции рядовых компьютеров Процедуры миграции пользователей Списки выполнения
Инфраструктура Active Directory Сетевая инфраструктура
790
790 791
791 792 793 793 794 794 795
795 796
Документирование инфраструктуры глобальной сети Документирование сетевых устройств Документирование конфигурации (как вначале)
796 797 797
Документирование администрирования и сопровождения
798
Документы с пошаговыми процедурами Политики Документы со списками выполнения Процедурные документы
Документация по аварийному восстановлению Планирование аварийного восстановления Резервное копирование и восстановление Мониторинг и документирование производительности Подхват функций Процедуры управления изменениями
798 798 799 799
799 800 800 801 801 801
Документирование производительности
802
Регистрация повседневных действий Отчеты для руководства Технические отчеты
802 802 803
Документация по безопасности Управление изменениями Регистрация повседневных действий Отчеты для руководства
Учебная документация Техническое обучение Обучение конечных пользователей Политики использования системы
Резюме Полезные советы
Глава 25. Интеграция диспетчера операций Microsoft с Windows Server 2003 Что такое диспетчер операций Microsoft Как работает MOM Обработка событий и данных о производительности Генерация предупреждений и ответных действий
Архитектура MOM
803 803 804 804
804 804 805 805
805 805
807 808 808 809 809
809
Содержание Как MOM хранит регистрируемые данные Роль сервера доступа к данным в MOM Консолидатор Задачи агентов мониторинга системы Создание административных разграничений с помощью групп конфигурации
Использование MOM Управление и мониторинг с помощью MOM Составление отчетов в MOM Мониторинг производительности
Знакомство с пакетами управления Интеграция с существующими средствами управления Расширенные пакеты управления Средства набора ресурсов MOM 2000 Resource Kit
Требования компонентов MOM Требования к аппаратному обеспечению Требования к программному обеспечению Учетные записи службы MOM Резервное копирование MOM Агенты MOM
Дополнительные концепции MOM Сравнение серверов DCAM и D-DCAM Несколько конфигурационных групп Конфигурационные группы на основе территориального деления Конфигурационные группы на основе политического деления или принципов безопасности Установка размера базы данных Пределы емкости Масштабирование среды MOM Избыточность системы
Безопасность MOM Физическая защита MOM Защита агентов MOM Требования к брандмауэру Защита учетных записей служб
Примеры проектирования успешных реализаций MOM Конфигурация с одним сервером MOM Конфигурация с несколькими серверами MOM
Резюме Полезные советы
×àñòü VII. Òåõíîëîãèè óäàëåííîãî è ìîáèëüíîãî äîñòóïà Глава 26 . Удаленный и мобильный доступ Возможности и службы маршрутизации и удаленного доступа Windows Server 2003 Двухточечный протокол по коммутируемым по запросу сетям Ethernet Интеллектуальная служба фоновой пересылки данных версии 1.5 NAT Traversal с использованием Universal Plug and Play
29 810 811 811 811 811
813 813 814 815
815 817 818 818
819 819 819 820 820 821
821 821 822 822 823 823 824 825 826
826 827 827 828 828
828 828 830
831 831
833 835 836 837 838 838
30
Содержание Проверка политик изоляции
Архитектура службы маршрутизации и удаленного доступа Агент SNMP для RRAS Управляющие приложения Аутентификация, авторизация и учет Диспетчер динамического интерфейса (Mprdim.dll) Диспетчер подключений Программный интерфейс приложений телефонии Диспетчер IP-маршрутизатора (Iprtmgr.dll) Диспетчер IPX-маршрутизатора (Ipxrtmgr.dll) Протоколы маршрутизации однонаправленных сообщений Протоколы многоадресатной IP-маршрутизации Диспетчер таблицы маршрутов (Rtm.dll) Диспетчер многоадресатных групп Драйвер IP-фильтрации (Ipfltdrv.sys) Однонаправленный IP-ретранслятор Многоадресатный IP-ретранслятор Драйвер IPX-фильтрации (Nwlnkflt.sys) Драйвер IPX-переадресации (Nwlnkfwd.sys)
Виртуальная частная сеть в Windows Server 2003 Компоненты, необходимые для создания VPN-соединения
Варианты аутентификации для системы RRAS Протоколы аутентификации для соединений PPTP Протоколы аутентификации EAP-TLS Протоколы аутентификации для соединений L2TP/IPSec Выбор наилучшего протокола аутентификации
Протоколы VPN Туннелирование в сетевой среде Windows Server 2003 Сквозной протокол туннелирования Протокол туннелирования уровня 2 IP Security
Выбор между PPTP и L2TP/IPSec Преимущества L2TP/IPSec перед PPTP Преимущества PPTP перед L2TP/IPSec
Установка и настройка маршрутизации и удаленного доступа Конфигурирование клиентов удаленного доступа Конфигурирование VPN-клиента Утилита дозвона диспетчера подключения Набор инструментов администрирования диспетчера подключения Службы точки подключения Единый доступ Влияние NAT Traversal на улучшение удаленного подключения
Средства и утилиты RRAS Оснастка MMC Routing and Remote Access Средство командной строки Netsh Регистрация в журнале аутентификации и учета Регистрация событий Трассировка
838
839 839 839 840 840 840 840 841 841 841 842 842 842 842 842 843 843 843
843 844
845 846 846 846 847
847 847 848 848 849
850 851 851
852 853 854 855 855 855 856 856
857 857 860 862 862 863
Содержание Применение возможностей средства проверки политик изоляции Как работает проверка политик изоляции Компоненты контроля изоляции и требования к системе Установка утилиты RQS.EXE на сервер RRAS Создание файла сценария для выполнения после подключения Создание профиля изоляции диспетчера подключения Запуск профиля CM на системах клиентов с удаленным доступом
Сценарии удаленного доступа Удаленные мобильные и домашние пользователи Межсайтовые соединения
Резюме Полезные советы
Глава 27. Терминальные службы Windows Server 2003 Зачем нужны терминальные службы Удаленный рабочий стол для администрирования Терминальные службы для пользователей локальной сети Терминальные службы для поддержки удаленных пользователей Терминальные службы для поставщиков служб приложений
Как работают терминальные службы Режимы работы Терминальные службы на стороне клиента
Использование возможностей терминальных служб Перенаправление локальных ресурсов Сервер каталога сеансов Детальное управление сеансом Доступ к консоли терминального сервера Отказоустойчивость терминального сервера
Планирование терминальных служб Планирование режима удаленного рабочего стола для администрирования Планирование режима терминального сервера Модернизации терминального сервера Физическое размещение терминальных серверов Планирование размещаемых на сервере приложений Требования к сети Отказоустойчивость терминального сервера Лицензирование терминального сервера
Развертывание терминальных служб Активизация удаленного рабочего стола для администрирования Установка терминальных служб в режиме терминального сервера Установка приложений для терминального сервера
Настройка терминальных служб Local Security Policy Computer Management Оснастка Active Directory Users and Computers (Dsa.msc) Оснастка Terminal Services Configuration (Tscc.msc) Group Policy для терминального сервера
Установка сервера лицензирования терминальных служб
31 864 864 865 866 867 868 872
873 873 875
875 876
877 878 879 879 880 881
881 882 883
884 884 886 887 887 887
888 888 888 889 890 891 891 891 892
892 893 895 897
898 898 898 899 899 902
903
32
Содержание Активизация сервера лицензирования терминальных служб Установка лицензий доступа клиентов Настройка типа лицензирования на терминальном сервере
904 905 906
Установка и настройка отказоустойчивых терминальных служб
907
Терминальный сервер с балансировкой сетевой нагрузки Конфигурирование сервера каталога сеансов
Обеспечение безопасности терминальных служб Изменение порта RDP Проектирование защиты периметра Безопасное создание терминальных серверов Сегментация ресурсов Обеспечение безопасности терминальной службы с помощью GPO
Подгонка и оптимизация сред терминальных служб Масштабирование терминальных служб Оптимизация производительности терминальных служб
Поддержка терминальных служб Использование диспетчера терминального сервера Управление терминальными службами из командной строки Управление терминальными службами с помощью WMI Поддержка и активизация пользователей терминального сервера Применение пакетов обновлений Выполнение аварийного восстановления на терминальном сервере
Доступ к терминальному серверу Доступ к терминальным службам с помощью 32-разрядного Windows-клиента RDP Доступ к терминальным службам с помощью Web-клиента Использование утилиты MMC Remote Desktops (Tsmmc.msc) Удаленное подключение к консоли терминального сервера
Резюме Полезные советы
×àñòü VIII. Àäìèíèñòðèðîâàíèå íàñòîëüíûõ êîìïüþòåðîâ Глава 28. Средства администрирования настольных компьютеров в Windows Server 2003 Варианты развертывания настольного компьютера Ручная установка Автономная установка Клонирование образов рабочего стола
Клонирование системы с помощью службы удаленной инсталляции Планирование развертываний RIS Установка RIS Настройка RIS Конфигурирование DHCP для клиентов RIS Установка требований клиента
Создание образов Windows XP Установка программ настольного компьютера Стандартизация настольного компьютера Минимизация обычных ошибок клонирования
907 908
910 910 911 911 911 912
912 913 914
916 916 916 917 917 918 919
919 919 919 920 920
921 922
923 925 926 926 927 927
928 928 929 929 931 931
932 932 933 933
Содержание Применение средств развертывания Windows XP Создание специализированного образа настольного компьютера для RIS Создание автономной инсталляции
Управление носителями инсталляции Windows XP и версиями образов Обновление образов настольных компьютеров
Обновление существующих рабочих станций XP и 2000 Развертывание пакетов обновлений Развертывание оперативных исправлений и обновлений безопасности Функция автоматического обновления Служба обновлений программ
Управление приложениями настольного компьютера Управление приложениями с помощью Group Policy Применение программ создания пакетов приложений от сторонних разработчиков Ручная установка приложений
Дистанционное управление настольными компьютерами Windows XP Использование подключаемого модуля удаленного управления для оснастки Active Directory Users and Computers Использование средства подключения к удаленному рабочему столу для Windows Server 2003
Резюме Полезные советы
Глава 29 . Управление сетевыми клиентами с помощью групповых политик
33 934 935 936
937 938
938 939 939 939 940
940 941 942 943
944 944 945
945 946
947
Использование возможностей групповых политик
948
Управление групповыми политиками Понятие о политиках и настройках Групповые политики и шаблоны безопасности Определение порядка применения Интервалы обновления групповых политик
948 949 950 950 951
Простое администрирование для развертывания групповых политик Делегирование прав управления групповыми политиками Работа с результирующим набором политик Управление наследованием групповых политик Резервное копирование, восстановление, копирование и импорт групповых политик
Общие рекомендации по управлению клиентами с помощью групповых политик Поддержание управляемости групповых политик Управление установкой клиентских программ Применение перенаправления папок
Использование групповых политик для управления обновлениями и исправлениями системы Развертывание опций при обновлении сетевых клиентов Развертывание обновлений клиентов Продвижение обновлений клиентов Определение успешности продвижения
951 952 952 953 953
954 954 955 956
956 957 957 958 959
34
Содержание Реальные сценарии управления с помощью групповых политик Работа с мобильными пользователями Управление удаленными пользователями Блокировка рабочих станций Поддержка опытных пользователей Обеспечение высокого уровня безопасности Сопровождение рабочих станций администраторов
Резюме Полезные советы
×àñòü IX. Òåõíîëîãèè îáåñïå÷åíèÿ îòêàçîóñòîé÷èâîñòè Глава 30 . Отказоустойчивость файловой системы Знакомство со службами файловой системы Windows Server 2003 Распределенная файловая система Служба репликации файлов Служба фонового копирования тома Удаленное хранение
Применение отказоустойчивых дисковых массивов Типы дисков Форматирование дисков Управление дисками Создание отказоустойчивых томов
Управление доступом к общим файловым ресурсам и использованием томов Управление общими файловыми ресурсами Управление использованием тома с помощью квот
Мониторинг дисков и томов Использование консоли Performance Использование утилиты командной строки Fsutil.exe Аудит безопасности файлов и папок Просмотр использования квот тома
Работа с файлами операционной системы: отказоустойчивость Служба защиты файлов Windows
Использование распределенной файловой системы Преимущества DFS Терминология DFS Терминология FRS
Планирование развертывания DFS Настройка общих файловых ресурсов и прав доступа NTFS для корневых и ссылочных целей DFS Выбор типа DFS Планирование доменной DFS и репликации Использование службы репликации файлов Определение топологии репликации
Установка DFS Создание общего файлового ресурса корня DFS Создание корня DFS Создание ссылок DFS Добавление дополнительных целей
959 960 962 963 966 968 971
973 974
977 979 980 980 981 981 981
982 982 985 985 986
989 990 993
995 995 995 995 997
997 997
1000 1000 1001 1002
1003 1003 1003 1004 1004 1005
1007 1007 1007 1008 1009
Содержание Настройка репликации DFS Опубликование корней DFS в Active Directory Полезные советы по репликации DFS
Оптимизация DFS Предварительная подкачка новой реплики DFS
Управление и устранение неполадок в DFS Мониторинг FRS с помощью системного монитора Мониторинг FRS с помощью SONAR Мониторинг DFS с помощью системного монитора Вывод цели в автономный режим для обслуживания Отключение репликации на длительный период Регистрация событий FRS
Резервное копирование DFS Использование утилиты DFScmd.exe
Удаленное хранение данных Полезные советы по работе с удаленным хранением данных Установка Remote Storage Настройка Remote Storage
Использование службы фонового копирования тома Использование DFS и Windows Server 2003 Backup Восстановление данных из фоновых копий Управление фоновыми копиями
Резюме Полезные советы
Глава 31. Отказоустойчивость на уровне системы (кластеризация и балансировка сетевой нагрузки) Создание отказоустойчивых систем Источники бесперебойного питания Выбор сетевого оборудования для обеспечения отказоустойчивости Выбор запоминающего устройства сервера для обеспечения резервирования Повышение надежности приложений
Знакомство с технологиями кластеризации Windows Server 2003 Терминология, связанная с кластерами
Выбор правильной технологии кластеризации Служба кластеров Microsoft Балансировка сетевой нагрузки
Реализация службы кластеров Кластер устройств с одним кворумом Кластер с одним узлом Кластер мажоритарного набора узлов Выбор приложений для службы кластеров Общие запоминающие устройства
Установка службы кластеров Действия до установки кластера Установка первого узла кластера Добавление в кластер дополнительных узлов
Управление кластерами
35 1010 1011 1012
1013 1013
1014 1014 1015 1016 1016 1017 1017
1017 1018
1018 1019 1019 1020
1024 1025 1026 1028
1029 1029
1031 1032 1032 1033 1034 1034
1035 1035
1039 1039 1040
1041 1041 1041 1042 1044 1044
1046 1047 1048 1051
1052
36
Содержание Утилита администрирования кластеров Cluster.exe Сервер автоматизации кластеров Конфигурирование подхвата и возврата функций Тестирование кластеров Обслуживание узлов кластера Создание дополнительных кластерных групп и ресурсов Изменение пароля учетной записи службы кластеров Перемещение кластерных групп Удаление узла из кластера
Резервное копирование и восстановление кластеров Полезные советы по резервному копированию узлов кластеров Резервное копирование средства автоматического восстановления системы Резервное копирование кворума кластера Резервное копирование состояния системы узла кластера Резервное копирование локальных дисков узла кластера Резервное копирование общих дисков кластера Восстановление кластера с одним узлом при отказе службы кластеров Восстановление одного узла после полного отказа сервера Восстановление всего кластера в предыдущее состояние Восстановление узлов кластера после отказа кластера
Модернизация узлов кластера Скользящие модернизации Скользящая модернизация с последним узлом
Установка кластеров с балансировкой сетевой нагрузки Приложения и службы NLB Правила портов Режим фильтрации правил портов и родственность Избежание переполнения порта коммутатора Использование режима работы кластера Настройка сетевых карт для NLB Создание кластера с помощью диспетчера балансировки сетевой нагрузки Добавление дополнительных узлов в существующий NLB-кластер
Управление NLB-кластерами Резервное копирование и восстановление узлов NLB Выполнение обслуживания узла кластера Удаление узла из NLB-кластера Удаление всего кластера
Резюме Полезные советы
Глава 32 . Резервное копирование среды Windows Server 2003 Планирование аварийного восстановления Разновидности аварий
Обследование: изучение оборудования Идентификация различных служб и технологий Определение нерезервированных точек отказа Присвоение приоритетов компонентам среды
1052 1052 1052 1053 1055 1057 1058 1060 1060 1061
1062 1063 1063 1065 1066 1067 1068 1069 1072 1075 1077
1078 1078 1078
1079 1079 1080 1080 1081 1081 1082 1082 1084
1085 1086 1086 1087 1088
1088 1088
1091 1092 1092
1094 1094 1095 1095
Содержание Определение абсолютно необходимых служб Создание решения аварийного восстановления Утверждение решений аварийного восстановления
Документирование предприятия
37 1095 1096 1096
1097
Документирование конфигурации сервера Документация по созданию сервера Список оборудования Конфигурация сети Документация по восстановлению Обновление документации
1097 1097 1098 1098 1099 1099
Разработка стратегии резервного копирования
1099
Создание главного списка учетных записей Назначение задач и выделение членов команды Создание регулярных процедур резервного копирования Создание соглашения об уровне обслуживания для всех критических служб Определение, для каких устройств необходимо резервное копирование
1099 1100 1100 1101 1101
Резервное копирование операционной системы и служб Windows Server 2003 1102 Резервное копирование загрузочного и системного томов Резервное копирование томов данных Резервное копирование служб Windows Server 2003 Резервное копирование состояния системы Использование пароля режима службы восстановления каталогов
Знакомство с программами резервного копирования Windows Server 2003 Утилита Windows Server 2003 Backup (ntbackup.exe) Remote Storage Фоновое копирование тома
1103 1103 1103 1104 1104
1105 1105 1106 1106
Служба виртуальных дисков Применение утилиты резервного копирования Windows Server 2003 Backup (ntbackup.exe)
1107
Режимы работы Расширенный режим Автоматическое восстановление системы
1108 1108 1111
Использование Remote Storage Управление носителями Remote Storage
Использование службы фонового копирования тома Настройка фоновых копий Рекомендации по фоновому копированию томов Ограничения Управление фоновым копированием с помощью vssadmin.exe
Варианты резервного копирования служб Windows Server 2003 Конфигурирование дисков (программные RAID-наборы) Служба сертификатов Служба доменных имен Служба Internet-имен для Windows Протокол динамического конфигурирования хостов Распределенная файловая система Информационные службы Internet Резервное копирование службы Remote Storage
1107
1112 1113
1114 1114 1115 1115 1115
1116 1116 1117 1118 1119 1120 1121 1122 1123
38
Содержание Резервное копирование службы сменных запоминающих устройств
Управление носителями для утилиты Windows Server 2003 Backup и службы Remote Storage Пулы носителей
Утилиты устранения неполадок при запуске Windows Server 2003 Консоль восстановления Перенаправление консоли службы аварийного управления
Резюме Полезные советы
Глава 33 . Аварийное восстановление Проверка данных и процедур резервного копирования Документирование восстановления Включение тестовых восстановлений в планируемое обслуживание
Изоляция отказов Использование тестовой рабочей станции Конфигурирование тестовой учетной записи пользователя Проверка отказа Обнаружение взаимозависимостей приложений и служб
Восстановление после отказа сайта Создание резервированных сайтов с возможностью подхвата функций Планирование подхвата функций сайта Создание сайта подхвата функций Подхват функций между сайтами Возврат функций после восстановления сайта Обеспечение альтернативных методов связи с клиентами
Восстановление после отказа диска Отказ аппаратного RAID-массива Воссоздание системного тома Установка загрузочного тома Восстановление доступа к томам данных
Восстановление после отказа при загрузке Консоль восстановления
Восстановление после полного отказа сервера Сравнение восстановления и воссоздания сервера Ручное восстановление сервера Восстановление сервера с помощью восстановления состояния системы Восстановление системы с помощью восстановления ASR Восстановление файла загрузчика операционной системы
Восстановление сетевых служб Windows Server 2003 Восстановление службы сертификатов Восстановление протокола динамической конфигурации хостов Служба Internet-имен Windows Восстановление системы доменных имен
Восстановление службы файлов Windows Server 2003 и данных Восстановление данных с помощью NTBackup.exe Восстановление данных из фоновой копии тома
Восстановление информационных служб Internet
1124
1124 1124
1125 1125 1126
1127 1127
1129 1130 1130 1131
1131 1131 1132 1132 1132
1132 1133 1134 1134 1135 1136 1136
1137 1137 1138 1138 1138
1138 1140
1140 1140 1141 1142 1144 1146
1146 1146 1149 1150 1152
1152 1152 1153
1155
Содержание Восстановление данных и журналов IIS
Восстановление службы кластеров Восстановление контроллеров доменов Windows Server 2003 Восстановление Active Directory Восстановление базы данных Active Directory
Восстановление базы данных сменных запоминающих устройств Восстановление базы данных Remote Storage Восстановление данных при отсутствии точек повторной обработки
Достижение 99,999% готовности при использовании Windows Server 2003 Обеспечение резервирования службы доменов
Резюме Полезные советы
×àñòü X. Óñòðàíåíèå ïðîáëåì, îòëàäêà è îïòèìèçàöèÿ Глава 34 . Ведение журналов и отладка Использование диспетчера задач для ведения журналов и отладки
39 1156
1156 1156 1157 1157
1164 1166 1167
1168 1168
1169 1169
1171 1173 1174
Мониторинг приложений Мониторинг процессов Мониторинг производительности Мониторинг производительности сети Мониторинг активности пользователей
1175 1175 1176 1176 1177
Использование утилиты просмотра событий
1178
Эффективное использование утилиты просмотра событий Просмотр журналов на удаленных серверах Фильтрация событий Архивирование событий Настройка журнала событий Журнал безопасности Аудит системных событий с помощью групповых политик
Мониторинг системы Средства мониторинга производительности Термины, используемые в инструментах мониторинга производительности Консоль производительности Настройка журналов трассировки
Установка эталонных значений Уменьшение издержек на мониторинг производительности Объекты, важные для мониторинга
Мониторинг сети в Windows Server 2003 Принципы работы Netmon Установка Netmon Захват кадров с помощью Netmon Использование фильтра захвата
Использование средств отладки, доступных в Windows Server 2003 Средства TCP/IP Запуск и восстановление системы Отладка, связанная с памятью Механизм генерации отчетов о программных ошибках
1179 1181 1181 1182 1183 1185 1185
1186 1187 1187 1188 1192
1192 1193 1193
1195 1195 1196 1197 1198
1199 1200 1209 1210 1210
40
Содержание Dr. Watson for Windows
Резюме Полезные советы
Глава 35 . Анализ мощности и оптимизация производительности Определение анализа мощности
1211
1211 1212
1213 1214
Преимущества анализа мощности
1215
Создание эталонных политик и метрик
1215
Контрольные замеры производительности
1217
Использование средств анализа мощности
1218
Встроенный инструментальный набор Средства сторонних разработчиков
1218 1222
Мониторинг производительности системы
1223
Основные наблюдаемые элементы
Оптимизация производительности в зависимости от ролей сервера Сервер терминальных служб Контроллеры доменов Использование диспетчера системных ресурсов Windows
Управление исправлениями Автоматизация управления исправлениями Автоматическое обновление Windows
Резюме Полезные советы
×àñòü XI. Èíòåãðèðîâàííûå ñëóæáû ïðèëîæåíèé Windows Глава 36 . Служба Windows SharePoint История технологий SharePoint Предшественник WSS: служба бригадной работы SharePoint Первоначальный сервер порталов SharePoint Отличия между продуктами SharePoint Современное направление технологии SharePoint в Microsoft
Определение необходимости в службе Windows SharePoint Изменение методологии с файловых серверов на платформу управления документами WSS Обеспечение бригадного сотрудничества с помощью WSS Настройка WSS в соответствии с потребностями организации
Инсталляция службы Windows SharePoint Требования для работы WSS Подробные шаги подготовки к инсталляции Обновление WSS-сервера и применение исправлений Выполнение инсталляции службы Windows SharePoint
Основные возможности службы Windows SharePoint Создание общего рабочего пространства из Microsoft Word Работа на сайте службы Windows SharePoint Понятие библиотек документов Использование библиотек изображений Работа со списками SharePoint Использование обсуждений SharePoint
1224
1228 1228 1229 1233
1234 1234 1235
1236 1236
1237 1239 1240 1240 1241 1241 1242
1243 1243 1244 1244
1244 1245 1245 1246 1248
1251 1251 1252 1254 1256 1256 1258
Содержание Опросы
Возможности конечного пользователя в WSS Расширение возможностей управления документами Введение в рабочие пространства совещаний Использование персональных сайтов Интеграция с Microsoft Office 2003 Личная настройка службы SharePoint Использование списков Улучшения извещений SharePoint Дополнительные новые или улучшенные возможности для конечных пользователей
Настройка и разработка WSS-сайтов Настройка SharePoint с помощью браузера Улучшения разработки шаблонов сайтов Улучшение интеграции с FrontPage 2003
Резюме Практические советы
Глава 37 . Служба Windows Media Знакомство со службой Windows Media Системные требования для службы Windows Media Тестирование нагрузки на службу Windows Media Установка службы Windows Media Конфигурирование службы Windows Media
Использование службы Windows Media для прямых трансляций в реальном времени Конфигурирование сервера для прямых трансляций в реальном времени Запуск прямой трансляции в реальном времени
Трансляция хранимых отдельных файлов Конфигурирование сервера для одиночного воспроизведения видеофайлов по требованию Запуск точки опубликования одного файла
Размещение каталога видеофайлов для воспроизведения по требованию Настройка сервера на рахмещение каталога воспроизводимых видеофайлов Запуск файла из точки опубликования каталога
Объединение нескольких файлов в одну совместную трансляцию Конфигурирование сервера для трансляции списка воспроизведения нескольких файлов Запуск списка воспроизведения из точки опубликования списка воспроизведения
Кодер медиаданных Windows Требования для кодера медиаданных Windows Установка кодера медиаданных Windows
Прямая трансляция события Подготовка к прямой трансляции Проведение прямой трансляции
Захват аудио- или видеоданных для воспроизведения в будущем Подготовка захватываемого сеанса
41 1259
1259 1260 1261 1262 1262 1264 1265 1265 1266
1267 1268 1268 1269
1270 1270
1271 1272 1273 1273 1274 1275
1275 1276 1278
1278 1279 1281
1281 1282 1284
1285 1285 1288
1288 1289 1291
1291 1292 1292
1295 1295
42
Содержание Захват сеанса для последующей трансляции
Использование других опций кодера медиаданных Windows
1295
1297
Захват отдельного экрана с помощью программы кодера медиаданных Windows Преобразование видеоданных в видеоформат медиаданных Windows
1297 1298
Использование Microsoft Producer для создания сложных презентаций
1299
Загрузка и инсталляция Microsoft Producer Применение подключаемого модуля Microsoft Producer
Резюме Практические советы
1299 1300
1302 1302
Прилагаемый компакт-диск
1304
Предметный указатель
1305
Об авторах
43
Îá àâòîðàõ Рэнд Моримото (Rand Morimoto) работает в сфере компьютерной индустрии более 25 лет и является автором, соавтором десятков книг по Windows 2003, Exchange 2003, безопасности, BizTalk Server и по удаленной и мобильной компьютерной связи. Рэнд является президентом Convergent Computing — информационной консалтинговой фирмы, расположенной недалеко от Сан-Франциско, которая была одним из основных ранних партнеров Microsoft по программе тестирования и внедрения бетаверсий Windows Server 2003 в промышленных средах более чем за три года до выхода официальной версии этого продукта. Кроме чтения докладов на более чем 50 конференциях и съездах по всему миру только за последний год на тему рекомендаций, приемов и практических советов по планированию, миграции и внедрению Windows Server 2003, Рэнд также является специальным советником Белого дома США по компьютерной безопасности и компьютерному терроризму. Майкл Ноэл (Michael Noel) работает в компьютерной промышленности более 10 лет и вплотную сталкивался с самыми современными технологиями Windows, Exchange и SharePoint, начиная с их самых ранних версий. Майкл является соавтором книг Exchange Server 2003 Unleashed и SharePoint Portal Server 2003 Unleashed, вышедших в издательстве Sams Publishing, а также автором отдельных частей книг, посвященных Windows 2000, Exchange 2000 и диспетчеру операций Microsoft. Работая в настоящее время старшим консультантом в фирме Convergent Computing, Майкл весьма успешно использует в своих публикациях опыт, накопленный при реализации проектов по внедрению и миграции на предприятиях. Кентон Гардиньер (Kenton Gardinier) проектировал и внедрял технические и производственные решения в организациях всех размеров по всему миру на протяжении более 10 лет. В настоящее время он является старшим консультантом фирмы Convergent Computing. Он также тестировал на ранних стадиях и внедрял во многих организациях Windows Server 2003, Exchange Server 2003 и SharePoint Portal Server 2003 еще до официального выпуска этих продуктов. Кентон является признанным во всем мире автором и оратором. Он выступал на различных конференциях и web-форумах. Он является автором и соавтором нескольких книг по Windows, Exchange, безопасности, настройке производительности, администрированию сетей и управлению системами. Кентон также написал несколько статей в журналах, специализирующихся на различных технологиях. Он является обладателем многих сертификатов, в числе которых MCSE, CISSP и MCSA. Омар Драуби (Omar Droubi) — опытный консультант фирмы Northern California Computer and Network. Омар работает в этой области с 1994 года, в основном со всем, что связано с серверами и настольными компьютерами Microsoft. Омар специализируется на развертывании, миграции и консолидации на предприятии серверов Windows Server 2003/Exchange Server 2003 и систем обмена сообщениями. Омар считается общепризнанным экспертом по интеграции Windows-систем в гетерогенные среды. Он является обладателем сертификатов MSCE и CCNA, автором ряда частей книги по Microsoft Exchange 2000 и некоторых материалов для Microsoft, посвященных, в основном, интеграции и оптимизации серверов Windows 2000.
44
Посвящения
Ïîñâÿùåíèÿ Я посвящаю эту книгу своей бабушке. Спасибо тебе за всю твою жизнь, посвященную поддержке нашей семьи: нам будет так не хватать тебя! Рэнд Г. Моримото, доктор философии, MBA, MCSE
Я посвящаю эту книгу своим родителям — Мэри и Джорджу Ноэлам. Ваша любовь, преданность и ободрение сформировали всю мою жизнь. Майкл Ноэл, MCSE+I, MCSA
Я посвящаю эту книгу своей сестре Ким и своим близким, Скотту, Кэти, Чейзу, Мисси и Майку, за всю их любовь, поддержку и ободрение. Кентон Гардиньер, MCSE, CISSP, MCSA
Я посвящаю эту книгу своей семье и друзьям, которые делают мою жизнь намного лучше. Омар Драуби, MSCE, MCT, CCNA
Благодарности
45
Áëàãîäàðíîñòè Ðýíä Ã. Ìîðèìîòî, äîêòîð ôèëîñîôèè, MBA, MCSE Пересмотр этой книги был огромным трудом, и нельзя не поблагодарить многих людей за помощь в его выполнении. Мы хотим поблагодарить нашего редактора Нила Роува (Neil Rowe), который продолжает поддерживать наши усилия. Всей команде издательства Sams Publishing — Марку Ренфроу (Mark Renfrow), Эндрю Бистеру (Andrew Beaster) и Сету Керни (Seth Kerney) — спасибо за все ваши поправки и перестановки слов в нужном порядке. Огромное спасибо нашему техническому редактору Крису Амарису (Chris Amaris), который вышел за обычные рамки обязанностей редактора и привнес на страницы этой книги свои знания, опыт и мудрость. Спасибо также всем авторам фрагментов, которые помогли добавить в книгу ценные сведения. Мы также хотим поблагодарить всех консультантов, инженеров, технических специалистов, менеджеров проектов, технических редакторов и системных инженеров фирмы Convergent Computing, которые были ценными источниками идей, предложений, практических советов, подсказок и приемов, составивших основу содержимого этой книги. Мы могли создать такую ценную книгу только одним способом — объединив опыт многих отдельных энтузиастов, просыпающихся и засыпающих вместе с мыслями о Windows 2003. Спасибо всем писателям, авторам отдельных разделов и техническим редакторам первого издания (в том числе и первоначальному соавтору Омару Драуби) за вклад в начальное содержимое это книги. И последнее, хотя и не менее важное — спасибо моей семье, Киму, Кэлли и Эндрю за вашу поддержку в еще одном проекте создания книги. Спасибо моим родителям — Эду и Вики — за поддержку моей веры в то, что напряженная работа, самоотдача и устремленность могут привести к успешному выполнению любой задачи. И вот — еще одна выполнена!
Ìàéêë Íîýë, MCSE+I, MCSA Большое спасибо всем, кто снова помог сделать невозможное возможным! Со мной работала замечательная команда писателей и технических редакторов, и в результате эта книга просто засияла. Я не могу представить себе работу над этой книгой без помощи опытного и знающего персонала фирмы Convergent Computing, и особенно моего наставника Рэнда Моримото. Ваше руководство и техническая оценка вдохновляли меня. Было так приятно поработать с вами еще раз! Спасибо всему персоналу издательства Sams, особенно Нилу Роуву, за помощь в выпуске этой книги. И, что более важно — спасибо моей семье, моей жене Марине и дочери Джулии. Простите, пожалуйста, мое постоянное отсутствие и долгие часы работы! Честно, я бы не смог сделать ее без вашей поддержки и любви. Спасибо всем остальным членам моей семьи, которые помогали мне различными способами, особенно Вэлу (Val) и Лизе Улановски (Liza Ulanovsky). Вы стоите для меня целого мира!
46
Благодарности
Êåíòîí Ãàðäèíüåð, MCSE, CISSP, MCSA Подготовка второго издания этой книги было огромным испытанием, и его невозможно было бы пройти без помощи многих людей. Нил Роув и его команда из издательства Sams Publishing были настолько преданными и полезными для всего процесса, что для этого не хватит никакой благодарности. Джон Кребс (John Krebs) и Тиффани Филлипс (Tiffany Phillips) из RHI, Кевин Вильямс (Kevin Williams) и Джейсон Мауер (Jason Mauer) из Microsoft, а также весь персонал фирмы Convergent Computing очень помогли нам, поделившись своим техническим опытом и проверенными реальными решениями, которые сделали эту книгу наилучшим источником сведений по Windows Server 2003. Я хочу отдельно поблагодарить Джона Мак-Мейнза (John McMains) за его постоянное руководство и поддержку на протяжении нескольких лет. Я также хочу выразить глубокую признательность своей жене и родителям за то, что они всегда верили в меня. Есть еще так много других людей, которых я хотел бы поблагодарить, но для этого понадобилось бы написать еще одну книгу.
От издательства
47
Îò èçäàòåëüñòâà Вы, читатель этой книги, и есть главный ее критик и комментатор. Мы ценим ваше мнение и хотим знать, что было сделано нами правильно, что можно было сделать лучше и что еще вы хотели бы увидеть изданным нами. Нам интересно услышать и любые другие замечания, которые вам хотелось бы высказать в наш адрес. Мы ждем ваших комментариев и надеемся на них. Вы можете прислать нам бумажное или электронное письмо, либо просто посетить наш Web-сервер и оставить свои замечания там. Одним словом, любым удобным для вас способом дайте нам знать, нравится или нет вам эта книга, а также выскажите свое мнение о том, как сделать наши книги более интересными для вас. Посылая письмо или сообщение, не забудьте указать название книги и ее авторов, а также ваш обратный адрес. Мы внимательно ознакомимся с вашим мнением и обязательно учтем его при отборе и подготовке к изданию последующих книг. Наши координаты: E-mail:
[email protected]
WWW:
http://www.williamspublishing.com
Информация для писем из: России: 115419, Москва, а/я 783 Украины: 03150, Киев, а/я 152
48
Введение
Ââåäåíèå С момента выпуска в апреле 2003 года в операционную систему Windows Server 2003 было внесено несколько обновлений и улучшений. Однако в отличие от предыдущих версий операционных систем Windows, в которых обновления были встроены в пакеты обновлений (Service Packs), обновления Windows Server 2003 оформляются компанией Microsoft в виде пакетов функций (Feature Packs). С апреля 2003 года, когда вышло первое издание этой книги, было выпущено более десятка пакетов функций. Кроме изменений в проектировании, реализации и сопровождении Windows Server 2003, в результате практической работы с выпущенным продуктом появились и новые советы, приемы и уроки. Когда авторы приступили к пересмотру данной книги, было решено обрисовать актуальную перспективу планирования, проектирования, внедрения, миграции и сопровождения среды Windows Server 2003 с учетом последних практических рекомендаций. Были пересмотрены все страницы книги и принято решение переписать все разделы, которые заслуживали пересмотра с целью отражения новых возможностей, функций и уроков по продукту. В составе набора ресурсов Windows 2003 Resource Kit появились утилиты, существенно облегчающие администраторам написание сценариев инсталляции, усиление безопасности и упрощение выполнения административных задач в среде Windows 2003. Поэтому в этом втором издании вы найдете примечания, комментарии и советы, касающиеся различных доступных теперь средств данного набора ресурсов, которые иначе вы могли бы упустить из виду (и выполнять из-за этого некоторые действия более сложным способом). Трое из авторов (Рэнд, Майк и Кентон) начали работали с Windows “Whistler” через две недели после промышленного выпуска Windows 2000 в декабре 1999 года. На их счету сотни, если не тысячи, планов, проектов, внедрений и сопровождений различных реализаций Windows Server 2003. Эта книга основана на многолетнем опыте работы с Windows Server 2003. Данная книга состоит из 11 частей, каждая из которых посвящена одному или нескольким главным аспектам Windows Server 2003 и состоит из нескольких глав. Вот эти части: •
Часть I. Обзор Windows Server 2003. Эта часть содержит введение в Windows Server 2003, но не только обзор технологии вообще, но и указания, что же является действительно новым в Windows Server 2003, что побудило организации внедрять в промышленную среду даже бета-версии этой технологии. Будут также описаны базовые технологии планирования, тестирования прототипа и миграции, а, кроме того, отдельная глава посвящается инсталляции Windows Server 2003.
•
Часть II. Active Directory в Windows Server 2003. В этой части описано планирование и проектирование Active Directory. При наличии опыта проектирования и реализации Active Directory эту часть можно просмотреть лишь бегло. Однако стоит прочитать практические рекомендации в конце каждой главы, поскольку в них выделены некоторые советы и приемы, специфичные для Windows Server 2003 и отличные от Windows 2000. Может оказаться, что ограниче-
Введение
49
ния, с которыми вы столкнулись при проектировании и внедрении Windows 2000 и Active Directory, уже пересмотрены. Могут заинтересовать также и возможности переименования доменов, доверительных отношений между лесами и миграции между лесами. •
Часть III. Сетевые службы. В этой части описаны DNS, DHCP, контроллеры доменов и IIS с точки зрения планирования, интеграции, миграции и совместной работы различных систем. И снова, как и в части II, примечания, советы и практические рекомендации могут предложить ценную информацию по возможностям, появившимся лишь в Windows Server 2003; чтение этих глав поможет понять, какие новые или изменившиеся возможности стали доступны после перехода на Windows Server 2003.
•
Часть IV. Безопасность. О безопасности сейчас говорят все, поэтому она является главным улучшением в Windows Server 2003. В данной книге обсуждение безопасности разбито на четыре главы: безопасность на уровне сервера, например, шифрованная файловая система (Encrypting File System — EFS) и сервер обновлений программного обеспечения; безопасность транспортного уровня, например, IPSec и NAT Traversal; пароли Windows .NET для аутентификации единого доступа; политики безопасности и средства безопасности, направленные на реализации и повышении безопасности групповых политик для Active Directory.
•
Часть V. Переход на Windows Server 2003. Эта часть посвящена миграциям. Было отведено по одной главе на переход с Windows NT на Windows Server 2003 и на переход с Windows 2000 на Windows Server 2003. В этих главах приводится множество советов, приемов и предостережений на тему шагов миграции и практических рекомендаций.
•
Часть VI. Администрирование и управление Windows Server 2003. Семь глав этой части посвящены администрированию среды Windows Server 2003. Именно это место вновь написанной книги (в отличие от модифицированной книги по Windows 2000) должно оказаться наиболее ценным для читателей. Администрирование и управление пользователями, доменами, сайтами и организациями в Windows Server 2003 существенно улучшены. Упомянутые действия можно продолжать выполнять так, как это делалось в Windows 2000, но в силу существенных изменений в репликации, фоновой обработке транзакций, безопасной передаче данных и средствах управления в Windows Server 2003 появились лучшие способы работы. В этих главах подробно рассматриваются специальные области, полезные для администраторов с различными уровнями ответственности.
•
Часть VII. Удаленные и мобильные технологии. Мобильность является одним из главных усовершенствований в Windows Server 2003, и эта часть посвящена улучшениям в службе маршрутизации и удаленного доступа (Routing and Remote Access — RRAS) и в терминальных службах Windows Terminal Services. Вместо простого предоставления соединения с удаленным узлом Windows Server 2003 предлагает настоящую функциональность сквозного защищенного доступа в любое время и в любом месте. Главы этой части содержат практические рекомендации по внедрению и применению этих технологий.
50
Введение
•
Часть VIII. Администрирование настольных компьютеров. Другим серьезным улучшением в Windows Server 2003 является множество новых средств, предназначенных для поддержки усовершенствованного администрирования компьютеров, поэтому данная часть посвящена администрированию настольных компьютеров. Главы этой части содержат подробные сведения о групповых политиках, консоли управления групповыми политиками и средствам администрирования настольных компьютеров в Windows Server 2003.
•
Часть IX. Технологии обеспечения отказоустойчивости. Поскольку в основе обмена информацией лежат сети, система Windows Server 2003 должна быть надежной, и понятно, что компания Microsoft включила несколько новых усовершенствований и в технологии обеспечения отказоустойчивости. Четыре главы этой части посвящены отказоустойчивости на уровне файлов в распределенной файловой системе (Distributed File System — DFS), кластеризации, балансировке сетевой нагрузки, процедурам резервного копирования и восстановления и автоматическому восстановлению системы (Automated System Recovery — ASR). При внедрении в сетевой среде этих новых технологий организации могут получить высокую надежность и восстанавливаемость на уровне предприятия.
•
Часть X. Устранение проблем, отладка и оптимизация. Эта часть книги охватывает оптимизацию производительности, анализ мощности, ведение журналов и отладку, предназначенные для оптимизации и устранения проблем в сетевой среде на базе Windows Server 2003.
•
Часть XI. Интегрированные службы приложений Windows. Учитывая предложения из обзоров книги и онлайновых комментариев, в это издание была добавлена новая часть с описанием модуля пакета Windows SharePoint Services и компонента Windows Media Services.
Мы надеемся, что наш опыт реальной работы с Windows Server 2003 и участие в написании данной книги с нуля позволил нам донести до читателей всю информацию, которая может пригодиться при планировании, внедрении и перехода на систему Windows Server 2003.
Îáçîð Windows Server 2003
 ÝÒÎÉ ×ÀÑÒÈ... 1.
Ââåäåíèå â òåõíîëîãèþ Windows Server 2003
2. Ïðàêòè÷åñêèå ðåêîìåíäàöèè ïî ïëàíèðîâàíèþ, ïðîòîòèïèðîâàíèþ, ìèãðàöèè è ðàçâåðòûâàíèþ Windows Server 2003 3. Èíñòàëëÿöèÿ Windows Server 2003
×ÀÑÒÜ
I
Введение в технологию Windows Server 2003 Ãëàâà 1
Ââåäåíèå â òåõíîëîãèþ Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Îïðåäåëåíèå ñèñòåìû Windows Server 2003
•
Âûáîð âàðèàíòà ðåàëèçàöèè Windows Server 2003
•
Êîãäà ëó÷øå ïðîâîäèòü ìèãðàöèþ?
•
Âåðñèè ñèñòåìû Windows Server 2003
•
×òî íîâîãî â Windows Server 2003
•
Íîâûå âîçìîæíîñòè àäìèíèñòðèðîâàíèÿ â Windows Server 2003
•
Óëó÷øåííûå ïîëüçîâàòåëüñêèå ñëóæáû â Windows Server 2003
•
Ïðåèìóùåñòâà äëÿ òåðìèíàëüíîé ñëóæáû òîíêèõ êëèåíòîâ
•
Ïðåèìóùåñòâà óëó÷øåííîãî óïðàâëåíèÿ
•
Âûõîä çà ïðåäåëû îñíîâíûõ âîçìîæíîñòåé Windows Server 2003 ñ ïîìîùüþ ïàêåòîâ Feature Pack
•
Ðàñøèðåíèå âîçìîæíîñòåé Windows 2003 ñ ïîìîùüþ çàãðóæàåìûõ ñðåäñòâ
•
Ñ ÷åãî íà÷èíàòü ðàáîòó ñ Windows Server 2003
ÃËÀÂÀ
1
53
54
Обзор Windows Server 2003 ×àñòü I
Îïðåäåëåíèå ñèñòåìû Windows Server 2003 Более чем через год после даты выпуска и гораздо более чем через два года со времени, когда первые тестеры начали применять ее в своих промышленных средах, система Windows Server 2003 показала себя наиболее стабильной и надежной серверной операционной системой, которую когда-либо выпускала компания Microsoft. Некоторые назвали Windows Server 2003 большим пакетом обновлений для Windows 2000 — по причине легкости перехода с Windows 2000 на Windows 2003. Однако многие расценивают новые возможности в области безопасности и отказоустойчивости, подключаемые средства и общие функциональные улучшения как долгожданные нововведения в операционную систему Windows. Для случайного наблюдателя Windows Server 2003 выглядит всего лишь графическим пользовательским интерфейсом Windows XP поверх старой серверной операционной системы Windows 2000 с добавлением нескольких новых утилит. Однако теперь, когда организации смогли развернуть Windows Server 2003 в своих предприятиях, можно заглянуть внутрь и увидеть, что Windows Server 2003 — это существенная переработка операционной системы Windows 2000 со значительными изменениями в ядре, в результате чего Windows Server 2003 достигла надежности, отказоустойчивости и масштабируемости, которых крупные организации ожидали от операционных систем на протяжении многих лет. В этой главе кратко описаны основные усовершенствования и различные возможности операционной системы Windows Server 2003, а также указано, в каких последующих главах книги можно найти подробные описания этих усовершенствований. Отличия, которые Windows Server 2003 вносит в сетевую среду, а также практические рекомендации, выработанные в результате внедрения Windows 2003 на предприятиях, требуют от пользователей переподготовки, чтобы решения относительно проектирования и реализации, принятые в предыдущих версиях Windows, учитывали особенности Windows Server 2003 и задействовали усовершенствованные возможности этой операционной системы.
Ñðåäà Windows .NET Framework è ñèñòåìà Windows Server 2003 При описании системы Windows Server 2003 одним из моментов, который должен быть выяснен в первую очередь, является различие между операционной системой Windows Server 2003 и средой Windows .NET Framework. Эти два термина часто (и необоснованно) смешивают, хотя они совершенно различны. Вначале — формально летом 2001 года — компания Microsoft объявила о выпуске среды Windows .NET Framework, которую назвала совершенно новой средой разработки приложений. А Windows Server 2003 — это реальная сетевая операционная система, программное обеспечение которой установлено на сервере, и под управлением которой выполняются приложения. Windows Server 2003 является частью Windows .NET Framework.
Введение в технологию Windows Server 2003 Ãëàâà 1
55
×òî òàêîå Windows .NET Framework Windows .NET Framework является средой разработки приложений, в которой определен общий язык времени выполнения, основные классы и собственно процесс разработки приложений. До появления Windows .NET Framework одни организации разрабатывали приложения с помощью Visual Basic, другие — на Visual C, некоторые использовали технологию активных серверных страниц для Web-серверов, а некоторые — приложения ODBC (Open Database Connectivity — открытый интерфейс доступа к базам данных), работающие с базами данных Microsoft SQL или Microsoft Access. В среде Windows .NET Framework определена модель программирования ASP.NET. ASP.NET существенно облегчает создание практических Web-приложений. В ней имеется набор базовых классов, позволяющих разработчикам вызывать встроенные функции приложений, а не выписывать строка за строкой коды таких функций. Эта возможность существенно сокращает объем программирования, необходимого для создания Web-приложений, по сравнению с методикой их разработки в прошлом. Модель ASP.NET не требует никаких специальных средств разработки приложений; фактически она поддерживает десятки существующих стандартных языков программирования: VBScript, JScript, Visual Basic .NET, C#, Visual Basic и так далее. Другое крупное усовершенствование в модели ASP.NET — динамическая компиляция кода, которая автоматически обнаруживает изменения и компилирует код таким образом, что он готов к выполнению в любой момент времени. Windows .NET Framework представляет собой распределенную среду приложений, позволяющую распределять программный код по нескольким системам в пределах Web-фермы. Кроме того, чтобы развернуть приложение Windows .NET Framework для доступа в рамках организации или вообще без ограничений, разработчику необходимо лишь скопировать файлы на сервер Windows .NET Framework. При этом регистрировать компоненты на сервере с помощью программы regsrv32 не нужно, так как параметры конфигурации хранятся в XML-файле приложения. Windows .NET Framework существенно упрощает разработку Web-приложений для организаций. В ней создана мощная среда разработки, содержащая ряд встроенных стандартных программ, которые снижают затраты времени и усилий на кодирование приложений, обеспечивая при этом поддержку существующих стандартов языков программирования. По мере создания подключаемых модулей для среды Windows Server 2003, таких как Outlook Web Access для Exchange 2003 и SharePoint 2003, или даже подключаемых средств наподобие языка разметки службы каталогов (Directory Services Mark-up Language, DSML), среда .NET Framework все шире применяется для разработки основных приложений и пакетов Feature Pack.
×òî ñîáîé ïðåäñòàâëÿåò îïåðàöèîííàÿ ñèñòåìà Windows Server 2003 В то время как Windows .NET Framework представляет собой набор средств и технологий для разработки приложений, продукт Windows Server 2003 является полноценной сетевой операционной системой. Будучи традиционной операционной системой, Windows Server 2003 может выполнять следующие роли:
56
Обзор Windows Server 2003 ×àñòü I
•
Файловый сервер и сервер печати. В качестве файлового сервера и сервера печати система Windows Server 2003 может предоставлять сетевым пользователям централизованный доступ к файлам данных либо играть роль сервера очереди печати к нескольким принтерам. В Windows Server 2003 внесено несколько усовершенствований для повышения безопасности файлов (описанных в главе 12), отказоустойчивости файлового сервера (см. главу 30) и конфигурации резервных служб печати (рассматриваются в главе 3).
•
Web-сервер. В системе Windows Server 2003 Web-серверы играют намного более заметную роль по сравнению с их предшественниками в Web-средах Windows NT или даже Windows 2000. Вместо простого хостинга статических Webстраниц на языке HTML система Windows Server 2003 участвует в работе Webферм, распределяя динамическую Web-информацию с помощью балансировки сетевой нагрузки (см. главу 31).
•
Сервер приложений. С появлением операционной системы Windows Server 2003 обновления приложений, выполняющихся под управлением Windows Server 2003, будут выпускаться регулярно. Вот некоторые приложения, поставляемые с Windows Server 2003: терминальные службы Windows для доступа тонкого клиента к вычислительным ресурсам (рассматриваются в главе 27), медиасервер Windows для хостинга и трансляции видео- и аудиофайлов (глава 37) и вспомогательные серверные службы, подобные DNS и DHCP (см. главы 9 и 10). Кроме того, существуют варианты сервера Microsoft Exchange, сервера порталов SharePoint, сервера BizTalk Server 2004 и ISA Server 2004 в форме подключаемых модулей для Windows Server 2003.
•
Хост приложений Windows .NET. В Windows Server 2003 появилась возможность работы сервера в качестве хост-системы для выполнения приложений Windows .NET Framework. При наличии встроенного сервера IIS (Internet Information Server — информационный сервер Internet) версии 6 (рассматривается в главе 11), приложения Windows .NET можно копировать для выполнения непосредственно в среде Windows Server 2003.
В этой книге основное внимание уделяется операционной системе Windows Server 2003 и вопросам ее планирования, миграции, безопасности, администрирования и сопровождения. Windows Server 2003 также является базовой сетевой операционной системой, на основе которой будут строиться все будущие серверные приложения Windows.
Âûáîð âàðèàíòà ðåàëèçàöèè Windows Server 2003 Windows Server 2003 — это многофункциональная операционная система, отвечающая требованиям различных производственных функций. Подобно предыдущим сетевым операционным системам, например, Novell NetWare и Windows NT (наилучших систем для файловых серверов и серверов печати), Windows Server 2003 способна выполнять все эти и многие другие функции.
Введение в технологию Windows Server 2003 Ãëàâà 1
57
Поскольку Windows Server 2003 предоставляет множество различных функций, организациям необходимо знать, как реализовать оптимальный вариант Windows Server 2003 и различные средства для работы в сети, которые бы соответствовали их потребностям. В небольших сетевых средах с не более чем 20–30 пользователями организация может реализовать все возможности Windows Server 2003 на одном сервере. Однако в более крупных средах может понадобиться разворачивание нескольких серверов, призванное повысить производительность системы, а также ее отказоустойчивость и степень резервирования. Как уже было сказано в предыдущем разделе, Windows Server 2003 может действовать как основная операционная система для размещения таких приложений, как вспомогательные службы, файловые службы, службы печати или Web-службы. Среди других важных сетевых служб, предлагаемых Windows Server 2003, можно отметить работу в качестве основы среды Active Directory, в качестве встроенного сервера приложений Windows или в качестве подключаемого сервера приложений.
Windows Server 2003 êàê îñíîâà äëÿ Active Directory Одним из самых заметных нововведений в роли операционной системы, появившихся в Windows 2000, стала служба каталогов Active Directory. Active Directory — это не просто список пользователей и паролей для аутентификации пользователей в сети, а скорее справочник, который распространяется на другие бизнес-приложения. При его полном внедрении отдел кадров организации может добавить с помощью программы работы с кадрами нового работника. Эта программа автоматически создаст пользователя в Active Directory, сгенерировав пароль для входа в сеть, учетные записи электронной и голосовой почты и возможности удаленного доступа, после чего свяжет с новым работником информацию о его пейджере и мобильном телефоне. Аналогично, при увольнении работника достаточно одного изменения в данных отдела кадров, чтобы автоматически отключить это лицо от сети, электронной почты, удаленного доступа и других сетевых функций. Windows Server 2003 расширяет возможности Active Directory, предоставляя более совершенные средства управления, обеспечивая более надежную репликацию каталогов в масштабах всего предприятия и совершенствуя масштабируемость и резервирование, которые позволяют выполнять операции с каталогами более просто и удобно. В общем, Windows Server 2003 повышает надежность и быстродействие и привносит в систему более совершенные средствами управления, представляющие возможности создания настоящего каталога предприятия, отслеживания ресурсов и управления ими. В силу важности службы Active Directory для операционной системы Windows Server 2003, а также широкого спектра возможностей Active Directory, пять глав части II настоящей книги посвящены именно Active Directory.
Ôóíêöèè Windows Server 2003 êàê âñòðîåííîãî ñåðâåðà ïðèëîæåíèé ñèñòåìû Windows Server 2003 поставляется с несколькими программами и утилитами, обеспечивающими надежность работы сетевых средств. Наряду с базовыми средствами управ-
58
Обзор Windows Server 2003 ×àñòü I
ления файлами и печатью, уже рассмотренными в данной главе, операционная система Windows Server 2003 способна обеспечить преобразование имен в сети и высокую степень готовности с помощью кластеризации и отказоустойчивости, использование мобильных средств связи для соединений по телефонным линиям и виртуальной частной сети, функции Web-служб и десятки других функций сервера приложений. Планируя внедрение Windows Server 2003, архитектор системы должен принять решение, какие серверные службы нужны, как они будут размещены на серверах, и как будет обеспечено их резервирование на нескольких серверах для бесперебойного выполнения деловых операций. Небольшим организациям выгодно объединить несколько функций в одной или немногих системах. Но организация может распределить серверные службы по нескольким серверам, чтобы повысить производительность (см. главу 35), распределить администрирование (см. главу 19), обеспечить резервирование (см. главу 33), включить систему безопасности (см. главу 12) и обслуживать географически разбросанных пользователей (см. главу 5). К функциям встроенного сервера приложений в Windows Server 2003 относятся, в частности, следующие: •
•
•
•
•
•
•
Контроллер домена. Как и в предыдущих версиях операционной системы Microsoft Windows, контроллер домена позволяет пользователям аутентифицироваться на сервере для получения доступа к сетевым ресурсам. Сервер глобального каталога. Сервер глобального каталога хранит копию списка пользователей сети Active Directory. Если внутренний или внешний пользователь с соответствующими правами безопасности захочет просмотреть список пользователей Active Directory, то сервер глобального каталога предоставляет этот список. Сервер DNS. Служба доменных имен (Domain Name Service — DNS) представляет собой список сетевых серверов и систем, следовательно, DNS-сервер предоставляет информацию об устройствах, подключенных к сети. Сервер DHCP. Протокол динамической конфигурации хостов (Dynamic Host Configuration Protocol — DHCP) назначает сетевые адреса устройствам в сети. Windows Server 2003 предоставляет служебные функции, облегчающие назначение адресов сетевым устройствам с помощью DHCP. Сервер кластера. Если для организации важна отказоустойчивость, то кластеризация обеспечивает перехват одной системой функций другой системы. Windows Server 2003 предоставляет возможность такого соединения систем, что если одна система выходит из строя, то другая перехватывает ее функции. Терминальный сервер. Вместо предоставления каждому пользователю сети полнофункционального настольного или мобильного компьютера организация имеет возможность установить для пользователей простые недорогие терминалы с доступом к сетевым ресурсам. Терминальные службы системы Windows Server 2003 позволяют одному серверу обеспечивать доступ к сетевым ресурсам десяткам пользователей. Сервер удаленного доступа. Если удаленному пользователю с настольным или переносным компьютером нужен доступ к сетевым службам, Windows Server 2003 предоставляет службы удаленного доступа, позволяющие удаленным системам устанавливать защищенные удаленные соединения.
Введение в технологию Windows Server 2003 Ãëàâà 1
59
•
Web-сервер. Поскольку все больше технологий ориентируются на применение Web и размещаются на Web-серверах, Windows Server 2003 предоставляет технологию хостинга этих приложений для доступа к ним с помощью браузера.
•
Медиасервер. Ввиду выхода информации за рамки текстовых документов и электронных таблиц в такие медиавозможности, как видео и аудио, Windows Server 2003 предоставляет источник для размещения и опубликования видео- и аудиоинформации.
•
Сервер распределенной файловой системы (DFS). На протяжении последних десяти лет файлы данных обычно хранились на файловых серверах, разбросанных по всей организации. Операционная система Windows Server 2003 поддерживает распределенную файловую систему, которая позволяет организации передать управление распределенными файлами общему каталогу поиска файлов.
Эти и ряд других функций дают возможность реализовать надежные сетевые службы, с помощью которых организации могут применять технологии Windows Server 2003 для собственных производственных нужд.
Ôóíêöèè Windows Server 2003 êàê ñåðâåðà ïîäêëþ÷àåìûõ ïðèëîæåíèé Кроме упомянутых в предыдущем разделе встроенных функций сервера приложений — DNS, DHCP, глобальный каталог, терминальные службы и так далее — Windows Server 2003 представляет собой основу для приобретения и реализации подключаемых приложений на Windows-серверах. Некоторые из этих подключаемых приложений поставляются компанией Microsoft, например, версии системы обмена сообщениями Microsoft Exchange или базы данных Microsoft SQL для Windows Server 2003. Другие подключаемые к Windows Server 2003 приложения поставляются компаниями, разрабатывающими приложения по учету кадров, бухгалтерские программы, средства управления документооборотом, подключаемые приложения обработки факсов и голосовой почты, а также другие средства автоматизации деловых и производственных функций и работы пользователей. В ранних серверных операционных системах Windows базовая операционная система предоставляла простые функции входной регистрации и связи с сетью; однако операционная система Windows Server 2003 содержит множество различных возможностей, встроенных в операционную среду Windows Server 2003. При наличии интегрированной отказоустойчивости, восстановления данных, безопасности серверов, связи для удаленного доступа, технологий доступа к Web и других подобных возможностей, организации, создающие подключаемые к Windows Server 2003 приложения, могут уделить больше внимания производственным функциям и возможностям, а не базовым функциям обеспечения надежности и безопасности инфраструктуры и средствам мобильного доступа. Для сторонних организаций отпадает необходимость реализации базовых сетевых технологий в разрабатываемых ими подключаемых приложениях, что позволяет им сосредоточиться на повышении эффективности и функциональности их приложений. Кроме того, сосредоточение маршрутизации, защиты, удаленного управления и тому подобного в базовой операционной системе предоставляет пользователям единый метод связи, аутентификации и доступа без необходимо-
60
Обзор Windows Server 2003 ×àñòü I
сти загрузки специальных драйверов, подключаемых модулей или средств для поддержки каждого нового приложения. Переход от компонентов инфраструктуры, ориентированной на приложения, к функциональности, встроенной в базовую операционную систему, было начат еще в Windows 2000. Во время первого выпуска Windows 2000 пришлось решать очень трудные проблемы, связанные с этим сдвигом в ориентации продукта; и все же за время присутствия на рынке в течение трех с лишним лет подключаемые модули Windows 2000, а затем Windows Server 2003, подверглись нескольким пересмотрам для повышения функциональности и надежности компонентов связи операционной системы и приложений. К счастью, Windows Server 2003 использует ту же технологию взаимодействия приложений и операционной системы, что и Windows 2000, так что приложения, написанные для Windows 2000, обычно требуют всего лишь простой установки пакета обновлений, после чего их можно выполнять под управлением Windows Server 2003.
Êîãäà ëó÷øå ïðîâîäèòü ìèãðàöèþ? Когда система Windows Server 2003 впервые появилась весной 2003 года, многие организации раздумывали, когда лучше осуществлять переход на новую операционную систему. В то время любой продукт Microsoft часто устанавливали после выхода первого пакета обновлений; однако многие организации были приятно удивлены, что Windows 2003 оказалась крайне надежной и даже более заслуживающей доверия, чем исправленные версии Windows NT4 и Windows 2000. Следовательно, в конце концов, решение свелось к тому же вопросу о переходе на любую новую технологию — к сравнению ценности миграции со стоимостью и усилиями по ее проведению. В этой вводной главе указаны многие свойства и функции, встроенные в Windows Server 2003, которые привели другие организации к выводу о целесообразности планирования перехода на эту операционную систему. Повышение безопасности, производительность и легкость в управлении — преимущества, необходимые организациям, которые стремятся минимизировать расходы на администрирование, предоставляя при этом пользователям большую функциональность. Стоимость и усилия при переходе на Windows Server 2003 зависят от текущего состояния сетевой среды организации, а также от возможностей и функций Windows Server 2003, нужных для этой организации. Некоторые организации начинают процесс перехода на Windows Server 2003, добавляя Windows Server 2003 в существующую сеть Windows NT4 или Windows 2000, выполняя переход с Windows 2000 на Windows Server 2003 или с Windows NT4 на Windows Server 2003.
Äîáàâëåíèå Windows Server 2003 â ñðåäó NT4 èëè Windows 2000 Многие организации хотели бы добавить отдельную функцию Windows Server 2003, например, терминальные службы Windows Server 2003, службу удаленного доступа Windows Server 2003, медиаслужбу Windows Server 2003 или что-нибудь еще. Такие функции можно добавить в рядовые серверы Windows Server 2003 в существующих сетевых средах Windows NT4 или Windows 2000. Это позволяет организациям довольно быстро и легко получить прикладные возможности Windows Server 2003 без необхо-
Введение в технологию Windows Server 2003 Ãëàâà 1
61
димости полного перехода на Windows Server 2003. Во многих случаях рядовой сервер Windows Server 2003 можно просто добавить в существующую сеть. Такое добавление практически не влияет на сеть, хотя и позволяет организации создать прототипы и тестировать новые технологии, провести их опытную эксплуатацию для небольшого количества пользователей и постепенно внедрить эти технологии в клиентскую базу в виде обычного процесса замены или модернизации системы. Некоторые организации перенесли свои рядовые серверы в системы Windows Server 2003 в течение нескольких недель или месяцев в качестве подготовительного шага для окончательной миграции в структуру Windows Server 2003 Active Directory.
Ìèãðàöèÿ ñ Windows 2000 íà Windows Server 2003 Для организаций, уже перешедших на Windows 2000 и Active Directory, миграция на Active Directory в рамках системы Windows Server 2003 может обеспечить доступ к нескольким дополнительным возможностям, для которых необходимо, чтобы сеть Windows работала под управлением Windows Server 2003. В число технологий Windows Server 2003, требующих реализации Windows Server 2003 Active Directory, входят технология RIS для серверов, усовершенствования групповых политик Windows Server 2003 и полная распределенная файловая система Windows Server 2003. К счастью, организации, в которых уже выполнено внедрение Windows 2000 или переход с Windows NT4 на Windows 2000, решили самую сложную часть процесса миграции. По сути дела, Windows Server 2003 использует ту же организационную структуру Active Directory, которая создавалась для Windows 2000, так что леса, деревья доменов, домены, организационные единицы, сайты, группы и пользователи — все это непосредственно переносится в Windows Server 2003. Если организационная структура в Windows 2000 отвечает требованиям организации, то для миграции на Windows Server 2003 достаточно в существующий домен Windows 2000 Active Directory вставить сервер глобального каталога Windows Server 2003 — и модернизация Windows 2000 Active Directory до Windows Server 2003 Active Directory будет проведена. В отличие от процесса миграции из Windows NT4 на Windows 2000, во время которого организация не могла осуществить миграцию резервного контроллера домена (Backup Domain Controller — BDC) Windows NT4 на контроллер домена (Domain Controller — DC) Windows 2000, Windows Server 2003 позволяет организациям переносить контроллеры домена Windows 2000 на контроллеры домена Windows Server 2003, разрешая тем самым промежуточный режим частичной (постепенной) миграции на Windows Server 2003. Разумеется, планирование, резервное копирование и тестирование прототипа, рассматриваемые в главе 17, помогают минимизировать риски и ошибки миграции и приводят к более успешному процессу миграции. И все-таки процесс миграции с Windows 2000 на Windows Server 2003 является для организаций относительно легким способом миграции. При миграции с Windows 2000 на Windows Server 2003 многие организации предпочитают вносить изменения в структуру Active Directory, например, изменить структуру простого домена или даже выполнить полное переименование домена. Windows Server 2003 предоставляет несколько средств, описанных в главе 17, которые помога-
62
Обзор Windows Server 2003 ×àñòü I
ют организациям вносить изменения в Active Directory во время процесса миграции. Многие такие процессы могут быть завершены до миграции на Windows Server 2003, но многие можно завершить и после перехода на Windows Server 2003. А некоторые из этих процессов лучше всего полностью выполнить во время миграции на Windows Server 2003. Значит, прежде чем начать миграцию, важно запланировать все изменения. Нелишним будет еще раз просмотреть главу 17.
Ìèãðàöèÿ íà Windows Server 2003 íåïîñðåäñòâåííî èç Windows NT4 Организации, в сетевых средах которых все еще присутствует Windows NT4, должны решить, переходить ли им из Windows NT4 на Windows 2000 или сразу из Windows NT4 на Windows Server 2003. Среди решающих факторов — определение, какие средства и функции Windows Server 2003 им нужны, и стоимость миграции и усилия на ее проведение. Как было указано в разделе “Когда лучше проводить миграцию?”, организациям не обязательно полностью переходить на Windows Server 2003, чтобы пользоваться ее функциями. Они могут перевести с Windows NT4 на Windows Server 2003 лишь несколько рядовых серверов, оставив без изменений всю доменную структуру Active Directory. Это может стать первым шагом внедрения технологии Windows Server 2003 в их сети. Если организация уже приступила к миграции на Windows 2000, она может выбрать переход к реализации будущих серверов глобального каталога на платформе Windows Server 2003. Существенным преимуществом перехода с Windows 2000 Active Directory на Windows 2003 Active Directory является возможность без труда организовать совместную работу различных серверов глобального каталога. Новые серверы глобального каталога могут быть системами Windows Server 2003, а существующие серверы глобального каталога могут оставаться до времени, удобного для их перевода на Windows 2003. Разумеется, организация может выбрать и полную миграцию с Windows NT4 на Windows Server 2003, а поскольку лес, домен, сайт и другие структурные функции Windows 2000 и Windows Server 2003 идентичны, то любое планирование миграции на Windows 2000 можно применить и к переходу с Windows NT4 на Windows Server 2003. Этапы планирования, проектирования, прототипирования и миграции, облегчающие переход организации с Windows NT4 в среду Windows Server 2003, описаны в главе 16.
Âåðñèè ñèñòåìû Windows Server 2003 С появлением Windows Server 2003 было объявлено об изменениях в градациях операционной системы. Вместо редакций Server и Advanced Server появились четыре различных редакции Windows Server 2003: базовая Web, Standard (стандартная), Enterprise (предприятия) и редакция DataCenter (центра данных).
Windows Server 2003 ðåäàêöèè Web Windows Server 2003 редакции Web представляет собой версию одно- или двухпроцессорного клиентского Web-сервера с ориентацией на требования сервера приложе-
Введение в технологию Windows Server 2003 Ãëàâà 1
63
ний, необходимых для работы Web-служб. Многие организации устанавливают простые Web-серверы в качестве клиентских интерфейсов для серверов баз данных, серверов обмена сообщениями или серверных систем приложений обработки данных. Система Windows Server 2003 редакции Web может быть использована как простой Web-сервер для размещения сред разработки приложений или интегрирована в виде части более сложной Web-фермы и среды Web-служб из нескольких систем с балансировкой нагрузки между ними. По сравнению с предыдущими версиями операционной системы Windows система Windows Server 2003 сдержит существенные улучшения возможностей масштабирования. Кроме того, организации могут приобрести лицензии на несколько систем Web-служб по более низкой цене в расчете на один сервер и обеспечить масштабирование и резервирование, необходимые в средах крупных Web-ферм. Windows Server 2003 редакции Web поддерживает до 2 Гб оперативной памяти для поддержки возможностей клиентского кэширования Web-информации.
НА ЗАМЕТКУ Для организаций, желающих приобрести Windows Server 2003 редакции Web для установки очень дешевого файлового сервера и сервера печати, либо служебного сервера (DNS, DHCP, контроллер домена), редакция Web не годится: в ней нет ни традиционного многопользовательского доступа к файлам или принтерам, ни вспомогательных служб. Для получения возможностей, отличных от Web-служб, следует приобрести Windows Server 2003 редакции Standard.
Windows Server 2003 ðåäàêöèè Standard Windows Server 2003 редакции Standard является самой распространенной версией файлового сервера этой операционной системы. Редакция Standard поддерживает до четырех процессоров на сервере, полностью поддерживает функции файловых служб и служб печати, может работать как многопроцессорный Web-сервер, поддерживает терминальные службы (Terminal Services), может быть настроена в качестве служебного сервера и поддерживает до 4 Гб оперативной памяти. Редакция Standard хороша в качестве версии операционной системы для поддержки таких служб, как контроллеры доменов, служебные серверы (DNS, DHCP, ведущие серверы), файловые серверы и серверы печати. Многим небольшим и средним организациям возможностей редакции Standard вполне достаточно для большинства сетевых служб, и даже крупные организации используют редакцию Standard в качестве служебного сервера или основного сервера в удаленном офисе. Для удовлетворения требований серверных функций фактически годится любая среда, которой достаточно системы с одним-четырьмя процессорами. В главе 35 предлагается описание анализа мощности и рекомендации по масштабированию серверов для системы Windows Server 2003.
Windows Server 2003 ðåäàêöèè Enterprise Windows Server 2003 редакции Enterprise ориентирована на серверные системы, требующие до восьми процессоров и/или кластеризации до восьми узлов для крупномасштабных серверных конфигураций. Обеспечивая поддержку до 32 Гб оперативной памяти и 64-разрядной версии процессора Itanium, редакция Enterprise является под-
64
Обзор Windows Server 2003 ×àñòü I
ходящей версией операционной системы при высоких требованиях к доступности и скорости обработки основных серверов приложений, подобных серверам SQL Server или крупным серверным системам обработки транзакций электронной коммерции. Для организаций, использующих возможности Windows Server 2003 для терминальных служб тонких клиентов, которые требуют доступа к большим объемам оперативной памяти и нескольким процессорам, редакция Enterprise может обслуживать сотни пользователей на одном сервере. Более подробно терминальные службы рассматриваются в главе 27. Редакция Enterprise с поддержкой кластеров, содержащих до 8 узлов, способна предоставить организациям, которым необходима непрерывная работа в сети, возможность действительного обеспечения 99,999% готовности 24 часа в сутки, 7 дней в неделю, как того требуют среды с высокой доступностью. Windows Server 2003 редакции Enterprise поддерживает широкий диапазон регулярно доступных серверных систем, тем самым позволяя организациям самостоятельно выбирать поставщиков оборудования, которое удовлетворяет требованиям, предъявляемым приложениями к Windows Server 2003. В число служб, доступных в Windows Server 2003 редакции Enterprise и отсутствующих в редакции Standard, входит возможность поддержки синхронизации сервера учетных данных и интеграции Microsoft, каталога сеансов сервера терминалов Windows, функции удаленного хранения данных Windows и диспетчер системных ресурсов Windows. Если эти функции нужны, то в качестве варианта сервера следует выбрать редакцию Enterprise.
Windows Server 2003 ðåäàêöèè DataCenter Windows Server 2003 редакции DataCenter представляет собой патентованную аппаратную версию операционной системы, которая поддерживает от 8 до 64 процессоров и кластеры, содержащие до 8 узлов. Редакция DataCenter ориентирована на организации, нуждающиеся в интенсивной серверной технологии для поддержки крупного централизованного хранилища данных в одном кластере или в ограниченном количестве серверных кластеров. Как будет сказано в главе 35 по поводу анализа производительности и мощности, любая организация может расширять свои приложения экстенсивно и интенсивно. Термин “экстенсивное” (scale-out) относится к приложениям, производительность которых возрастает при распределении на несколько серверов, а “интенсивное” (scaleup) — к приложениям, производительность которых возрастает при добавлении процессоров в одну систему. Типичные экстенсивные приложения — службы Web-сервера, системы электронного обмена сообщениями, файловые серверы и серверы печати. В этих случаях организациям лучше распределить функции сервера приложений по нескольким системам Windows Server 2003. Но для интенсивных приложений — например, приложений электронной торговли или приложений, организующих информационные хранилища, — лучше, если все данные и их обработка сконцентрированы в одном серверном кластере. Для этих приложений Windows Server 2003 редакции DataCenter предлагает более централизованную масштабируемую обработку, а, кроме того, и такие полезные возможности, как отказоустойчивость и подхват функций неисправного узла.
Введение в технологию Windows Server 2003 Ãëàâà 1
65
Используя поддержку редакцией DataCenter кластеров, содержащих до 8 узлов, организация может совместно использовать вычислительную мощность 8×64 процессоров на сервер для получения такой скорости обработки транзакций, которая превосходит возможности многих технологических систем на базе мэйнфреймов и миникомпьютеров. Кроме интенсивной возможности кластеризации, организации могут обеспечить подхват функций кластерными системами, что обеспечит уровень готовности, соответствующий 99,999%.
НА ЗАМЕТКУ Windows Server 2003 редакции DataCenter продается только вместе со специальными аппаратными системами, так что организация не может приобрести редакцию DataCenter и создать или сконфигурировать собственную 32-конвейерную мультипроцессорную систему. Редакция DataCenter разработана и протестирована консорциумом поставщиков оборудования на соответствие строгим стандартам производительности, надежности и возможности обслуживания.
×òî íîâîãî â Windows Server 2003 С точки зрения рыночной политики компании Microsoft систему Windows Server 2003 можно охарактеризовать как более быструю, более безопасную, более надежную и более легкую в эксплуатации. Следует отметить, что операционная система Windows Server 2003 таки обладает всеми этими возможностями. Но в данном разделе особо отмечено, какие из изменений являются косметическими исправлениями по сравнению с предыдущими операционными системами Windows, а какие на самом деле представляют собой усовершенствования операционной системы и повышают возможности администраторов и конечных пользователей.
Âèçóàëüíûå èçìåíåíèÿ â Windows Server 2003 Первое, что бросается в глаза после загрузки Windows Server 2003 — это новый графический интерфейс пользователя (Graphical User Interface — GUI) в стиле Windows XP. Разумеется, это достаточно простое косметическое изменение, имеющее целью стандартизировать внешний вид операционных систем Windows. Как и в Windows XP, пользователь может отключить новый интерфейс и перейти в классический режим, а поскольку многие администраторы долго работали с системами Windows NT и Windows 2000, они обычно отключают XP-интерфейс и конфигурируют систему так, чтобы она выглядела как классическая версия. Нет никакой разницы в том, какой интерфейс задействован — новый или классический: все возможности и функции операционной системы Windows Server 2003 остаются неизменными в любом режиме.
Íàñòðîéêà è ïðîãðàììèðóåìîñòü èíòåðôåéñà .NET Server Одним из преимуществ новой операционной системы Windows Server 2003 являются возможности настройки и программирования ее интерфейса. Поскольку Windows Server 2003 предоставляет организациям изменять интерфейс, с которым работают пользователи серверных систем, то имеется возможность настройки GUI и создания
66
Обзор Windows Server 2003 ×àñòü I
простого административного интерфейса. Например, многие организации, в которых есть персонал, выполняющий административное сопровождение операций резервного копирования и сопровождения в ночные или вечерние часы, предпочитают настроить настольный компьютер с учетом требований этих специалистов. Вместо обучения сопровождающего персонала применению специализированных средств администрирования Windows, можно подготовить на языке XML простой интерфейс, а с его кнопками связать сценарии, например, очистки очередей печати, перезапуска системных служб, добавления или блокировки учетных записей пользователей, либо копирования и восстановления данных. В главе 23 рассматриваются задачи, которые можно автоматизировать с помощью сценариев для специализированных конфигураций пользователей.
Èçìåíåíèÿ, êîòîðûå óïðîùàþò çàäà÷è В Windows Server 2003 появилось несколько новых возможностей, которые упрощают выполнение задач. Эти возможности могут показаться простыми косметическими поправками, но на самом деле они существенно облегчают административное управление. К числу таких усовершенствований относятся возможности перетаскивания (drag-and-drop) элементов в средствах администрирования и встроенные мастера конфигурирования и управления.
Âîçìîæíîñòè ïåðåòàñêèâàíèÿ ìûøüþ â ñðåäñòâàõ àäìèíèñòðèðîâàíèÿ Многие из новых средств администрирования в системе Windows Server 2003 имеют возможность перетаскивания, что позволяет администраторам просто выбирать мышью объекты и перетаскивать их в новое место. В системе Windows 2000 администратор должен выбрать объект, щелкнуть правой кнопкой мыши, выбрать в контекстном меню команду Move (Переместить) и указать назначение с помощью меню или графического дерева папок. Эта задача может показаться тривиальной, но для любого администратора, перераспределяющего пользователей между организационными единицами в утилите Active Directory Users and Computers системы Windows 2000, возможность перетаскивания объектов существенно уменьшает время и усилия, необходимые для организации и управления службой Active Directory.
Âñòðîåííûå ìàñòåðà óñòàíîâêè, êîíôèãóðèðîâàíèÿ è óïðàâëåíèÿ Другим существенным добавлением в систему Windows Server 2003, которое упрощает решение задач, является набор мастеров конфигурирования и управления, которые являются встроенными в операционную систему. Администратору теперь не нужно работать с командами меню, чтобы вручную создавать или модифицировать сетевые роли: Windows Server 2003 содержит мастера, которые позволяют администратору добавлять, модифицировать и удалять системные конфигурации. Несомненно, эти мастера весьма полезны для пользователей, мало знакомых с операционной системой, поскольку вопросы, которые задают мастера, очень просты. Но даже асы Windows предпочитают пользоваться мастерами, а не выполнять инсталляции вручную,
Введение в технологию Windows Server 2003 Ãëàâà 1
67
так как часто бывает проще и быстрее ответить на несколько вопросов и нажать клавишу <Enter>, чем продираться через множество меню, экранов свойств и закладок конфигураций, чтобы ввести ту же самую информацию.
Óñèëåííàÿ áåçîïàñíîñòü Мероприятия по усилению безопасности, реализованные в Windows Server 2003, отнюдь не являются косметическими обновлениями. В самый разгар разработки продукта Windows Server 2003 компания Microsoft выступила со своей инициативой безопасных вычислений (Trustworthy Computing Initiative), которая предусматривает, что все программные продукты и решения от Microsoft будут соответствовать очень жестким требованиям безопасности. Таким образом, наряду с появлением в Windows Server 2003 нескольких новых усовершенствований в области безопасности, инициатива безопасных вычислений создала среду, в которой продукт Windows Server 2003 должен был стать наиболее безопасной из всех операционных систем Windows, разработанных до настоящего времени. Часть IV данной книги посвящена безопасности различных основных областей. В главе 12 рассматривается безопасность на уровне сервера, что применительно к Windows Server 2003 означает некоторые новые стандартные настройки, когда большая часть служб при инсталляции отключаются, и для получения доступа к ним их необходимо явно активизировать. Хотя эти изменения в разработке операционной системы Windows могут показаться тривиальными, они обеспечивают удобоваримый уровень безопасности сервера сразу же после начальной инсталляции. В предыдущих версиях Windows выявление всех ненужных функций Windows и их отключение, обеспечивающее блокировку серверной системы, могло занять целый час. Стандартные параметры сервера, а также различия в функциях и операционных возможностях, также рассматриваются в главе 12.
Ïðîòîêîë IPSec è ïîâûøåíèå áåçîïàñíîñòè áåñïðîâîäíîé ïåðåäà÷è äàííûõ Безопасность на транспортном уровне в форме протокола IPSec была включена еще в Windows 2000, однако организации не торопились использовать этот тип защиты, главным образом из-за непонимания принципов его работы. В главе 13 приведены практические рекомендации по применению в организациях протокола IPSec для обеспечения высокоуровневой защищенных каналов связи между серверами, между сайтами, а также между удаленными пользователями и локальной сетью. В главе 13 также описывается новая технология защищенной беспроводной локальной сети (стандарт 802.1X), встроенная в Windows Server 2003. Система Windows Server 2003 предоставляет возможность динамического определения ключей для повышения безопасности при беспроводной передаче данных по сравнению с более распространенным протоколом WEP (Wired Equivalency Protocol — секретность на уровне проводных линий связи), который используется со стандартом 802.11 беспроводной передачи данных. Усилив криптографическую стойкость при беспроводной передаче данных, организации могут повысить вероятность того, что Windows Server 2003 будет способна предоставить действительно защищенную сетевую среду.
68
Обзор Windows Server 2003 ×àñòü I
Ïîääåðæêà ïàñïîðòà Microsoft Нововведением в системе Windows Server 2003 является поддержка паспорта Microsoft (Microsoft Passport) при входной аутентификации пользователя. Паспорта Microsoft, впервые введенные в употребление в операционной системе для настольных компьютеров Windows XP, предоставляют пользователям возможность производить защищенный обмен данными с использованием служб паспортной поддержки. Первоначальный вариант служб паспортной поддержки содержал мгновенный обмен сообщениями в сети, доступ к определенным Web-сайтам и к сайтам электронной коммерции с паспортной поддержкой. В результате включения поддержки паспортов Microsoft в Windows Server 2003 клиенты с включенной паспортной поддержкой могут теперь регистрироваться в сети Windows Server 2003, используя защищенные учетные данные. Следовательно, тот же самый паспорт, с помощью которого пользователь входит на сайты электронной коммерции, Web-сайты и обменивается сообщениями, позволяет ему устанавливать защищенное соединение со средой Windows Server 2003. Применение паспортов Microsoft в среде Windows Server 2003 подробно рассматривается в главе 14.
Ïîâûøåíèå ïðîèçâîäèòåëüíîñòè è ôóíêöèîíàëüíîñòè Конечный сетевой пользователь, скорее всего, никогда не заметит множества новых возможностей, включенных в систему Windows Server 2003, и в большинстве случаев системный администратор даже не почувствует, какие технологии были обновлены или усовершенствованы. Эти технологии повышают эффективность работы сети, так что пользователь может почувствовать повышение скорости работы сети. Но даже если сеть сможет реагировать на запросы в два раза быстрее, пользователь вряд ли заметит уменьшение времени работы процесса, например, с трех секунд до полутора. Выгода проявляется главным образом в уменьшении общей загрузки сети, а чтобы повысить производительность работы в очень крупных организациях, задействовав все возможности системы, необходимо устанавливать дополнительные серверы, процессоры и соединения с сайтами.
Êýøèðîâàíèå ãëîáàëüíîãî êàòàëîãà íà êîíòðîëëåðå äîìåíà Одним из значительных усовершенствований системы Windows Server 2003 на стороне клиента является способность сервера кэшировать информацию глобального каталога на контроллерах домена. В среде Windows 2000 для получения доступа пользователей к глобальному каталогу, чтобы просматривать почтовые учетные записи и почтовые списки рассылки, организация обычно создает сервер глобального каталога для каждого своего сайта. Такая распределенная функция серверов глобального каталога минимизирует трафик запросов пользователей к каталогу по глобальной сети (WAN) каждый раз, когда они хотят послать сообщение электронной почты какомулибо работнику; однако это означает, что для синхронизации каталогов в предприятии нужна репликация этих каталогов в глобальные каталоги. С появлением системы Windows Server 2003 организации достаточно поместить в удаленном местоположении
Введение в технологию Windows Server 2003 Ãëàâà 1
69
контроллер домена, и информация из глобального каталога будет кэшироваться для удаленной системы. В результате используются лучшие свойства обеих сред: кэширование глобального каталога означает, что информация о каталогах всегда доступна для удаленных пользователей, но поскольку это лишь кэш, а не полностью реплицированная копия, синхронизация и распределение информации каталогов осуществляется только по запросам, а не при каждом внесении изменений в каталог.
Òîíêàÿ íàñòðîéêà ñèíõðîíèçàöèè ãëîáàëüíîãî êàòàëîãà Еще одно неочевидное усовершенствование в Windows Server 2003 — тонкая настройка методов полной синхронизации глобального каталога. Полная синхронизация глобального каталога выполняется при репликации всего глобального каталога с одного сервера глобального каталога на другой. В организациях с очень большими глобальными каталогами такая репликация требует дублирования нескольких мегабайт информации на каждый сервер глобального каталога сети, что может существенно повлиять на общую производительность сети. В Windows 2000 сеансы полной синхронизации глобального каталога проводились во время добавления атрибутов в наборы PAS (Partial Attribute Set — частичные наборы атрибутов). В упрощенном виде это означает, что если в организации имеется список рассылки, содержащий, скажем, 5000 имен, и администратор добавляет в него еще одно имя, то все 5001 имя реплицируются из одного глобального каталога в другой. В Windows Server 2003 изменения в частичные множества атрибутов можно вносить таким образом, что на все серверы глобального каталога организации реплицируется только измененный атрибут. Такой подход позволяет администратору добавить в список рассылки 5001-е имя и реплицировать по глобальной сети только его. Аналогичная частичная репликация проводится и в некоторых других объектах инфраструктуры Windows Server 2003, что подробно описано в главе 7.
Âîçìîæíîñòü îòêëþ÷åíèÿ ñæàòèÿ â âûñîêîñêîðîñòíûõ êàíàëàõ Еще одним компонентом, о котором почти никто из пользователей и не догадывается после перехода на Windows Server 2003, но важным для системных администраторов, является возможность отключения сжатия в высокоскоростных каналах между серверами глобальных каталогов. В Windows 2000 информация перед репликацией между серверами вначале сжималась. Это сжатие экономило пропускную способность каналов при передаче данных от одного сервера другому через локальную или глобальную сеть, однако в Windows 2000 на процессоры серверов ложилась дополнительная нагрузка по сжатию информации на одном сервере и распаковке на другом. В Windows Server 2003 администратор может отключить процесс сжатия, позволяя осуществлять репликацию информации с одного сервера на другой в исходном виде. Хотя такая репликация может повлечь за собой уменьшение пропускной способности локальной или глобальной сети, администраторы сетей со сверхвысокоскоростными магистралями 100 Мбит/c или 1 Гбит/c могут предпочесть в разгар рабочего дня использовать недогруженную глобальную или локальную сеть, а не процессор. На эту функцию пользователи редко обращают внимание, но в сочетании с некоторыми дру-
70
Обзор Windows Server 2003 ×àñòü I
гими функциями повышения производительности Windows Server 2003 организация может воспользоваться ею для повышения общей производительности сети на всем предприятии. Возможность настройки и оптимизации каналов передачи данных со сжатием и других сетевых факторов рассматривается в главе 7, посвященной инфраструктуре Active Directory, а также в главе 35, в которой рассматриваются настройка производительности и оптимизация.
Óñèëåííàÿ ïîääåðæêà ñòàíäàðòîâ С выпуском Windows Server 2003 появилось несколько промышленных стандартов, встроенных в операционную систему Windows. Эти изменения продолжают тенденцию поддержки операционными системами Windows промышленных стандартов, а не собственных стандартов Microsoft. В число основных стандартов, встроенных в Windows Server 2003, входят IPv6, Web-службы XML и стандарты безопасности IETF (Internet Engineering Task Force — проблемная группа проектирования Internet).
Ïîääåðæêà ïðîòîêîëà IPv6 Windows Server 2003 поддерживает протокол IPv6 (Internet Protocol version 6 — протокол Internet, версия 6), который в будущем станет стандартом Internet для адресации TCP/IP. Большинство организаций поддерживают протокол IPv4 (протокол Internet версии 4). Поскольку в схеме нумерации Internet в современной реализации уже не хватает адресного пространства, будущие Internet-коммуникации должны поддерживать протокол IPv6, предоставляющий более широкое адресное пространство. Кроме того, IPv6 поддерживает новые стандарты динамической адресации и протокол IPSec (Internet Protocol Security — протокол защиты данных в Internet). Часть протокола IPv6 обеспечивает поддержку текущих стандартов IPv4, благодаря чему возможен двойной способ адресации. За счет поддержки IPv6 в Windows Server 2003 организация может реализовать стандарт двойной адресации — и IPv6, и IPv4 — чтобы подготовиться к будущей поддержке обмена данными через Internet. Более подробно IPv6 рассматривается в главе 7.
Ïîääåðæêà Web-ñëóæáû XML Windows Server 2003 поддерживает Web-службу, которая состоит из языка разработки XML и среды поставщика Web-служб, обеспечивающей реализацию динамических Web-служб в сетевой среде. Web-службы находятся в центре внимания всех основных сетевых операционных систем, позволяя размещать Web-приложения в серверных системах. XML стал стандартным языком разработки для организаций, создающих собственные приложения. XML используется в качестве языка программирования для интерфейсной части радиотелефонов, голосовой IP-телефонии, прикладных рабочих станций и серверных систем, маршрутизаторов и других сетевых устройств. Web-служба XML сочетает все расширяющуюся поддержку языка разработки XML с ростом рыночного спроса и использования Web-серверов, создавая таким образом системы Web-служб XML. Поддержка Web-служб XML компанией Microsoft ставит ее в ряд организаций, использующих новейшие Web-серверные технологии.
Введение в технологию Windows Server 2003 Ãëàâà 1
71
Ïîääåðæêà ñòàíäàðòîâ áåçîïàñíîñòè IETF В настоящее время Windows Server 2003 поддерживает стандарты безопасности, предложенные группой IETF. Группа IETF формулирует стандарты передачи данных, протоколов и безопасности. В прошлом Microsoft создавала свои собственные стандарты безопасности и редко поддерживала протоколы Internet-безопасности. Поддерживая стандарты IETF, компания Microsoft может решать вопросы обеспечения безопасности с позиций предприятия.
Âîçìîæíîñòü óäàëåíèÿ îáúåêòîâ ñõåìû Active Directory Новой в Windows Server 2003 является возможность администраторов удалять объекты схемы Active Directory. С появлением Active Directory в Windows 2000 организации могли расширять эту схему и вносить изменения в каталог. Но хотя схему можно было расширять, средств удаления объектов из схемы не было. Теперь в среде Windows Server 2003 администратор схемы может выбирать и удалять объекты схемы Active Directory. Такая возможность позволяет организации вносить изменения в схему, не опасаясь внести такие изменения, которые впоследствии нельзя будет удалить.
Íîâûå âîçìîæíîñòè àäìèíèñòðèðîâàíèÿ â Windows Server 2003 Windows Server 2003 обладает несколькими новыми возможностями, позволяющими организациям лучше администрировать сетевые среды. Это улучшенная возможность восстановления данных при случайном удалении файлов, возможность создания контроллеров доменов с дисковых носителей и улучшенная поддержка безопасности мобильных коммуникаций для мобильных пользователей.
Ôîíîâàÿ êîïèÿ òîìà Важным дополнением в Windows Server 2003 является функция создания фоновой копии тома (Volume Shadow Copy). Фоновая копия тома выполняет моментальный снимок сетевого тома и помещает полученную копию на другой сетевой том. После получения зеркального снимка к файлам фоновой копии тома можно обратиться (только для чтения) в любой момент и без осложнений, характерных для сетевых томов, находящихся в использовании. Несомненно, у функции создания фоновой копии тома появится множество различных сторонних подключаемых модулей, которые будут поддерживать считывание информации с точной копии только для чтения. Двумя наиболее важными исходными возможностями являются оперативное резервное копирование открытых файлов и получение копий файлов на уровне пользователя. Обе эти возможности более подробно рассматриваются в главе 30.
72
Обзор Windows Server 2003 ×àñòü I
Îïåðàòèâíîå ðåçåðâíîå êîïèðîâàíèå îòêðûòûõ ôàéëîâ Копирование открытых файлов всегда было трудной задачей для организаций. Старые программы копирования на магнитную ленту пропускали используемые файлы, поскольку нет простых способов копирования файлов, используемых сетевыми пользователями. Усовершенствования, внесенные в программы копирования на ленту, позволяют организациям задействовать агент открытого файла на сервере, чтобы можно было копировать используемые в этот момент файлы. Но все же процесс копирования открытых файлов существенно замедляет нормальный доступ к файлам, либо файлы копируются не по очереди, что существенно затрудняет восстановление таких файлов. Функция фонового копирования тома в Windows Server 2003 позволяет не снимать блокировку первичного сетевого тома и создавать его снимок на другом томе. А если имеется фоновая копия тома, доступная только для чтения, то программа копирования на ленту может запустить резервное копирование, не конкурируя при этом с другими приложениями и устройствами. Более того, поскольку эти файлы не используются, системе резервного копирования не нужно останавливаться, разблокировать файл, копировать его и вновь блокировать файл для доступа к нему других пользователей. А поскольку фоновая копия тома может находиться на другом томе сервера или даже на другом сервере, то копирование информации никак не повлияет на пользователей.
Ïîëó÷åíèå êîïèé àðõèâèðîâàííûõ ôàéëîâ íà óðîâíå ïîëüçîâàòåëåé С помощью фонового копирования тома пользователи могут легко восстанавливать случайно удаленные файлы. Если в Windows NT4 или Windows 2000 пользователь случайно удалял файл, и этот файл не сохранился в корзине (Recycle Bin), он был утрачен навсегда. Обычно лучшее, что могла сделать организация — восстановить файл с магнитной ленты. С помощью фонового копирования томов Windows Server 2003 можно периодически снимать фоновые копии файлов. Если теперь пользователь захочет восстановить случайно удаленный файл, то нужно лишь обратиться к фоновой копии тома и найти заархивированный файл для последующего восстановления. Процесс выборки данных из фоновой копии файла даже предпочтительнее систем резервного копирования, поскольку в большинстве случаев потеря файлов данных вызвана случайной перезаписью файлов или порчей файла. Фоновое копирование тома обеспечивает оперативное восстановление файлов из самых последних снимков Windows Server 2003.
Ñîçäàíèå ãëîáàëüíîãî êàòàëîãà ñ íîñèòåëÿ Организации, которые создавали серверы глобального каталога в достаточно разветвленной инфраструктуре глобальной сети с помощью Windows 2000, убедились, что это очень трудная задача — из-за времени, необходимого для репликации исходного каталога по глобальной сети. Windows Server 2003 предоставляет организациям возможность экспортировать глобальный каталог в файл, который затем можно запи-
Введение в технологию Windows Server 2003 Ãëàâà 1
73
сать на компакт-диск и в дальнейшем использовать для создания удаленного сервера глобального каталога. Когда удаленному администратору необходимо создать сервер глобального каталога, и он запускает утилиту DCPromo, то ему предлагается вариант создания начального глобального каталога с носителя. После этого можно вставить компакт-диск с файлом глобального каталога и инсталлировать первоначальную информацию каталога. Репликация по сети все равно происходит, но уже только тех изменений, которые были внесены в глобальный каталог после создания компакт-диска. Этот процесс подробно описан в главе 3 и обычно используется как метод создания серверов глобального каталога в тех случаях, когда глобальный каталог приходится создавать через глобальную сеть.
IPSec NAT Traversal Windows Server 2003 обеспечивает повышенную безопасность удаленных пользователей с помощью технологии IPSec NAT Traversal (NAT-T). Протокол IPSec (Internet Protocol Security — протокол защиты данных в Internet) обеспечивает сквозное шифрование информации для защищенного обмена данными типа сервер-сервер или клиент-сервер. К сожалению, при использовании IPSec исходный сервер и сервер назначения должны иметь в Internet общедоступные адреса. NAT (Network Address Translation — трансляция сетевых адресов) при этом не используется. При обмене данных между сайтами организации обычно имеют возможность создавать общедоступные IPадреса для серверов на каждом конце соединения. Однако мобильным пользователям, которые могут подключаться к сети в гостиницах, аэропортах и в других местах временного пребывания, редко назначаются общедоступные IP-адреса. Следовательно, протокол IPSec не особенно подходит для мобильных пользователей, которым требуется безопасный доступ к сети, работающей под управлением Windows 2000. Windows Server 2003 предоставляет технологию IPSec NAT Traversal, которая позволяет серверам и клиентам IPSec преодолевать сетевые сегменты трансляции сетевых адресов. С помощью IPSec NAT Traversal организация может усилить безопасность пересылки данных от удаленного пользователя к серверу и обеспечить защищенную мобильную передачу данных намного лучше, чем это было до сих пор. Технология IPSec NAT Traversal подробно рассматривается главе 26.
Óëó÷øåííûå ïîëüçîâàòåëüñêèå ñëóæáû â Windows Server 2003 Большинство до сих пор рассмотренных в данной главе усовершенствований Windows Server 2003 обычно остаются незамеченными пользователями; это не те средства, на которые пользователи обращают особое внимание и которые могут по достоинству оценить. Службы, описываемые в данном разделе, относятся к средствам и технологиям, которые пользователи наверняка заметят и оценят их преимущества. Это усовершенствованное управление файлами с помощью распределенной файловой системы (Distributed File System — DFS), улучшенное резервирование файлов и отказоустойчивость, обеспечиваемые системой DFS, и резервирование очередей печати, которое минимизирует прерывания работы или время простоя принтеров.
74
Обзор Windows Server 2003 ×àñòü I
Óïðàâëåíèå ôàéëàìè ñ ïîìîùüþ ðàñïðåäåëåííîé ôàéëîâîé ñèñòåìû Windows Server 2003 оснащена намного более совершенной распределенной файловой системой, чем Windows 2000. В большинстве организаций файлы распределены среди множества серверов предприятия. Пользователи могут обращаться к совместно используемым географически распределенным файлам, а также к совместно используемым файлам, которые находятся на серверах какого-либо сайта организации. Во многих организациях, в которых совместно используемые файлы первоначально были созданы уже много лет назад, производительность и емкость дисковой памяти сервера и особенности распределения по рабочим группам файловых серверов и серверов печати привели к созданию сред, в которых эти организации имеют совместно используемые файлы для каждого подразделения и каждого сайта. Таким образом, файлы обычно распределяются по всей организации по нескольким серверам. Распределенная файловая система Windows Server 2003 позволяет организации объединять совместно используемые файлы на меньшем количестве серверов и создавать дерево каталогов файлов не на базе отношений “сервер-сервер” или “ресурсресурс”, а на базе дерева каталогов всего предприятия. Это дает возможность организации иметь один каталог, охватывающий файлы со всех серверов предприятия. Поскольку каталог DFS представляет собой логический каталог, содержащий ссылки на физические данные всей организации, фактические физические данные можно перемещать, не меняя методы, которыми пользователи просматривают логический каталог DFS. Это позволяет организациям добавлять или удалять серверы либо перемещать или объединять информацию, хотя и лучше всего в пределах организации. DFS является важной функцией, существенно облегчающей доступ пользователей к информации, и описание DFS и практические рекомендации по планированию и реализации DFS в организациях содержатся в главе 30 настоящей книги.
Ðåçåðâèðîâàíèå è îòêàçîóñòîé÷èâîñòü äàííûõ ñ ïîìîùüþ DFS Система DFS не только предоставляет лучшие, чем раньше, возможности управления данными, но и обеспечивает резервирование и отказоустойчивость файлов данных. Встроенная технология DFS, называемая репликами DFS, предоставляет организациям возможность резервировать данные DFS и обеспечивать бесперебойную коммерческую деятельность. Резервирование и отказоустойчивость DFS рассматриваются в главе 30.
Ðåçåðâèðîâàíèå î÷åðåäåé ïå÷àòè Многие организации считают само собой разумеющимися надежную работу принтеров и управление ими. В силу надежности печати в предыдущих версиях операционной системы Windows резервирование очередей может не оказаться в числе первоочередных задач организации. Windows Server 2003 помогает организациям планировать возможные отказы очередей печати и обеспечивает резервирование этих очередей.
Введение в технологию Windows Server 2003 Ãëàâà 1
75
Эта функция позволяет организациям организовать подхват функций и хранение очередей печати на нескольких серверах, обеспечивая тем самым подхват функций в случае отказа одного сервера очереди печати. Отказоустойчивость очередей печати подробно рассматривается в главе 3.
Ïðåèìóùåñòâà òåðìèíàëüíîé ñëóæáû äëÿ òîíêèõ êëèåíòîâ В Windows Server 2003 введен ряд существенных усовершенствований в функции терминальных служб для тонких клиентов. Клиентская система, работающая из браузера, терминала Windows или программы клиента удаленного рабочего стола (Remote Desktop Client), может обращаться к централизованному терминальному серверу для получения доступа к сетевым ресурсам. С помощью Windows Server 2003 те же удаленные пользователи теперь могут выполнять переадресацию локальных дисков и звука, иметь поддержку локального часового пояса, выбирать скорость передачи данных для оптимизации производительности сеанса и воспользоваться службой каталога сеанса (Session Directory), которая обеспечивает большую избыточность и восстанавливаемость в случае прерываний в локальной сети, глобальной сети или Internet. Хотя все эти новые возможности кратко описаны в данной главе, более подробное их описание приводится в главе 27, в которой рассматриваются вопросы их планирования, разработки, тестирования прототипа, внедрения и оптимизации.
Ïåðåàäðåñàöèÿ ëîêàëüíûõ äèñêîâ è çâóêà Новой функцией терминальной службы в Windows Server 2003 является возможность удаленных клиентов обращаться к локальным жестким дискам, а также перенаправлять звук с централизованного терминального сервера на удаленные системы. Раньше для реализации этих функций требовался относительно дорогой подключаемый модуль компании Citrix Systems. Теперь все эти возможности встроены в саму терминальную службу Windows Server 2003, и организация может определиться, стоит ли ей приобретать этот модуль.
Ïåðåàäðåñàöèÿ ëîêàëüíîãî äèñêà Переадресация локального диска позволяет удаленному пользователю входить на централизованный терминальный сервер и обращаться к сетевым ресурсам; но если пользователь хочет выбрать или сохранить файл на удаленной системе, то во время сеанса эта система изображается в виде буквенного обозначения диска. Теперь пользователь может перетаскивать файлы между удаленной системой и централизованным сервером. Доступ к удаленным файлам может включать доступ к локальному диску C:, приводам компакт-дисков, приводам гибких дисков, а также к любым другим устройствам, которым ставятся в соответствие буквенные обозначения для доступа к удаленной системе.
76
Обзор Windows Server 2003 ×àñòü I
Ïåðåíàïðàâëåíèå çâóêà Перенаправление звука предоставляет удаленному пользователю возможность войти в централизованный терминальный сервер и перенаправить звук из этой централизованной системы на динамики удаленной системы. Для организаций, внедряющих голосовую почту с другими интегрированными средствами и утилитами работы со звуком в свою повседневную деловую деятельность, возможность перенаправления звука на удаленную систему позволяет обеспечивать лучшую поддержку производственных средств, используя звук как часть инфраструктуры общения.
Ïîääåðæêà ëîêàëüíîãî ÷àñîâîãî ïîÿñà В Windows Server 2003 удаленный пользователь, вошедший в централизованный терминальный сервер, теперь может либо работать в стандартном часовом поясе, либо выбрать требуемый локальный часовой пояс. Эта возможность важна для тех организаций, в которых централизованные серверы используются ее сотрудниками по всей стране или даже по всему миру. Предыдущие версии Windows поддерживали только один часовой пояс: пояс терминальной серверной системы. Это означает, что если бы в терминальный сервер, установленный в Калифорнии, вошел пользователь из Джорджии, то все его почтовые сообщения или временные отметки фиксировались бы относительно тихоокеанского часового пояса. Теперь, за счет поддержки в Windows Server 2003 локального часового пояса, пользователь из Джорджии может указать в своих программах доступа к удаленному клиенту локальный часовой пояс. Тогда при отправке сообщения электронной почты или сохранении файлов временные отметки при обмене данными будут основываться на временных отметках восточного часового пояса, в котором физически находится пользователь. Система Windows Server 2003 поддерживает все часовые пояса и может одновременно работать с пользователями, обращающимися к серверу изо всех часовых поясов.
Óêàçàíèå òèïà ñîåäèíåíèÿ В Windows Server 2003 добавлена новая возможность, позволяющая удаленным пользователям указывать тип установленного у него удаленного соединения. Теперь удаленные пользователи при конфигурировании сеанса удаленного клиента могут не просто задать сервер, а указать, что они подключены к терминальному серверу по очень медленному модемному соединению, по среднескоростному широкополосному соединению, по сверхвысокоскоростной локальной сети либо указать специальную конфигурацию. Когда пользователь указывает сеанс с подключением через медленный модем, система терминального сервера автоматически оптимизирует передачу данных между сервером и клиентом, блокируя функции, которые снижают производительность сеанса, например, сложный фоновый рисунок на рабочем столе пользователя. Она также оптимизирует управление мышью и клавиатурой и отключает темы Windows и ненужные эффекты анимации, чтобы предоставить большую пропускную способность канала функциям доступа удаленных приложений.
Введение в технологию Windows Server 2003 Ãëàâà 1
77
Если пользователь указывает среднескоростное широкополосное соединение или подключение к локальной сети, активизируется больше свойств, и фоновые рисунки, темы, эффекты анимации и вариации меню пересылаются так, как будто пользователь сидит за настольным компьютером в своем офисе. Такая мелкая оптимизация, задаваемая пользователем, позволяет удаленным пользователям улучшить их сеанс соединения, а тем самым и увеличить возможности пользователей в зависимости от быстродействия их соединений.
Êàòàëîã ñåàíñîâ В Windows Server 2003 впервые появилась технология каталога сеансов (Session Directory), которая позволяет удаленным пользователям вновь подключаться к тому же самому сеансу, в котором они работали до разрыва соединения из-за временной недоступности Internet, коммутируемой линии или глобальной сети. Это автоматическое восстановление соединения всегда хорошо работало в тех случаях, когда организация располагала только одним терминальным сервером. Но если у организации имеется несколько терминальных серверов, то сеанс удаленного клиента не мог определить, к какому из 32 потенциальных серверов следует повторно подключить пользователя. Теперь каталог сеансов работает на отдельной системе и отслеживает все сеансы с подключением пользователей. Когда пользователь пытается войти в один из серверов в среде терминального сервера с распределенной нагрузкой, каталог сеансов проверяет, был ли пользователь раньше подключен к сеансу, который все еще может быть активным. Если обнаруживается активный сеанс, то пользователь подключается к этому сеансу, то есть в том же месте, в котором была прервана его работа. Восстановление сеанса требует, чтобы политика терминального сервера сохраняла сеансы активными после внезапного разрыва соединения в течение некоторого периода времени. Рекомендуется восстанавливать соединение с удаленным пользователем и возобновлять сеанс с того места, в каком он был прерван, в течение 10 минут после разрыва соединения. Однако по истечении 10 минут разорванное соединение удаляется из терминального сервера с тем, чтобы освободить память сервера, вычислительную мощность и лицензию на использование программного обеспечения, реализующего удаленный сеанс. При этом предполагается, что удаленный пользователь, скорее всего, не был отключен случайно, а просто забыл аккуратно выйти из системы после завершения работы. При восстановлении сеанса возможно использование различных свойств и вариантов, которые подробно рассматриваются в главе 27.
Ïðåèìóùåñòâà óëó÷øåííîãî óïðàâëåíèÿ В Windows Server 2003 включен ряд средств и новых утилит, улучшающих управление системой. Эти средства помогают сетевым администраторам выполнять восстановление после сбоев системы, автоматизировать инсталляцию серверов, устанавливать обновления и обновления программного обеспечения из одного централизованного места и выполнять удаленное управление системами и серверами. Эти средства и утилиты подробно описаны в главах 3 и 33.
78
Обзор Windows Server 2003 ×àñòü I
Àâòîìàòè÷åñêîå âîññòàíîâëåíèå ñåðâåðà Средство автоматического восстановления сервера (Automatic Server Recovery — ASR) представляет собой утилиту восстановления системы, встроенную в Windows Server 2003, которая позволяет администратору сервера заново создать отказавший сервер без необходимости переустановки операционной системы и даже выполнения основных действий по конфигурированию сервера. ASR просто выполняет моментальные снимки сервера, включая операционную систему, конкретные параметры конфигурации системы и даже информацию о наборах томов с разбиением на полосы — и если сервер выходит из строя, а подменный сервер имеет ту же конфигурацию системы, то с помощью ASR можно восстановить систему в то состояние, в котором она находилась перед отказом. При восстановлении данных ASR восстанавливает информацию всех дорожек, поэтому жесткие диски не нужно форматировать или разбивать на полосы. До появления ASR администратор должен был, по меньшей мере, установить аппаратные компоненты, заново разбить диски на полосы и загрузить операционную систему Windows. Пользуясь ASR, администратору достаточно подключить жесткие диски к серверу, загрузить инсталляционный компакт-диск Windows Server 2003 и выбрать вариант восстановления системы. Более подробное описание ASR можно найти в главе 33.
Ñëóæáà óäàëåííîé èíñòàëëÿöèè ñåðâåðîâ В Windows Server 2003 появилось новое средство — служба удаленной инсталляции (Remote Installation Services — RIS) для серверов. RIS для серверов позволяет организации создавать образы конфигураций серверов, сохранять их на RIS-сервере, а затем использовать их для создания образа новой системы. Служба RIS присутствовала и в Windows 2000, но там она поддерживала только восстановление образов настольных систем. RIS для серверов можно использовать двумя разными способами. Один из них заключается в том, что организации создают образ чистого, только что созданного сервера, на котором инсталлированы все основные утилиты компании. Каждый раз, когда организации нужно инсталлировать новый сервер, можно не начинать с нуля, то есть с инсталляционного компакт-диска, а воспользоваться инсталляцией типового сервера с помощью RIS. Такой образ может содержать несколько служебных пакетов, обновлений или другие стандартные утилиты установки. RIS для серверов можно также использовать как функциональное средство аварийного восстановления. После конфигурирования сервера как сервера приложений с соответствующими программными файлами и параметрами, такими как Exchange, SQL, терминальные службы и так далее, организация может с помощью утилиты RIPrep создать на RIS-сервере резервную копию образа сервера приложений. В случае отказа системы организация может восстановить образ сервера непосредственно из состояния системы, в котором она пребывала до возникновения отказа.
НА ЗАМЕТКУ Создание RIS-образов для промышленных серверов требует планирования и тестирования, и только после этого можно надеяться на системные функции для успешного аварийного восстановления. В некоторых приложениях до запуска утилиты RIPrep необходимо остановить службы. Описание действий по восстановлению системного сервера приведено в главе 33.
Введение в технологию Windows Server 2003 Ãëàâà 1
79
RIS для серверов является мощным инструментальным средством, которое помогает организациям быстро создавать новые серверы либо восстанавливать серверы приложений после их отказа. Кроме описания процесса аварийного восстановления в главе 33, RIS для серверов подробно описывается в главе 3 в контексте инсталляции новой системы.
Óïðàâëåíèå ïî äîïîëíèòåëüíîìó êàíàëó Чтобы облегчить управление отказавшим сервером, в Windows Server 2003 включена функция управления по дополнительному каналу (Out-of-Band Management), которая предоставляет управление сервером из командного окна через модемное или безмодемное кабельное соединение с последовательным портом RS-232 системы Windows Server 2003. Например, когда предыдущие версии операционной системы Windows выходили из строя, то есть появлялся “синий экран смерти” (blue screen), администратор мог работать только с консоли сервера. Если сервер находится в состоянии системной ошибки, то обычные средства удаленного администрирования наподобие терминальной службы не функционируют. Управление по дополнительному каналу позволяет администратору войти в систему, создать дамп образа или перезагрузить сервер. Администратор может также загрузить сервер в безопасном режиме и удаленно изменить системные параметры перед перезагрузкой системы в полностью рабочий режим.
Âûõîä çà ïðåäåëû îñíîâíûõ âîçìîæíîñòåé Windows Server 2003 ñ ïîìîùüþ ïàêåòîâ Feature Pack Компания Microsoft обязалась не выпускать новые возможности и функции в пакетах обновлений, поскольку это часто приводило к прекращению работы приложений после обновления с помощью упомянутого пакета. Теперь Microsoft предоставляет всем лицензированным организациям, использующим Windows 2003, бесплатно загружаемые пакеты возможностей (Feature Pack). Пакеты возможностей доступны для загрузки по адресу: http://www.microsoft.com/windowsserver2003/downloads/featurepacks/default.mspx Пакеты Feature Pack содержат дополнительные модули, обеспечивающие лучшее управление групповыми политиками, синхронизацию каталогов между лесами Active Directory, новые средства сетевого администрирования и приложения для хранения документов и управления этими документами.
Êîíñîëü óïðàâëåíèÿ ãðóïïîâûìè ïîëèòèêàìè Одним из пакетов Feature Pack, который должна загрузить и использовать любая организация, является консоль управления групповыми политиками (Group Policy Management Console — GPMC). Поскольку наиболее важными функциями администрирования, безопасности и управления в Active Directory являются групповые политики, GPMC обеспечивает более удобный интерфейс администратора и лучшую функ-
80
Обзор Windows Server 2003 ×àñòü I
циональность для управления политиками в Windows Server 2003. Консоль GPMC позволяет администраторам более легко создавать групповые политики и управлять ими. Вместо работы с последовательностью отдельных политик администраторы могут создавать группы определений, а в них указывать параметры, разрешающие конкретные действия для пользователей и компьютеров. Кроме того, GPMC предоставляет группы определений для указания общих системных обновлений, инсталляции конкретных приложений, управления профилями пользователей и блокировки настольных компьютеров. Подробно GPMC рассматривается в главе 21.
Ñëóæáà îáíîâëåíèé ïðîãðàìì Другим существенным обновлением в виде пакета возможностей является служба обновлений программного обеспечения (Software Update Service — SUS), предназначенная оказать помощь организациям в выполнении управления постоянными обновлениями серверов Windows 2000 и 2003, а также рабочих станций на базе Windows 2000 и Windows XP. В предыдущих версиях операционной системы Windows администратору нужно было проверять Web-сайт загрузок Microsoft Windows, находить обновления, загружать их, а затем применять на каждом сервере сети. Служба обновления программного обеспечения позволяет сетевым администраторам автоматически сканировать и загружать индивидуальные обновления и пакеты обновлений на централизованный сервер, а затем конфигурировать групповую политику для автоматического распространения обновления на все серверы организации. Служба обновления программного обеспечения минимизирует усилия, требуемые от IT-администраторов по поддержанию серверов в актуальном состоянии с помощью необходимых обновлений и пакетов. Все, что упрощает процесс обновления, дает организации еще одну возможность защиты ее серверов от известных ошибок и уязвимостей безопасности. Служба обновлений программ Microsoft подробно рассматривается в главе 22.
Active Directory â ðåæèìå ïðèëîæåíèÿ è ïàêåò âîçìîæíîñòåé äëÿ èíòåãðàöèè ó÷åòíûõ äàííûõ Можно загрузить еще два подключаемых модуля для работы с каталогами — Active Directory в режиме приложения и пакет возможностей интеграции учетных данных. Active Directory в режиме приложения (Active Directory in Application Mode — ADAM) дает организациям возможность создать отдельный подлес для информации схемы приложения, сохраняя в то же время доступ к главному каталогу Active Directory для аутентификации пользователей и ресурсов. Модуль ADAM устраняет необходимость установки в организациях полностью отдельных лесов для тестирования разрабатываемых приложений. Вместо этого организация может создать ADAM, с помощью которой приложение может читать и записывать информацию о каталогах приложения в каталог ADAM в виде подмножества существующего леса Active Directory. ADAM подробно рассматривается в главе 5.
Введение в технологию Windows Server 2003 Ãëàâà 1
81
Пакет возможностей интеграции учетных данных (Identity and Integration Feature Pack — IIFP) обеспечивает синхронизацию каталогов между двумя лесами Active Directory. Для организаций, которые хотят совместно использовать информацию каталогов, например, для компании с двумя лесами, каждый со своей собственной организационной структурой Exchange 2003, IIFP синхронизирует между лесами имена пользователей и информацию списков рассылки, чтобы между организациями могли свободно пересылаться почтовые сообщения. IIFP может работать между лесами Active Directory 2000, между лесами Active Directory 2003 и между лесом Active Directory 2000 и лесом Active Directory 2003. Он также осуществляет синхронизацию между Active Directory и ADAM, обеспечивая потоки объектов и атрибутов от каталога приложения и к нему. IIFP подробно рассматривается в главе 8.
Ñëóæáà ÿçûêà Directory Services Markup Language äëÿ Windows Язык разметки службы каталогов (Directory Services Markup Language — DSML) обеспечивает доступ к Active Directory с помощью протокола SOAP, интегрированного с Web-службами. Это дает организациям возможность расширения доступа к Active Directory из Web-страниц, построенных на основе XML. Эта возможность широко используется для просмотра каталогов или для распределенного Web-администрирования и управления. DSML рассматривается в главе 23.
Ïîäêëþ÷àåìûé ìîäóëü óäàëåííîãî óïðàâëåíèÿ ïîëüçîâàòåëÿìè è êîìïüþòåðàìè Active Directory Если необходима поддержка удаленного управления серверами или настольными системами, то вместо запуска средства подключения к удаленному рабочему столу для выполнения удаленного администрирования администратор, уже работающий с оснасткой Active Directory Users and Computers консоли MMC, может просто щелкнуть правой кнопкой на учетной записи компьютера и получить удаленный доступ к этой удаленной системе. Подключаемый модуль удаленного управления пользователями и компьютерами Active Directory минимизирует количество отдельных средств, которые необходимо загружать и использовать администраторам, и упрощает задачу запоминания имен серверов и систем, так как все ресурсы перечислены и упорядочены с помощью оснастки Active Directory Users and Computers консоли MMC. Подключаемый модуль удаленного управления пользователями и компьютерами Active Directory рассматривается в главе 28.
Ñëóæáà Services for NetWare 5.0 SP2 Microsoft также включила существенные обновления на уровне служебных пакетов на странице загрузки пакетов возможностей. Одним из таких существенных обновлений для Windows Server 2003 является обновление Service Pack 2 для Services for NetWare (SfN). SfN обеспечивает интеграцию между Windows 2003 и средой Novell NetWare.
82
Обзор Windows Server 2003 ×àñòü I
Этот служебный пакет содержит последние обновления утилит в одном пакете. SfN рассматривается в главе 8.
Ñëóæáà Windows SharePoint Значительным обновлением, бесплатно предоставляемым всем организациям с лицензией на использоване Windows 2003, является пакет возможностей службы Windows SharePoint, который подробно рассматривается в главе 36. Служба Windows SharePoint (Windows SharePoint Services — WSS) является подключаемым модулем для управления хранением документов, которое предоставляет организациям лучшие возможности по управлению, организации и совместному использованию документов, а также обеспечивает совместную работу с информацией командам пользователей. Многие считают, что WSS следовало бы предлагать как совершенно отдельный продукт, однако компания Microsoft предпочла включить ее в состав свободно загружаемых модулей для Windows 2003. Служба Windows SharePoint создает основу, на которой построен сервер SharePoint Portal 2003 (SharePoint Portal Server — SPS). SPS использует основные функции WSS и расширяет ее возможности в средах предприятий. WSS является основой для совместного использования документов и общения в организациях в процессе эволюции обмена файлами и информацией.
Ñëóæáà óïðàâëåíèÿ ïðàâàìè Windows Служба управления правами Windows (Rights Management Services — RMS) доступна для загрузки на странице пакетов возможностей и предоставляет организациям средство для повышения безопасности файлов, документов и обмена данными между пользователями. RMS создает основу для безопасной совместной работы с информацией вплоть до уровня файлов и сообщений, а также устраняет необходимость в различных средствах шифрования и управления изменениями в документах для почтовых сообщений, документов и других средств сетевого обмена данными. Управление правами Windows рассматривается в главе 15.
Äèñïåò÷åð ñèñòåìíûõ ðåñóðñîâ Windows Диспетчер системных ресурсов Windows (Windows System Resource Manager — WSRM) был одним из первых пакетов возможностей, выпущенных Microsoft, который был призван помочь организациям лучше управлять ресурсами серверов. Вместо того чтобы позволять приложениям захватывать столько памяти, сколько они пожелают, или запрашивать высокую пропускную способность сети к серверам без административного управления, WSRM дает администраторам средство ограничивать запросы системных ресурсов. Например, если расчетный отдел бухгалтерии раз в квартал печатает очень большой отчет, то вместо того, чтобы позволить обработке отчета использовать 90% ресурсов процессора в течение 10 минут, а затем печатать его следующие три часа, можно активировать WSRM и ограничить использование сервера, скажем, до 15%, дабы создание и печать отчета заняли три часа и не создавали при этом пиковые нагрузки на сервер. Другие возможности применения WSRM — возможность ограничивать се-
Введение в технологию Windows Server 2003 Ãëàâà 1
83
ансы терминальных серверов, чтобы отдельный терминальный сервер не захватил всю память и процессор, доступные на сервере: можно управлять использованием как памяти, так и сервера. Это может обеспечить доступ к терминальному серверу большему количеству пользователей с небольшим влиянием на производительность, вместо того, чтобы один пользователь полностью захватил все ресурсы сервера и замедлил работу всех пользователей системы. WSRM подробно рассматривается в главе 27.
Ðàñøèðåíèå âîçìîæíîñòåé Windows 2003 ñ ïîìîùüþ çàãðóæàåìûõ ñðåäñòâ Кроме пакетов возможностей, компания Microsoft выпустила новые и обновленные средства, предназначенные для помощи организациям в выполнении задач миграции, администрирования, сопровождения и управления. Эти средства доступны для свободной загрузки всем организациям, обладающим лицензиями Windows 2003, по адресу http://www.microsoft.com/windowsserver2003/downloads/default.mspx.
Ñðåäñòâî ìèãðàöèè Active Directory v2.0 Средство миграции Active Directory (Active Directory Migration Tool — ADMT) появилось в Windows 2000 в виде версии 1.0 и с тех пор претерпело существенные изменения. Свободно загружаемое с сайта Windows Server 2003 средство ADMT v2.0 позволяет организациям переносить учетные записи пользователей и компьютеров, списки управления доступом (ACL) и доверительные отношения из доменов NT4 или Windows 2000 в домен Windows Server 2003. В отличие от предыдущих версий ADMT, в которых была возможна миграция объектов пользователей, но невозможна миграция паролей, в ADMT v2.0 есть возможность мигрировать пароли из домена источника в домен назначения. Кроме того, ADMT v2.0 может мигрировать объекты между лесами Active Directory, что часто называется межлесовой миграцией объектов. Теперь эта возможность позволяет организациям создать совершенно новый лес Active Directory и мигрировать в него объекты. Такая необходимость может возникнуть, когда организации нужно перенести все объекты из старого леса в новый лес, или если для отдела, подразделения или удаленного филиала организации случайно создан свой собственный лес Active Directory, который теперь нужно слить с главным лесом организации. ADMT v2.0 предоставляет организациям множество вариантов миграции и подробно рассматривается в главе 17.
Ïåðåèìåíîâàíèå äîìåíà В процессе миграции с Windows 2000 на Windows Server 2003 многие организации предпочитают изменять свои имена доменов. Когда система Windows 2000 только появилась, переименование доменов было невозможно, поэтому такая возможность давно ожидалась организациями, создавшими имя домена, которое им больше не нужно (например, домен, названный по имени телевизионного сериала или для специального сайта, который уже не существует), или имя которого изменилось после слияния или приобретения компании. Операционная система Windows Server 2003 позво-
84
Обзор Windows Server 2003 ×àñòü I
ляет организациям переименовывать домены — и имя NetBIOS, и полностью квалифицированное доменное имя DNS. Хотя переименование доменов возможно, оно не является простой задачей, поскольку переименование домена влияет на все контроллеры домена, серверы и системы, подключенные к домену. На самом деле необходимо переконфигурировать и перезагрузить каждую систему сети. Хотя средство переименования домена помогает автоматизировать этот процесс, некоторые системы могут не подключиться к новому домену, в результате чего потребуется вмешательство со стороны администратора. Если в организации к домену подключены сотни или тысячи систем, необходимо подумать, действительно ли так уж нужно изменять имя домена. Утилита переименования домена подробно рассмотрена в главе 17.
Ñðåäñòâà ñîâìåñòèìîñòè ïðèëîæåíèé Еще одной парой загружаемых средств Windows 2003 являются анализатор совместимости приложений и инструментальный набор совместимости Windows-приложений. Эти средства помогают организациям протестировать приложения, чтобы убедиться в их совместимости с Windows Server 2003 и изолировать проблемы с совместимостью — либо найдя путь разрешения проблемы, либо решив, что приложение необходимо заменить. Эти средства совместимости приложений описаны в главе 18.
Ñðåäñòâî àíàëèçà æóðíàëîâ Компания Microsoft предоставляет пару средств анализа журналов на странице загрузки средств Windows 2003. Эти средства позволяют администратору быстро найти образцы или данные в файлах журналов на нескольких серверах, не открывая и не просматривая журналы всех серверов по отдельности. Средства анализа журналов также предоставляют мощные инструменты создания отчетов, а также возможность экспорта данных из журналов в базу данных SQL. Хотя Microsoft выпустила мощное средство просмотра журналов, управления журналами и печати отчетов, которое продается в виде отдельной программы под названием диспетчера операций Microsoft (Microsoft Operations Manager), средства анализа журналов бесплатны и предоставляют базовые функции для администрирования файлов журналов. Средства анализа журналов рассматриваются в главе 22.
Ñðåäñòâà óïðàâëåíèÿ îïåðàöèÿìè Microsoft Хотя диспетчер операций Microsoft (Microsoft Operations Manager — MOM) является отдельной программой Microsoft, которую можно приобрести для управления и администрирования Windows-серверами, на странице средств Windows Server 2003 доступны для загрузки компоненты, подключаемые к MOM для Windows 2003. На странице средств Windows Server 2003 имеется несколько загружаемых файлов. Один из них — это основной пакет управления, содержащий базовые средства мониторинга для Active Directory, службы Internet Information Service, работы с сетями Windows и репликации файлов. Другим загружаемым файлом является набор ресурсов диспетчера операций (Operations Manager Resource Kit) Microsoft, содержащий средства расширения возможностей MOM, в том числе монитор состояния сервера (Server Status
Введение в технологию Windows Server 2003 Ãëàâà 1
85
Monitor — SSM), позволяющий организациям производить с помощью MOM мониторинг простых состояний работоспособности группы серверов. Другими средствами MOM являются пакет управления MIIS 2003 и набор ресурсов MIIS 2003, которые обеспечивают возможности управления репликацией и интеграцией каталогов между Active Directory и другими каталогами, управляемыми MIIS. Средства управления операциями Microsoft рассматриваются в главе 25.
Ñðåäñòâà óïðàâëåíèÿ ðåïëèêàöèåé ôàéëîâ Другим важным набором средств, доступных для загрузки, являются средства управления репликацией файлов, такие как sonar.exe и frsdiag.exe, помогающие администраторам проверить репликацию между серверами. В текущем администрировании и управлении Windows появилась новая существенная возможность, которая позволяет администраторам проверить правильность взаимодействия всех серверов глобального каталога и серверов репликации файлов. Если сервер глобального каталога не выполняет правильную репликацию в сети, то все пользователи, обращающиеся к этому серверу глобального каталога, могут не получить последние групповые политики или верные политики безопасности или администрирования. С помощью средств управления репликацией файлов со страницы средств Windows 2003 администраторы могут проверить, что репликация выполняется должным образом, или могут выполнить репликацию вручную, не покидая эти средства. Средства управления репликацией файлов рассматриваются в главе 30, а также в главе 21.
Çíàêîìñòâî ñî ñðåäñòâàìè íàáîðà ðåñóðñîâ Windows 2003 В дополнение к пакетам возможностей и загружаемым средствам Windows 2003, существенно облегчающим администрирование и управление сети Windows 2003, администраторы должны понимать, как различные средства набора ресурсов Windows 2003 могут обеспечить существенную поддержку в выполнении каждодневных задач. В отличие от некоторых наборов ресурсов от Microsoft, которые требовали приобретения приложений, все организации с лицензиями Windows 2003 могут свободно загрузить средства набора ресурсов Windows 2003 со страницы средств Windows 2003. Во втором издании этой книги рассмотрены наиболее значительные средства набора ресурсов Windows 2003 и описано, как лучше всего использовать эти средства для выполнения задач и функций в среде Windows 2003. Пример одного из таких средств — клиент карантина удаленного доступа, рассматриваемый в главе 26 — является бесплатным средством, изолирующим клиентов виртуальной частной сети (VPN) и позволяющим доступ к удаленным пользователям к сети только после того, как на их системах будут проведены все необходимые обновления и сканирование вирусов. С помощью этого свободно распространяемого средства организация может создать изощренную систему сканирования и проверки удаленных мобильных и стационарных компьютеров на предмер отсутствия вирусов и разрешения доступа к сетевым ресурсам. В состав дополнительных средств набора ресурсов входит мониторинг групповых политик и средства редактирования групповых политик, предлагающие утилиты ко-
86
Обзор Windows Server 2003 ×àñòü I
мандной строки для управления групповыми политиками. Вместо постоянных запусков оснастки редактирования GPO консоли MMC многие задачи можно выполнить в командном окне, что существенно упрощает процесс создания сценариев и пакетного выполнения задач работы с политиками. Средства набора ресурсов, относящиеся к групповым политикам, описаны в главе 21. Некоторые средства сопровождения, входящие в состав набора ресурсов Windows Server 2003, выполняют проверку репликации, проверку связей, очистку памяти серверов, диагностику SMTP DNS, проверку на предмет утечки памяти в серверах, поиск ошибок на страницах серверов и тому подобные операции, которые подробно рассматриваются в главе 34. Эти средства обычно плохо описаны в документации по набору ресурсов Microsoft, однако они постоянно упоминаются на протяжении всей этой книги в связи с повышением автоматизации рутинных процессов, а также для обеспечения необходимой административной поддержки задач, выполняемых с помощью сценариев.
Ñ ÷åãî íà÷èíàòü ðàáîòó ñ Windows Server 2003 Эта вступительная глава предназначена для того, чтобы привлечь внимание читателя к новым свойствам, функциям, средствам миграции и утилитам управления Windows Server 2003, которые помогают администраторам задействовать все возможности новой операционной системы. Если организация будет рассматривать Windows Server 2003 как простую модернизацию Windows NT4 или Windows 2000, то она не сможет воспользоваться усовершенствованиями этой операционной системы. Однако при полном подключении всех возможностей операционной системы Windows Server 2003 организация сможет улучшить обслуживание своих работников с помощью встроенных новых средств и технологий.
Ïîëåçíûå ñîâåòû •
Чтобы существенно усилить безопасность Windows, настройте и оптимизируйте Microsoft Windows Server 2003, создав защищенную сетевую среду.
•
Воспользуйтесь основными стандартами, встроенными в Windows Server 2003, например, IPv6, Web-службами XML и стандартами безопасности IETF.
•
Рассмотрите возможность использования утилиты переименования домена в качестве альтернативы построения домена с нуля.
•
Перенесите учетные записи пользователей и компьютеров, списки ACL и доверительные отношения из домена NT4 или Windows 2000 в домен Windows Server 2003, используя средство миграции Active Directory (ADMT) версии 2.0.
•
Воспользуйтесь терминальной службой Windows Server 2003 для обеспечения доступа пользователей к локальным жестким дискам и переадресации звукового потока с централизованного терминального сервера на удаленную систему.
Введение в технологию Windows Server 2003 Ãëàâà 1
87
•
Воспользуйтесь службой обновления программного обеспечения (SUS) для автоматического просмотра и загрузки обновлений на централизованный сервер для тестирования, а затем распределения на все серверы и клиентские машины.
•
Всем администраторам необходимо инсталлировать и использовать пакет возможностей консоли управления групповыми политиками для администрирования групповых политик в среде Windows 2003.
•
Администраторы должны ознакомиться со всеми доступными для загрузки пакетами возможностей и средствами Windows 2003. Во многих случаях эти средства расширяют возможности средств, входящих в состав исходной версии Windows 2003, либо являются совершенно новыми средствами, обеспечивающими нужные функции для выполнения задач по модернизации, обновлению, администрированию и управлению средой Windows 2003.
•
Набор ресурсов Windows 2003 предоставляет в настоящее время администраторам Windows 2003 бесплатные средства, которые могут существенно облегчить рутинные действия, упрощая задачи администрирования с помощью сценариев, запросов командной строки или быстрых просмотров.
•
Используйте групповые политики в сочетании со службой SUS для автоматического распределения и регулярной модернизации серверов с помощью служебных пакетов, индивидуальных обновлений и пакетов обновлений безопасности.
Ïðàêòè÷åñêèå ðåêîìåíäàöèè ïî ïëàíèðîâàíèþ, ïðîòîòèïèðîâàíèþ, ìèãðàöèè è ðàçâåðòûâàíèþ Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Îïðåäåëåíèå ìàñøòàáîâ ïðîåêòà
•
Îïðåäåëåíèå ïðîèçâîäñòâåííûõ çàäà÷ è öåëåé ïðè âíåäðåíèè Windows Server 2003
•
Îïðåäåëåíèå òåõíè÷åñêèõ çàäà÷ è öåëåé ïðè âíåäðåíèè Windows Server 2003
•
Ýòàï îáñëåäîâàíèÿ: îöåíêà ñóùåñòâóþùåé ñðåäû
•
Ýòàï ïðîåêòèðîâàíèÿ: äîêóìåíòèðîâàíèå ïðåäñòàâëåíèÿ è ïëàíà
•
Ýòàï ïëàíèðîâàíèÿ ìèãðàöèè: äîêóìåíòèðîâàíèå ïðîöåññà ìèãðàöèè
•
Ýòàï ïðîòîòèïèðîâàíèÿ: ñîçäàíèå è òåñòèðîâàíèå ïëàíà
•
Ýòàï îïûòíîé ýêñïëóàòàöèè: ïðîâåðêà ïëàíà íà îãðàíè÷åííîì êîëè÷åñòâå ïîëüçîâàòåëåé
•
Ýòàï ìèãðàöèè/âíåäðåíèÿ: ïðîâåäåíèå ìèãðàöèè èëè èíñòàëëÿöèÿ
ÃËÀÂÀ
2
90
Обзор Windows Server 2003 ×àñòü I
Слишком много организаций реализуют новые приложения или осуществляют переход на новые версии операционных систем, не понимая в полной мере целей и назначения модернизации и объема и масштабов всех выгод, получаемых в результате внедрения. И хотя с технической точки зрения миграция завершается успешно, слишком часто пользователи не видят существенных улучшений от внедрения, в результате чего деловые цели руководителей организации остаются недостигнутыми. Такое отсутствие преимуществ внедрения может поставить под сомнение будущее проекта и стать причиной растущего неудовольствия со стороны пользователей. В этой главе показано, как структурированный четырехшаговый процесс миграции в среду Windows Server 2003 может повысить вероятность успешного завершения проекта. Эта методология, состоящая из этапов исследования, проектирования, тестирования и внедрения, может быть настроена на удовлетворение требований множества организаций и предприятий, использующих технологии Microsoft. Результатом этой методологии являются три очень важных документа, создаваемых для отображения процесса внедрения: проектная документация, документация по миграции и план миграции. В примерах, приводимых в данной главе, предполагается, что среды, из которых совершается миграция, в основном построены на базе NT4 или Windows 2000, но, конечно, описываемые понятия и процесс применимы и к другим средам.
Îïðåäåëåíèå ìàñøòàáîâ ïðîåêòà Описанная в общих чертах в предыдущей главе платформа Windows Server 2003 содержит такое изобилие свойств, что вначале планирование перехода на нее может показаться устрашающей задачей. В этой главе даются рекомендации и практические советы, которые могут облегчить этот процесс и оказать помощь организациям в составлении хорошо продуманного и структурированного плана реализации. Вместо того чтобы действовать без определенного плана и целей и просто создавать новые серверы, загружать прикладные программы и внедрять их в существующую сетевую среду, лучше организовать этот процесс, управлять связанными с ним рисками и дать подробное определение желаемого конечного состояния. На первых шагах выполняется более точная оценка масштабов проекта, то есть, по сути, написание краткого изложения проектной документации. Оно должно содержать высокоуровневое определение, каково содержание проекта и почему организация тратит время, энергию и ресурсы на его выполнение. Создание такой оценки масштабов работ требует понимания различных целей, которые поставила перед собой организация — частей мозаики, которые необходимо подогнать друг к другу, чтобы выполнить цели, определенные компанией в проекте. Применительно к Windows Server 2003 первичными кусочками мозаики являются серверы, которые реализуют ключевые сетевые функции, серверы, которые манипулируют и управляют данными, серверы, которые управляют доступом к информации или предоставляют такой доступ, и серверы, управляющие конкретными приложениями.
Практические рекомендации по планированию… Ãëàâà 2
91
Îïðåäåëåíèå ïðîèçâîäñòâåííûõ çàäà÷ è öåëåé ïðè âíåäðåíèè Windows Server 2003 Чтобы обеспечить успех проекта Windows Server 2003, очень важно получить правильное представление о целях и намерениях компании, которые руководят и направляют усилия различных подразделений организации. Попытка начать с такого высокого уровня, не опускаясь до уровня “байтов” и тем более “битов”, может показаться неестественной, однако время, затраченное на работу в этой области, поможет прояснению целей проекта и началу полезных обсуждений. Вот пример ценности постановки высокоуровневых производственных целей и намерений: организация может высказать желание иметь нулевое время неготовности при доступе к файлам, а это можно осуществить с помощью распределенной файловой системы (Distributed File System — DFS) или фонового копирования (Volume Shadow Copy) системы Windows Server 2003. Таким образом, начав с общих целей и намерений, можно получить общие контуры технического решения, удовлетворяющего сформулированным организацией критериям, при более низких затратах и большей степени управляемости. Чтобы проект можно было считать успешным, в каждой организации необходимо определить и согласовать множество различных целей и намерений. Эти цели и намерения представляют собой моментальный снимок конечного состояния, которое стремится создать компания или организация. Для компаний небольших размеров этот процесс может завершиться после нескольких сеансов мозгового штурма, в то время как в более крупных компаниях могут потребоваться более серьезные обсуждения и помощь внешних специалистов или фирм.
Âûñîêîóðîâíåâûå ïðîèçâîäñòâåííûå öåëè Чтобы инициировать организационный процесс, имеет смысл распределить производственные цели и намерения по различным уровням или точкам зрения. В большинстве организаций имеются цели высокого уровня, часто называемые “видением компании”, которые обычно формируют ответственные лица организации (директор, главный бухгалтер, главный инженер и прочие); эти цели часто называют “вид с (высоты) 50 000 футов”. Цели производственных подразделений и отделов, или “вид с 10 000 футов”, обычно формулируются главными руководителями и администраторами организации (замдиректора по сбыту, замдиректора по кадрам, администратор вычислительного центра и так далее). Во многих организациях есть и четко определенные задачи “вида с 1000 футов”, которые обычно носят тактический характер и реализуются IT-специалистами и техническими специалистами. Стоит потратить время на проведение обследования и постановку нужных вопросов, которые содействовали бы успешному построению сетевой системы. Чтобы получить конкретную информацию и четкую постановку задач для различных производственных подразделений, убедитесь в том, что цели предстоящего внедрения или модернизации не противоречат этим производственным целям.
92
Обзор Windows Server 2003 ×àñòü I
Хотя в большинстве организаций сформулированы видения и цели компаний, а заглянув на Web-сайт или во внутреннюю сеть компании, можно получить эту информацию, все же лучше потратить некоторое время на беседы с ответственными руководителями и узнать, что они считают своими основными задачами. Довольно часто решение таких задач начинается с того, что нужным людям задаются нужные вопросы, после чего начинаются обсуждения данной темы на специальных совещаниях. Разумеется, имеет значение, кто задает вопросы, поскольку ответы могут существенно разниться: работники могут оказаться более раскованными в разговоре с внешними консультантами и менее откровенными с коллегами. Часто публично заявляемые видение и цели представляют собой “вершину айсберга” и могут даже противоречить внутренним целям компании, ее устремлениям и инициативам. Высокоуровневые производственные цели и видения могут существенно отличаться для разных организаций, но обычно они определяют и направляют цели подразделений, из которых состоит компания. Например, некоторая корпорация может быть заинтересована в изготовлении “наилучшей” продукции своего класса, а это определяет соответствующие цели для отдела сбыта, технического, финансового и производственного отделов. Дополнительно нужно выяснить, включают ли высокоуровневые цели изменения и новые идеи и процессы, либо необходимо лишь обновить устоявшуюся практику и методы. Производственные цели высокого уровня, которые ставит перед собой компания, могут также быстро меняться — либо из-за изменения экономических условий, либо в результате влияния нового ответственного лица или руководителя компании. Таким образом, при решении этих высокоуровневых задач важно учитывать и течение времени.
НА ЗАМЕТКУ Примерами некоторых высокоуровневых производственных целей могут быть отсутствие простоев, доступ к сети из любого офиса организации, разбросанной по всему миру, а также защита обмена данными при доступе пользователей к сети из дома или удаленного расположения.
Öåëè îòäåëîâ è ïîäðàçäåëåíèé После определения “видения” или “вида с высоты 50 000 футов” нужно провести дополнительный анализ для выявления целей различных подразделений и возглавляющих их руководителей. Теоретически они должны уточнять цели высокого уровня, однако результаты анализа могут оказаться неожиданными. В любом случае результаты анализа начнут раскрывать всю сложность организации и основные интересы различных ответственных лиц. Высокоуровневые цели организации также показывают, какие из ее подразделений играют в ней главную роль и вероятнее всего получат ассигнования, а какие будут способствовать процессу разработки. По логике вещей очень важную роль в разработке проекта миграции на новую сетевую операционную систему (Network Operating System — NOS) должен играть IT-отдел, но нельзя упускать из виду и другие подразделения. Примером целей отдела или подразделения организации может служить отдел кадров, как правило, влияющий на решение о предоставлении права доступа к записям с основными данными о персонале. Либо юридический отдел в общем случае может повлиять на права доступа к информации и условия ее хранения.
Практические рекомендации по планированию… Ãëàâà 2
93
Если цели отдельного подразделения не согласованы с общим видением компании либо не учитывают потребностей главных ответственных лиц, то результат проекта может и не быть одобрен. “Технология ради технологии” не всегда удовлетворяет потребностям организации и в конце концов приводит к ненужным расходам средств организации. В процессе формулирования этих целей необходимо выявить особенности сетевой операционной системы и сетевых приложений, которые в первую очередь нужны различным подразделениям и руководителям. Целесообразно предположить, что доступ к данным компании в виде документов или информации из баз данных, либо к средствам коммуникации наподобие электронной почты, факса и доступа к Internet, а также к программным приложениям вертикального рынка, на которые опирается компания, окажет влияние на способность компании достигать своих производственных целей. Цели отдела сбыта, по всей вероятности, потребуют специальных приложений управления работой с клиентами (Client Relationship Management — CRM), равно как и доступ к основным данным и коммуникационным средствам компании. Аналогично, финансовый отдел использует приложения составления отчетности, которые, скорее всего, связаны с приложениями, используемыми в других подразделениях. IT-отдел использует технологии, которые поддерживают используемые приложения, обеспечивают хранение и сопровождение данных компании и управляют основными серверами и сетевыми устройствами. Также стоит потратить время на выявление “дыр” в представленных целях и задачах. Часто упускаются из виду некоторые менее грандиозные цели, такие как стабильность сети, возможности восстановления данных или защита данных от несанкционированного доступа. Побочным результатом этих обсуждений в идеальном случае должно быть чувство предвкушения возможностей, обеспечиваемых внедряемыми технологиями. Оно должно внушать руководителям и ответственным лицам, что они вовлечены в процесс поиска и принятия решения, которое учитывает различные потребности компании. Многим руководителям эти высокоуровневая стратегия, мышление и анализ нужны для определения степени готовности разрабатываемого плана и процесса внедрения.
НА ЗАМЕТКУ Примером целей конкретного отдела может служить обеспечение безопасного хранения информации о кадрах и персонале, реакция службы помощи в рабочее время в течение 30 минут, круглосуточная поддержка находящихся в командировках менеджеров по сбыту, а также удобный доступ к файлам, хранящимся на серверах организации.
Îïðåäåëåíèå òåõíè÷åñêèõ çàäà÷ è öåëåé ïðè âíåäðåíèè ñåðâåðà Windows Server 2003 Хотя обновление операционной системы до Windows Server 2003 иногда сначала не кажется связанным с высокоуровневыми целями компании, его важность становится более понятной при приближении целей к “виду с высоты 1000 футов”. После перво-
94
Обзор Windows Server 2003 ×àñòü I
начальной формулировки производственных целей естественно должны проявиться технические цели. На этой стадии процесса вопросы должны сосредоточиться на том, какие компоненты и возможности сети играют особо важную роль, и как они содействуют или, наоборот, препятствуют достижению целей, сформулированных различными подразделениями. Аналогично производственным целям, технические цели должны быть выяснены на различных уровнях (50 000 футов, 10 000 футов, 1000 футов и так далее). На наивысшем уровне технические цели могут быть сформулированы в самом общем виде, например, “отсутствие простоев” или “доступ к данным из любого места”. Но при уточнении целей на уровне подразделений и отдельных работников они должны стать конкретными и измеримыми. Например, вместо формулировки цели в виде “отсутствия простоев”, можно поставить более конкретную цель “99,99% готовности в рабочее время и не более четырех часов простоя в нерабочее время, запланированных заранее, по меньшей мере, за два дня”. Вместо цели “доступ к данным из любого места” может быть сформулирована более конкретная и осмысленная цель: “высокоскоростной удаленный вход из любого регионального офиса корпорации в любой точке мира и доступ по телефонному модему или VPN из домашних офисов старших руководителей организации”. Частью искусства постановки технических целей и задач является и их ограничение. Доступ к данным может осуществляться многими различными способами, а сложность сетевой среды способна сбить с толку даже опытного руководителя ITотдела. Например, вместо постановки цели “удаленный доступ для всех работников” более подойдет формулировка “доступ к электронной почте всем работникам, удаленный доступ к электронной почте и бухгалтерскому программному обеспечению сотрудникам финансового отдела и удаленный доступ к электронной почте и программам управления работой с клиентами руководителям отдела сбыта”. Технические цели отделов могут включать пункты типа “1000 футов” — например, внедрение новых программных приложений или набора функций, требующих других сетевых изменений, скажем, модернизации операционной системы до Windows Server 2003. Отдел маркетинга может потребовать некоторые усовершенствованные средства последней версии Exchange, а также расширенные возможности Web-сайтов, которые требуют установки Windows Server 2003 и семейства .NET. Отдел сбыта также может потребовать улучшение доступа к данным компании через мобильные устройства и Internet, и при этом уже выбрано решение, основанное на платформе Windows .NET. Этот анализ должен учитывать еще два ключевых компонента: бюджет и сроки исполнения. На стадии проектирования можно сэкономить много времени, если определить (и утвердить) эти показатели как можно раньше. Некоторые проекты должны быть реализованы “еще вчера”, в то время как другие могут быть реализованы в течение нескольких кварталов или даже лет. В большинстве случаев бюджет зависит от заданных календарных сроков, поскольку более продолжительные сроки предоставляют организациям возможность плавной миграции и обучения персонала своими силами. Даже если бюджет и сроки не известны точно, можно оценить их порядок. Если сумма $500 000 — это слишком много, то как насчет $250 000? Иди, например, от $100 000 до $250 000? Если год — это слишком долго, но ассигнования не будут доступны в ближайшие четыре месяца, то срок исполнения становится более определенным.
Практические рекомендации по планированию… Ãëàâà 2
95
Îïðåäåëåíèå îáúåìà ðàáîò На данной стадии список целей и задач может оказаться довольно пространным. Но когда начнет вырисовываться все множество производственных и технических целей, а также общих приоритетов, объем работ начинает обретать необходимую четкость. Ключевой вопрос на этой стадии, касающийся объема проекта, формулируется так: будет ли миграция в основном модернизацией операционной системы или же обновлением приложений? Часто ответ на этот вопрос кажется ясным до тех пор, пока не начнется анализ различных целей производственных отделов, и в результате объем работ может существенно отличаться от предполагаемого первоначально. В частности, необходимо принять решение относительно того, нужно ли модернизировать всю сетевую операционную систему (NOS) или достаточно обновить некоторое ее подмножество, и какие другие компоненты инфраструктуры должны быть изменены или заменены. В этом разделе основное внимание уделяется компонентам сервера, но в последующих главах обсуждаются другие вопросы, касающиеся аппаратного и программного обеспечения. Переход на новейшую версию важного сетевого приложения (система управления работой с клиентами, система управления документацией или решение удаленного доступа) могут потребовать модернизации сетевой операционной системы, но только в ограниченной части сети (возможно, лишь на одном сервере). Однако если это приложение требует доступа к нему всех сотрудников организации из нескольких различных офисов и требует новых методов хранения данных, программ резервного копирования на магнитной ленте, антивирусных программ, удаленного доступа и связи между офисами, то имеет смысл провести полную модернизацию NOS. Переход на Windows Server 2003 в масштабах всего предприятия позволит централизовать ресурсы, объединить серверы, воспользоваться улучшенными средствами управления и другими возможностями, которые способны сделать крупный проект более привлекательным. Очень важно также выяснить, как вписываются в этот план производственные и технологически цели. Если одной из целей организации является 99,99% готовность в рабочее время, то это может повлиять на процесс миграции и ограничить проведение всех изменений в сети выходные днями или нерабочим временем. Аналогично цель, требующая преобразования в исключительно сжатые сроки, может повлиять на стратегию и потребовать частичной модернизации NOS. Вопросы, возникающие на этой стадии, могут потребовать проведения дальнейших обсуждений и даже исследований. В разделе “Этап обследования: оценка существующей среды” данной главы описываются некоторые области, которые обычно требуют анализа. Однако четкое понимание целей различных отделов и компании в целом в рамках проекта позволит прикинуть в общих чертах требуемую конфигурацию. Необходимо получить ответы на следующие традиционные вопросы: •
Сколько серверов необходимо модернизировать?
•
Где эти серверы будут находиться?
•
Какие основные производственные приложения необходимо модернизировать?
•
Какие дополнительные приложения и устройства необходимо модернизировать или модифицировать для поддержки новых серверов и приложений?
•
Какое все это повлияет на конфигурации настольных компьютеров?
96
Обзор Windows Server 2003 ×àñòü I
На основе целей и задач проекта и ответов на эти вопросы начинает вырисовываться объем работ на высоком уровне. При этом потребуется соблюдать следующие правила: •
Принимать наиболее простые решения.
•
Разбивать проект на логические части.
•
Не забывать, что для эффективной работы персоналу и пользователям нужно приобрести новые для них навыки.
Часто бывает целесообразно сначала модернизировать операционную систему, потом добавить службу управления каталогами и средства работы с файлами и печатью, а затем обеспечить надлежащую защиту системы с помощью совместимых решений резервного копирования, защиты от вирусов и плана аварийного восстановления. После того как это сделано, возможен более плавный перенос приложений. В других случаях новое приложение должно быть установлено до модернизации операционной системы — для целей тестирования либо из-за бюджетных ограничений или сжатых сроков. Хорошим примером может служить внедрение последней версии пакета Exchange: для него требуется не только обновление базовой операционной системы (до Windows 2000 или Windows Server 2003), но и должная реализация службы Windows Active Directory. С другой стороны, если организация устанавливает службу командной работы SharePoint (SharePoint Team Services — STS), то, поскольку службе STS для выполнения ее функций служба Active Directory не нужна, организация может выбрать внедрение Windows Server 2003 лишь в качестве сервера приложений и отложить на потом реализацию Active Directory или других служб Windows Server 2003. Обратите, однако, внимание на то, что если используемая NOS слишком стара и уже не поддерживается изготовителем, то выбор вариантов модернизации может оказаться ограниченным. У вас может остаться только необходимость реализации совершенно нового набора серверов с совместимыми сетевыми приложениями и удаления из системы старых серверов. Часто модернизация приложений требует ввода лишь небольшого количества новых серверов, но создает при этом базу для возможной миграции. Однако это может оказаться эффективным способом внедрения новой технологии, более быстрым, чем модернизация операционной системы в масштабах всего предприятия. Частичная модернизация может также растянуть затраты на приобретение лицензий на новые серверы и лицензий на доступ клиентов, а также на другие приложения для всего предприятия, включая защиту от вирусов и копирование на магнитную ленту. В идеальном случае серверы, модернизированные для нового приложения (приложений), должны быть способны интегрироваться в NOS после полного обновления. Другими словами, в идеальном случае эти серверы не должны требовать повторной сборки в будущем. Как будет сказано в главе 8, система Windows Server 2003 разрабатывалась с расчетом на совместимость и совместную работу с рядом других операционных систем, отличных от NT 4 Server и Windows 2000. В процессе проектирования важно решить вопрос, имеет ли смысл полностью модернизировать NOS, если это не совершенно необходимо. Могут найтись убедительные аргументы в пользу полной модернизации, поскольку однородной средой проще управлять в масштабах всех организации, и переход на Windows Server 2003 может решить некоторые существующие проблемы.
Практические рекомендации по планированию… Ãëàâà 2
97
И снова, на этой стадии процесса проектирования ответ можете оказаться неочевидным. Однако благодаря постановке вопросов и проведению обсуждений и размышлений типа “что, если” можно определить главные фрагменты мозаики. Следующий шаг заключается в определении, как лучше состыковать эти фрагменты.
Îïðåäåëåíèå êàëåíäàðíûõ ñðîêîâ âíåäðåíèÿ èëè ìèãðàöèè Не менее важным компонентом миграции являются календарные сроки; этот компонент влияет на процесс, необходимый для получения нужных результатов. Часто график выполнения определяет цели проекта, а усовершенствование технологии может существенно повлиять на другие, зависимые, критичные производственные проекты. Другие обновления могут не иметь четких сроков реализации, при этом гораздо важнее плавность, а не скорость процесса. В зависимости от масштабов проекта, срок его реализации в пределах от двух до четырех месяцев можно считать сжатым, а от четырех до шести месяцев — более подходящим. При таких сроках можно отвести несколько недель на обследование и проектирование, примерно столько же — на тестирование, а затем можно приступить к внедрению. Очень важно не упустить из виду, что эти изменения влияют на график обучения как пользователей, так и административного персонала. И чем больше объем изменений, к которым должны приспособиться служащие, тем большая поддержка и тренировка потребуется для обеспечения производительности труда после развертывания новой платформы. Это тем более верно, когда наряду с операционной системой меняются и приложения. Безопасная стратегия определения графика работы заключается в том, чтобы начать с назначения даты завершения проекта, а затем возвращаться от нее к началу, чтобы получить оценку времени, доступного для завершения каждого компонента процесса. Как уже было сказано в настоящей главе, проект состоит из нескольких основных этапов — обследование, проектирование, прототипирование и внедрение — и на каждый из них требуется выделить достаточно времени. Хотя нет жестких и четких правил по распределению времени между этими этапами, каждый из этих этапов обычно занимает больше времени, чем его предшественник, а этапы обследования и проектирования требуют вместе столько же времени, сколько и этап тестирования (то есть обследование + проектирование = время на прототипирование). Продолжительность этапа внедрения может быть очень разной, в зависимости от масштабов проекта. Для простых проектов, в которых внедрение состоит только из нового сервера, содержащего новое приложение, внедрение может быть сведено к “переключению” за выходные дни (если решение было тщательно протестировано в лабораторных условиях). На другом конце спектра находится полная модернизация NOS в нескольких местах, требующая изменений на настольных компьютерах — она может потребовать нескольких месяцев и даже кварталов. Даже когда крайний срок завершения проекта характеризуется пресловутым “еще вчера”, то все равно необходимо выделить время для процессов проектирования и планирования. Если не потратить время и усилия на данной стадии, то процесс тестирования прототипа не имеет смысла, поскольку тогда не ясно, что же тестируется, а
98
Обзор Windows Server 2003 ×àñòü I
внедрение может пройти с осложнениями или даже оказаться неудачным. Хорошей аналогией в этом смысле может быть исследователь, который отправляется в экспедицию, не продумав, что он должен иметь в своем рюкзаке, и не взяв с собой соответствующую карту. Более медленная, поэтапная миграция имеет место в тех случаях, когда существующая среда достаточно хорошо развита и устойчива, а вертикальные приложения разработаны сравнительно недавно и отвечают потребностям компании. Более продолжительные сроки позволяют персоналу потратить несколько недель или даже месяцев на то, чтобы четко понять цели проекта и требования ответственных лиц, пересмотреть существующую среду и составить проектную документацию. Можно будет не торопясь выбрать подрядчиков для проекта, подготовить свой собственный персонал для помощи (или руководства) в реализации процесса и создать прототип решения в безопасных лабораторных условиях. При успешном тестировании разбиение процесса на этапы может еще более снизить риски проекта, а этап опытной эксплуатации позволит персоналу усвоить уроки, сглаживающие остальные стадии. Следует установить контрольные сроки завершения отдельных этапов, даже если они не играют особой роли в конечном успехе проекта — чтобы обеспечить постоянное выполнение проекта и избежать состояния “никогда не заканчивающегося проекта”. Проекты без регулярных промежуточных контрольных сроков почти наверняка не будут выполнены к намеченной дате. Проекты, сроки окончания которых существенно затягиваются, увеличивают стоимость разработок и риск увольнения важных сотрудников, изменения производственных условий и необходимость пересмотра требований к аппаратным и программным продуктам. Естественно, для проектов с меньшими сроками исполнения характерны свои проблемы, поэтому чтобы успешно завершить крупный проект в сжатые сроки, придется пойти на определенные компромиссы. Тем не менее, очень важно придерживаться основных принципов: обследование, проектирование и тестирование. Если эти шаги будут пропущены, и модернизация системы будет проводиться без конкретного плана и четкого представления, какие результаты должны быть получены, то, скорее всего, эти результаты окажутся некачественными. На самом деле результат может и вовсе не быть достигнутым, поскольку в процессе выполнения проекта могут внезапно возникнуть непредвиденные препятствия. Краткосрочные проекты (не более нескольких недель) обычно сравнительно легко выполнить, да еще и привести заказчиков в восторженное состояние. Реальный успех лежит в понимании рисков, связанных с плотным графиком исполнения работ и в определении масштабов проекта, чтобы эти риски не вышли из-под контроля. Это может означать сдвиг сроков внедрения некоторых несущественных функций или привлечение сторонней помощи для ускорения работ, например, работников фирмы, которая многократно проводила подобные модернизации. Приобретение необходимого оборудования и программных средств также может стать источником задержек, так что в условиях краткосрочных проектов они должны быть приобретены как можно быстрее после определения идеальной конфигурации. Обратите внимание, что часто доставку “новейшего и наилучшего” оборудования — то есть самых быстродействующих процессоров и самых емких дисков — приходится ждать дольше, чем не самых последних моделей. Новое оборудование необходимо
Практические рекомендации по планированию… Ãëàâà 2
99
протестировать, то есть “обкатать”, и настроить в лабораторных условиях, хотя часто его можно запустить сразу в опытную эксплуатацию. Для большинства средних и крупных организаций рекомендуется завести постоянно действующий лабораторный стенд; этот шаг будет более подробно рассмотрен в разделе “Этап прототипирования: создание и тестирование плана” данной главы.
Ïîäáîð ÷ëåíîâ êîìàíä ðàçðàáîòêè è ðàçâåðòûâàíèÿ Разделение труда является ключевым фактором процесса внедрения. Организация должна оценить возможности своих сотрудников и рассмотреть вопрос о привлечении сторонних фирм для оказания помощи в соответствующих областях. Если компания понимает и определяет роль, какую может выполнять ее собственный персонал, и способна выявить области, где нужна профессиональная помощь, то реализация проекта будет продвигаться с меньшим количеством помех. Следует оценить квалификацию имеющихся сотрудников, а также их возможности освоения новых технологий и участия в новом проекте. Если персонал в течение всего рабочего дня занят поддержкой пользовательских баз, то маловероятно, что он сможет уделить больше времени проектированию и планированию новой реализации, даже с посторонней помощью. Послужные списки имеющегося персонала зачастую подсказывают, во что выльется следующий проект, и если у них есть незавершенные или неудачные проекты, то это может повлиять на новый проект. Хотя занятия, проводимые в аудиториях, и консультации фирм-изготовителей не гарантируют наличия опыта, они, тем не менее, демонстрируют готовность ITперсонала к обучению и показывают, что они согласны потратить свое время на изучение новых технологий. Новая реализация может оказаться хорошей возможностью проверки уровня квалификации персонала и побуждает его повысить уровень профессиональной подготовки. Подумайте также и о том, как изменения в поддерживаемой среде повлияют на ее сложность. Например, модернизация до Windows Server 2003 может позволить компании объединить и уменьшить число сетевых серверов и заменить “хрупкие” приложения более устойчивыми. Кроме того, в результате модернизации могут появиться совершенно новые средства, которые потребуют сопровождения в незнакомых для существующего персонала областях. После оценки организацией своего персонала на этом уровне и приблизительного определения, какую часть проекта можно выполнить собственными силами, нужно обдумать привлечение внешних партнеров. Даже если небольшая организация реализует относительно простой проект — скажем, устанавливает Windows Server 2003 для некоторого нового приложения — то она все равно может выиграть от помощи со стороны. В условиях сжатых сроков может понадобиться поручить 90% задач внешним исполнителям, оставив на свою долю лишь 10% менее спешных задач. Основное отличие, которое следует провести на этом этапе — между проектным персоналом и внедренческим персоналом. Коллектив или отдельные лица, ответственные за проектирование, должны иметь необходимый опыт работы с внедряемыми технологиями и уметь обучать и руководить работой других членов команды. В случае проектов средней и высокой сложности этот персонал должен полностью переклю-
100
Обзор Windows Server 2003 ×àñòü I
читься на процесс проектирования, чтобы гарантировать полную проработку всех деталей и получение тщательно обдуманного решения. Часто на коллектив проектировщиков возлагается трудная задача ведения переговоров с главными ответственными лицами об окончательном варианте проекта, поскольку не весь персонал получит от проекта то, что ему хотелось бы. Команда внедрения может включать в свой состав членов команды проектировщиков, которые должны иметь теоретический и практический опыт работы с внедряемыми технологиями и будут больше взаимодействовать с конечными пользователями. Существует ряд предварительных условий, которые необходимо соблюдать при выборе независимых консультантов или организации-партнера по обеспечению решений. Если не вдаваться в излишние подробности, то специалист или фирма должны иметь опыт работы именно с внедряемыми технологиями, гибко подходить к реализации решений и иметь специалистов по работе с различными компонентами проекта. Ни один человек не способен в одиночку “сделать все”, особенно если он вдруг заболеет или уйдет в отпуск, поэтому следует учитывать степень и объем его опыта. Конечно, повременная оплата важна, но если фирма хочет уложиться в срок или в определенную сумму, то более важным фактором могут оказаться общие затраты. В современной деловой среде имеет смысл потратить время на тщательный выбор фирмы, которая очень хорошо справляется со своими обязанностями, иначе через несколько месяцев, когда ваш проект достигнет своей критической фазы, ничего подходящего не найдется. Важны также и дипломатические способности партнеров, поскольку многие проекты оцениваются не только по соблюдению сроков, объему работ или бюджету, но и по отзывам заказчиков и пользователей. Общительность, надежность и готовность поделиться своими знаниями, в конце концов, воздаются сторицей.
Ýòàï îáñëåäîâàíèÿ: îöåíêà ñóùåñòâóþùåé ñðåäû После выполнения предыдущих шагов картина перехода на Windows Server 2003 в общих чертах должна стать совершенно ясной. Должны быть понятны все производственные и технологические цели, от общих требований “с высоты 50 000 футов” и до уровня отделов “с высоты 1000 футов”. Должны быть также определены объем работ, компоненты модернизации и приоритеты этих компонентов, а также временные ограничения и состав групп проектирования и внедрения. Картина проекта на заключительной стадии (или объем работ) и цели проекта теперь становятся ясны. Но до утверждения и документирования окончательного варианта проекта необходимо пересмотреть и оценить существующую среду, чтобы убедиться, что имеющиеся сетевые возможности будут поддерживать новую среду Windows Server 2003. Сейчас самое время убедиться в том, что существующая среда сконфигурирована именно так, как вы и представляете, и определить плохо защищенные области и слабые места сети. Уровень требуемых для этого усилий существенно зависит от сложности и масштаба сети. Организации с числом пользователей, не превышающим 200, или с одной или несколькими рабочими площадками, в которых используется готовые
Практические рекомендации по планированию… Ãëàâà 2
101
прикладные программы и стандартное оборудование (Hewlett-Packard, IBM, Cisco), имеют, как правило, относительно простые конфигурации. В отличие от них, программное обеспечение более крупных географически разбросанных компаний с вертикальным рынком может оказаться более сложным. Компании, которые выросли за счет приобретения других организаций, могут иметь в сети какие-то “таинственные” устройства с непонятными функциями. Еще одна важная переменная, значение которой предстоит определить — это не поддающиеся четкому определению устойчивость и производительность сети. То, что считается достаточной производительностью для одной компании, может быть неприемлемой для другой, в зависимости от значимости инфраструктуры и вида производства. Некоторые организации теряют тысячи долларов дохода за минуту простоя, в то время как другие могут перейти на бумажные документы на день и даже более без заметного ущерба для их деятельности. Для проведения обследования приходится привлекать команды проектировщиков, а также собственный персонал. Внешние партнеры зачастую могут получить более точные результаты, ибо они обладают богатым опытом оценки и анализа сетей и способны прогнозировать проблемы, которые могут возникнуть в процессе разработки проекта и замедлить работу. Этап обследования обычно начинается с личных бесед с IT-персоналом, ответственным за различные части сети, а затем переходит в проверку фактической конфигурации сети. При сборе данных о конфигурациях различных сетевых устройств, а также о критичных областях сети, может оказаться полезной разработка стандартных анкет. Некоторые конечные пользователи могут рассказать о необходимых вещах, о которых их руководители и директора даже не подозревают, особенно в организациях с недостаточным вниманием к информационным технологиям или нестабильной инфраструктурой. Особое внимание следует уделить выявлению проблемных областей и технологий, которые никогда не работали правильно или работали нестабильно. Обычно чем больше проект, тем более тщательным должно быть обследование. Для проектов, предусматривающих полное обновление NOS, нужно рассмотреть и оценить каждое затрагиваемое устройство, чтобы определить их роль в новой среде. Если существуют сетевые диаграммы, нужно проверить, отражают ли они текущее состояние и содержат ли достаточную информацию (имена и роли серверов, работающие на них приложения, коммутаторы, маршрутизаторы, брандмауэры и так далее), чтобы можно было четко определить местоположение и функцию каждого устройства инфраструктуры. Если имеется дополнительная документация, описывающая подробную конфигурацию основных устройств инфраструктуры — например, зафиксированное состояние сервера сразу после его создания, с деталями конфигурации аппаратных и программных средств сервера, либо подробности конфигурации маршрутизатора или брандмауэра — то эту документацию следует отыскать и обновить. Очень важна в процессе проектирования информация о том, были ли применены к серверам и прикладным программам обновления и оперативные исправления. В некоторых случаях, если требуется внести изменения в клиентскую часть, нужна инвентаризация конфигураций настольных компьютеров. В подобных случаях много часов работы помогут сэкономить программные средства инвентаризации.
102
Обзор Windows Server 2003 ×àñòü I
Нужно просмотреть определенные имеющиеся документированные стратегии и процедуры компании. Некоторые из них, например, планы аварийного восстановления или соглашения об уровне обслуживания (Service Level Agreement — SLA), могут быть жизненно важными для способности IT-отдела удовлетворять требованиям пользователей. Процесс обследования может также выявить не рассмотренные раньше ограничения на процесс внедрения, например, ограничения по времени, которые влияют на возможность изменений. Такими ограничениями могут быть сезонные изменения в производстве, циклы финансирования компании или даже график отпусков. В любом случае, хотя объем времени, затраченного на процесс обследования, может меняться в широких пределах, его цель остается все той же: четкое понимание существующей технологической инфраструктуры и рисков, которым подвергается проект, и устранение сюрпризов, которые могут произойти на этапах тестирования и внедрения.
Ó÷åò ãåîãðàôè÷åñêèõ ôàêòîðîâ В то же время, когда производится сбор данных и проверка, все ли на месте и что оно делает, необходимо проверить и связность устройств — как логических компонентов сети, так и физических. Эту информацию можно получить из существующих диаграмм и документов, либо ее придется собирать на месте. Вот моменты, о которых следует иметь четкое представление: Как осуществляется взаимодействие с DNS, WINS и протоколом DHCP? Имеются ли сети VPN или VLAN? Какова конфигурация маршрутизаторов? Какие протоколы используются? Какими линиями связаны офисы: T1, усеченные каналы T1, T3, ATM? Какова гарантированная пропускная способность сети или согласованная скорость передачи информации? Был ли запланирован разрыв связи в среде с частичной или полной ячеистой структурой? На этом же уровне необходимо пересмотреть и проанализировать соединения с внешним миром и другими организациями, уделяя особое внимание имеющимся средствам безопасности. Наилучшая в мире защита может быть взломана с помощью обыкновенного модема, подключенного к обычной телефонной линии, и “обиженного” бывшего работника компании. Наряду с этим должны быть проанализированы потребности в дистанционном доступе — доступ к электронной почте, сетевым файлам и принтерам — а также необходимость поддержки КПК и других мобильных устройств. Географически распределенные компании добавляют в этот список свои проблемы. Со всех мест, которые будут затронуты миграцией, необходимо собрать информацию по возможности одного и того же уровня. Является ли информационная среда централизованной, то есть управляемой из одного местоположения, или децентрализованной, когда каждый офис “сам себе хозяин”? Необходимо также проанализировать и выяснить распределение персонала. Какова численность вспомогательного персонала на каждой площадке, какие основные аппаратные и программные компоненты им поручено поддерживать и сколько конечных пользователей? Часто в различных офисах определены специальные функции, которые требуют различные сочетания вспомогательного персонала. В некоторых мелких удаленных офисах может вообще не быть специального персонала, и это мо-
Практические рекомендации по планированию… Ãëàâà 2
103
жет существенно осложнить сбор информации. Соответственно возникает вопрос: предстоит ли в ближайшем будущем расширение или сокращение штата или объединение офисов, которое изменит распределение обслуживающего персонала? Следует проанализировать проблемы, которые возникали в связи со структурой глобальной сети (WAN). Как реплицируется информация между сайтами, и какова существующая доменная структура? Если в компании уже используется Active Directory, то обслуживает ли она единственный домен с простой структурой организационных единиц (OU), или существует несколько доменов со сложной структурой организационных единиц? Следует также уточнить размещение глобального каталога. Как осуществляется доступ в Internet? Имеется ли в каждом офисе свое собственное подключение к Internet, брандмауэр, маршрутизатор и прочее, или доступ осуществляется через единственное место? Ответы на все эти вопросы непосредственно формируют структуру решения, а также влияют на процессы тестирования и развертывания.
Óïðàâëåíèå ïåðåíîñîì èíôîðìàöèè Другим фактором, который может существенно повлиять на структуру реализуемого решения Windows Server 2003, является место хранения данных компании и методы управления ими. На этой стадии необходимо узнать, какие существуют основные сетевые прикладные программы, так что желательно иметь хотя бы приблизительную оценку объема обрабатываемых данных и место их хранения в сети (один сервер? десять серверов?). Нужно оценить общее число отдельных файлов пользователей, и, если это возможно, то и статистику о росте этого количества. Информация, хранящаяся в базах данных, в большинстве случая критична для организации, относится ли она к услугам и продукции, производимой компанией, или позволяет работникам выполнять свои обязанности. Базы данных также требуют регулярного обслуживания для предотвращения порчи данных и оптимизации производительности, следовательно, нужно узнать, регулярно ли производятся процедуры их сопровождения. Базы данных электронной почты порождают свои собственные проблемы. Старые системы электронной почты обычно имеют базы данных довольно ограниченных размеров, и многие организации вынуждены применять собственные методы обработки больших объемов информации. Для многих компаний значение электронной почты резко возросло, и она стала для них основным инструментом, а папки входящих сообщений и личные папки стали основным местом хранения для многих пользователей электронной почты. Если организация использует в качестве почтовой системы Microsoft Exchange, пользователи могут иметь собственные и/или автономные хранилища, которые также следует учитывать. Необходимо также проанализировать способы резервного копирования и хранения данных. В некоторых организациях имеются исключительно сложные системы хранения данных с использованием кластеризации, серверов-хранилищ данных и/или распределенной файловой системы, чтобы обеспечить постоянную доступность данных пользователям. Иногда применяются иерархические процессы хранения данных с перемещением старых данных на оптические носители или даже на ленту.
104
Обзор Windows Server 2003 ×àñòü I
Общая цель этого обследования состоит в том, чтобы определить, где находятся данные, какие файловые запоминающие устройства и базы данных используются, как осуществляется сопровождение данных и обеспечивает ли оно защиту данных. Попутно можно выяснить, возможно ли объединение данных, либо требуется повысить их надежность с помощью кластеризации или RAID-массивов. Необходимо также узнать стоимость утери данных или их временной недоступности для компании.
Ýòàï ïðîåêòèðîâàíèÿ: äîêóìåíòèðîâàíèå ïðåäñòàâëåíèÿ è ïëàíà По завершении стадии обследования и документирования результатов должно быть понятно, с чем вы должны работать — то есть на чем должна быть основана реализация нового решения. Обследование в основном закончено, и теперь нужно принять и документально оформить множество решений. На этой стадии необходимо написать множество документов, но наиболее важным из них является проектная документация. Она представляет собой протокол ключевых моментов обсуждения, проведенных к этому моменту; в ней должно быть четко указано, почему проект финансируется, приведен объем проекта и подробно описано, каким должен быть результат. Второй документ, который должен быть составлен — это описание миграции, представляющее собой дорожную карту с указанием способов достижения этого результата. Часто компании стремятся составить один универсальный документ, но, как будет показано в следующем разделе, в разбиении этой информации на два ключевых компонента есть определенные преимущества. Вот простая аналогия: вы намерены определить, как будет выглядеть поэтажный план дома (проект), и для чего предназначена каждая комната, прежде чем принять решение о том, как строить этот дом (миграция/внедрение).
Ñîâìåñòíûå ñîâåùàíèÿ: ïðèíÿòèå ïðîåêòíûõ ðåøåíèé Проектная группа, по-видимому, еще не способна принять все необходимые решения, хотя приличный объем “домашней” работы уже выполнен. Далее должен следовать более формальный процесс сотрудничества и обучения, чтобы определить конечное состояние проекта с необходимой степенью детализации, и чтобы члены проектной группы получили полное представление о внедряемой новой технологии. Совместный процесс предусматривает интерактивный мозговой штурм и совещания по обмену знаниями, на которых ответственные лица работают совместно со специалистами, имеющими опыт работы с внедряемыми технологиями. В идеальном случае этим процессом должен руководить консультант с реальным опытом проектирования и внедрения Windows Server 2003. Тщательно продуманные планы совещаний помогают команде проектировщиков успешно пройти через логический процесс обучения, облегчающий принятие ключевых решений.
Практические рекомендации по планированию… Ãëàâà 2
105
Новая планировка физических компонентов среды Windows Server 2003, а также объяснение, каким будет управление данными и их защита в сети, могут быть изображены на больших настенных планшетах. Все принятые на этих совещаниях решения должны быть зафиксированы. При тщательном планировании и проведении совещаний ключевые решения, необходимые для внедрения, могут быть выработаны при относительно небольшом количестве совместных совещаний. При эффективном управлении эти совещания могут также помочь сформировать позитивную динамику команды и создать положительное отношение к проекту. Работники могут негативно отнестись к крупной модернизации по самым различным причинам, но при личном вкладе в проектирование, изучении внедряемых технологий и лучшем понимании своей роли в процессе их отношение может измениться в лучшую сторону. В результате этих совещаний подробности конечного состояния должны стать абсолютно ясными. Можно обсуждать специальные темы: сколько нужно серверов и в каких местах, какие конкретные функции они будут выполнять (файловые серверы, серверы печати либо серверы приложений, брандмауэры и прочие), а также какие основные программы будут применяться. Могут появляться и обсуждаться и другие проектные решения и материальные вопросы, например, стоит ли использовать существующее сетевое оборудование, либо же придется закупить новое. Необходимо также решить, смогут ли работать в модернизированной среде менее важные приложения, например, программы копирования на магнитную ленту, антивирусные решения, защита сети брандмауэром и программы управления сетью. В идеальном случае на этом этапе начинают вырисовываться некоторые детали процесса самой миграции, например, состав групп тестирования и развертывания системы, требуемая для этого подготовка и уровень участия в проекте сторонних консультантов.
Îðãàíèçàöèÿ èíôîðìàöèè äëÿ ñòðóêòóðèðîâàííîé ïðîåêòíîé äîêóìåíòàöèè Сложность проекта влияет на размер документа и на усилия, необходимые для его составления. Как уже было сказано, этот документ подводит итог целям и задачам, которые были выявлены на этапе первоначального обследования, и описывает, насколько они соответствуют конечной цели проекта. Он должен содержать подробную картину конечного состояния после внедрения новых технологий и устройств. Степень детализации может быть различной, но в любом случае она должна включать основные проектные решения, принятые в процессе обследования и совместных совещаний. Ниже приводится пример содержания и краткого описания проектной документации. •
Резюме для руководства. Содержит краткое обсуждение масштабов внедрения Windows Server 2003 (чем, собственно говоря, являются кусочки мозаики).
•
Цели и задачи. Включает цели от производственных “с высоты 50 000 футов” до целей отделов и ответственных лиц “с высоты 1000 футов”, которые будут достигнуты при выполнении проекта.
106
Обзор Windows Server 2003 ×àñòü I
•
Предпосылки. Предоставляет краткий отчет о текущем состоянии сети, с более подробным описанием проблемных областей, выявленных в процессе обследований, равно как и краткие формулировки решений, принятых на совместных совещаниях.
•
Подход. Намечает высокоуровневые стадии и задачи, необходимые для реализации решения (подробности каждой задачи будут определены в документации по миграции).
•
Конечное состояние. Определяет детали конфигурации новой технологии. Например, в данном разделе описано количество, размещение и функции систем Windows Server 2003.
•
Оценка затрат. Содержит оценку основных затрат на реализацию проекта. Подробные оценки затрат требуют составления документации по миграции, но уже на данной стадии опытные специалисты могут указать порядок чисел. Наряду с этим должно быть ясно, какое необходимо аппаратное и программное обеспечение, так что суммы ассигнований могут быть названы.
Ðåçþìå äëÿ ðóêîâîäñòâà Резюме должно подготовить читателей к тому, что будет содержать документ, и должно быть кратким. Оно должно в общих чертах обрисовывать объем работы. В идеальном случае резюме указывает положение документа в процессе принятия решений и поясняет, что для продолжения работы необходимо утверждение проекта.
Öåëè è çàäà÷è Раздел целей и задач должен описывать стратегические цели проекта и содержать относящиеся к делу цели подразделений. В этом разделе легко зайти слишком далеко и опуститься до уровня “вида с высоты 1000 футов”, но это может сильно запутать изложение, так что эту информацию лучше отобразить в документации по миграции и в детализированном плане рассматриваемого проекта.
Ïðåäïîñûëêè Раздел предпосылок должен обобщать результаты процесса обследования и совместных совещаний и может содержать список конкретных проектных решений, которые были приняты во время совместных совещаний. Кроме того, здесь же можно кратко перечислить решения относительно того, какие технологии или свойства не следует включать. Эта информация также должна оставаться на относительно высоком уровне, а подробности можно привести в разделе конечного состояния проектной документации. Эта информация исключительно полезна для справок, если позднее при работе над проектом возникнет пресловутый вопрос: “Кто принял это решение?”.
Ïîäõîä В разделе подхода должна быть изложена одобренная к этому моменту стратегия внедрения, и должны быть зафиксированы принятые в процессе обследования и проектирования решения о сроках выполнения (от начала до конца и для каждого этапа) и о составе команд, принимающих участие на различных этапах. В этом разделе нужно избегать излишней детализации, поскольку окончательный вариант проекта вполне
Практические рекомендации по планированию… Ãëàâà 2
107
может не пройти утверждение и претерпеть изменения после пересмотра. Кроме того, в данном документе по миграции должны быть представлены детали процесса, обязательные для исполнения.
Êîíå÷íîå ñîñòîÿíèå В разделе конечного состояния должна быть подробно изложена специфика внедрения Windows Server 2003 и конкретизированы стратегические решения, кратко изложенные в разделе предпосылок. По существу, в этом разделе описывается программное обеспечение, которое должно быть установлено на каждом сервере и роли, которые будут исполнять системы Windows Server 2003 (глобальных контроллеров, контроллеров доменов, служб DNS), а также будущие роли существующих устаревших серверов. Информация о структуре организационных единиц, структурах групп и репликации сайтов также должна быть включена в этот раздел. В объяснении новых концепций могут помочь диаграммы и таблицы, фактически показывающие, каким должно быть решение, где будут установлены основные сетевые устройства, а также насколько изменится общая топология сети. Часто кроме стандартных физических диаграмм типа “что куда” необходима логическая диаграмма, которая показывает, как устройства сообщаются друг с другом.
Îöåíêà çàòðàò Раздел затрат не отличается точностью и называет лишь порядок стоимости различных этапов проекта. Если этот документ помогает составлять сторонняя консалтинговая фирма, она может воспользоваться опытом составления подобных проектов для компаний аналогичного размера. Поскольку никакие два проекта полностью не совпадают, то такие оценки должны быть достаточно гибкими. Как правило, предоставляются минимальная и максимальная оценка стоимости каждого этапа.
Ïðîåêòíûå ðåøåíèÿ ïî Windows Server 2003 Как было отмечено в предыдущем разделе, наиболее важные проектные решения по Windows Server 2003 должны быть зафиксированы в проектной документации. Это, по-видимому, наиболее важный раздел документа, поскольку он определяет будущую конфигурацию Windows Server 2003 и ее взаимодействие с сетевой инфраструктурой. Нужно принять решения относительно необходимого для миграции аппаратного и программного обеспечения. В них должно быть учтено, будет ли использоваться для миграции имеющееся оборудование — обновленное или такое как есть — или же оно должно быть демонтировано. Это решение, в свою очередь, определит, сколько потребуется лицензий на программное обеспечение сервера, а это непосредственно повлияет на общую стоимость проекта. Должны быть конкретизированы уровни резервирования и защиты, предусматриваемые этим решением. И в этом случае важно оперировать конкретными фактами при обсуждении вопросов доступности данных и ситуаций, предусмотренных в проекте. В этом разделе должны быть определены сервер и другие аппаратные и программные элементы инфраструктуры. Если необходима модернизация существующего оборудования (увеличение числа процессоров, объема оперативной памяти, жестких дисков, магнитных лент и тому подобного) либо существующего программного обеспече-
108
Обзор Windows Server 2003 ×àñòü I
ния (модернизация существующей NOS, серверных приложений и приложений вертикального рынка), то они должны быть конкретизированы в данном разделе. Сюда надо включить, с необходимой степенью детализации, и другие ключевые технологии: приложения обмена сообщениями либо специфичные для отрасли приложения.
Óòâåðæäåíèå ïðîåêòà Заключительная стадия процесса подготовки проектного документа фактически проходит уже после составления документа. Когда документ считается законченным, он должен быть представлен на рассмотрение заказчикам проекта, чтобы убедиться, что он действительно соответствует их требованиям и что они понимают содержание проекта, и чтобы проверить, не появились ли какие-либо новые соображения, не отраженные в этом документе. Хотя маловероятно, что в проекте будут учтены все цели всех заказчиков (поскольку эти цели могут противоречить друг другу), этот процесс прояснит, какие из целей наиболее важны и могут быть реализованы внедряемыми технологиями. Утверждаемые решения, принятые в проектной документации, должны содержать все несоответствия между перечнем пожеланий заказчиков и тем, какими будут окончательные результаты проекта. Кроме того, должны быть рассмотрены и утверждены график выполнения работ и приблизительная оценка затрат. Если в проектной документации на покупку аппаратных и программных средств требуется $500 000, но заказчики могут выделить не более $250 000, то изменения должны быть сделаны на этой стадии, а не после того, как будет готова документация по миграции. Уменьшение ассигнований может потребовать существенных изменений проектной документации, поскольку из решений придется удалить некоторые возможности, что отразится на всех частях проекта. Если необходимо изменить указанные в проектной документации сроки выполнения работ, чтобы удовлетворить требованиям заказчиков, то это также должно быть учтено до начала работ по созданию детализированного плана внедрения. Следует также иметь в виду, что проектная документация может быть использована для различных целей. Некоторые компании хотят использовать проектную документацию для обучения, чтобы в ней было описано не только окончательное состояние, но и почему оно должно быть таким. Другие просто требуют, чтобы документ фиксировал принятые решения и содержал информацию о затратах. Наличие такого уровня детализации облегчает также оценку тендерных заявок на внедрение. Многие организации делают ошибку, объявляя тендер и не имея понятия, каким должно быть решение.
Ýòàï ïëàíèðîâàíèÿ ìèãðàöèè: äîêóìåíòèðîâàíèå ïðîöåññà ìèãðàöèè Перед созданием документации по миграции окончательное состояние проекта уже должно быть подробно описано и утверждено ответственными лицами организации. Не должно оставаться никаких вопросов относительно того, из чего будет состоять будущий вариант сети, и какие новые функции он будет выполнять. Кроме того,
Практические рекомендации по планированию… Ãëàâà 2
109
должны быть приблизительно установлены сумма, требуемая на закупку аппаратных и программных средств, и график выполнения проекта. В некоторых случаях, в зависимости от сложности и объемов проекта, а также от привлечения сторонних консультантов, устанавливается бюджет для оплаты услуг по реализации проекта. Итак, теперь, когда окончательное состояние проекта четко определено, можно составлять документацию по миграции, в которой подробно описаны все шаги, необходимые для достижения этого конечного состояния с минимальным риском негативного влияния на сетевую среду. План миграции не должен содержать каких-либо крупных сюрпризов. Ключевым компонентом документации по миграции является план проекта, или план миграции, который содержит список задач, необходимых для реализации решения. Он представляет собой дорожную карту, на базе которой будет создана документация по миграции. Эта документация по миграции при необходимости содержит изложение специфики задач, которого нет в плане проекта, а также другие детали, которые рассматриваются далее.
Âðåìÿ íà ðàçðàáîòêó ïëàíà ïðîåêòà Как уже упоминалось, основные ступени, необходимые для достижения конечной точки, были оговорены в процессе обследования и во время совместных совещаний и обсуждений проекта. План проекта в документации по миграции является средством для завершения проектной документации, графически иллюстрирующим процесс создания и тестирования необходимых технологий, а также указывающим, кто и что будет делать в рамках проекта. С помощью программных продуктов, подобных Microsoft Project, эти шаги можно организовать в логический линейный процесс. Стратегические задачи, подобные приведенным на рис. 2.1, должны быть определены первыми. Как правило, они являются этапами или высокоуровневыми задачами проекта, например, тестирование в лабораторных условиях, опытное внедрение, промышленное внедрение и сопровождение. Затем необходимо внести главные компоненты этих задач. №
Название задачи 1
Проект внедрения Windows Server 2003
2
Этап планирования и проектирования
6
Этап тестирования прототипа
Продолжит.
Начало
Завершение
139 дней
Вт. 15.04.04
Пн. 01.09.04
7 дней
Вт. 15.04.04
Ср. 23.04.04
15.5 дней
Чт. 24.04.04
Вт. 13.05.04
25
Этап опытной эксплуатации
13 дней
Ср. 14.05.04
Чт. 29.05.04
39
Этап реализации серверов (площадка 1)
30.25 дней
Пн. 02.06.04
Чт. 10.07.04
52
Этап реализации серверов (площадка 2)
30.25 дней
Чт. 10.07.04
Пн. 18.08.04
65
Этап сопровождения (площадки 1 и 2)
10 дней
Вт. 19.08.04
Пн. 01.09.04
Ðèñ. 2.1. Высокоуровневый план проекта миграции Даты и продолжительности этапов в плане проекта должны быть получены с помощью подхода, при котором расчет начинается с конечной даты, когда все должно быть готово, и продвигается в обратном порядке. Важно отобразить в плане ключевые события: приобретение новых программ и оборудования, командировка администра-
110
Обзор Windows Server 2003 ×àñòü I
тивного персонала на подготовительные курсы и подготовка к работе новых устройств. Должен быть предусмотрен и резерв времени для непредвиденных событий или возможных задержек. Каждый этап проекта должен быть запланирован, а затем и уточнен, подобно примеру плана этапа тестирования прототипа, представленному на рис. 2.2. Обратите внимание, что в примере на рис. 2.2 задачи сформулированы на высоком уровне, однако при необходимости в него могут быть включены дополнительные детали. Хорошее практическое правило заключается в том, чтобы не включать в план каждую задачу, которую необходимо выполнить на этом этапе, но чтобы каждая строка плана означала несколько часов и даже дней работы. Если план будет перегружен деталями, он очень быстро станет неуправляемым. Подробная информация, которую не обязательно включать в план проекта (график Гантта — Gantt chart), может быть включена в документацию по миграции. Документация по миграции вносит дополнительные технические и операционные детали, которые могут пригодиться при выявлении более конкретной информации о проекте. №
Название задачи
1
Проект внедрения Windows Server 2003
2
Этап планирования и проектирования
6
Этап тестирования прототипа
Продолжит.
Начало
Завершение
139 дней
Вт. 15.04.04
Пн. 01.09.04
7 дней
Вт. 15.04.04
Ср. 23.04.04
15.5 дней
Чт. 24.04.04
Вт. 13.05.04 Чт. 24.04.04
7
Этапное событие: программы и оборудование должны быть доступны
0 дней
Чт. 24.04.04
8
Первое совещание по этапу
1 день
Чт. 24.04.04
Чт. 24.04.04
9
Начало этапа прототипирования
0 дней
Пт. 25.04.04
Пт. 25.04.04
10
Конфигурирование тестовой инфраструктуры
1 день
Пт. 25.04.04
Пт. 25.04.04
11
Конфигурирование системы Windows Server 2003 №1
0.25 дня
Пн. 28.04.04
Пн. 28.04.04
12
Конфигурирование системы Windows Server 2003 №2
0.25 дня
Пн. 28.04.04
Пн. 28.04.04
13
Реализация серверного приложения №1
0.25 дня
Пн. 28.04.04
Пн. 28.04.04
14
Реализация серверного приложения №2
0.25 дня
Пн. 28.04.04
Пн. 28.04.04
15
Создание рабочей станции №1
0.25 дня
Вт. 29.04.04
Вт. 29.04.04
16
Создание рабочей станции №2
0.25 дня
Вт. 29.04.04
Вт. 29.04.04
17
Тестирование серверного приложения с рабочей станции
7.5 дней
Вт. 29.04.04
Вт. 06.05.04
18
Тестирование дистанционного доступа к серверным приложениям
2 дня
Ср. 07.05.04
Чт. 08.05.04
19
Документирование результатов прототипирования
3 дня
Пт. 09.05.04
Вт. 13.05.04
20
Анализ результатов прототипирования
0 дней
Вт. 13.05.04
Вт. 13.05.04
21
Этапное событие: закрытие этапа прототипирования
0 дней
Вт. 13.05.04
Вт. 13.05.04
22
Внесение изменений в план проекта (при необходимости)
0 дней
Вт. 13.05.04
Вт. 13.05.04
Ðèñ. 2.2. Пример плана этапа тестирования прототипа
Практические рекомендации по планированию… Ãëàâà 2
111
НА ЗАМЕТКУ В IT-организациях термины план проекта и график Гантта часто смешиваются и могут иметь, а могут и не иметь, различное значение для различных людей. В этой книге термин план проекта означает хронологический список шагов, необходимых для планирования, подготовки и внедрения Windows Server 2003. Термин график Гантта будет использоваться не только для хронологического списка, но и для указания выделяемых ресурсов, дат начала и завершения, а также распределения затрат по шагам.
В этом плане должен быть назначен персонал, выполняющий конкретные задачи, и начато формирование команд, которые будут работать над различными компонентами проекта. Если ожидается помощь сторонней организации, то это должно быть отражено в соответствующем пункте проекта. Microsoft Project предлагает дополнительный богатый набор возможностей для составления из этого плана отчетов и графической информации; они могут весьма пригодиться при работе над проектом. Наряду с этим он может служить источником точной финансовой информации, учитывающей переработку и работу во внеурочные часы, и без проблем выдает информацию для различных сценариев “что, если”.
Ñêîðîñòü ïðîòèâ ðèñêà План проекта предоставляет возможность проверить различные сценарии типа “что, если”. Когда определены высокоуровневые задачи и требуемые для их выполнения ресурсы, можно легко подключать к их решению сторонних подрядчиков и проверять, как в этом случае меняется стоимость работ. Для выполнения определенных пунктов плана возможна работа во внеурочные часы. Если график выполнения работ все еще не приемлем, задачи можно организовать так, чтобы несколько задач выполнялись одновременно, а не одна за другой. Пакет Microsoft Project предлагает широкий набор средств для выравнивания нагрузки на персонал, чтобы не получилось так, что кто-то будет работать по 20 часов в день. Необходимо также определить критический путь проекта. Чтобы проект преодолел некоторую временную границу, должны произойти определенные обязательные события. Одним из таких событий может быть заказ на поставку оборудования и его доставка на место. Другим таким шагом может быть одобрение заказчиками лабораторного стенда и проверка возможности поддержки ключевых сетевых приложений. Возможно, для обеспечения эффективной поддержки созданной среды понадобится обучение административного персонала и конечных пользователей. Может быть, в плане проекта придется предусмотреть резерв времени. Возможна задержка поставки оборудования на одну или две недели. Может затянуться тестирование, особенно для сложных конфигураций, или возникнет необходимость конфигурирования NOS в соответствии с требованиями заказчика или модификации информации каталогов.
Ñîñòàâëåíèå äîêóìåíòàöèè ïî ìèãðàöèè Теперь документация по миграции может описать процесс, детализированный в плане проекта. Стопроцентное завершение плана проекта не обязательно, однако в нем должны быть четко обозначены порядок этапов и стратегии тестирования и внедрения.
112
Обзор Windows Server 2003 ×àñòü I
Ниже приведен пример содержания документации по миграции и краткое описание ее пунктов. •
Резюме для руководства. Содержит краткий анализ процесса внедрения Windows Server 2003 (как кусочки мозаики подходят друг к другу).
•
Цели и задачи. Содержит специфику целей процесса миграции.
•
Роли и обязанности. Описывает членов различных команд для выполнения предстоящих работ и должен включать как внутренний, так и привлеченный персонал.
•
Подход. Разбиение на этапы — обычно это прототипирование, опытная эксплуатация, внедрение и сопровождение — для определения шагов (и этапных событий) проекта миграции.
•
План проекта. Предоставляет графическое представление компонентов проекта, созданное с помощью Microsoft Project или аналогичного программного продукта.
•
Подробная оценка затрат. Содержит сводку затрат на основе подхода, ресурсов и продолжительности каждой задачи.
Ðåçþìå äëÿ ðóêîâîäñòâà Резюме для руководства должно подготовить читателей к тому, что будет содержать документ, и должно быть кратким. Оно должно в общих чертах обрисовывать объем работы. В идеальном случае резюме указывает положение документа в процессе принятия решений и поясняет, что для продолжения работы необходимо утверждение проекта.
Ðàçäåë öåëåé è çàäà÷ Раздел целей и задач может на первый взгляд показаться излишним, поскольку они очень подробно описаны в проектной документации, однако важно определить, какие конкретные цели и задачи из не вошедших в проектную документацию важны для успешного выполнения проекта миграции. Например, хотя в проектной документации описано, какой должна быть окончательная конфигурация сервера, в ней могут не быть описаны средства, необходимые для миграции ключевых пользовательских данных, или порядок миграции подразделений компании. Поэтому цели и задачи в документации по миграции сильно зависят от специфики процесса.
Ðàçäåë ðîëåé è îáÿçàííîñòåé В разделе ролей и обязанностей должны быть подробно описаны команды, которые будут выполнять работы. Если какую-то часть работ будет выполнять сторонняя компания, то нужно указать, за какие задачи она несет ответственность, и кто из внутренних работников будет передан им в подчинение.
Ðàçäåë ïîäõîäà Каждый раздел подхода детализирует цели каждого этапа, а также выполняемый на этом этапе процесс, ресурсы и оценку его продолжительности. Должны быть также представлены описание ожидаемых результатов каждого этапа и критерий заверше-
Практические рекомендации по планированию… Ãëàâà 2
113
ния этапа. В этих разделах должны быть также обозначены задачи критического пути и риски, связанные с конкретными задачами. В то время как проектная документация описывает цели и конечное состояние проекта, документация по миграции содержит необходимые для выполнения детали. Важно отметить, что документация по миграции обычно не является пошаговым руководством по установке и конфигурированию каждого программного продукта, необходимого для проекта внедрения Windows Server 2003, поскольку на подготовку таких документов уходит неимоверно много времени. В документации по миграции можно при необходимости ссылаться на проектную документацию, либо приводить дополнительные подробности, проясняющие процесс.
Ðàçäåë ïëàíà ïðîåêòà Там, где план проекта содержит высокоуровневые описания этапов или задач, необходимых на каждом этапе, разделы подхода при необходимости могут более подробно описывать детали каждого шага плана проекта. Некоторые очень сложные задачи могут быть представлены в плане проекта одной строкой вроде “Конфигурирование Windows Server 2003 №1” и занимать несколько страниц документации по миграции для их описания с достаточной точностью. Необходимо провести анализ тестирования доступности данных и тестирования аварийного восстановления. В проектной документации можно решить, что будет применяться кластеризация, а также конкретная программа копирования на ленту, однако в плане миграции должно быть четко описано, какие сценарии нужно протестировать в лабораторной среде прототипа. Должны быть определены документы, которые необходимо представить во время миграции, чтобы было ясно, что они должны содержать.
Ðàçäåë áþäæåòà Что касается бюджетной информации, то хотя при составлении проектной документации и документации по миграции, а также плана проекта, были затрачены значительные усилия, необходимы ее дальнейшие уточнения. Независимо от степени детализации этих документов, последние этапы проекта могут изменяться в зависимости от результатов, полученных на предыдущих этапах. Например, тестирование прототипа может пройти “без сучка и задоринки”, однако во время опытного внедрения перенос данных просто займет больше времени, чем ожидалось; эта задержка потребует изменения необходимого времени и соответствующих затрат. Обратите внимание, что могут возникнуть изменения и в другую сторону — если задачи будут завершены раньше, чем ожидалось. Зачастую затраты на внедрение можно снизить, если удастся улучшить процесс на этапах прототипирования и опытной эксплуатации.
Ýòàï ïðîòîòèïèðîâàíèÿ: ñîçäàíèå è òåñòèðîâàíèå ïëàíà Основная цель этапа прототипирования состоит в создании лабораторной среды, в которой можно сконфигурировать и протестировать ключевые элементы проекта, определенные в проектной документации. В зависимости от результатов этого этапа
114
Обзор Windows Server 2003 ×àñòü I
можно определить, нужно ли внести какие-либо изменения в этапы внедрения и сопровождения, описанные в документации по миграции. Этап прототипирования является и этапом подготовки персонала, когда члены команды развертывания получают возможность ознакомиться с новыми внедряемыми аппаратными и программными технологиями. Если к тестированию прототипа будет привлекаться сторонняя консалтинговая фирма, то, естественно, передача знаний должна произойти во время этого процесса. Даже если команда развертывания прошла аудиторное обучение, процесс прототипирования является средой, которая более точно отражает конечное состояние требующей сопровождения сети и использует технологии и процессы, которые обычно не изучаются в аудиториях. Команда развертывания может получить ценные знания при общении с опытными консультантами, если они будут привлечены на этом этапе. Эта среда должна быть изолирована от промышленной сети, чтобы проблемы, создаваемые или возникающие в этом процессе, не могли повлиять на работу пользователей. Детали создания тестирующих приложений, проверяющих характеристики оборудования, отказоустойчивость подхватом функций и так далее, должны проверяться в безопасной лабораторной среде. Если в проектную документацию нужно внести какие-то изменения, они должны быть внесены именно сейчас.
Êàê ñîçäàòü ëàáîðàòîðíûé ñòåíä? Хотя состав лабораторного прототипа определяют детали проекта, все же потребуются и определенные общие элементы. В документации по миграции должны быть четко указаны компоненты лаборатории и подлежащие тестированию приложения и процессы. Типичная среда должна состоять из основной системы Windows Server 2003, необходимой для внедрения, а также из сетевых коммутаторов, образцов рабочих станций и принтеров из промышленной среды. Для целей тестирования должна быть обеспечена связь с внешним миром. Важно принять решение, должна ли лаборатория быть реализована в промышленной среде или остаться автономным стендом. Некоторые компании переходят с этапа прототипа к этапу опытной эксплуатации с одним и тем же оборудованием, а другие предпочитают оставить созданный лабораторный стенд для последующего использования. Существует множество преимуществ использования лабораторного стенда для среды Windows Server 2003: возможность тестирования NOS и обновлений, модернизаций и правок приложений, а также наличие оборудования для замены отказавших компонентов промышленной среды. Необходимо установить и протестировать реальные данные и приложения. Данные можно скопировать с промышленных серверов либо восстановить их на тестовый сервер с магнитной ленты. Приложения должны быть инсталлированы на серверах в соответствии с инструкциями по инсталляции от изготовителя; однако должна быть проведена проверка совместимости с Windows Server 2003, описанная в главе 18. После инсталляции программных приложений к работе в лабораторной среде можно привлечь представителей пользователей из различных подразделений компании, чтобы они поработали с приложениями как обычно. Эти пользователи должны иметь возможность выполнять в лабораторных условиях свои обычные функции, что-
Практические рекомендации по планированию… Ãëàâà 2
115
бы убедиться, что их требования учтены в новой конфигурации. Области, которые не соответствуют их ожиданиям, необходимо либо идентифицировать как “задержки”, подлежащие немедленному устранению, либо как проблемы, не влияющие на план внедрения.
Ðåçóëüòàòû ëàáîðàòîðíîãî òåñòèðîâàíèÿ ñðåäû Процесс лабораторного тестирования позволяет получить, кроме ценного опыта, и другие результаты. Если позволяют время и бюджет, можно составить много различных документов для облегчения процессов опытной эксплуатации и внедрения. Еще один важный результат, получаемый в лаборатории, заключается в том, что в этих условиях можно получить веское доказательство точности и полноты проектной документации и документации по миграции. Некоторые документы могут пригодиться команде развертывания во время процесса миграции. Одним из важнейших документов является документ “Как вначале” (“As Built”), который содержит снимок ключевых деталей конфигурации главных серверов сразу после их конфигурирования и тестирования. В то время как проектная документация содержит множество ключевых подробностей конфигурации, документ “Как вначале” содержит реальные снимки конфигураций серверов, а также выходные данные средства управления компьютером (Computer Management) Windows Server 2003, предоставляющие важные детали: конфигурация физических и логических дисков, информация о памяти и процессоре системы, о службах, установленных и используемых в системе, и тому подобные сведения. Другим важным документом является документация по аварийному восстановлению (Disaster Recovery — DR). Этот документ должен содержать точное описание, какие типы отказов были протестированы, и описание процесса выхода из этих ситуаций. Имейте в виду, что полный план аварийного восстановления должен включать доступ к данным и приложениям на сторонних серверах, поэтому документация по аварийному восстановлению, которая составляется на этапе прототипирования, чаще всего описывает отказы оборудования и способы замены отказавших компонентов (например, жестких дисков или источников питания), а также способы восстановления конфигурации сервера из резервной копии на ленте или наборов данных для восстановления. Если на этапе опытной эксплуатации и внедрения необходимо внедрение нескольких серверов, то на этапе прототипирования можно зафиксировать списки пунктов выполнения пошаговых процессов. Однако учтите, что составление пошаговых документов требует очень много времени (и бумаги!), и что изменения в процессе потребуют существенных изменений в этих документах. Обычно не стоит составлять пошаговые “рецепты” по созданию сервера, если только не предстоит создание в короткий срок большого количества серверов неквалифицированным персоналом. По завершении тестирования необходимо пересмотреть план миграции и проверить, не требуется ли изменение графика и промежуточных сроков. В идеальном случае на этапе прототипирования не должно быть никаких сюрпризов, но для успешного выполнения проекта могут потребоваться поправки в плане миграции.
116
Обзор Windows Server 2003 ×àñòü I
В зависимости от сроков выполнения этапов опытной эксплуатации и внедрения, на этой стадии необходимо заказать аппаратное и программное обеспечение, которое понадобится для полного внедрения. Поскольку стоимость серверного оборудования за последние несколько лет существенно снизилась, многие компании “переусердствуют” при заказе нужного по их мнению оборудования, и на этапе прототипирования может выясниться, что для внедряемых технологий достаточно меньшего объема оперативной памяти и меньшего количества процессоров, поэтому требования к оборудованию могут измениться.
Ýòàï îïûòíîé ýêñïëóàòàöèè: ïðîâåðêà ïëàíà íà îãðàíè÷åííîì êîëè÷åñòâå ïîëüçîâàòåëåé Теперь, после завершения этапа прототипирования, команда развертывания горит желанием приступить к конкретной работе со всеми внедряемыми новыми технологиями. Процесс, описанный в документации по миграции и плане миграции, опробован в лабораторной среде, максимально приближенной к реальной, и имеется документация с подробным описанием шагов опытного внедрения. Хотя сложность процесса опытного внедрения зависит от масштабов предстоящих изменений в сетевой инфраструктуре, он должен быть хорошо документирован на этой стадии. Очень важно определиться с группой пользователей, которые первыми перейдут в новую среду Windows Server 2003. Как правило, лучше выбрать более терпеливых пользователей, а не высокопоставленных ответственных лиц.
НА ЗАМЕТКУ Во многих организациях директор, замдиректора по информационным технологиям, замдиректора по сбыту или другие ведущие руководители могут изъявить желание принять участие в первоначальном опытном развертывании, однако мы не рекомендуем идти им навстречу в этом вопросе. Эти лица обычно имеют крайне сложные пользовательские конфигурации и плохо переносят прерывания сетевого обслуживания. Для опытного внедрения лучше привлекать пользователей производственной среды с меньшими потребностями. При необходимости можно запланировать этап предопытной эксплуатации, чтобы администраторы высокого ранга смогли принять участие в официальной опытной эксплуатации, но не усложняйте задачу тестирования опытной конфигурации, начиная с пользователей, которые предъявляют к системе самые высокие требования.
На всякий случай следует наметить стратегию отката. На этой стадии тщательно проверьте возможности аварийного восстановления и резервирования на реальных данных, но для небольшой группы пользователей, дабы убедиться, что все работает так, как было заявлено. На этой стадии можно выполнить точную настройку процесса миграции и дать точную оценку сроков исполнения.
Ïåðâûé ñåðâåð îïûòíîãî âíåäðåíèÿ Этап опытной эксплуатации начинается с момента реализации доступа пользователей к первой системе Windows Server 2003 в промышленной среде. В зависимости от масштаба проекта миграции, этим первым сервером может оказаться простой сервер
Практические рекомендации по планированию… Ãëàâà 2
117
приложений с запущенной терминальной службой или командной службой SharePoint, либо корень дерева Active Directory. Как и на стадии прототипирования, тестирование, которое должно быть проведено на этапе опытной эксплуатации, должно проверить успешность доступа к серверу или к предоставляемым системой службам приложений. Один из лучших способов проверки функциональности заключается в том, чтобы взять последовательности тестов, использованных на этапе прототипирования, и повторить эти действия в опытной среде. Основное различие между стадиями прототипирования и опытной эксплуатации заключается во взаимосвязанности и совместимости в масштабах предприятия. На многих этапах лабораторного прототипирования тестирование изолировано от чистых системных конфигураций или от однородных системных конфигураций; однако в опытной среде новая технология интегрируется со старой. Здесь выполняется проверка, что новые компоненты работают с существующими пользователями, серверами и системами, а, кроме того, и с программным обеспечением.
Ðàçâîðà÷èâàíèå ýòàïà îïûòíîé ýêñïëóàòàöèè Этап опытной эксплуатации обычно разворачивается в несколько подэтапов со все большим количеством задействованных пользователей, использующих системные технологии и взятых из всех подразделений организации.
×èñëåííîñòü ïîëüçîâàòåëåé-èñïûòàòåëåé Единственная цель опытной эксплуатации — постепенный перебор пользователей организации для подтверждения правильности предположений, на которых основаны прототип и тесты, и что они будут правильными и в промышленной среде. Сначала мигрировать должна небольшая группа из 5–10 пользователей-испытателей (обычно это сотрудники IT-отдела, ответственные за надзор и проведение миграции). Эти пользователи проверяют базовую функциональность. После успешного завершения основного тестирования группа пользователейиспытателей может вырасти до 1%, потом до 3%, 5%, а затем и до 10% от численности всех пользователей организации. Это поэтапное развертывание позволяет команде миграции проверить совместимость, внутреннюю взаимосвязь и совместимость с существующими системами, работая с управляемыми группами пользователей, которые не завалят вопросами местные службы помощи во время процессов опытной эксплуатации и миграции. Помимо всего прочего, на этапе опытной эксплуатации персонал службы помощи и сопровождения миграции составляет базу знаний о продуктах, задействованных в процессе миграции, так что при повторном возникновении проблемы (возможно, на этапе полного развертывания программного продукта) будет известна и эта проблема, и способы ее решения.
Ñëîæíîñòü ïðèëîæåíèé ïîëüçîâàòåëåé-èñïûòàòåëåé Кроме расширения масштаба этапа опытной эксплуатации за счет увеличения числа пользователей, уровень сложности работы с программными средствами можно повысить с помощью выбора пользователей с разными требованиями к использованию приложений. Совместимость и выполнение приложений крайне важны для обретения
118
Обзор Windows Server 2003 ×àñòü I
опыта конечными пользователями во время процесса миграции. Часто пользователи не возражают, если во время процесса миграции что-то выполняется чуть медленнее, или если новый процесс требует некоторого обучения; но они бывают недовольны, если приложения, нужные им для выполнения ежедневной работы, зависают, данные теряются из-за нестабильности системы или приложение просто не функционирует. Поэтому тестирование приложений важно выполнить на ранних стадиях этапа опытной эксплуатации.
Ñëîæíîñòü ðîëåé ïîëüçîâàòåëåé-èñïûòàòåëåé Пользователи, участвующие в опытной эксплуатации, должны выполнять в организации различные роли. Во многих миграциях тестировались только пользователи из одного подразделения, которые пользуются одним набором приложений, и лишь в процессе полной миграции обнаруживалось, что не работает какое-либо средство или функция, критичная для всех сотрудников организации (за исключением подразделения, из которого были набраны пользователи-испытатели). В качестве примера можно привести специальное приложение по финансовым операциям, собственное приложение из области здравоохранения либо критичное средство автоматизации работы продавцов с дистанционным доступом, которое полностью парализует выполнение всего проекта уже на этапе полного развертывания системы.
Ãåîãðàôè÷åñêîå ðàçíîîáðàçèå ïîëüçîâàòåëåé-èñïûòàòåëåé Группа пользователей-испытателей должна быть в конечном итоге набрана из работников различных территориально удаленных подразделений организации. Важно начать этап опытной эксплуатации с группой пользователей, находящихся рядом с ITотделом и службой помощи, чтобы первоначальная поддержка этой группы была персональной и непосредственной. Однако до завершения опытной эксплуатации должны быть протестированы и пользователи с удаленных участков, чтобы убедиться в отсутствии негативного влияния на их работу.
Óñòðàíåíèå ïðîáëåì íà ýòàïå îïûòíîé ýêñïëóàòàöèè Независимо от объема планирования и тестирования на предыдущих этапах проекта, на этапе опытной эксплуатации всегда возникают какие-то проблемы. Важно, чтобы лабораторный стенд остался в рабочем состоянии, чтобы на нем можно было воспроизвести любую возникающую проблему, протестировать ее, найти решение и снова протестировать на этапе опытной эксплуатации.
Äîêóìåíòèðîâàíèå ðåçóëüòàòîâ îïûòíîé ýêñïëóàòàöèè По завершении опытной эксплуатации необходимо документально оформить ее результаты. Даже после серьезной работы по обследованию и проектированию, а также лабораторного тестирования прототипа и опытной эксплуатации, на последующих стадиях могут возникнуть проблемы — и любая зафиксированная информация о разреше-
Практические рекомендации по планированию… Ãëàâà 2
119
нии проблем, или конфигурировании для разрешения проблем на этапе опытной эксплуатации может упростить поиск решения на последующих этапах. Если уделить дополнительное внимание пользователям-испытателям, то можно точно отрегулировать найденное решение, чтобы полномасштабная реализация проекта закончилась успешно.
Ýòàï ìèãðàöèè/âíåäðåíèÿ: ïðîâåäåíèå ìèãðàöèè èëè èíñòàëëÿöèÿ К началу этой стадии выполнения проекта на этапе опытной эксплуатации должны быть развернуты и протестированы более 10% пользователей организации, приложения тщательно протестированы, персонал службы помощи и поддержки подготовлен, а решения часто встречающихся проблем четко зафиксированы в документации. Теперь организация может перейти к миграции и инсталляции в остальной части организации.
Ïðîâåðêà óäîâëåòâîðåííîñòè êîíå÷íûõ ïîëüçîâàòåëåé Критическая задача, которая может быть решена на этой стадии выполнения проекта, состоит в проверке удовлетворенности конечных пользователей: что модернизация систем, приложений и функциональности пользователей проведена, на все вопросы даны ответы, для всех задач найдены решения и, что самое главное, пользователи оценили преимущества и достоинства новой среды. На этом этапе проекта нужно уделить внимание не только развертыванию технологии; в это время происходит основное общение с пользователями. Пользователи обязательно должны пройти подготовку и получить поддержку, необходимую для реализации проекта. Учтите, что в каждом подразделении или группе пользователей первые несколько дней после модернизации будут возникать проблемы. Не забывайте и об особых пользователях с уникальными требованиями, и о дистанционных пользователях, поскольку им нужна дополнительная поддержка.
Ñîïðîâîæäåíèå íîâîé ñðåäû Windows Server 2003 Прежде чем последние пользователи перейдут в новую сетевую среду, вы, помимо планирования банкета по случаю завершения проекта, должны выделить время на проверку, что организована поддержка и сопровождение новой среды. Этот шаг включает не только регулярное резервное копирование новых серверов (подробно рассматриваемое в главе 32), но и планирование регламентных работ (глава 22), мониторинг (глава 25), а также настройку и оптимизацию (глава 35) новой среды Windows Server 2003. Теперь можно приступать к составлению списка мероприятий, которые не было смысла проводить в рамках первоначальной миграции — например, новые антивирусные решения, решения для управления знаниями, повышение уровня безопасности и прочее. Если лабораторный стенд еще существует, используйте его для тестирования исправлений и обновлений программного обеспечения.
120
Обзор Windows Server 2003 ×àñòü I
Ðåçþìå Одной из используемых в этой главе аналогий является строительство дома. Хотя эта аналогия не очень точна, она все же полезна. Если организация планирует внедрение Windows Server 2003, то важно сначала выяснить цели внедрения, причем не только стратегические цели “с высоты 50 000 футов”, но и цели отделов “с высоты 10 000 футов”, и отдельных работников “с высоты 1000 футов”. Далее, важно тщательно разобраться в среде, на базе которой будет проходить модернизация. Привлекается ли к этой работе сторонний персонал, или все выполняется своими силами — необходимо выяснить, что имеется в наличии, и где могут быть зоны риска или уязвимости. Затем на совместных совещаниях под руководством опытного и умелого ведущего начинается ознакомление руководства и внедренческого персонала с внедряемыми технологиями, а также принятие этой группой ключевых решений. Теперь вся эта информация должна быть зафиксирована в проектной документации, охватывающей все детали, и уже можно дать некоторые предварительные оценки требуемых ресурсов, графика выполнения и затрат. Этот документ играет роль эскиза, подробно определяющего, как будет выглядеть построенный “дом”. Когда все заказчики согласятся, что это именно то, чего они хотят, и будут согласованы график выполнения и стоимость работ, можно приступить к составлению документации по миграции. Документация по миграции содержит детализированный план проекта, в котором сформулированы задачи, необходимые для достижения результатов, описанных в проектной документации. План проекта должен содержать не пошаговое описание создания каждого сервера, а общие задачи продолжительностью от четырех часов до суток и более. Документация по миграции содержит изложение плана проекта и предоставляет дополнительную информацию, относящуюся к целям, ресурсам, рискам и поставкам, а также приблизительную смету проекта с точностью 10–20%. Имея эти документы, организация может приступить к реализации решения в лабораторной среде и тестированию предложенной структуры на реальных данных и ресурсах компании. Результаты тестирования могут потребовать внесения изменений в документацию по миграции и подготовят команду развертывания к промышленному внедрению. В идеальном случае должен существовать этап опытной эксплуатации с ограниченной некритичной группой пользователей — для точной настройки процесса реального внедрения ключевых технологий и Windows Server 2003. После этого остальная часть процесса реализации должна протекать без осложнений, а ее результат должен соответствовать пожеланиям, описанным на этапе проектирования, и проверен на этапах прототипирования и опытной эксплуатации. Рассмотрен даже этап сопровождения; на этой стадии можно “навести марафет”. Хотя этот процесс может показаться сложным, его можно приспособить к проектам различных масштабов и получить хорошие результаты.
Ïîëåçíûå ñîâåòû •
Для удовлетворения потребностей организации используйте методологию миграции, состоящую из этапов обследования, проектирования, тестирования и реализации.
Практические рекомендации по планированию… Ãëàâà 2
121
•
Перед внедрением или модернизацией нового приложения полностью уясните производственные и технические цели и задачи модернизации, а также все преимущества реализации.
•
Составьте список работ с подробным описанием сетевых функций Windows Server 2003, управления данными, доступа к информации, а также размещения приложений.
•
Определите стратегические цели организации и ее подразделений.
•
Определите наиболее важные сетевые компоненты и возможности и их содействие или препятствие достижению пожеланий различных подразделений.
•
Четко сформулируйте технические цели проекта на различных уровнях (“с высоты 50 000 футов”, “с высоты 10 000 футов”, “с высоты 1000 футов” и так далее).
Ýòàï îáñëåäîâàíèÿ •
Проведите ревизию и оценку существующей среды, чтобы убедиться, что существующая сетевая база может поддерживать новую среду Windows Server 2003.
•
Проверьте, что существующая среда сконфигурирована так, как вы предполагаете, и определите слабые и уязвимые зоны сети.
•
Определите стабильность текущей конфигурации сети и оцените ее производительность и работоспособность.
•
Привлеките к участию в проекте внешних партнеров, чтобы получить более качественные результаты благодаря накопленному ими опыту анализа сетей и прогнозирования проблем, которые могут возникнуть в процессе реализации проекта и стать “камнем преткновения”.
•
Начните обследование с проведения опросов на местах.
•
Проверьте и оцените каждое затрагиваемое устройство и приложение, чтобы определить их роль в новой среде.
•
Обеспечьте сопровождение и защиту информации баз данных, критичной для повседневной работы организации.
•
Определите, где находятся данные, какие имеются хранилища файлов и базы данных, методы их сопровождения и безопасность этих методов.
Ýòàï ïðîåêòèðîâàíèÿ •
Составьте проектную документацию, содержащую главные моменты обсуждения, причины финансирования проекта, объем проекта и подробное описание желаемого результата.
•
Составьте документацию по миграции с сетевым графиком, показывающим методы достижения конечного состояния.
•
Воспользуйтесь помощью консультантов, имеющих практический опыт проектирования и внедрения Windows Server 2003 и способных руководить реализацией этого процесса.
•
Определите, какие аппаратные и программные средства понадобятся для миграции.
122
Обзор Windows Server 2003 ×àñòü I
•
Определите, сколько потребуется лицензий на программное обеспечение серверов, чтобы уточнить оценку стоимости проекта.
•
Подробное опишите необходимый уровень резервирования и безопасности, который даст в конечном итоге предлагаемое решение.
•
Представьте проектную документацию и документацию по миграции на утверждение заказчикам.
Ýòàï ïëàíèðîâàíèÿ ìèãðàöèè •
Составьте документацию по миграции с подробным описанием действий, необходимых для достижения конечного состояния с минимальным риском или минимальным негативным влиянием на сетевую среду.
•
Составьте план проекта, содержащий список задач, ресурсов и сроков, необходимых для реализации решения.
Ýòàï ïðîòîòèïèðîâàíèÿ •
Создайте лабораторную среду, в которой можно сконфигурировать и протестировать ключевые элементы проекта, определенные в проектной документации.
•
Изолируйте лабораторную среду от промышленной сети, чтобы любые созданные или возникшие проблемы не повлияли на пользователей.
•
Тщательно протестируйте все приложения.
Ýòàï îïûòíîé ýêñïëóàòàöèè •
Отберите первую группу пользователей, которые перейдут в новую среду Windows Server 2003. Как правило, лучше выбрать более терпеливых пользователей, а не высокопоставленных ответственных лиц.
•
Четко сформулируйте стратегию отката на случай возникновения неожиданных проблем.
•
Тщательно протестируйте средства восстановления и резервирования системы.
•
Проведите точную настройку процессов миграции и укажите точные временные оценки.
Ýòàï ìèãðàöèè/âíåäðåíèÿ •
Убедитесь в том, что приложения тщательно протестированы, персонал службы помощи и поддержки прошел необходимую подготовку, а решения часто встречающихся проблем четко документально зафиксированы.
•
Проведите опрос конечных пользователей — удовлетворены ли они результатом.
•
Выделите время на проверку, налажена ли поддержка и сопровождение новой среды, до перехода последних пользователей в новую сетевую среду.
•
Запланируйте банкет по поводу завершения проекта.
Èíñòàëëÿöèÿ Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Ïëàíèðîâàíèå è ïîäãîòîâêà èíñòàëëÿöèè ñåðâåðà
•
Óñòàíîâêà îïåðàöèîííîé ñèñòåìû Windows Server 2003
•
Ìîäåðíèçàöèÿ äî Windows Server 2003
•
Èñïîëüçîâàíèå àëüòåðíàòèâíûõ ìåòîäîâ èíñòàëëÿöèè
•
Âûïîëíåíèå àâòîíîìíîé èíñòàëëÿöèè Windows Server 2003
•
Èíñòàëëÿöèÿ Windows Server 2003 èç îáðàçà
•
Èíñòàëëÿöèÿ Windows Server 2003 ñ ïîìîùüþ ãðóïïîâîé ïîëèòèêè è ñåðâåðà óïðàâëåíèÿ ñèñòåìîé
ÃËÀÂÀ
3
124
Обзор Windows Server 2003 ×àñòü I
В данной главе описан процесс инсталляции операционной системы Windows Server 2003. По мере совершенствования технологий Microsoft на протяжении ряда лет многие операции процесса инсталляции были упрощены. Например, все еще нужно проверять, что операционная система поддерживает используемые аппаратные средства, но все-таки большинство элементов оборудования автоматически распознаются приложениями с помощью возможности Plug and Play. К счастью, дни определения номеров прерываний IRQ, базовых адресов ввода-вывода и диапазонов памяти устройств системы канули в прошлое. По сути дела, процедура инсталляции Windows Server 2003 наиболее проста и интуитивно понятна из всех существующих на данный момент операционных систем Microsoft. Но все же сервер сам по себе не устанавливается. Чтобы по завершении инсталляции система удовлетворяла вашим требованиям, необходимо принять несколько решений. В этой главе рассматриваются все основные решения, принимаемые в процессе инсталляции, что поможет сделать правильный выбор в конкретной операционной среде.
Ïëàíèðîâàíèå è ïîäãîòîâêà èíñòàëëÿöèè ñåðâåðà Прежде чем приступить непосредственно к инсталляции Windows Server 2003, необходимо принять несколько решений. От правильности планирования этих действий зависит успешность инсталляции.
Ñîîòâåòñòâóåò ëè îáîðóäîâàíèå ìèíèìàëüíûì òðåáîâàíèÿì Первое, что нужно сделать при инсталляции — это проверить, что существующее оборудование удовлетворяет системным требованиям. Имейте в виду, что, несмотря на наличие минимальных требований к центральному процессору (ЦП) и оперативной памяти (ОЗУ), существует и рекомендуемая конфигурация ЦП и ОЗУ. Для достижения высокой производительности лучше не надеяться на минимальные требования и придерживаться рекомендуемых значений (или даже лучших). В табл. 3.1 приводится список системных рекомендаций для Windows Server 2003.
×òî âûáðàòü: íîâóþ èíñòàëëÿöèþ èëè ìîäåðíèçàöèþ Если у вас уже есть среда Windows, то можно инсталлировать новый сервер или модернизировать тот, который есть. У каждого из этих вариантов есть свои преимущества.
Íóæíî ëè âûïîëíÿòü íîâóþ èíñòàëëÿöèþ? Основное преимущество новой инсталляции заключается в том, что установив операционную систему с нуля, вы получаете заведомо хороший сервер. В этом случае можно избежать проблем миграции, которые, возможно, существовали на предыдущем сервере — из-за запорченного программного обеспечения, неправильных параметров конфигурации либо неверно установленных приложений.
Инсталляция Windows Server 2003 Ãëàâà 3
125
Òàáëèöà 3.1. Ñèñòåìíûå òðåáîâàíèÿ Требование
Стандартный сервер
Сервер предприятия
Минимальное быстродействие ЦП
133 МГц
133 МГц для компьютеров на базе процессора x86 733 МГц для компьютеров на базе процессора Itanium
Рекомендуемое быстродействие ЦП
550 МГц
733 МГц
Минимальный объем ОЗУ
128 Мб
128 Мб
Рекомендуемое минимальное быстродействие
256 Мб
256 Мб
Максимальный объем ОЗУ
4 Гб
32 Гб для компьютеров на базе процессора x86 64 Гб для компьютеров на базе процессора Itanium
Поддержка нескольких процессоров
До 4
До 8
Объем дисковой памяти
1.5 Гб
1.5 Гб для компьютеров на базе процессора x86 2.0 Гб для компьютеров на базе процессора Itanium
Но имейте в виду, что при этом теряются все параметры конфигурации из предыдущей инсталляции. Обязательно зафиксируйте информацию о конфигурации сервера и сохраните все данные, которые могут понадобиться в дальнейшем. Выполняя новую инсталляцию, можно установить систему на новый жесткий диск (или новый раздел), либо в другой каталог того же диска, что и для предыдущей инсталляции. В основном новые инсталляции производятся на новые диски или заново отформатированные жесткие диски. В этом случае удаляется все старое программное обеспечение, и получается максимально чистая инсталляция.
Íóæíî ëè âûïîëíÿòü ìîäåðíèçàöèþ ñóùåñòâóþùåãî ñåðâåðà? С другой стороны, модернизация заменяет текущие файлы Windows, но сохраняет существующих пользователей, установки, группы, права и полномочия. При таком сценарии не нужно вновь инсталлировать приложения или восстанавливать данные. Прежде чем выбрать этот вариант, учтите, что перед миграцией потребуется выполнить тестирование приложений на совместимость. То, что они работали в предыдущих версиях Windows, отнюдь не означает, что они будут работать и под управлением Windows Server 2003. Как всегда, перед выполнением любой процедуры обслуживания сервера, следует выполнить полное резервное копирование всех приложений и данных, которые необходимо сохранить.
126
Обзор Windows Server 2003 ×àñòü I
Чтобы выполнить модернизацию до Windows Server 2003, нужно работать в операционной системе уровня сервера. Модернизировать редакцию Workstation или Home до Windows Server 2003 нельзя. Для модернизации существующего сервера уже нужно работать в Windows 2000 или Windows NT 4.0 Server (с пакетом обновлений Service Pack 5 или выше). В табл. 3.2 содержится список допустимых способов модернизации до Windows Server 2003.
Òàáëèöà 3.2. Âîçìîæíîñòè ìîäåðíèçàöèè äî Windows Server 2003 Предыдущая операционная система
Возможность модернизации до Windows Server 2003
Windows NT версии 3.51 и более ранних
Нет, сначала нужно провести модернизацию до NT 4.0 с пакетом обновлений Service Pack 5 или выше
Windows NT 4.0 Server
Да, но должен быть установлен пакет обновлений Service Pack 5 и выше.
Windows 2000 Server
Да
Windows 2000 Advanced Server
Да
Windows 2000 Professional
Нет, возможна модернизация только операционных систем серверного уровня
Novell NetWare
Нет, но существуют средства переноса информации службы каталогов Novell (Novell Directory Service — NDS) в домен Windows
Îïðåäåëåíèå òèïà èíñòàëëèðóåìîãî ñåðâåðà Вы должны решить, сделать ли сервер контроллером домена (Domain Controller — DC), рядовым сервером или обособленным сервером. После определения задач, которые должен выполнять сервер, можно назначить ему конкретную роль. Контроллеры домена и рядовые серверы играют какую-либо роль в новом и в существующем домене. Обособленные серверы не связаны ни с каким конкретным доменом. Как и в Windows 2000, при желании можно повысить или понизить функции сервера. Обособленные серверы можно включить в домен и сделать их рядовыми серверами. Рядовые серверы с помощью утилиты DCPromo можно повысить до контроллеров доменов. И, кроме того, на контроллере домена можно деинсталлировать службу Active Directory и вернуть ему статус рядового сервера.
Ñáîð èíôîðìàöèè, íåîáõîäèìîé äëÿ äàëüíåéøåé ðàáîòû Во время инсталляции Windows Server 2003 необходимо сообщить мастеру установки (Setup Wizard), желаемую конфигурацию сервера. На основе предоставленной ему информации Мастер сконфигурирует параметры сервера, удовлетворяющие вашим спецификациям. Время, затраченное на сбор информации, описанной в последующих разделах, до выполнения инсталляции, наверняка окупится: инсталляция пройдет быстрее и легче.
Инсталляция Windows Server 2003 Ãëàâà 3
127
Âûáîð èìåíè êîìïüþòåðà Каждый компьютер любой сети должен иметь имя, уникальное в этой сети. Многие компании придерживаются стандартных соглашений по именованию своих серверов и рабочих станций. Если в вашей компании это не так, то при выборе имени можно воспользоваться следующей информацией. Хотя имя компьютера может содержать 63 символа, рабочие станции и серверы до Windows 2000 распознают только 15 первых символов. Широкое распространенной практикой стало использование в имени компьютера только символов, стандартных для Internet. Это буквы A–Z (верхнего и нижнего регистра), цифры 0–9 и дефис (-). И хотя верно, что реализация в среде системы доменных имен (Domain Name System — DNS) Microsoft позволяет использовать символы, отличные от стандартных для Internet (например, символы Unicode и символ подчеркивания), необходимо учитывать, что они могут стать источником проблем при наличии в сети серверов без Microsoft DNS. Необходимо тщательно взвесить все последствия отказа от стандартных символов Internet, описанных в предыдущем абзаце.
Èìÿ ðàáî÷åé ãðóïïû èëè äîìåíà Во время инсталляции сервера мастер установки попросит указать имя рабочей группы или домена, к которому будет присоединен этот сервер. Можно ввести либо имя существующей организационной структуры, либо новое имя, создав новую рабочую группу или домен. Пользователи, не имеющие опыта работы с сетями Microsoft, могут спросить: “Чем отличаются рабочая группа и домен?” Не вдаваясь в детали, можно сказать, что домен есть совокупность компьютеров и аппаратных средств поддержки, которые совместно используют одну и ту же базу данных безопасности. Такое группирование оборудования позволяет установить централизованные защиту и администрирование. Рабочая же группа не имеет централизованной защиты и администрирования. Все параметры безопасности каждого сервера или рабочей станции конфигурируются независимо друг от друга и локально.
Ñåòåâîé ïðîòîêîë è IP-àäðåñ ñåðâåðà При инсталляции Windows Server 2003 нужно инсталлировать и сконфигурировать сетевой протокол, который позволит системе сообщаться с другими машинами сети. В настоящее время наиболее используемым сетевым протоколом является TCP/IP (Transmission Control Protocol/Internet Protocol — протокол управления передачей/протокол Internet). Этот протокол позволяет обмениваться данными всем компьютерам, подключенным к Internet. После инсталляции протокола TCP/IP необходимо сконфигурировать IP-адрес сервера. Можно выбрать один из следующих трех методов присваивания IP-адреса. •
Автоматическая частная IP-адресация (Automatic Private IP Addressing — APIPA). APIPA может быть использована при наличии небольшой компьютерной сети, в которой нет сервера DHCP (Dynamic Host Configuration Protocol — протокол динамической конфигурации хоста), который используется для выделения динамических IP-адресов. Уникальный IP-адрес назначается сетевому адаптеру при использовании пространства IP-адресов LINKLOCAL. Такой адрес
128
Обзор Windows Server 2003 ×àñòü I
всегда начинается с 169.254 и имеет формат 169.254.x.x. Обратите внимание, что если используется адрес APIPA, и в сети появится DHCP-сервер, то компьютер это обнаружит и будет использовать адрес, назначенный службой DHCP. •
Динамический IP-адрес. Динамический IP-адрес назначается DHCP-сервером. Это позволяет серверу снабжать клиентов IP-адресами и конфигурационной информацией. Примерами такой распространяемой информации могут служить IP-адрес, маска подсети, стандартный шлюз, адрес сервера системы доменных имен (Domain Name System — DNS) и адрес сервера службы имен Windows (Windows Internet Naming Service — WINS). Как следует из слова “динамической”, этот адрес присваивается компьютеру на конфигурируемый промежуток времени, известный как срок аренды (lease). Когда срок аренды истекает, рабочая станция снова должна затребовать IP-адрес у DHCP-сервера. Это может быть тот же или другой адрес. Хотя этот метод адресации можно сконфигурировать и у серверов, и у рабочих станций, обычно он используется для рабочих станций, но не серверов.
•
Статический IP-адрес. Чаще всего серверы конфигурируются на статическую IP-адресацию. Слово “статическая” означает, что адрес не изменяется, если не изменяется конфигурация сервера. Этот момент важен, поскольку клиенты и ресурсы, которым нужен доступ к серверу, должны знать адрес, чтобы установить с ним соединение. Если IP-адрес регулярно меняется, то при установлении связи с ним могут возникнуть трудности.
Ðåçåðâíîå êîïèðîâàíèå ôàéëîâ Выполняется ли новая инсталляция ранее использовавшегося сервера или модернизация существующего сервера — прежде чем приступать к новой инсталляции, необходимо выполнить полное резервное копирование данных и операционной системы. Тогда у вас будет план аварийного отката, если инсталляция завершится неудачей или если сервер будет работать не так, как от него требуется. При выполнении новой инсталляции на ранее использовавшемся сервере затираются все данные, которые были на нем. При таком сценарии нужные данные необходимо будет восстановить из резервной копии на ленте. А если планируется модернизация существующего сервера, то проверенная резервная копия позволит восстановить предыдущее состояние, если модернизации пройдет не по плану.
НА ЗАМЕТКУ Многие пользователи создают резервные копии серверов, но не проверяют, что эти данные могут быть прочитаны с носителя. И когда возникает необходимость восстановить данные, вдруг оказывается, что магнитная лента не годна или не читается, либо они не знакомы с процедурой восстановления сервера. Нужно регулярно выполнять процедуры копирования/восстановления в лабораторной среде для проверки, что оборудование работает и процесс выполняется нормально.
Инсталляция Windows Server 2003 Ãëàâà 3
129
Óñòàíîâêà îïåðàöèîííîé ñèñòåìû Windows Server 2003 Если вам уже приходилось инсталлировать операционную систему сервера Microsoft, то процесс инсталляции Windows Server 2003 должен выглядеть достаточно знакомо. В первой половине инсталляции используется тот же самый синий фон с белым текстом, и большинство вопросов остались теми же. По-прежнему нужно нажимать клавишу
для подтверждения согласия с условиями лицензии, но в отличие от ряда предыдущих версий теперь не требуется чтение всего лицензионного соглашения. Следующим шагом необходимо подготовить жесткий диск и разделы, в которые будет проведена инсталляция. Хотя этот процесс аналогичен предыдущим версиям, но появятся и новые варианты выбора. При подготовке и выборе раздела для инсталляции следуйте получаемым инструкциям.
Ôîðìàòèðîâàíèå ðàçäåëà В предыдущих версиях операционной системы Windows было два варианта разбиения жесткого диска на разделы: NTFS или FAT. Эти знакомые варианты остались, но к ним добавлены два новых варианта быстрого форматирования, как показано на рис. 3.1.
Ðèñ. 3.1. Варианты форматирования раздела Windows Server 2003
Áûñòðîå ôîðìàòèðîâàíèå èëè îáû÷íîå ôîðìàòèðîâàíèå При выборе форматирования раздела NTFS или FAT диск уже должен быть форматирован. Этот процесс требует значительного времени. Новый “быстрый” вариант может форматировать разделы намного быстрее — в некоторых случаях в 25 раз быстрее! Однако имейте в виду, что в этом случае дисковод в обычном смысле не форматируется. Вариант Quick Format выполняет только высокоуровневое форматирование диска — используя дорожки и сектора, определенные во время предыдущего форматирования. Этот вариант особенно удобен при инсталляции
130
Обзор Windows Server 2003 ×àñòü I
серверов, которые до этого не содержали никакой конфиденциальной информации. И, конечно же, он удобен для многократной инсталляции лабораторного сервера.
FAT èëè NTFS Один из наиболее часто задаваемых вопросов при инсталляции Windows-серверов: “Использовать FAT или NTFS?” Файловая система FAT (File Allocation Table — таблица размещения файлов) применяется достаточно долго — со времен MS-DOS. Она была модернизирована в Windows 95 SR-2, когда на смену FAT16 пришла FAT32, предоставив возможность работы с длинными именами файлов и создания томов и дисков больших размеров. Хотя теоретически размеры раздела в FAT32 может быть до 2 Тб, Windows Server 2003 накладывает ограничение: размер томов не может превышать 32 Гб. Размеры файлов также ограничены: ни один файл не может быть больше 4 Гб (2 Гб в FAT16). Существуют две ситуации, в которых приходится пользоваться файловой системой FAT. Во-первых, она используется, когда Windows Server 2003 устанавливается на машине, которая должна загружать вторую операционную систему, не поддерживающую NTFS (например, Windows 95). Во-вторых, она используется, когда необходима возможность загрузки сервера с дискеты (например, с загрузочной дискеты DOS или Win95) для доступа к файлам в корневом разделе.
ВНИМАНИЕ! Имейте в виду, что если вы сами можете загрузить свой сервер с дискеты, чтобы получить доступ к файлам, хранящимся на жестком диске, то это вполне сможет сделать и кто-то другой!
Система NTFS (NT File System — файловая система NT) рекомендуется для использования с Windows Server 2003, как и для серверов Windows 2000 и Windows NT. На самом деле NTFS — это NTFS5, модернизированная с помощью пакета обновлений NT 4.0 Service Pack 4. Эта файловая система обладает большей устойчивостью к сбоям и способна обнаруживать ошибки и запорченные секторы жесткого диска. Когда возникает какаялибо из таких проблем, эта файловая система автоматически вносит исправления. Windows Server 2003 обеспечивает поддержку размера тома до 16 Тб (минус 4 Кб), а максимальный размер файла равен 16 Тб (минус 64 Кб). Кроме того, в NTFS имеются улучшенная защита файлов, сжатие информации на диске и возможности шифрования, и она может использовать отказоустойчивые дисковые конфигурации — зеркальные копии и разбиение дисков на полосы. Итак, какую файловую систему использовать для Windows Server 2003? Простое практическое правило таково: если не нужно использовать FAT по одной из указанных выше причин, выбирайте NTFS.
Ðåãèîíàëüíûå è ÿçûêîâûå íàñòðîéêè После конфигурирования загрузочного раздела в него будут скопированы все файлы операционной системы. Система перезагрузится, и начнется выполнение части инсталляции с графическим интерфейсом пользователя (Graphical User Interface — GUI). При настройке раздела Regional Options (Региональные параметры) можно сконфигурировать стандарты и форматы (Standards and Formats). Эти параметры определяют форматы представления системой чисел, денежных сумм, дат и времени.
Инсталляция Windows Server 2003 Ãëàâà 3
131
Настройка Location (Местоположение) предоставляет местную информацию, например, последние известия и прогноз погоды. В разделе Languages (Языки) можно выбирать текстовые службы и языки ввода данных. Кроме того, можно инсталлировать дополнительную языковую поддержку языков Восточной Азии и поддержку сложных письменностей и языков с записью справа налево, в том числе и тайского языка.
Ïåðñîíàëèçàöèÿ ïðîãðàììíîãî îáåñïå÷åíèÿ Далее мастер установки предлагает ввести свое имя и название организации. Эта информация будет использована во время установки для определения имени компьютера по умолчанию. Кроме того, она будет отображаться на экране Windows Server 2003 в разделе Registered To (Зарегистрирован на). Во многих компаниях имеются правила заполнения этих полей. Часто в поле Name (Имя) вводится название подразделения или местоположения (например, Отдел Кадров или Комарово), а в поле Organization (Организация) — название компании.
Ââîä êëþ÷à ïðîãðàììíîãî ïðîäóêòà Если вы устанавливали предыдущие версии операционной системы Windows, то процесс ввода ключа программного продукта (product key) должен быть вам знаком. Раньше для активизации программного обеспечения при инсталляции сервера или рабочей станции нужно было указать ключ программного продукта. В Windows Server 2003 также нужно указать ключ программного продукта, но при этом существуют различные ситуации. Действия по активизации Windows Server 2003 описаны в последующих разделах.
Èñïîëüçîâàíèå êëþ÷à àêòèâèçàöèè èíñòàëëÿöèîííîãî íîñèòåëÿ Если инсталляционный носитель приобретен в магазине, то для активизации ключа программного продукта нужно связаться с компанией Microsoft (по Internet или по телефону). Этот ключ уникален для каждой инсталляции. К счастью, процесс инсталляции можно автоматизировать с помощью технологий наподобие хоста сценариев Windows (Windows Scripting Host — WSH) и инструментальных средств управления Windows (Windows Management Instrumentation — WMI).
Èñïîëüçîâàíèå êëþ÷à àêòèâèçàöèè òîìà Если инсталляционный носитель куплен как часть программы лицензирования томов Microsoft (например, Open или Select), то никакая активизация не требуется. Кроме того, общий ключ программного продукта можно использовать во всех инсталляциях.
Âûáîð ðåæèìà ëèöåíçèðîâàíèÿ Еще одним камнем преткновения для многих пользователей является тема режимов лицензирования. При инсталляции Windows Server 2003, как и для Windows 2000 и NT, нужно выбрать для сервера один из двух режимов лицензирования: Per Server (На серверы) либо Per Device (На устройства).
132
Обзор Windows Server 2003 ×àñòü I
НА ЗАМЕТКУ Если вы не уверены, какой из этих режимов больше подходит для вашей среды, укажите Per Server. При необходимости можно один раз переключиться из режима Per Server в режим Per Device, но обратное переключение из режима Per Device в Per Server невозможно.
Ëèöåíçèðîâàíèå íà ñåðâåð В режиме лицензирования Per Server для каждого сервера определено число клиентов, которым разрешено одновременно подключаться. Каждый сервер сети, использующий этот режим, должен иметь достаточно лицензий на доступ клиентов (Client Access License — CAL), приобретенных, чтобы охватить максимальное число одновременных подключений, которые будет поддерживать сервер. Если число подключений превысит сконфигурированное количество CAL, то при попытке подключения к сетевым ресурсам клиенты либо будут заблокированы, либо получат сообщения Access Denied (В доступе отказано). Этот вариант обычно выбирается небольшими компаниями, установивших только одну систему Windows Server 2003, поскольку в небольших организациях немного и пользователей. Этот вариант можно также выбрать при конфигурировании Webсервера или сервера службы удаленного доступа (Remote Access Service — RAS). Можно сконфигурировать максимальное число подключаемых пользователей, и даже если клиент не лицензирован как сетевой клиент Windows Server 2003, лицензионное соглашение не будет нарушено.
Ëèöåíçèðîâàíèå íà óñòðîéñòâî В режиме лицензирования Per Device лицензия CAL нужна для каждой рабочей станции (или рабочего места), которая подключается к любому лицензированному серверу. Это пользователи, работающие в любой операционной системе Windows, Macintosh или Unix и подключающиеся к файловому серверу на платформе Windows. В этой ситуации рабочая станция не ограничивается подключением только к одному серверу; клиентским компьютерам можно обращаться к любому серверу сети Windows, если только каждая клиентская машина имеет лицензию CAL. Это наиболее распространенный вариант лицензирования, так как в большинстве компаний имеется более одного сервера. Хотя лицензия CAL дороже клиентской лицензии Per Server, за каждого пользователя нужно заплатить только один раз, чтобы он получил доступ к неограниченному числу Windows-серверов.
Óñòàíîâêà èìåíè êîìïüþòåðà è ïàðîëÿ àäìèíèñòðàòîðà Далее предлагается ввести имя компьютера и пароль администратора для данного компьютера.
Âûáîð èìåíè êîìïüþòåðà По умолчанию программа установки предлагает имя компьютера, основанное на информации, введенной в поле Organization (Организация) из раздела Personalize Your Software (Персонализация программного обеспечения). Здесь можно (и, как
Инсталляция Windows Server 2003 Ãëàâà 3
133
правило, нужно) поменять имя по умолчанию. Введите имя, которое вы уже выбрали в разделе “Сбор информации, необходимой для дальнейшей работы” данной главы.
Âûáîð ïàðîëÿ àäìèíèñòðàòîðà Мастер установки автоматически создает учетную запись для администратора, называемую, как ни странно, Administrator (Администратор). Эта учетная запись имеет локальные административные полномочия и позволяет управлять всеми параметрами локальной конфигурации сервера. После завершения инсталляция эту учетную запись из соображений безопасности можно (и нужно) переименовать. Для этой учетной записи необходимо выбрать пароль. Его потребуется ввести дважды — сначала в поле Password (Пароль), а затем еще раз в поле Confirmation (Подтверждение). Как и в предыдущих операционных системах Windows, пароль чувствителен к регистру и может содержать не более 127 символов. Необходимо тщательно выбирать пароль, чтобы обеспечить должный уровень безопасности системы. Если ввести пароль, не отвечающий критериям Microsoft для устойчивых паролей, появится предупреждение программы установки Windows, показанное на рис. 3.2.
Ðèñ. 3.2. Предупреждение о недостаточной устойчивости пароля во время установки Из соображений безопасности не следует выбирать пароль, не удовлетворяющий указанным минимальным критериям безопасности.
Óñòàíîâêà äàòû è âðåìåíè На следующем шаге нужно установить правильную дату и время и выбрать часовой пояс для вашего местоположения. Кроме того, если в вашей местности используется переход на летнее время, следует установить соответствующий флажок. Диалоговое окно может появиться, а может и не появиться, в зависимости от установленного оборудования.
134
Обзор Windows Server 2003 ×àñòü I
Óñòàíîâêà ïàðàìåòðîâ ñåòè Далее для сервера необходимо выбрать подходящие сетевые параметры. Эти параметры конфигурируют компьютер так, что он сможет соединяться с другими компьютерами, сетями и Internet. Можно выбрать вариант Typical Settings (Типичные параметры) или Custom Settings (Настройка параметров).
Òèïè÷íûå ïàðàìåòðû При выборе варианта Typical Settings мастер установки автоматически конфигурирует для сервера стандартные сетевые параметры. Эти стандартные параметры предусматривают инсталляцию клиента для сетей Microsoft, доступа к файлам и к печати, а также TCP/IP в качестве протокола по умолчанию. Кроме того, при конфигурировании параметров TCP/IP сервер осуществляет поиск DHCP-сервера. Если он его находит, он конфигурирует его на получение динамического IP-адреса. Если DHCP-сервер не найден, он конфигурирует автоматический частный IP-адрес (Automatic Private IP Address — APIPA). Для большинства компаний клиенты, службы и протоколы, выбранные по умолчанию, удовлетворяют их потребностям, хотя, возможно, потребуется изменить параметры TCP/IP и назначить серверу статический адрес. Дополнительная информация была приведена в разделе “Сетевой протокол и IP-адрес сервера”.
Íàñòðîéêà ïàðàìåòðîâ Выбор варианта Custom Settings позволяет сконфигурировать сетевые компоненты вручную. По умолчанию выбраны компоненты Client for Microsoft Networks (Клиент для сетей Microsoft), File and Printer Sharing for Microsoft Networks (Совместное использование файлов и принтеров для сетей Microsoft) и Internet-протокол (TCP/IP). Вариант Custom Settings нужно указать, если необходимо установить дополнительные клиенты, службы и/или протоколы, либо изменить стандартную конфигурацию предложенных компонентов.
Âêëþ÷åíèå â ðàáî÷óþ ãðóïïó èëè â äîìåí êîìïüþòåðîâ Если вы присоединяетесь к существующему домену, то потребуется указать входное имя пользователя и пароль администратора этого домена. Либо можно попросить администратора домена включить имя вашего компьютера в домен, чтобы сервер мог к нему подключаться. Если имя домена, членом которого предстоит стать серверу, неизвестно, или если у вас нет административных прав на включение сервера в домен, выберите инсталляцию рабочей группы. В этом случае можно легко включить сервер в домен позже.
Çàâåðøåíèå èíñòàëëÿöèè После щелчка на кнопке Next (Далее) мастер установки завершит инсталляцию сервера, применит все заданные значения конфигурационных параметров и удалит все временные файлы. По завершении инсталляции компьютер перезагрузится и загрузит Windows Server 2003.
Инсталляция Windows Server 2003 Ãëàâà 3
135
Âõîä â ñèñòåìó После появления подсказки нажмите комбинацию клавиш , чтобы войти в Windows Server 2003. На экране появится установленное по умолчанию имя администратора. Вам нужно ввести назначенный ранее пароль и щелкнуть на кнопке OK.
Àêòèâèçàöèÿ Windows Server 2003 Если вашу копию Windows Server 2003 нужно активизировать, то можно либо щелкнуть на значке в системной панели, который выглядит как пара из золотого и серебряного ключей, либо выбрать в меню Start (Пуск) пункт All ProgramsÖActivate Windows (Все программыÖАктивизировать Windows). Активизировать Windows можно через Internet или по телефону.
Àêòèâèçàöèÿ Windows ÷åðåç Internet Чтобы активизировать систему через Internet, выберите этот вариант и щелкните на кнопке Next. Затем потребуется ответить на вопрос: хотите ли вы зарегистрироваться в Microsoft. Это действие необязательно и для активизации Windows не требуется. Если вы регистрируетесь, Microsoft будет (с вашего согласия) уведомлять вас об обновлениях продукта, о новых продуктах, событиях и специальных предложениях. Выбрав вариант Yes, I Want to Register and Activate Windows at the Same Time (Да, я хочу зарегистрироваться и активизировать Windows одновременно), вы увидите экран Collecting Registration Data (Сбор данных для регистрации), показанный на рис. 3.3.
Ðèñ. 3.3. Экран сбора данных для регистрации Windows
136
Обзор Windows Server 2003 ×àñòü I
Введите требуемую информацию и щелкните на кнопке Next. После проверки сервером доступности Internet начнется процесс активизации. Выбор варианта No, I Don’t Want to Register Now; Let’s Just Activate Windows (Нет, я не хочу сейчас регистрироваться; просто активизировать Windows) запускает сразу (после проверки сервером доступности Internet) процесс активизации. После проверки соединения вы увидите окно с подтверждением активизации вашей копии Windows. Щелкните на кнопке OK, чтобы закрыть мастер активизации Windows.
Àêòèâèçàöèÿ Windows Server 2003 ïî òåëåôîíó Для активизации Windows Server 2003 по телефону выберите вариант Yes, I Want to Telephone a Customer Service Representative to Activate Windows (Да, я хочу позвонить в службу работы с покупателями и активизировать Windows) и щелкните на кнопке Next. Мастер активизации Windows быстро сгенерирует новый инсталляционный идентификатор и перейдет к следующему этапу. Далее вам предлагается указать местность, где вы находитесь, и будет дан номер телефона. Во время разговора с представителем службы работы с покупателями сообщите ему автоматически сгенерированный инсталляционный идентификатор. После этого представитель сообщит вам идентификатор подтверждения, который нужно ввести на этапе 4, показанном на рис. 3.4.
Ðèñ. 3.4. Активизация Windows Server 2003 по телефону
Ìîäåðíèçàöèÿ äî Windows Server 2003 При модернизации до Windows Server 2003 все конфигурационные параметры прежней инсталляции сохраняются. Но прежде чем приступить к модернизации, придется выполнить несколько очень важных задач.
Инсталляция Windows Server 2003 Ãëàâà 3
137
Ñîçäàíèå ðåçåðâíîé êîïèè ñåðâåðà При любых крупных изменениях в сервере что-то может пойти не так. Полное резервное копирование операционной системы и данных превратит полную катастрофу в не очень приятный откат.
Ïðîâåðêà ñîâìåñòèìîñòè ñèñòåìû При вставке компакт-диска Windows Server 2003 в привод существующего сервера функция автозапуска должна запустить программу инсталляции. Одним из вариантов на первой странице является Check System Compatibility (Проверка совместимости системы). После щелчка на этой кнопке вам нужно будет выбрать, проверить ли систему автоматически, либо посетить Web-сайт проверки совместимости.
Àâòîìàòè÷åñêàÿ ïðîâåðêà ñèñòåìû В случае автоматической проверки далее нужно решить, загружать ли те инсталляционные файлы, которые были изменены после выпуска вашего компакт-диска. Программа проверки совместимости соединится с Microsoft через Internet, загрузит все обновленные программы и применит их для модернизации инсталляции. Затем вы получите отчет о совместимости системы. В нем будут показаны все проблемы, которые удалось обнаружить Microsoft. Например, на время модернизации будет отключена одна из служб (вроде IIS), чтобы исключить возможность злонамеренных атак на сервер. После просмотра отчета щелкните на кнопке Finish (Готово).
Âûïîëíåíèå äîïîëíèòåëüíûõ çàäà÷ Прежде чем продолжить процесс инсталляции, можно выбрать вариант Perform Additional Tasks (Выполнить дополнительные задачи). Эти задачи позволят установить соединение с удаленным рабочим столом (Remote Desktop Connection — RDC), просмотреть содержимое инсталляционного компакт-диска и прочитать инструкции по установке и примечания по конкретной версии продукта.
Ïðîâåäåíèå ìîäåðíèçàöèè На этой стадии все данные скопированы, совместимость с новой операционной системой проверена, и прочитаны все примечания по версии продукта. Настало время для проведения модернизации, то есть выполнения следующих шагов: 1. Для запуска мастера установки Windows Server 2003 выберите пункт Install Windows Server 2003, Enterprise Edition Server (Установить Windows Server 2003, Сервер редакции Enterprise). 2. На экране установки нужно выбрать тип инсталляции. Выберите Upgrade (Модернизация) и щелкните на кнопке Next. 3. После просмотра лицензионного соглашения отметьте пункт I Accept This Agreement (Я принимаю условия этого соглашения) и щелкните на кнопке Next. 4. Если используемый инсталляционный носитель требует указать ключ продукта, введите его сейчас. 25-символьный ключ продукта можно найти на наклейке с
138
Обзор Windows Server 2003 ×àñòü I
обратной стороны футляра компакт-диска с Windows. Введите ключ продукта и щелкните на кнопке Next. 5. Далее мастер установки проверяет совместимость компьютера с Windows Server 2003. Можно просмотреть подробную информацию о каждом элементе, щелкнув на кнопке Details (Подробно). Кроме того, отчет о совместимости можно сохранить, щелкнув на кнопке Save As (Сохранить как). 6. Просмотрите список всех расхождений и убедитесь, что ни одно из них не помешает модернизации, после чего щелкните на кнопке Next. 7. Мастер установки завершит копирование инсталляционных файлов и перезапустит компьютер.
НА ЗАМЕТКУ После инсталляции основной операционной системы Windows, но перед включением сервера в производственную сеть, обязательно установите последний пакет обновлений и все последние обновления безопасности.
Процесс завершения инсталляции и активизации Windows при модернизации протекает так же, как и в случае первоначальной инсталляции.
Èñïîëüçîâàíèå àëüòåðíàòèâíûõ ìåòîäîâ èíñòàëëÿöèè Для инсталляции Windows Server 2003 можно использовать несколько альтернативных методов. Используя такие средства развертывания, как служба удаленной инсталляции (Remote Installation Services — RIS), средство подготовки системы (System Preparation — Sysprep), средство подготовки удаленной инсталляции (Remote Installation Preparation — RIPrep), файлы средства автономной инсталляции и групповую политику (с помощью сервера управления системами (Systems Management Server — SMS)), можно создать образы и сценарии, чтобы инсталляция серверов проходила различными способами. Возможные методы инсталляции представлены в табл. 3.3.
Òàáëèöà 3.3. Ñðåäñòâà ðàçâåðòûâàíèÿ è èõ èñïîëüçîâàíèå Unattend
RIS
Sysprep
Базовая инсталляция
X
X
X
Модернизация
X
Разнородное оборудование
X
GP/SMS X
X
X
Инсталляция из образа
X
X
Операционная система вместе с установленными приложениями
X
X
Нужна ли служба каталогов Active Directory
X
X X
В последующих разделах приводятся некоторые сведения об этих вариантах инсталляции.
Инсталляция Windows Server 2003 Ãëàâà 3
139
Âûïîëíåíèå àâòîíîìíîé èíñòàëëÿöèè Windows Server 2003 Используя сценарии, можно автоматизировать процесс инсталляции Windows Server 2003 и свести до минимума необходимость вмешательства пользователя. С помощью файлов ответов (unattend.txt) можно предоставить всю информацию, необходимую для завершения инсталляции. В этих файлах могут быть записаны такие компоненты, как имя компьютера, IP-адрес, ключ продукта и настройки DNS. Автономная инсталляция может быть выполнена и при первоначальной инсталляции, и при модернизациях, на однородном или разнородном оборудовании. Windows Server 2003 можно разворачивать из центральной точки инсталляции, а после инсталляции операционной системы ее можно легко модифицировать.
Êîãäà èñïîëüçîâàòü àâòîíîìíóþ èíñòàëëÿöèþ Организации часто применяют автономную инсталляцию, когда нужно развернуть несколько аналогично сконфигурированных систем. В отличие от использования образов, автономные инсталляции хорошо работают с разнородными аппаратными платформами. Можно создать один файл ответов и несколько его модификаций и применить его к другому серверу с аналогичной конфигурацией. Этот процесс полезен и при развертывании удаленных систем, которые нужно создать на месте, если нет возможности сконфигурировать их самостоятельно. Система, сконфигурированная на удаленной площадке, будет сконфигурирована именно так, как вам надо.
Ïðèìåíåíèå óñîâåðøåíñòâîâàííîãî äèñïåò÷åðà óñòàíîâêè Диспетчер установки находится в файле deploy.cab в каталоге \support\tools на инсталляционном компакт-диске Windows. С его помощью можно создавать и изменять файлы ответов для автономных инсталляций. Усовершенствование диспетчера установки Windows Server 2003 состоит в возможности шифрования пароля администратора, который до этого хранился в файле ответов в виде открытого текста. Кроме того, диспетчер установки имеет усовершенствованный интерфейс и улучшенный справочный файл.
Ïîäãîòîâêà ê àâòîíîìíîé èíñòàëëÿöèè Чтобы подготовиться в автономной инсталляции, сначала нужно установить и запустить диспетчер установки. Хотя это приложение включено в инсталляционный носитель Windows Server 2003, по умолчанию оно не инсталлируется. Чтобы инсталлировать диспетчер установки, выполните перечисленные ниже шаги. 1. Вставьте компакт-диск Windows Server 2003 в привод компьютера. Если при этом держать нажатой клавишу <Shift>, то можно обойти функцию автозапуска компакт-диска.
140
Обзор Windows Server 2003 ×àñòü I
2. Откройте пиктограмму My Computer (Мой компьютер), щелкните правой кнопкой мыши на значке привода компакт-дисков и выберите в контекстном меню пункт Explore (Проводник). 3. Откройте каталог support\tools и дважды щелкните на файле deploy.cab, чтобы открыть его. 4. Выберите все файлы в правой панели, щелкните на них правой кнопкой мыши и выберите в контекстном меню пункт Extract (Извлечь). 5. Выберите папку, в которую нужно поместить файлы (либо создайте новую папку), и щелкните на кнопке Extract. 6. Откройте папку с извлеченными файлами и дважды щелкните на файле Setupmgr.exe. 7. После запуска мастера диспетчера установки следуйте его указаниям, чтобы создать файл ответов.
Ñîçäàíèå ñöåíàðèÿ àâòîíîìíîé èíñòàëëÿöèè Чтобы создать файл ответов для автономной инсталляции, откройте папку с извлеченными файлами. Дважды щелкните на файле Setupmgr.exe и следуйте указаниям мастера диспетчера установки.
Ïðèìåð ôàéëà unattend.txt Файл unattend.txt может быть очень простым или исключительно сложным, а его размер колеблется от нескольких десятков до нескольких сотен строк кода. Ниже приводится пример файла unattend.txt, созданного с помощью диспетчера установки в течение примерно пяти минут: ;SetupMgrTag [Data] AutoPartition=1 MsDosInitiated="0" UnattendedInstall="Yes" [Unattended] UnattendMode=FullUnattended OemSkipEula=Yes OemPreinstall=Yes TargetPath=\WINDOWS [GuiUnattended] AdminPassword=xxxxxxxx EncryptedAdminPassword=Yes OEMSkipRegional=1 TimeZone=4 OemSkipWelcome=1 [UserData] ProductKey=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX FullName="Rand Morimoto" OrgName="Convergent Computing" ComputerName=WNS-Server-One
Инсталляция Windows Server 2003 Ãëàâà 3 [Display] Xresolution=800 YResolution=600 [LicenseFilePrintData] AutoMode=PerServer AutoUsers=10 [TapiLocation] CountryCode=1 Dialing=Tone AreaCode=510 [SetupMgr] DistFolder=C:\windist installation DistShare=windist [Components] accessopt=On calc=On charmap=On clipbook=On deskpaper=On templates=On mousepoint=On paint=On freecell=Off hearts=Off zonegames=Off minesweeper=Off solitaire=Off spider=Off indexsrv_system=On msnexplr=Off certsrv=Off certsrv_client=Off certsrv_server=Off iis_www=Off iis_ftp=Off iis_smtp=Off iis_smtp_docs=Off iis_nntp=Off iis_nntp_docs=Off reminst=Off rstorage=Off TerminalServer=On wms=Off wms_admin_asp=Off wms_admin_mmc=Off wms_server=Off chat=On
141
142
Обзор Windows Server 2003 ×àñòü I dialer=On hypertrm=On cdplayer=On mplay=On media_clips=On media_utopia=On rec=On vol=On
[Identification] JoinDomain=companyabc DomainAdmin=companyabc\administrator DomainAdminPassword=password [Networking] InstallDefaultComponents=No [NetAdapters] Adapter1=params.Adapter1 [params.Adapter1] INFID=* [NetClients] MS_MSClient=params.MS_MSClient [NetServices] MS_SERVER=params.MS_SERVER [NetProtocols] MS_TCPIP=params.MS_TCPIP [params.MS_TCPIP] DNS=No UseDomainNameDevolution=No EnableLMHosts=Yes AdapterSections=params.MS_TCPIP.Adapter1 [params.MS_TCPIP.Adapter1] SpecificTo=Adapter1 DHCP=No IPAddress=10.100.100.10 SubnetMask=255.255.255.0 DefaultGateway=10.100.100.1 DNSServerSearchOrder=10.100.100.50,10.100.100.51 WINS=Yes WinsServerList=10.100.100.60 NetBIOSOptions=0 Когда вы привыкнете и начнете применять файлы автономных сценариев, вы обнаружите, что они могут сэкономить большое количество времени при инсталляции Windows Server 2003 на нескольких системах.
Инсталляция Windows Server 2003 Ãëàâà 3
143
Çàïóñê ñöåíàðèÿ àâòîíîìíîé èíñòàëëÿöèè Когда диспетчер установки создает файл unattend.txt, он создает еще и командный файл unattend.bat. Этот командный файл задает имя файла ответов (unattend.txt) и место, где находятся исходные файлы (\\WINSERVER\windist\I386). Далее командой winnt32 с параметрами, содержащими имена файлов, запускается процесс инсталляции.
НА ЗАМЕТКУ Поскольку файлы установки (в данном случае) находятся на сервере Windows, то перед запуском командного файла необходимо установить соединение с сетью.
Ïðèìåð ôàéëà unattend.bat Файл unattend.bat представляет собой командный файл, предназначенный для запуска автономной инсталляции. Действия командного файла можно выполнить и вручную, однако если этот процесс повторяется несколько раз, то запуск командного файла, подобного приведенному ниже, существенно упростит процесс инсталляции: @rem SetupMgrTag @echo off set AnswerFile=.\unattend.txt set SetupFiles=\\WIN2KSERVER\windist\I386 \\WIN2KSERVER\windist\I386\winnt32 /s:%SetupFiles% /unattend:%AnswerFile%
Èíñòàëëÿöèÿ Windows Server 2003 èç îáðàçà Для развертывания нескольких серверов, одинаково конфигурированных на похожем оборудовании, лучше воспользоваться инсталляцией из образа. Можно воспользоваться службой удаленной инсталляции (Remote Installation Services — RIS) совместно с мастером подготовки удаленной инсталляции (Remote Installation Preparation — RIPrep) и средством подготовки системы (System Preparation — Sysprep), чтобы подготовить сервер для создания образа с помощью программы Xcopy или программного обеспечения сторонних производителей, либо воспользоваться подключаемой службой автоматического развертывания (Automated Deployment Services) из служебного пакета. Инсталляцией из образа лучше пользоваться, если перед вами стоят следующие задачи: •
Инсталляция идентичных операционных систем, приложений и конфигураций на нескольких серверах.
•
Выполнение чистой инсталляции (без модернизации).
Èñïîëüçîâàíèå ñëóæáû óäàëåííîé èíñòàëëÿöèè Использование службы удаленной инсталляции, более известной как RIS, позволяет проводить установку системы, инициированную через сеть. При сочетании этой
144
Обзор Windows Server 2003 ×àñòü I
службы с мастером подготовки удаленной инсталляции (RIPrep) можно выполнить чистую инсталляцию из образа. Этот метод инсталляции в сочетании с сетевыми картами PXE позволяет запустить программу установки с минимальным вмешательством пользователя. Для некоторых сетевых карт PCI, не совместимых с PXE, могут быть использованы загрузочные дискеты. При использовании RIS клиент запрашивает IP-адрес с DHCP-сервера. Затем клиент связывается с RIS-сервером, который, в свою очередь, проверяет Active Directory, чтобы выяснить, был ли клиент предварительно подготовлен. RIS-сервер либо отвечает клиенту, либо перенаправляет запрос другому RIS-серверу. После соединения с нужным RISсервером он пересылает клиенту файл Startrom.com, а тот запускает мастер OSChoice. И, наконец, OSChoice запускает процесс службы удаленной инсталляции.
Óñîâåðøåíñòâîâàíèÿ â ñëóæáå óäàëåííîé èíñòàëëÿöèè В Windows Server 2003 компания Microsoft включила усовершенствованную технологию RIS. Сейчас в RIS имеется поддержка развертывания всех версий Windows 2000, Windows XP Professional и всех 32-разрядных версий семейства Windows Server 2003. Производительность по сравнению со всеми предыдущими версиями существенно увеличена. Появилось несколько усовершенствований, связанных с безопасностью. Если система конфигурируется с помощью RIS и присоединяется к домену, то в группу локальных администраторов добавляется группа администраторов домена; после этого учетная запись локального администратора отключается. Кроме того, как сказано в разделе “Выполнение автономной инсталляции Windows Server 2003”, имеется возможность шифрования пароля администратора.
Òðåáîâàíèÿ, ïðåäúÿâëÿåìûå êëèåíòàìè ê RIS Для развертывании сервера с помощью RIS компьютер должен соответствовать спецификации PXE 1.0 или PXE 2.0. Он должен иметь карту сетевого интерфейса (Network Interface Card — NIC), которая поддерживает PXE или которая поддерживается загрузочной дискетой RIS. И, наконец, оборудование должно соответствовать минимальным требованиям для устанавливаемой версии Windows.
Èñïîëüçîâàíèå ñðåäñòâà ïîäãîòîâêè ñèñòåìû Раньше с системами работы образов была связана одна проблема: когда новая (копируемая) система переводилась в оперативный режим, возникали конфликты со старой (исходной) системой. Идентификатор безопасности (Security Identifier — SID), имя компьютера и IP-адрес образа и оригинала совпадали, а все они должны быть уникальными в рамках сети. Один из способов решения этой проблемы заключается в использовании средства подготовки системы (System Preparation), известного под именем Sysprep. Это средство подготавливает систему, удаляя из нее некоторые детали конфигурации, например, SID, IP-адрес и имя компьютера. Затем формируется образ системы, а после развертывания образа вместо полномасштабной инсталляции выполняется мини-установка. Пользователь должен ответить лишь на несколько вопросов, после чего инсталляция будет выполняться самостоятельно.
Инсталляция Windows Server 2003 Ãëàâà 3
145
Чтобы воспользоваться Sysprep, нужно выполнить одну инсталляцию на исходном компьютере, установив операционную систему и все необходимые приложения. После установки и конфигурирования исходной системы для нее выполняется утилита Sysprep, которая затем отключает систему. Затем с помощью средства создания образа система копируется на один из компьютеров сети для последующего распространения. Средство формирования образа загружает новую систему, подключает ее к сети и копирует из сети образ. После загрузки этой новой системы выполняется мини-установка, в процессе которой нужно ответить на несколько вопросов о конфигурации. После завершения установки сервер можно выключить: он готов для распределения.
Óñîâåðøåíñòâîâàíèÿ â ñðåäñòâå ïîäãîòîâêè ñèñòåìû Накопив некоторый опыт работы с Sysprep, Microsoft добавила в нее ряд усовершенствований, облегчающих развертывание инсталляции из образа. Одно из таких улучшений — параметр –factory, позволяющий образу подобрать обновленные драйверы до полной установки системы. Кроме того, теперь можно создавать образы продуктов семейства Windows Server 2003, на которых установлен IIS. К тому же теперь не нужен переключатель –PnP, что экономит время на обнаружении при перезапуске системы устройств типа Plug and Play. Раньше на это в процессе мини-установки уходило 5–10 минут.
Èñïîëüçîâàíèå ñëóæáû àâòîìàòè÷åñêîãî ðàçâåðòûâàíèÿ Для организаций, которым нужен способ развертывания одинаково сконфигурированных образов Windows Server 2003 на нескольких серверах, задачу создания образов упрощает служба автоматического развертывания (Automated Deployment Services — ADS). Для развертывания образов на новых серверах ADS использует среду выполнения до загрузки (Preboot Execution Environment — PXE), схожую со службой удаленной инсталляции (Remote Installation Service — RIS). Существенным преимуществом ADS по сравнению с RIS является то, что ADS поставляется со средством администрирования. Средство администрирования ADS предоставляет администраторам централизованный обзор хранимых образов, гибкость автоматической реконфигурации образов из одного центрального места и возможность обработки образов на основе потребностей организации. Службу ADS можно загрузить со страницы загрузки пакетов возможностей Microsoft по адресу: http://www.microsoft.com/windowsserver2003/downloads/featurepacks/default.mspx
Èíñòàëëÿöèÿ Windows Server 2003 ñ ïîìîùüþ ãðóïïîâîé ïîëèòèêè è ñåðâåðà óïðàâëåíèÿ ñèñòåìîé И еще одно: для модернизации Windows Server 2003 в существующей инфраструктуре Active Directory или сервера управления системами (Systems Management Server — SMS) можно воспользоваться групповыми политиками. Можно выполнить полную модернизацию операционной системы либо только установить пакеты обновлений.
146
Обзор Windows Server 2003 ×àñòü I
С помощью SMS можно также до начала модернизации составить список компонентов и проверить совместимость системы, а затем подтвердить успешность модернизации Windows Server 2003. Сочетая возможности групповой политики и SMS, можно выполнять модернизацию из центральной точки установки на однородном или разнородном оборудовании, а также предварительную подготовку серверов. При этом при изменении требований можно легко провести реконфигурацию.
Ðåçþìå Процесс инсталляции Windows Server 2003 и средства развертывания систем похожи на аналогичные средства из предыдущих версий Windows. Но добавление новых возможностей и повышение производительности повысили удобство инсталляции — и при ручной инсталляции одной системы, и при разворачивании тысяч систем в корпоративной среде.
Ïîëåçíûå ñîâåòû •
Удостоверьтесь, что ваше оборудование поддерживается устанавливаемой системой.
•
Выполняйте (или перевыполняйте) рекомендуемые требования к аппаратному и программному обеспечению.
•
Обязательно документируйте информацию конфигурации сервера и копируйте все данные, которые нужно сохранить.
•
Перед миграцией протестируйте приложения на их совместимость.
•
Руководствуйтесь стандартными соглашениями по именованию серверов и клиентских машин.
•
При выборе имени компьютера используйте только стандартные символы Internet: буквы A–Z (верхнего и нижнего регистров), цифры 0–9 и дефис (-).
•
Периодически проверяйте в лабораторной среде возможность восстановления системы из резервной копии.
•
Используйте вариант обычного форматирования, чтобы действительно выполнить форматирование.
•
Используйте файловую систему NTFS, чтобы получить в конечном счете высокую эффективность и безопасность.
•
Если вы не уверены, какой режим лицензирования использовать в своей среде, выберите режим Per Server.
•
После завершения инсталляции из соображений безопасности смените имя учетной записи администратора.
•
Автоматизируйте инсталляцию с помощью таких средств развертывания, как RIS, Sysprep, RIPrep, файлы ответов для автономной инсталляции и групповую политику (вместе с SMS).
Active Directory â Windows Server 2003
 ÝÒÎÉ ×ÀÑÒÈ... 4. Ââåäåíèå â Active Directory 5. Ñîçäàíèå Active Directory â Windows Server 2003 6. Ñîçäàíèå ñòðóêòóðû îðãàíèçàöèîííûõ åäèíèö è ãðóïï 7. Èíôðàñòðóêòóðà Active Directory 8. Èíòåãðàöèÿ Active Directory ñ êàòàëîãàìè Novell, Oracle, Unix è NT4
×ÀÑÒÜ
II
Введение в Active Directory Ãëàâà 4
Ââåäåíèå â Active Directory
 ÝÒÎÉ ÃËÀÂÅ... •
Ýâîëþöèÿ ñëóæá êàòàëîãîâ
•
Ðàçâèòèå Active Directory
•
Ñòðóêòóðà Active Directory
•
Êîìïîíåíòû Active Directory
•
Äîâåðèòåëüíûå îòíîøåíèÿ ìåæäó äîìåíàìè
•
Îðãàíèçàöèîííûå åäèíèöû
•
Ðîëü ãðóïï â ñðåäå Active Directory
•
Ðåïëèêàöèÿ Active Directory
•
DNS â Active Directory
•
Áåçîïàñíîñòü Active Directory
•
Èçìåíåíèÿ Active Directory â Windows Server 2003
ÃËÀÂÀ
4
149
150
Active Directory в Windows Server 2003 ×àñòü II
Вся суть сетевой инфраструктуры Windows Server 2003 сосредоточена в Active Directory — реализации службы каталогов от компании Microsoft. Служба каталогов Active Directory была разработана для заполнения бреши в мире Windows, а также как платформа для будущей интеграции технологий Microsoft. Полное понимание структуры Active Directory абсолютно необходимо для понимания среды Windows Server 2003 как единого целого. Кроме общих усовершенствований операционной системы, в Windows Server 2003 расширены возможности Active Directory: добавлена возможность переименования доменов, усовершенствованы средства администрирования, оптимизировано сжатие, а также введены другие долгожданные улучшения возможностей среды Active Directory. Данная глава содержит обзор службы каталогов, но особое внимание в ней уделяется общему развитию Active Directory как службы каталогов уровня предприятия. Кроме того, здесь дано общее описание базовых компонентов и функций Active Directory в Windows Server 2003.
Ýâîëþöèÿ ñëóæá êàòàëîãîâ Службы каталогов в той или иной форме существовали с самого начала эпохи компьютеров — для обычного поиска файлов и функций аутентификации в производственных сетевых реализациях. Служба каталогов предоставляет подробную информацию о пользователях и об объектах сети, примерно так же, как телефонная книга позволяет найти номер телефона по известной фамилии. Например, объект пользователя в службе каталогов может содержать номер телефона, адрес электронной почты, название подразделения и еще столько других атрибутов, сколько пожелает системный администратор. Службы каталогов часто называют белыми страницами сети. Они обеспечивают определение и администрирование пользователей и объектов. Первые электронные каталоги были созданы вскоре после изобретения цифровых компьютеров и использовались для аутентификации пользователей и управления доступом к ресурсам. С расширением Internet и увеличением совместного использования компьютеров в функции каталогов были включено хранение основной контактной информации о пользователях. Примерами ранних каталогов могут служить MVS PROFS (IBM), база регистрационных данных Grapevine и WHOIS. Вскоре появились специализированные службы каталогов для приложений, предназначенные для специальной адресации, поиска и ведения контактной информации для каждого программного продукта. Доступ к таким каталогам был возможен только с помощью специальных методов доступа, а область их применения была ограничена. Приложениями, использующими эти типы каталогов, были такие программы как Novell GroupWise Directory, Lotus Notes и файл /etc/aliases в Unix. Дальнейшее развитие крупномасштабных служб каталогов для предприятий возглавила компания Novell, выпустив в начале девяностых годов прошлого века службу каталогов Novell (Novell Directory Services — NDS). Она была принята организациями NetWare, а затем расширена за счет включения поддержки смешанных сред NetWare/NT. Громоздкая линейная структура доменов NT и недостаточная синхронизация и взаимодействие этих двух сред заставила многие организации перейти на использование NDS в качестве реализации службы каталогов. Именно эти недостатки NT были основной причиной выпуска Microsoft службы Active Directory.
Введение в Active Directory Ãëàâà 4
151
Разработка облегченного протокола службы каталогов (Lightweight Directory Access Protocol — LDAP) была вызвана расширением Internet и необходимостью более тесного взаимодействия и строгой стандартизации. Этот общепринятый метод доступа к информации каталогов и ее модификации, использующий все возможности протокола TCP/IP, оказался надежным и функциональным, и для его использования были разработаны новые реализации служб каталогов. Сама Active Directory разрабатывалась так, чтобы соответствовать стандарту LDAP.
Ïåðâîíà÷àëüíûå ñèñòåìû óïðàâëåíèÿ êàòàëîãàìè Microsoft Система Exchange 5.5 работала со своей собственной службой каталогов, образующей часть ее среды работы с электронной почтой. На самом деле Active Directory заимствовала многие свои компоненты у первоначальной службы каталогов Exchange. Например, база данных Active Directory использует тот же формат базы данных Jet, что и Exchange 5.5, а для сопровождения базы данных Active Directory необходимы те же типы утилит. Некоторые другие приложения Microsoft — сервер информации Internet и сервер сайтов — работают со своими собственными службами каталогов. Но каждая служба каталогов была несовместима с другими, а степень интеграции различных реализаций была не очень высока.
Îñíîâíûå ñâîéñòâà Active Directory В функциях службы каталогов Active Directory есть пять основных компонентов. Поскольку от новых служб каталогов требуется совместимость со стандартами Internet, существующие реализации этих служб ориентированы на следующие моменты: •
Совместимость с TCP/IP. В отличие от ряда специализированных протоколов, таких как IPX/SPX и NetBEUI, протокол TCP/IP был сразу задуман как межплатформенный. Последующее принятие TCP/IP в качестве стандартного протокола обмена данными в Internet выдвинуло его на передний план среди других протоколов и, по сути дела, сделало обязательным его наличие в операционных системах предприятий. Active Directory и Windows Server 2003 используют стек протоколов TCP/IP как основной метод обмена данными.
•
Поддержка облегченного протокола доступа к каталогам. Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol — LDAP) был разработан как стандартный протокол доступа к каталогам в Internet и используется для обновления данных каталога и для поиска в нем. Active Directory непосредственно поддерживает протокол LDAP.
•
Поддержка системы доменных имен. Система доменных имен (Domain Name System — DNS) была создана из-за необходимости трансляции упрощенных имен, понятных людям (например, www.microsoft.com) в IP-адреса, понятные компьютерам (например, 207.46.230.218). Структура Active Directory поддерживает и даже требует службу DNS для своей правильной работы.
152
Active Directory в Windows Server 2003 ×àñòü II
•
Поддержка безопасности. Поддержка безопасности, удовлетворяющая стандартам Internet, жизненно необходима для бесперебойного функционирования среды, которая подключена к миллионам компьютеров по всему миру. Отсутствие надежной безопасности побуждает к деятельности хакеров, поэтому в Windows Server 2003 и Active Directory безопасности уделяется очень большое внимание. В Windows Server 2003 и Active Directory встроена поддержка IPSec, Kerberos, центров сертификации и шифрования протоколом защищенных сокетов (Secure Sockets Layer — SSL). Кроме того, в последние несколько лет Microsoft прилагает значительные усилия по дальнейшей всесторонней защите своего программного обеспечения, чтобы не допустить взлома системы безопасности вирусами и червями.
•
Простота администрирования. Хотя при реализации мощных служб каталогов этому компоненту нечасто уделяется должное внимание, легкость администрирования и конфигурирования среды оказывает непосредственное влияние на общую стоимость ее эксплуатации. При проектировании Active Directory и Windows Server 2003 особое внимание было уделено простоте эксплуатации, чтобы облегчить обучение при освоении новой среды. Кроме того, Windows Server 2003 включает многочисленные усовершенствования средств администрирования, которых не было в Windows 2000: дополнительные средства командной строки для работы со сценариями, возможности автономного управления, политики ограничения программного обеспечения и усовершенствованный графический интерфейс в стиле Windows XP.
Ðàçâèòèå Active Directory Введенная еще в Windows 2000, служба Active Directory получила широкое признание в промышленных кругах и зарекомендовала себя как надежная, масштабируемая и производительная система. Введение Active Directory позволило снять некоторые ограничения, присущие структуре доменов NT 4.0, а также обеспечило общий интерфейс будущих продуктов Microsoft.
Îãðàíè÷åíèÿ, ïðèñóùèå äîìåíàì NT 4.0 Домены Windows NT 4.0, обладая улучшенной безопасностью по сравнению с предыдущими моделями рабочих групп Windows, имеют несколько функциональных недостатков, которые ограничивают их использование в качестве каталогов для предприятий. Домен Windows NT — это просто плоское пространство имен, в котором, помимо имени пользователя и пароля, хранится совсем немного другой информации о пользователе. Кроме того, пользователей невозможно организовать как-либо не на уровне домена. Кроме того, типичный домен NT 4.0 содержит два основных типа пользователей: администраторы со всеми полномочиями и обычные пользователи. Это упрощает делегирование административных полномочий, но не обеспечивает различных уровней безопасности, нужных многим крупным организациям. Таким организациям необходимо, чтобы административные задачи были разбиты на подзадачи и строго определены, а домен Windows NT не позволяет сделать это. Чтобы обойти эту проблему, многие организации создавали несколько доменов ресурсов и пользователей, деля их
Введение в Active Directory Ãëàâà 4
153
по географическим и/или политическим критериям. Возникающие при этом проблемы с администрированием могли обескуражить даже искушенного знатока NT. Зачастую один человек имел в различных доменах несколько пользовательских учетных записей с различными паролями. Понятно, что при проектировании многоуровневого администрирования в службе каталогов Active Directory этому недостатку было уделено серьезное внимание. Связность между доменами NT 4.0 обеспечивалась ручной установкой однонаправленных и двунаправленных доверительных отношений. Однако эти доверительные отношения не транзитивны. Это означает, что если домен A доверяет домену B, а домен B доверяет домену C, то домен A не доверяет домену C, если специально не установлено доверительное отношение между доменами A и C. Проблема, связанная с этой моделью, состоит в том, что многочисленные отношения доверия между несколькими доменами приводят к возникновению полносвязной структуры (типа “спагетти”) доменов, подобной изображенной на рис. 4.1.
Äîìåí ïîëüçîâàòåëåé
Äîìåí ðåñóðñîâ NT Äîìåí ðåñóðñîâ NT Öåíòðàëüíûé êîðïîðàòèâíûé äîìåí NT Äîìåí NT óäàëåííîãî îôèñà
Äîìåí ïîëüçîâàòåëåé
Ðèñ. 4.1. Полносвязная структура доменов в Windows NT4 Такой тип доменной структуры, как может подтвердить любой администратор NT 4.0, неимоверно затрудняет администрирование и устранение неполадок, поскольку новые администраторы должны определить, что означают “доверяющие” и “доверяемые” домены, и даже опытным специалистам трудно представить, как реализованы их доверительные отношения. В дополнение к сложным схемам доверительных отношений, главный контроллер домена (Primary Domain Controller — PDC) Windows NT представляет собой нерезервированную точку отказа в домене NT. Если контроллер PDC по какой-либо причине выйдет из строя, то это самым неблагоприятным образом отразится на функциональности домена. Крупные организации страдали от ограничения на количество объектов, которых в любом домене NT 4.0 не могло быть более 44 000.
154
Active Directory в Windows Server 2003 ×àñòü II
При разработке Windows 2000 и Active Directory этим ограничениям было уделено серьезное внимание. Windows Server 2003 увеличивает функциональные возможности Windows 2000, еще более расширяя административные возможности Active Directory, как описано в главах 19–25 части VI данной книги.
Ïðèçíàíèå êîìïàíèåé Microsoft ñòàíäàðòîâ Internet С самого начала разработки Windows 2000, а затем и Windows Server 2003, компания Microsoft стремилась к тому, чтобы все ее программные продукты могли работать в Internet. Стандарты, которые ранее были необязательными или несовместимыми, теперь органически вплетены в программное обеспечение в виде основных методов передачи и обработки данных. Все приложения и операционные системы стали совместимыми с протоколом TCP/IP, а специализированные протоколы наподобие NetBEUI были исключены. С появлением Windows Server 2003 готовность среды Microsoft к взаимодействию с Internet вышла на новый функциональный уровень.
Ñòðóêòóðà Active Directory Логическая структура Active Directory позволяет масштабировать ее от небольших офисов до крупных международных организаций. В ней возможно многоуровневое администрирование, позволяющее делегирование управления группами или отдельными пользователями. Уже не нужно выбирать присваивание административных прав по принципу “все или ничего”. Active Directory во многом следует модели каталогов X.500, но имеет и некоторые собственные характерные свойства. Многие из нас уже привыкли к лесам и деревьям Active Directory, и некоторые ограничения, существовавшие раньше в Windows 2000, сейчас ослаблены. Чтобы разобраться в Active Directory, вначале нужно тщательно изучить ее основные структурные компоненты.
Äîìåí Active Directory Домен Active Directory (AD) представляет собой основную логическую границу Active Directory. В некотором смысле домен AD очень похож на домен Windows NT. Все пользователи и компьютеры хранятся и управляются в пределах домена. Но в структуру домена и в его взаимодействие с другими доменами в структуре Active Directory были внесены некоторые существенные изменения. Домены в Active Directory выступают в качестве границ административной безопасности объектов и содержат свои собственные политики безопасности. Например, различные домены могут содержать различные политики назначения паролей пользователям. Важно сознавать, что домены являются логической организацией объектов и легко могут быть распространены на многие физические местоположения. Следовательно, больше нет необходимости формировать множество доменов для различных удаленных офисов или сайтов, поскольку вопросы, связанные с репликацией, лучше решаются с помощью сайтов Active Directory, которые будут очень подробно рассмотрены в последующих разделах.
Введение в Active Directory Ãëàâà 4
155
НА ЗАМЕТКУ Одно из ключевых различий между доменами AD в Windows 2000 и доменами AD в Windows Server 2003 состоит в том, что теперь администраторы могут переименовывать домены. Однако для этого все контроллеры домена в лесу должны быть преобразованы в контроллеры доменов Windows Server 2003, а уровни функциональности леса Active Directory должны быть повышены до возможности поддержки Windows Server 2003. Подробное описание средств переименования доменов Active Directory содержится в главе 5.
Äåðåâüÿ äîìåíîâ Active Directory Дерево Active Directory состоит из нескольких доменов, соединенных двунаправленными транзитивными отношениями доверия. Каждый домен в дереве Active Directory использует общую схему и глобальный каталог. На рис. 4.2 корневым доменом дерева Active Directory является companyabc.com, а asia.companyabc.com и europe.companyabc.com являются его поддоменами. companyabc.com
asia.companyabc.com
europe.companyabc.com
Ðèñ. 4.2. Простое дерево Active Directory с поддоменами в Windows Server 2003 Транзитивное доверительное отношение устанавливается автоматически, в отличие от структуры доменов NT 4.0, где все доверительные отношения должны были устанавливаться вручную. Транзитивное доверительное отношение означает, что если домен asia доверяет корневому домену companyabc, и домен europe также доверяет домену companyabc, то домен asia доверяет и домену europe. Доверительные отношения пронизывают всю доменную структуру.
НА ЗАМЕТКУ Хотя в среде Windows Active Directory доверительные отношения транзитивны, это не означает, что права доступа полностью доступны всем пользователям или хотя бы администраторам других доменов. Доверительные отношения лишь обеспечивает путь от одного домена к другому. По умолчанию от одного транзитивного домена к другому не передаются никакие права доступа. Администратор домена должен предоставить пользователям или администраторам другого домена права доступа к ресурсам своего домена.
Все домены, образующие дерево, совместно используют общее пространство имен — в данном случае companyabc.com — но содержат механизмы защиты, ограничивающие доступ из других доменов. Другими словами, администратор домена europe
156
Active Directory в Windows Server 2003 ×àñòü II
может иметь относительный контроль над всем своим доменом, а пользователи из домена asia или companyabc не имеют полномочий на доступ к его ресурсам. С другой стороны, при желании администраторы домена europe могут разрешить доступ группам пользователей из других доменов. Администрирование может быть очень точным и конфигурируемым.
Ëåñà â Active Directory Леса — это группы взаимосвязанных деревьев доменов. Корни всех деревьев связаны неявными доверительными отношениями, образуя общий лес. В общий лес все домены и деревья доменов связывает наличие общей схемы и общий глобальный каталог. Однако домены и деревья доменов в лесу не обязательно должны использовать общее пространство имен. Например, домены microsoft.com и msnbc.com теоретически могут быть частями одного и того же леса, но при этом сохранять (по вполне очевидным причинам) свои собственные раздельные пространства имен. Леса являются основной границей организационной безопасности для Active Directory, и предполагается, что между всеми администраторами в лесу существует некоторая степень доверия. Если администратор не является доверяемым, то такой администратор должен быть помещен в отдельный лес.
НА ЗАМЕТКУ В начале существования Active Directory ее границами безопасности считались домены. Администраторы одного леса не обязательно должны были доверять друг другу и могли быть разделены на домены. Однако в бюллетене Microsoft по безопасности MS02-001, выпущенном в январе 2002 года, описана уязвимость, названная “Уязвимостью отношения доверия доменов”. Эта уязвимость позволяет администратору с помощью атрибута SIDHistory повысить свои полномочия в любом домене леса. Хотя это сделать не просто, это все же возможно. Для защиты от этой атаки можно использовать фильтрацию SID между лесами, но не внутри леса. Таким образом, граница безопасности для Active Directory смещена с домена на лес.
Режимы аутентификации Active
Directory
В Windows NT 4.0 использовалась система аутентификации, известная как диспетчер локальной сети NT (NT LAN Manager — NTLM). Эта форма аутентификации посылала зашифрованный пароль по сети в виде хеш-значения. Проблема с этим методом аутентификации заключалась в том, что любой мог просматривать сеть, обнаруживать хеш-значения, собирать их, а затем расшифровывать с помощью средств сторонних разработчиков, таких как L0phtcrack, которые эффективно расшифровывают пароль перебором по словарю и техникой “грубой силы”. Windows 2000 и Windows Server 2003 используют форму аутентификации, известную как Kerberos, которая подробно рассматривается в последующих разделах. Фактически Kerberos не посылает информацию о пароле по сети и поэтому является более безопасным методом, чем NTLM. Но по умолчанию аутентификация Kerberos в службе Active Directory не требуется, поскольку стандартно в AD установлена обратная совместимость со старыми клиентами Windows.
Введение в Active Directory Ãëàâà 4
157
Ôóíêöèîíàëüíûå óðîâíè â Windows Server 2003 Active Directory Подобно тому, как система Windows 2000 вначале инсталлируется совместимой со старыми доменами и клиентами Windows NT, система Windows Server 2003 изначально не модернизирует лес Active Directory до функциональности Windows Server 2003. Это помогает обеспечить обратную совместимость с контроллерами доменов Windows 2000 и Windows NT4. В Windows Server 2003 существуют четыре отдельных функциональных уровня на уровне домена и три на уровне леса.
Êîìáèíèðîâàííûé ôóíêöèîíàëüíûé óðîâåíü äîìåíà Windows 2000 Когда Windows Server 2003 инсталлируется в лес Active Directory Windows 2000, работающий в комбинированном режиме (Mixed mode), это фактически означает, что контроллеры доменов Windows Server 2003 смогут сообщаться через лес с контроллерами доменов Windows NT и Windows 2000. Однако это наиболее ограниченный функциональный уровень, поскольку в этом случае в домене отсутствуют такие функции как универсальные группы, вложенность групп и усовершенствованные средства безопасности. Обычно этот уровень предназначен для временный работы и рассматривается скорее как средство для последующей модернизации.
Ñîáñòâåííûé ôóíêöèîíàëüíûé óðîâåíü Windows 2000 При инсталляции в Active Directory Windows 2000, работающую в собственном режиме (Native mode) Windows 2000, Windows Server 2003 будет работать на функциональном уровне Windows 2000. В этой среде могут существовать только контроллеры доменов Windows 2000 и Windows Server 2003.
Ïðîìåæóòî÷íûé ôóíêöèîíàëüíûé óðîâåíü Windows Server 2003 Промежуточный уровень (Interim mode) Windows Server 2003 позволяет Active Directory Windows Server 2003 взаимодействовать с доменом, содержащим только контроллеры доменов Windows NT 4.0. На первый взгляд это вносит путаницу, но промежуточный функциональный уровень Windows Server 2003 тоже полезен. В средах, в которых прошла модернизация с NT 4.0 до Active Directory Windows Server 2003, режим Interim mode позволяет Windows Server 2003 более эффективно управлять большими группами, чем при наличии Active Directory Windows 2000. Функциональные уровни можно повысить после удаления или модернизации всех контроллеров доменов NT.
158
Active Directory в Windows Server 2003 ×àñòü II
Ôóíêöèîíàëüíûé óðîâåíü Windows Server 2003 Конечной целью всех реализаций Active Directory является наиболее полнофункциональный из всех уровней — уровень Windows Server 2003. Функциональные средства этого уровня открывают доступ среде к таким функциям как деактивизация схемы, переименование домена, переименование контроллера домена и доверительные отношения между лесами. Для достижения этого уровня необходимо вначале обновить все контроллеры домена до Windows Server 2003. Только после этого домены, а затем и лес, могут обрести функциональность Windows Server 2003. Для выполнения этой задачи нужно выполнить перечисленные ниже шаги. 1. Обновите все контроллеры доменов леса до Windows Server 2003. 2. Из меню Administrative Tools (Средства администрирования) откройте окно Active Directory Domains and Trusts (Домены и доверительные отношения Active Directory). 3. В левой обзорной панели щелкните правой кнопкой мыши на имени домена и выберите в контекстном меню пункт Raise Domain Functional Level (Повысить функциональный уровень домена). 4. В окне Raise Domain Functional Level, показанном на рис. 4.3, выберите в списке вариант Windows Server 2003 и щелкните на кнопке Raise (Повысить). 5. Щелкните на кнопке OK и еще раз на OK, чтобы завершить выполнение задачи. 6. Повторите действия 1–5 для всех доменов леса. 7. Выполните те же шаги для корня леса, но на этот раз выберите вариант Raise Forest Functional Level (Повысить функциональный уровень леса) и действуйте в соответствии с подсказками.
Ðèñ. 4.3. Повышение функционального уровня домена Windows Server 2003 После того как все уровни доменов и леса будут повышены до функциональности Windows Server 2003, станут доступны различные действия Windows Server 2003 наподобие переименования домена, что позволяет полностью задействовать возможности Active
Введение в Active Directory Ãëàâà 4
159
Directory Windows Server 2003. Помните, что до завершения этой задачи Windows Server 2003 фактически функционирует в смешанном режиме совместимости, примерно так же, как Windows 2000 сначала работала в смешанном режиме с серверами Windows NT.
Êîìïîíåíòû Active Directory Основные компоненты Active Directory созданы легко конфигурируемыми и безопасными. Active Directory и все ее составляющие физически расположены в файле базы данных, но состоят из обширного набора объектов и атрибутов. Многие из этих характеристик известны тем, кто знаком с другими службами каталогов, однако появились и новые возможности.
Active Directory ÷àñòè÷íî îñíîâàíà íà ïðîòîêîëå X.500 Служба каталогов Active Directory во многом, хотя и не совсем, основана на информационной модели службы каталогов X.500. Коротко говоря, протокол X.500 определяет службу каталогов посредством распределенного подхода, определенного информационным деревом каталога (Directory Information Tree — DIT). Это дерево логически разбивает структуру службы каталогов на уже знакомый формат имя_сервера.имя_поддомена.имя_домена.com. В модели X.500 информация каталога хранится в иерархической структуре, получившей название агентов системы каталогов (Directory System Agent — DSA). Active Directory разработки Microsoft основана на многих базовых принципах определения X.500, но сама AD не совместима с реализациями X.500, поскольку X.500 основана на модели OSI, которая неэффективно работает с протоколом TCP/IP, используемым Active Directory.
Ñõåìà AD Схема (schema) Active Directory представляет собой набор определений всех типов объектов каталога и связанных с ними атрибутов. Схема определяет способ хранения и конфигурирования в AD всех пользователей, компьютеров и других данных объектов, стандартизуя всю структуру Active Directory. Схема, защищенная с помощью списков разграничительного контроля доступа (Discretionary Access Control List — DACL), управляет возможными атрибутами каждого объекта из Active Directory. По существу, схема представляет собой базовое определение самого каталога и является основой функциональности среды домена. Делегировать управление схемой следует осторожно и лишь избранной группе администраторов, поскольку любые изменения схемы влияют на всю среду AD.
Îáúåêòû ñõåìû Объекты структуры Active Directory — User (пользователь), Printer (принтер), Computer (компьютер) и Site (сайт) — определены в схеме как объекты. Каждый объект имеет список атрибутов, которые определяют его и могут быть использованы для поиска этого объекта. Например, объект User для работника с именем Вера Сердючка будет иметь атрибут FirstName (имя) Вера и атрибут LastName (фамилия) Сердючка.
160
Active Directory в Windows Server 2003 ×àñòü II
Кроме этих, можно назначить и другие атрибуты: название подразделения, адрес электронной почты и целый ряд других. Пользователи, выполняя поиск информации в Active Directory, могут делать запросы на основе этой информации, например, искать всех пользователей, работающих в отделе сбыта. Представление о том, сколько атрибутов имеется в Active Directory, дает тот факт, что сразу после инсталляции каждому объекту можно присвоить более 1000 атрибутов.
Ðàñøèðåíèå ñõåìû Одним из основных достоинств структуры Active Directory является возможность непосредственной модификации и расширения схемы для включения пользовательских атрибутов. Обычное расширение атрибутов происходит во время инсталляции последней версии Microsoft Exchange, которая расширяет схему, увеличивая ее размер в два раза. Модернизация Active Directory Windows 2000 до Active Directory Windows Server 2003 также расширяет схему, включая в нее атрибуты, специфические для Windows Server 2003.
Ìîäèôèêàöèÿ ñõåìû ñ ïîìîùüþ èíòåðôåéñà ñëóæáû Active Directory Есть интересный метод преставления всех подробностей схемы Active Directory — с помощью утилиты интерфейса службы Active Directory (Active Directory Service Interfaces — ADSI). Эта утилита предназначена для упрощения доступа к Active Directory, и с ее помощью можно просмотреть любой внешний совместимый каталог LDAP. Утилита ADSI, показанная на рис. 4.4, позволяет просматривать, удалять и модифицировать атрибуты схемы. При модифицировании схемы необходимо соблюдать особую осторожность, поскольку проблемы, возникающие в схеме, исправлять очень трудно.
Ðèñ. 4.4. Просмотр и редактирование схемы Active Directory с помощью утилиты редактирования ADSI
Введение в Active Directory Ãëàâà 4
161
Îáëåã÷åííûé ïðîòîêîë äîñòóïà ê êàòàëîãàì В основу протокола службы каталогов (Directory Service Protocol), который используется в Active Directory, положен стандарт Internet — облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol — LDAP), определенный в документе RFC-1777. Протокол LDAP позволяет выполнять запросы и изменения в Active Directory. Объекты в LDAP-совместимых каталогах должны однозначно идентифицироваться путями именования этих объектов. Эти пути именования могут принимать две формы: отличительные имена и относительные отличительные имена.
Îòëè÷èòåëüíûå èìåíà Отличительное имя (distinguished name) объекта в Active Directory представлено полным путем, которое объект занимает в Active Directory. Например, пользователь с именем James Bond может быть представлен следующим отличительным именем: CN=James Bond,OU=Marketing,DC=COMPANYABC,DC=COM Компонент CN (Common Name — обычное имя) отличительного имени является обычным именем, определяющим объект в каталоге. Порция OU (Organizational Unit) — это организационная единица, которой принадлежит объект. Компонент DC (Domain Controller) определяет DNS-имя домена Active Directory.
Îòíîñèòåëüíûå îòëè÷èòåëüíûå èìåíà Относительное отличительное имя объекта — это обычно усеченное отличительное имя, которое определяет место объекта в заданном контейнере. В качестве примера рассмотрим следующий объект: OU=Marketing,DC=COMPANYABC,DC=COM Этот объект имеет относительное отличительное имя OU=Marketing. Относительное отличительное имя в данном случае определяет себя как организационная единица внутри текущего контейнера домена.
Ðåïëèêàöèÿ ñ íåñêîëüêèìè îñíîâíûìè ðåïëèêàìè äëÿ êîíòðîëëåðîâ äîìåíîâ Как и в NT 4.0, для аутентификации пользователей в Active Directory используются контроллеры доменов (Domain Controllers — DC). Но первичные контроллеры домена и резервные контроллеры домена (Backup Domain Controller — BDC) заменены концепцией нескольких контроллеров домена, каждый из которых содержит главную копию информации домена, доступную по чтению и записи. Изменения, проведенные в любом контроллере домена среды, реплицируются на все другие контроллеры — получается так называемая репликации с несколькими основными репликами (multi-master replication).
Ãëîáàëüíûé êàòàëîã è ñåðâåðû ãëîáàëüíîãî êàòàëîãà Глобальный каталог (global catalog) представляет собой индекс базы данных Active Directory, содержащий частичную копию ее содержимого. Глобальный каталог содер-
162
Active Directory в Windows Server 2003 ×àñòü II
жит ссылки на все объекты, содержащиеся в дереве AD, что позволяет пользователям осуществлять поиск объектов из других доменов. В глобальный каталог реплицируются не все атрибуты каждого объекта, а только те атрибуты, которые обычно используются в операциях поиска, например, фамилия, имя и тому подобное. Серверы глобальных каталогов, которые часто сокращенно называют GC или GC/DC — это контроллеры доменов Active Directory, содержащие копию глобального каталога. Целесообразно либо помещать как минимум один сервер глобального каталога в каждое физическое местоположение, либо воспользоваться кэшированием глобального каталога (Global Catalog Caching) для удаленных сайтов, поскольку к глобальному каталогу часто обращаются клиенты, а слабые возможности медленных каналов глобальной сети будут ограничивать этот трафик. А, кроме того, технологии наподобие Exchange 2000 требуют быстрого доступа к серверам глобального каталога для обработки всех пользовательских транзакций, для чего очень важно иметь сервер глобального каталога достаточно близко. Часто крупные организации используют несколько контроллеров доменов и несколько серверов глобального каталога в каждом крупном местоположении, что распределяет загрузку, обеспечивает избыточность и размещает ресурсы там, где они нужны. Выбор правильного соотношения серверов глобального каталога и контроллеров домена очень важен для правильной работы среды Active Directory.
Ðîëè ìàñòåðà îïåðàöèé Большая часть функций контроллеров домена в Windows 2000 и Windows Server 2003 создана для работы в распределенной среде с несколькими хозяевами, в результате чего устраняется нерезервированная точка отказа, присущая Windows NT с PDC. Но все-таки пять функций все так же требуют использования одного сервера, поскольку их функции не совместимы с распределенным подходом. Эти роли мастера операций (Operations Master — OM), известные еще как гибкие операции с одним мастером (Flexible Single Master Operations — FSMO), можно описать следующим образом: •
Мастер схемы (Schema master). В одном лесе AD существует только одна главная копия схемы AD с разрешением записи в нее. Это сделано специально, чтобы ограничить доступ к схеме и минимизировать потенциальные конфликты репликации. Во всем лесе службы Active Directory может быть только один мастер схемы.
•
Мастер именования доменов (Domain naming master). Мастер именования доменов отвечает за добавление доменов в лес Active Directory. Эта роль OM должна быть помещена в сервер глобального каталога, поскольку для ее работы требуются записи для всех доменов и объектов. В лесе может быть только один мастер именования доменов.
•
Эмулятор PDC (PDC emulator). Эмулятор PDC делает именно то, на что указывает его название: обслуживает низкоуровневые клиенты, выполняя функции, которые в NT выполнял главный контроллер домена. При работе в собственных режимах Windows 2000 или Windows Server 2003 эти функции не нужны. Важно отметить, что при выходе из строя сервера, эмулирующего PDC, у любого клиента низкого уровня возникнут проблемы с доменными функциями (как если бы отказал PDC в системе NT). В каждом домене Active Directory может быть только одна роль эмулятора PDC.
Введение в Active Directory Ãëàâà 4
163
•
Мастер RID (RID master). Все объекты в Active Directory, которым могут быть предоставлены полномочия, однозначно идентифицируются идентификаторами безопасности (Security ID — SID). Каждый SID состоит из SID домена, который одинаков для всех объектов одного домена, и относительного идентификатора (Relative ID — RID), который уникален для каждого объекта этого домена. Назначая SID, контроллер домена должен иметь возможность назначать соответствующий RID из пула, который он получает от мастера RID. Когда этот пул будет исчерпан, он затребует у мастера RID еще один пул. Если мастер RID не работоспособен, вы не сможете создавать новые объекты в своем домене, когда конкретный контроллер домена израсходует выделенный ему пул идентификаторов RID. В каждом домене Active Directory имеется только один мастер RID .
•
Мастер инфраструктуры (Infrastructure master) — Мастер инфраструктуры управляет ссылками на объекты домена за пределами собственного домена. Другими словами, DC в одном домене содержит список всех объектов собственного домена плюс список ссылок на другие объекты из других доменов леса. Если объект, на который имеется ссылка, изменяется, мастер инфраструктуры учитывает эти изменения. Поскольку мастер инфраструктуры имеет дело только со ссылками на объекты и не копирует сами эти объекты, он не должен находиться на сервере глобального каталога в средах с несколькими доменами. Исключениями являются случаи, когда каждый контроллер домена является сервером глобального каталога, и среда с единственным доменом. В первом случае ссылки на объекты других доменов не нужны, так как доступны их полные копии. Во втором случае роль мастера инфраструктуры не используется, поскольку все копии объектов являются локальными по отношению к домену.
Перенос роли OM в другой контроллер домена — при аварийном восстановления или просто для целей проектирования — достигается двумя методами. Первый метод использует функцию мастера изменений схемы (Change Schema Master) оснастки схемы Active Directory. Но в случаях аварийного восстановления из-за отказа мастера схемы, мастера именования доменов или мастера RID и недоступности резервных копий роли OM могут быть выполнены с помощью средства командной строки ntdsutil, работа которого показана на рис. 4.5. Имейте в виду, что эту утилиту следует использовать только в чрезвычайных случаях, и ни в коем случае не возвращать старый сервер OM в домен в оперативном режиме, так как при этом в системе могут возникнуть серьезные конфликты. Сопровождение и восстановление доменов рассматриваются в главах 22 и 33.
Äîâåðèòåëüíûå îòíîøåíèÿ ìåæäó äîìåíàìè Структура доверительных отношений, разработанная в Windows 2000, а затем использованная в Windows Server 2003, была существенно переработана по сравнению со структурой доверительных отношений Windows NT. Доверительные отношения в Windows NT использовали отдельные, явно определенные доверительные отношения для каждого организационного домена. Это приводило к экспоненциальному росту доверительных отношений, которыми, мягко говоря, было трудно управлять. Система Windows 2000 подняла доверительные отношения на новый функциональный уровень,
164
Active Directory в Windows Server 2003 ×àñòü II
где транзитивные доверительные отношения автоматически составляют пути “вверх и вниз по дереву”. Такие доверительные отношения легче понимать и отлаживать, и они существенно облегчают управление сетями Windows. Кроме того, в Windows Server 2003 имеются дополнительные функциональные возможности, например, транзитивные доверительные отношения между лесами, которые еще дальше распространяют возможности сетевой операционной системы.
Ðèñ. 4.5. Утилита ntdsutil для управления Active Directory
Òðàíçèòèâíûå äîâåðèòåëüíûå îòíîøåíèÿ Двунаправленные транзитивные доверительные отношения автоматически устанавливаются при создании поддоменов или при добавлении дерева домена в лес Active Directory. Транзитивные доверительные отношения обычно являются двунаправленными, когда каждый домен доверяет всем другим доменам. Другими словами, пользователи каждого домена могут обращаться к ресурсам, например, принтерам или серверам, в другом домене, если им явно предоставлены права в этих доменах. Помните, что существование доверительных отношений между двумя доменами не означает, что пользователи одного домена автоматически получают доступ ко всем ресурсам другого домена: это всего лишь первый шаг для получения доступа к этим ресурсам. Для этого необходимо назначить соответствующие права доступа.
ßâíûå äîâåðèòåëüíûå îòíîøåíèÿ Явные доверительные отношения — это отношения, установленные вручную, наподобие создаваемых в Windows NT. Можно, например, установить доверительное отношение для объединения двух независимых деревьев в один и тот же лес. Явные доверительные отношения являются однонаправленными, но, установив два явных доверительных отношения, можно создать двунаправленное доверительное отношение. На рис. 4.6 между доменом companyabc и доменом companyxyz установлено явное доверительное отношение, позволяющее совместно использовать ресурсы между лесами.
Введение в Active Directory Ãëàâà 4
165
ßâíîå äîâåðèòåëüíîå îòíîøåíèå companyabc.com
companyxyz.com
Òðàíçèòèâíîå äîâåðèòåëüíîå îòíîøåíèå
Òðàíçèòèâíûå äîâåðèòåëüíûå îòíîøåíèÿ asia.companyabc.com
europe.companyabc.com
japan.companyxyz.com
Ðèñ. 4.6. Пример явного доверительного отношения, установленного между двумя деревьями доменов Когда явное доверительное отношение устанавливается для направления потока доверительных отношений от одного поддомена к другому, оно называется сокращенным доверительным отношением. Сокращенные доверительные отношения (shortcut trust) просто ускоряют операции аутентификации, устраняя необходимость в перемещениях по дереву вверх и вниз. На рис. 4.7 показаны транзитивные доверительные отношения между доменами asia.companyabc.com и europe.companyabc.com, а также создано сокращенное доверительное отношение для уменьшения времени аутентификации при доступе между двумя поддоменами данной организации. Кроме того, с помощью явных доверительных отношений можно установить связь между лесом Active Directory и внешним доменом. Эти типы явно определенных доверительных отношений называются внешними доверительными отношениями (external trust); они позволяют различным лесам совместно использовать информацию без реального слияния информации схемы или глобальных каталогов.
companyabc.com
Ñîêðàùåííîå äîâåðèòåëüíîå îòíîøåíèå asia.companyabc.com
europe.companyabc.com
Ðèñ. 4.7. Пример сокращенного доверительного отношения между двумя поддоменами леса НА ЗАМЕТКУ Способность устанавливать доверительные отношения между лесами в Windows 2000 была возможна только для явных доверительных отношений, определяемым между всеми доменами, которым был нужен доступ к лесу. В Windows Server 2003 добавлена способность установления транзитивных доверительных отношений между лесами, когда поток доверительных отношений проходит через отдельные леса. Это понятие более подробно рассматривается в главе 5.
166
Active Directory в Windows Server 2003 ×àñòü II
Îðãàíèçàöèîííûå åäèíèöû Как определено в проекте стандарта LDAP, организационные единицы (Organizational Unit — OU) — это контейнеры, обеспечивающие логическое хранение информации каталога и предоставляющие метод адресации Active Directory с помощью протокола LDAP. В Active Directory организационные единицы являются основными методами организации пользователей, компьютеров и других объектов в более легкие для понимания структуры. В организации на рис. 4.8 имеется корневая организационная единица, в которую помещены три вложенные организационные единицы (маркетинг, информационные технологии и исследования). Такое вложение позволяет организации распределить пользователей по нескольким контейнерам для облегчения просмотра и администрирования сетевых ресурсов.
Äîìåí Ïîëüçîâàòåëè
Ìàðêåòèíã Èíôîðìàöèîííûå Èññëåäîâàíèÿ òåõíîëîãèè
Ðèñ. 4.8. Структура организационной единицы, обеспечивающая графическое представление распределения сетевых ресурсов Как видно, организационные единицы можно также подразделять на организационные единицы для облегчения их организации и делегирования административных функций. Далеко расположенные офисы могут иметь и свои собственные организационные единицы для локального администрирования. Однако важно понимать, что организационные единицы следует создавать, только если в организации существует потребность делегировать администрирование другому коллективу администраторов. Если одно и то же лицо или группа лиц осуществляет административное управление всем доменом, то нет смысла усложнять среду, добавляя в нее организационные единицы. Слишком большое количество организационных единиц может негативно повлиять на групповые политики, входную регистрацию и другие факторы. В главе 6 содержится подробный перечень вопросов, которые необходимо учесть при проектировании организационных единиц.
Введение в Active Directory Ãëàâà 4
167
×òî èñïîëüçîâàòü — äîìåíû èëè OU? Как уже было сказано, некоторые администраторы стараются продублировать политические границы организации в структуре домена Active Directory. В дело вступают сначала чертежи на бумаге, а затем и менеджеры, из лучших побуждений перекраивающие структуру Active Directory на основе политических границ. Каждое подразделение получает свой поддомен, разбитый на множество уровней. Проблема, связанная с такой стратегией, заключается в том, что структура Active Directory обеспечивает возможность административного дробления без разбиения на множество доменов. На самом деле практическое правило таково: при создании доменов следует начать с одного домена и добавлять новые домены только по необходимости. То есть тип административного управления, нужный многим организациям, можно реализовать разбиением групп на отдельные организационные единицы, а не на отдельные домены. Следовательно, организационные единицы можно структурировать таким образом, чтобы отдельные подразделения имели различные уровни административного контроля над своими пользователями. Например, секретарю технического отдела можно делегировать управление изменением паролей пользователей в рамках его собственной организационной единицы. Другое преимущество использования организационных единиц в таких ситуациях состоит в том, что пользователей можно легко перетаскивать мышью из одной OU в другую. Например, при переводе пользователя из одного подразделения в другое его перемещение в OU нового подразделения выполняется очень просто. Очень важно иметь в виду, что структуру OU можно модифицировать на ходу в любой момент, когда администратор сочтет нужным провести структурные изменения. Это предоставляет Active Directory дополнительное преимущество: легкость исправления ошибок проектирования OU, поскольку изменения можно провести в любой момент.
Ðîëü ãðóïï â ñðåäå Active Directory Структура групп доступа, хотя и не новая для Active Directory, предоставляет эффективных механизм управления безопасностью для большого количества пользователей. Без групп, обеспечивающих логическую организацию пользователей, права доступа к каждому объекту сети пришлось бы устанавливать вручную для каждого пользователя. Это означает, что если вы решили, что всему отделу нужен доступ к принтеру, то нужно будет вручную ввести каждого пользователя этого отдела в список прав доступа к этому принтеру. Это настолько устрашающие задачи, что близлежащие аптеки многократно перевыполнили бы план по продаже успокоительных средств. Таким образом, для облегчения администрирования была введена концепция группы. Если сотрудникам крупного подразделения нужен доступ к одному и тому же принтеру, то достаточно предоставить необходимые права доступа группе этого подразделения. Это существенно упрощает администрирование с учетом безопасности и имеет дополнительное преимущество — легкость перемещения пользователей при их уходе из компании или при переводе в другие подразделения. Например, предположим, что некоторый администратор отвечает за печать на принтере, а его учетная запись входит в состав группы Printer Admins, которая имеет полные полномочия адми-
168
Active Directory в Windows Server 2003 ×àñòü II
нистрирования принтеров. Если теперь этот пользователь переведен на другую должность, например, администратора электронной почты, то назначение прав доступа новому администратору печати сводится к включению этого нового пользователя в группу Printer Admins. Эта возможность существенно упрощает управление в подобных ситуациях. Группы в Active Directory работают так, как работали групповые структуры в предыдущих системах, особенно в Windows NT, но с некоторыми модификациями. Группы делятся на две категории: тип группы и область действия группы. В Active Directory существуют два типа групп: группы доступа и группы рассылки. Группы доступа используются для предоставления членам группы прав доступа к объектам. Группы рассылки служат не для предоставления прав доступа, а для отправки почтовых сообщений членам группы. Аналогично, область действия группы в Active Directory делится на несколько компонентов, определенных следующим образом: •
Локальные группы компьютера (Machine Local Groups). Локальные группы компьютера, известные также как просто “локальные группы”, появились еще в Windows NT 4.0. Теоретически они могут содержать членов из любого доверяемого местоположения. В группы этого типа могут быть включены пользователи и группы из локального домена, а также из других доверяемых доменов и лесов. Однако важно отметить, что локальные группы позволяют доступ к ресурсам только той машины, на которой они находятся, что существенно снижает возможности их использования.
•
Локальные группы домена (Domain Local Groups). Локальные группы домена во многом подобны локальным группам Windows NT и используются для администрирования ресурсов, содержащихся только в их собственном домене. Они могут содержать пользователей и группы из любых других доверяемых доменов, однако доступны только в собственных доменах Windows 2000. Чаще всего эти типы групп используются для предоставления доступа к ресурсам для групп, принадлежащих другим доменам.
•
Глобальные группы (Global Groups). Глобальные группы противоположны локальным группам домена. Они могут содержать только пользователей домена, в котором существуют сами, но используются для предоставления доступа к ресурсам других доверяемых доменов. Эти типы групп наиболее удобны для назначения членства учетным записям пользователей, которые совместно выполняют сходные функции, например из глобальной группы сбыта.
•
Универсальные группы (Universal Groups). Универсальные группы могут содержать пользователей и группы из любых доменов леса и могут предоставлять доступ к любому ресурсу леса. Но наряду с дополнительными возможностями существуют и неприятные моменты. Во-первых, универсальные группы доступны только в доменах, функционирующих в собственном (Native) режиме. Вовторых, все члены каждой универсальной группы хранятся в глобальном каталоге, что приводит к увеличению объема репликации. Однако следует отметить, что репликация членства в универсальных группах в Windows Server 2003 существенно упрощена и оптимизирована за счет применения инкрементной репликации членства.
Введение в Active Directory Ãëàâà 4
169
Òèïû ãðóïï Группы подробно рассматриваются в главе 6, хотя тип используемой группы (локальная домена, глобальная или универсальная) оказывает существенное влияние на репликацию групповых объектов для крупных организаций с несколькими доменами, а также для организаций, сайты которых соединены медленными каналами. Для организаций с единственным доменом и высокоскоростными соединениями со всеми сайтами локальные домена, глобальные и универсальные группы фактически совпадают, поскольку у организации имеется лишь один домен, и репликация производится по высокоскоростным каналам для всех контроллеров доменов. Однако в среде с несколькими доменами по умолчанию между доменами реплицируется только имя глобальной группы, но не имена членов группы. Следовательно, если какой-либо пользователь из одного домена захочет просмотреть список членов глобальной группы другого домена, запрос этого пользователя будет передан по глобальной сети в этот другой домен. С другой стороны, универсальные группы реплицируют между доменами информацию о членстве в группах, так что запрос пользователя списка членов универсальной группы будет сразу же выполнен в локальном домене этого пользователя. Но если репликация членов группы между доменами не нужна, то поскольку членство в универсальной группе реплицируется между доменами, трафик можно минимизировать, просто превратив эту группу в глобальную группу.
Ãðóïïû èëè îðãàíèçàöèîííûå åäèíèöû? В то время как организационные единицы используются главным образом для разделения административных функций, группы удобны для логической организации функций безопасности. Другими словами, OU создаются в тех случаях, когда подразделению или физической площадке нужен какой-то определенный тип административного управления своей средой. Например, организация, офисы которой находятся в Японии, может выделить своих японских пользователей в отдельную OU и передать локальному администратору полномочия на изменение паролей и создание пользовательских учетных записей для этой OU. А с помощью групп можно организовать пользователей для облегчения назначения прав безопасности. Например, можно создать группу с названием Japanese Office Users (пользователи японского офиса), содержащую всех пользователей офиса в Японии. Затем с помощью этой группы можно назначить права доступа к объектам Active Directory. Им, например, можно назначить права доступа к папкам главной корпоративной площадки, чего нельзя сделать на уровне OU. Итак, основное отличие между организационными единицами и группами заключается в том, что с помощью групп можно настраивать безопасность объектов, а OU возникают тогда, когда необходимо делегировать некоторые административные функции. Создание групп и организационных единиц более подробно рассматривается в главе 6.
170
Active Directory в Windows Server 2003 ×àñòü II
Ðåïëèêàöèÿ Active Directory Репликация в Active Directory — очень важная функция, необходимая для выполнения функций среды с несколькими мастерами. Самое главное — способность вносить изменения в любой контроллер домена леса с последующей репликацией этих изменений в другие домены. Соответственно, надежные методы распространения этой информации были основной целью команды разработчиков Microsoft. Репликация Active Directory не зависит от структуры леса, дерева или домена, и эта гибкость лежит в основе успешного применения AD.
Ñàéòû, ñâÿçè ñàéòîâ è ñåðâåðû-ìîñòû ñîåäèíåíèé ñàéòîâ Для целей репликации Active Directory логически организует серверы в группы, называемые сайтами (site). Как правило, отдельный сайт должен состоять из серверов, соединенных друг с другом линиями T1 или высокоскоростными соединениями. Связи, создаваемые для соединения двух или более расположений, потенциально связанных низкоскоростными соединениями, называются связями сайтов (site link). Сайты создаются вместе с соединяющими их связями сайтов, что позволяет администратору задавать пропускную способность, используемую для репликации информации между сайтами. Вместо репликации информации по высокоскоростным линиям непосредственно между серверами в пределах сайта, администратор может задать репликацию этой информации между сайтами только один раз за ночь или в моменты слабой загрузки сети, что увеличивает пропускную способность для репликации информации Active Directory. Серверы, через которые проходит межсайтовая репликация, называются ведущими серверами (bridgehead) связей сайтов. На рис. 4.9 показана возможная структура сайта Active Directory Windows Server 2003. Между офисами имеются связи сайтов, а контроллер домена в каждом сайте действует как ведущий сервер связей сайтов. Структура сайта допускает любую модификацию и в общих чертах должна соответствовать структуре глобальной сети организации. По умолчанию в Active Directory создается только один сайт, а все остальные сайты администраторы должны создавать вручную, чтобы иметь возможность оптимизировать репликацию. Более подробно эти понятия рассматриваются в главе 7.
Çàïèñè ñîçäàíèÿ Репликация объектов между контроллерами доменов выполняется с помощью свойства, известного как запись создания (originating write). При изменениях объекта значение этого свойства увеличивается на один. Контроллер домена сравнивает свою версию этого значения с версией, полученной с запросом репликации. Если оно меньше, то изменение выполняется, а если нет, все остается без изменений. Такой упрощенный подход к репликации исключительно надежен и эффективен и обеспечивает возможность эффективной синхронизации объектов. Более подробно репликация, включая и подробный анализ записей создания и других ее ключевых компонентов, рассматривается в главе 7.
Введение в Active Directory Ãëàâà 4
171
DC - âåäóùèé ñåðâåð ñâÿçè ñàéòà
S BO CNY òà àé üñ ÿç Ñâ
Áîñòîí
C
Ñâÿçü ñàéòà SFO-NY
Ñàí-Ôðàíöèñêî
òà
DF W
àé
SF
òà
üñ
OD
FW
üñ àé
ÿç
DC
Íüþ-Éîðê
ÿç
DC - âåäóùèé ñåðâåð ñâÿçè ñàéòà
DC âåäóùèé ñåðâåð ñâÿçè ñàéòà
Ñâ
DC
Ñâ
-N YC
DC
DC - âåäóùèé ñåðâåð ñâÿçè ñàéòà
DC
Äàëëàñ
Ðèñ. 4.9. Пример структуры сайта, в которой различные расположения объединены связями сайтов
DNS â Active Directory Когда Microsoft начала разработку Active Directory, нужно было обязательно обеспечить ее полную совместимость с системой доменных имен (Domain Name System — DNS). Active Directory была создана не только полностью совместимой с DNS, но и настолько интегрированной с ней, что одна служба не может существовать без другой. Microsoft выдвинула этот принцип не случайно, а в связи с центральной ролью, которую играет DNS для преобразования имен в Internet, и также стремясь к тому, чтобы серия ее продуктов охватила Internet. Полностью соответствуя стандартам, установленным для DNS, Active Directory может содержать набор стандартных средств DNS, а также предложить некоторые новые возможности: DNS, интегрированная с AD, что существенно упрощает администрирование в средах DNS. Кроме того, Active Directory можно легко приспособить для существования во внешней среде DNS, например, Unix BIND версий 8.2.x и выше. В силу важности DNS для Active Directory Windows Server 2003 необходимо полное понимание DNS. Все подробности использования DNS в Windows Server 2003 содержатся в главе 9.
Ïðîñòðàíñòâî èìåí DNS Пространство имен DNS, попросту говоря, представляет собой логически ограниченную область, образованную именем DNS и его поддоменами. Например, имена
172
Active Directory в Windows Server 2003 ×àñòü II
europe.companyabc.com, asia.companyabc.com и companyabc.com являются частями одного и того же непрерывного пространства имен DNS. Пространство имен DNS в Active Directory может быть опубликовано в Internet — например, microsoft.com или msn.com — либо оно может быть скрыто от всех, в зависимости от стратегии и потребностей безопасности тех, кто ее реализует.
Âíåøíèå (îïóáëèêîâàííûå) ïðîñòðàíñòâà èìåí Имя DNS, которое может быть разрешено из любого места в Internet, называется опубликованным или внешним пространством имен. Этот тип пространства имен обычно применяется в тех организациях, которые для собственного удобства хотят, чтобы обычно используемое в Internet имя домена представляло структуру их Active Directory. Если для опубликованных пространств имен Active Directory вопросы безопасности выходят на первое место, то организации предпочитают этот вариант, предоставляющий удобство доступа к серверам непосредственно из Internet. Например, сервер Exchange, выполняющий службу Outlook Web Access, может быть назван mail.companyname.com и легко доступен из любого места мира. Пользователи быстрее поймут принципы установки соединения, и в таких случаях их адреса электронной почты будут иметь вид [email protected]. Это не первый случай, когда во время планирования развертывания Windows Server 2003 приходится искать баланс между большей безопасностью и удобством.
Âíóòðåííèå (ñêðûòûå) ïðîñòðàíñòâà èìåí Для многих организаций опубликование своей внутренней доменной структуры — слишком большой риск для безопасности, несмотря на все получаемые при этом преимущества. Эти организации могут легко определить у себя Active Directory с внутренним пространством имен, не доступным из Internet. Например, компания может иметь внешнее пространство имен DNS cco.com, но решить, что структура ее Active Directory должна соответствовать пространству имен internal.cco или какому-либо другому. Имейте в виду, что для внутренних пространств имен годится любая комбинация, поскольку в не опубликованных пространствах имен нет никаких ограничений на использование доменов .com, .net, .gov и так далее. Любой домен для любой цели можно назвать как угодно, например, cucamonga.funkychicken.
НА ЗАМЕТКУ Если вы решите использовать пространство доменных имен, которое теоретически может быть — сейчас или в будущем — куплено и использовано в Internet, то во избежание возможных конфликтов при преобразовании имен в будущем лучше приобрести права на это доменное имя. Например, если вы выберете внутреннее пространство имен companyabc.com, то можно сначала проверить, не выделено ли оно кому-нибудь, и по возможности приобрести его. Если вы обнаружите, что этим именем домена уже владеет другая компания, то для пространства имен своей Active Directory вам придется выбрать другое имя домена. Даже если ваш домен и не опубликован в Internet, при работе пользователей, работающих на домашних или портативных компьютерах, которым нужен доступ к домену по наборному соединению или по сети VPN, может возникнуть конфликт имен, поскольку они будут ошибочно направлены к другому имени DNS в Internet, а не в пространство имен вашей компании.
Введение в Active Directory Ãëàâà 4
173
Äèíàìè÷åñêàÿ DNS Динамическая служба доменных имен (Dynamic Domain Name System — DDNS) была разработана как средство разрешения такой проблемы, когда при изменениях DNS необходимо было обновлять таблицы DNS вручную. DDNS в Windows Server 2003 автоматически обновляет таблицу DNS на основе регистраций, и может работать в сочетании с протоколом DHCP, чтобы автоматически обрабатывать изменения при добавлении и удалении клиентов из сетевой инфраструктуры. DDNS не нужна для правильного функционирования Active Directory, но она существенно облегчает администрирование по сравнению с предыдущими ручными методами.
НА ЗАМЕТКУ Хотя DDNS полностью поддерживается Windows Server 2003 и обычно включена для всех междоменных репликаций Active Directory системы Windows, она не всегда реализуется на уровне предприятия. Организации с DNS-серверами на основе Unix предпочитают обновлять таблицы DNS вручную или статически, а не динамически. Выбор активизации DDNS из DNS службы Active Directory на уровне предприятия целиком зависит от администратора DNS организации.
Ñðàâíåíèå ñòàíäàðòíûõ çîí DNS è çîí DNS, èíòåãðèðîâàííûõ ñ AD Стандартная DNS хранит все записи с именами в текстовом файле и поддерживает его актуальное состояние с помощью динамических обновлений. Если вы привыкли работать с Unix BIND DNS или с какой-либо другой стандартной формой DNS, то это именно то, чем является стандартная DNS в Windows Server 2003. Active Directory распространяется на другие реализации DNS, позволяя администраторам интегрировать DNS и Active Directory. Благодаря этому сами зоны DNS существуют как объекты Active Directory, что позволяет выполнять автоматические переносы зон. Трафик репликаций DNS включает в себя трафик Active Directory, а записи DNS хранятся как объекты в каталоге. В реализации Active Directory в Windows Server 2003 зоны DNS, интегрированные с AD, оптимизируются тем, что они хранятся в разделе приложений, что уменьшает трафик репликаций и повышает производительность системы. Более подробное описание DNS приведено в главе 9.
Ñîñóùåñòâîâàíèå AD DNS ñ ïîñòîðîííèìè DNS Бывает, что локальные администраторы неохотно разворачивают Active Directory, поскольку хотят сохранить свои собственные реализации посторонних DNS, обычно Unix BIND. Если дело только в этом, то в среде такого типа возможно сосуществование DNS Windows 2000 с другими системами, если DNS поддерживает динамические обновления и записи SRV (BIND версии 8.2.x или выше). Такие ситуации возникают довольно часто, так как зачастую коллектив IT-отдела делится на группы приверженцев Microsoft и приверженцев Unix, у каждой из которых есть свои идеологии и планы. Следовательно, способность Windows Server 2003 мирно сосуществовать в таких средах очень важна. Более подробный анализ DNS в Windows Server 2003 можно найти в главе 9.
174
Active Directory в Windows Server 2003 ×àñòü II
Áåçîïàñíîñòü Active Directory Система безопасности, построенная на основе Active Directory и Windows Server 2003, создана для защиты ценных сетевых ресурсов и решения многих задач безопасности, характерных для Windows NT 4.0. Windows Server 2003 расширяет эти возможности безопасности; эта система была создана для решения таких проблем, как уязвимости в работе информационного сервера Internet (Internet Information Server — IIS), которые использовались вирусами наподобие Code Red или Nimbda. На разработку безопасности Windows Server 2003 оказала влияние и инициатива Microsoft “безопасности по умолчанию” (secure by default), нацеленная в основном на безопасность ее продуктов. Короче говоря, Microsoft сейчас как никогда озабочена безопасностью своих продуктов и обязательно испытывает на безопасность все свои новые программные средства, прежде чем запускать их в эксплуатацию. Эта инициатива повлияла на разработку Windows Server 2003 и чувствуется в средствах обеспечения безопасности.
Kerberos Kerberos был разработан в Массачусетском Технологическом институте как безопасный метод аутентификации пользователей без необходимости пересылки по сети пароля пользователя в зашифрованном или открытом виде. Возможность посылки пароля таким способом значительно уменьшает опасность кражи пароля, поскольку злонамеренные пользователи теперь не могут заполучить копию пароля, когда он проходит по сети, и провести атаку грубой силы для расшифровки информации. Фактические функциональные средства Kerberos довольно сложны, но кратко их можно описать так: компьютер посылает пакет с информацией клиенту, которому нужна аутентификация. Этот пакет содержит “загадку”, правильный ответ на которую можно получить только из подлинного мандата пользователя. Пользователь прилагает к этой загадке “ответ” и отсылает ее назад на сервер. Если ответ сформирован с помощью правильного пароля, аутентификация пользователя считается успешной. Хотя эта форма аутентификации применяется в Windows Server 2003, она не является собственной разработкой Microsoft и доступна в качестве стандарта Internet. Более подробно безопасность на базе Kerberos описана в главе 12.
Èíôîðìàöèîííûé ñåðâåð Internet v6 ïî óìîë÷àíèþ îòêëþ÷åí Одним из объектов критики информационного сервера Internet компании Microsoft, да и вообще продуктов Microsoft, является недостаток средств безопасности, встроенных в эти продукты — и присутствующих изначально, и подключаемых при выполнении стандартных операций. Компоненты IIS, особенно Index Server, оказались уязвимыми для вирусов и хакерских приемов наподобие применяемых печально известными вирусами Code Red и Nimbda. По этой причине Microsoft по умолчанию отключила в Windows Server 2003 компонент информационного сервера Internet. Включение этого компонента не представляет трудностей и описано в главе 11.
Введение в Active Directory Ãëàâà 4
175
Äîïîëíèòåëüíûå ñîîáðàæåíèÿ ïî áåçîïàñíîñòè Реализации Active Directory, по сути, имеют тот же уровень безопасности, что и среда Windows Server 2003, в которой они работают. Безопасность структуры Active Directory можно повысить, применив дополнительные меры предосторожности, такие как безопасный межсерверный обмен данными по протоколу IPSec, с помощью смарт-карт или других методов шифрования. Кроме того, безопасность пользовательской среды можно повысить, применяя групповые политики, с помощью которых можно изменить такие параметры, как ограничения на пароли пользователей, безопасность доменов и полномочия доступа при входной регистрации.
Èçìåíåíèÿ Active Directory â Windows Server 2003 Улучшения функциональности и надежности Active Directory являются первоочередной целью для команды разработчиков Microsoft и для всей инициативы служб Microsoft .NET в целом. Поэтому не удивительно, что Windows Server 2003 содержит усовершенствования Active Directory. Изменения, внесенные в структуру Active Directory — от возможности переименования доменов до улучшенного сжатия репликации — заслуживают более пристального рассмотрения.
Ñðåäñòâî ïåðåèìåíîâàíèÿ äîìåíîâ Active Directory â Windows Server 2003 Долгожданным средством Active Directory является возможность сливать, расщеплять и переименовывать домены Active Directory. В условиях американских корпораций, в которых ни на минуту не прекращаются перестройка структур, приобретения и переименования, гибкость Active Directory в отношении имен и структур является исключительно важным фактором. Средство переименования из Active Directory предназначено как раз для этой цели. Но чтобы получить возможность переименования доменов Active Directory и модифицировать их структуру, необходимо выполнить несколько предварительных условий. Первое и, видимо, самое главное — все контроллеры доменов леса уже должны быть модернизированы до Windows Server 2003, а сами домены и лес — до уровня функциональности Windows Server 2003. И, наконец, перед выполнением переименования необходимо выполнить резервное копирование всей среды. Процесс переименования домена сложен, и его нельзя рассматривать как обычную операцию. После его выполнения необходимо перезагрузить каждый контроллер домена, а также каждый рядовой компьютер всего леса (дважды). Чтобы лучше понять средство переименования доменов и процесс его работы, обратитесь к главе 5.
176
Active Directory в Windows Server 2003 ×àñòü II
Óñîâåðøåíñòâîâàíèÿ â ìàñòåðå êîíôèãóðèðîâàíèÿ ñåðâåðà Мастер конфигурирования сервера (Configure Your Server Wizard — CYS), появившийся в Windows 2000 Server, претерпел существенные изменения. Если при работе в Windows 2000 вы привыкли отключать этот мастер, то в Windows Server 2003 стоит отказаться от этой привычки, поскольку он может оказаться очень полезным при подготовке сервера к его будущей роли, отсекая ненужные службы и конфигурируя нужные. Теперь имеются варианты конфигурирования сервера как терминального сервера, а также как сервера маршрутизации и удаленного доступа (Routing and Remote Access Server — RRAS).
Òðàíçèòèâíûå äîâåðèòåëüíûå îòíîøåíèÿ ìåæäó ëåñàìè Active Directory в Windows Server 2003 предоставляет возможность устанавливать доверительные отношения между двумя несовместимыми лесами Active Directory. Эта возможность позволяет двум компаниям легче осуществлять совместное использование ресурсов без фактического слияния лесов. Обратите внимание, что для того чтобы транзитивная часть этого доверительного отношения функционировала верно, оба леса должны выполняться на функциональных уровнях Windows Server 2003. Леса в смешанном режиме могут использовать старые нетранзитивные явные доверительные отношения.
Ïîääåðæêà ðåæèìà îòêëþ÷åíèÿ ñæàòèÿ ðåïëèêàöèé ñëóæáû Active Directory По умолчанию весь трафик репликации между контроллерами доменов в Active Directory сжимается, дабы снизить общий сетевой трафик. Однако это сжатие имеет и нежелательный эффект, заключающийся в снижении производительности процессоров контроллеров доменов. В Active Directory Windows Server 2003 имеется возможность отключения этой функции сжатия и снижения загрузки процессоров. Этот вариант обычно подходит только для организаций с очень быстрыми соединениями между их контроллерами доменов.
Äåàêòèâèçàöèÿ àòðèáóòîâ ñõåìû Разработчики, пишущие приложения для Active Directory, могут порадоваться, что реализация Active Directory в Windows Server 2003 содержит возможность деактивизации атрибутов схемы, позволяя специализированным приложениям использовать пользовательские атрибуты без опасений возникновения конфликта. Кроме того, атрибуты можно деактивизировать для уменьшения трафика репликаций.
Введение в Active Directory Ãëàâà 4
177
Èíêðåìåíòíàÿ ðåïëèêàöèÿ ÷ëåíñòâà â óíèâåðñàëüíîé ãðóïïå Раньше в Windows 2000 был существенный недостаток в использовании универсальных групп. Членство в этих группах хранилось в одном многозначном атрибуте Active Directory. По сути, это означало, что любые изменения членства в универсальной группе требовали полной репликации заново всего членства. Другими словами, при наличии группы с 5000 пользователей и добавлении 5001-го требовался существенный объем репликации, поскольку нужно было выполнить повторную репликацию всех 5001 пользователей в лесе. Windows Server 2003 упрощает этот процесс и позволяет выполнять инкрементную репликацию членства в универсальных группах. Фактически в Windows Server 2003 реплицируется только 5001-й член.
Active Directory â ðåæèìå ïðèëîæåíèÿ Одной из дополнительных функций Windows Server 2003 является продукт Active Directory в режиме приложения (Active Directory in Application Mode — ADAM). AD получила возможность выполнения отдельных экземпляров самой себя в виде уникальных служб. Active Directory в режиме приложения позволяет специальным приложениям использовать ADAM как собственную службу каталогов, устраняя необходимость введения новых форм службы каталогов для каждого критичного в данной организации приложения. ADAM использует тот же механизм репликаций, что и Active Directory, соответствует той же структуре X.500 и достаточно близка к фактической функциональности AD, чтобы инсталлировать ее в качестве испытательного стенда для разработчиков, создающих приложения с применением AD. Однако, несмотря на все сходства, ADAM выполняется как отдельная служба операционной системы со своей собственной схемой и структурой. Реальная ценность реализации ADAM определяется ее возможностью использовать структуру безопасности производственного домена (доменов), поддерживая при этом собственную структуру каталога. На самом деле экземпляр ADAM может выполняться как служба рядового сервера Windows Server 2003 в домене Windows NT. При этом ADAM использует учетные записи домена NT для своей собственной безопасности. Функциональность ADAM была разработана в качестве ответа компании Microsoft на основные ограничения в использовании Active Directory: этот каталог был так тесно связан с NOS, что приложения, которым не требовались дополнительные функции AD, относящиеся к NOS, были ограничены в своих операциях с каталогами. ADAM позволяет каждому приложению иметь собственный отдельный лес каталогов AD и выполнять индивидуализированную модификацию каталога, например, расширения схемы, необходимость в специальной репликации (или отсутствие репликации) и другие ключевые операции с каталогом. Одно из главных достоинств ADAM заключается в том, что на одной машине может выполняться несколько экземпляров ADAM, каждый с собственным уникальным именем, номером порта и отдельными двоичными файлами. Кроме того, для целей разработки ADAM может выполняться на любой версии Windows Server 2003 и даже в
178
Active Directory в Windows Server 2003 ×àñòü II
Windows XP Professional. Каждый экземпляр ADAM может использовать отдельную, специально сконфигурированную схему. ADAM практически не отличим от обычного сетевого экземпляра Active Directory, и поэтому его можно администрировать с помощью стандартных средств, применяемых для AD, таких как ADSIEdit, LDP.exe и средств консоли управления Microsoft (Microsoft Management Console — MMC). Кроме того, имеется возможность создания пользовательских учетных записей, создания уникальных топологий репликации и выполнения всех обычных функций AD на специальной копии леса AD. Короче говоря, ADAM предоставляет приложениям все преимущества среды Active Directory, но без ограничений, накладываемых NOS, из-за которых приходилось реализовывать многочисленные дорогостоящие каталоги. Теперь же разработчики могут пользоваться всеми без ограничений функциями Active Directory Windows Server 2003, и в то же время — многочисленными преимуществами интеграции в общую структуру безопасности.
Äîïîëíèòåëüíûå èçìåíåíèÿ, âíåñåííûå â Windows Server 2003 Кроме изменений, перечисленных в предыдущих разделах, Active Directory в Windows Server 2003 поддерживает следующие новые возможности: •
Интегрированные в AD зоны DNS в разделах приложений. Зоны DNS, интегрированные в Active Directory, теперь сохраняются в разделе приложения. Это главным образом означает, что в AD нужно хранить меньше объектов, что уменьшает объем репликации DNS.
•
Удаление неактивных объектов AD. Теперь в Windows Server 2003 можно легко удалять объекты, которые перечислены в Active Directory, но больше не существуют.
•
Улучшенное администрирование AD. В Windows Server 2003 улучшены средства администрирования, предназначенные для выполнения задач общего характера: работа со списками ACL, поиск объектов и выбор нескольких организационных единиц.
Ðåçþìå Когда компания Microsoft разрабатывала стратегию .NET, возникла потребность в общей структуре, связывающей различные приложения и операционные системы. Успех Active Directory в Windows 2000 снабдил Microsoft носителем такой общей структуры. Наряду с добавлением новых возможностей, наподобие переименования домена и других усовершенствований, Active Directory основана на своей “шкале ценностей” и на практическом опыте работы в Windows 2000, обеспечивая надежную и безопасную среду для технологии .NET Services и сетевых возможностей.
Введение в Active Directory Ãëàâà 4
179
Ïîëåçíûå ñîâåòû •
Создавайте домены экономно: не обязательно создавать несколько доменов для различных удаленных офисов или сайтов.
•
Приобретайте пространства имен внешних доменов, которые теоретически можно приобрести и использовать в Internet.
•
Осторожно подходите к использованию DDNS, особенно при интеграции с DNS на базе Unix.
•
Вместо слияния лесов обдумайте возможность использования доверительных отношений между двумя несовместимыми лесами Active Directory.
•
Поместите роль мастера инфраструктуры в контроллер домена, который не является глобальным каталогом, за исключением случаев, когда все компьютеры домена являются серверами глобального каталога.
•
Для переноса ролей OM в ситуациях аварийного восстановления используйте утилиту командной строки ntdsutil.
•
Используйте глобальные группы для хранения пользователей в домене, в котором они существуют, а также для предоставления доступа к ресурсам в других доверяемых доменах.
•
Используйте универсальные группы для хранения пользователей из любого домена леса и для предоставления доступа к любому ресурсу леса.
Ñîçäàíèå Active Directory â Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Ñîçäàíèå äîìåíîâ Active Directory
•
Âûáîð ïðîñòðàíñòâà èìåí äîìåíà
•
Íîâûå âîçìîæíîñòè ñîçäàíèÿ äîìåíîâ â Windows Server 2003
•
Âûáîð ñòðóêòóðû äîìåíà
•
Ìîäåëü ñ åäèíñòâåííûì äîìåíîì
•
Ìîäåëü ñ íåñêîëüêèìè äîìåíàìè
•
Ìîäåëü ñ íåñêîëüêèìè äåðåâüÿìè â îäíîì ëåñó
•
Ìîäåëü ñîçäàíèÿ èíòåãðèðîâàííûõ ëåñîâ
•
Ìîäåëü äîìåíà ñ âûäåëåííûì êîðíåì
•
Ìîäåëü ñ ôèêòèâíûì äîìåíîì
•
Äîìåíû ñïåöèàëüíîãî íàçíà÷åíèÿ
•
Ïåðåèìåíîâàíèå äîìåíà Active Directory
ÃËÀÂÀ
5
182
Active Directory в Windows Server 2003 ×àñòü II
Ñîçäàíèå äîìåíîâ Active Directory Правильное проектирование структуры Active Directory в Windows Server 2003 является критическим компонентом успешного развертывания этой технологии. Ошибки, допущенные на стадии проектирования Active Directory, могут оказаться дорогостоящими и потребовать немало усилий на их исправление. О базовой структуре доменов и функций Active Directory было выдвинуто много предположений, но многие из них были некорректны либо основаны на ошибочной информации. Четкое понимание этих компонентов обязательно, и каждый, кто хочет разобраться в Windows Server 2003, должен иметь это в виду. Active Directory специально создана масштабируемой. Это означает, что теоретически эту технологию могут реализовать организации любых форм и размеров. По вполне очевидным причинам это означает, что структуры лесов Active Directory в разных организациях различны. В Active Directory, реализованную в Windows Server 2003, добавлена возможность установления доверительных отношений между лесами. Это позволяет создавать так называемые интегрированные леса (federated forests) — новую концепцию в Windows Server 2003. Интегрированные леса по сути дела представляют собой несколько лесов с отдельными схемами и отдельными административными группами, объединенных транзитивными доверительными отношениями между лесами. Это обеспечивает большую расширяемость и позволяет администраторам полностью разделять границы безопасности внутри организации. Кроме того, появилась возможность внесения изменений в проектные решения, которые в Windows 2000 были необратимыми — имя леса и относительная структура домена. Теперь в случае слияния или продажи компании структуру доменов Active Directory можно переименовать. Уже сам психологический фактор, что однажды принятое решение невозможно будет изменить, удерживал раньше некоторые организации от развертывания Active Directory. Теперь, когда эти барьеры сняты, еще больше организаций смогут развернуть Active Directory, не опасаясь попасть в тупик. Прежде чем принимать какие-либо решения о создании домена, важно хорошо разобраться в структуре и функциональности доменов Active Directory. Администраторы Windows 2000 узнают многие ключевые компоненты, однако в Windows Server 2003 внесены некоторые существенные изменения, которые требуют переосмысления процесса создания доменов. Кроме того, опыт создания доменов AD привел к изменению некоторых сделанных ранее предположений. Основное внимание в данной главе уделяется практическим рекомендациям по созданию Active Directory, включая обсуждение конкретных элементов, составляющих Active Directory. Рассмотрены различные модели структуры доменов Active Directory, для которых предложены конкретные практические сценарии. Описана также процедура переименования домена, чтобы дать представление о том, как это понятие влияет на решения, принимаемые при создании домена. Кроме того, приведены пошаговые инструкции для некоторых случаев создания доменов Windows Server 2003, которые существенно изменились по сравнению Windows 2000.
Создание Active Directory в Windows Server 2003 Ãëàâà 5
183
Äîâåðèòåëüíûå îòíîøåíèÿ äîìåíîâ Домены Active Directory в Windows Server 2003 могут быть связаны друг с другом с помощью концепции, известной как доверительные отношения (trust). Многие администраторы NT 4.0 знают, что это такое (хотя многие из них предпочитают забыть о них). Доверительное отношение представляет собой механизм, обеспечивающий доступ к ресурсам одного домена аутентифицированным пользователям из другого домена. Многие администраторы, должно быть, помнят, что в NT 4.0 доверительные отношения были однонаправленными и нетранзитивными. Другими словами, любое совместное использование ресурсов между несколькими доменами требовало наличия многочисленных доверительных отношений. В Active Directory доверительные отношения используют подход, отличный от подхода “соединение всего доверительными отношениями”. Доверительные отношения в Active Directory Windows Server 2003 мощнее и в то же время проще. Доверительные отношения AD проявляются в различных формах, но, как правило, попадают в одну из четырех категорий, описанных в последующих разделах.
Òðàíçèòèâíûå äîâåðèòåëüíûå îòíîøåíèÿ Транзитивные доверительные отношения (transitive trusts) являются автоматическими двунаправленными отношениями доверия между доменами в Active Directory. Эти доверительные отношения соединяют ресурсы отдельных доменов Active Directory и отличаются от доверительных отношений из Windows NT тем, что они перетекают из одного домена в другой. Другими словами, если домен A доверяет домену B, а домен B доверяет домену C, то домен A доверяет домену C. Это перетекание существенно упрощает отношения между доменами Windows, поскольку в этом случае отпадает необходимость наличия многочисленных отношений доверия между каждой парой доменов.
ßâíûå äîâåðèòåëüíûå îòíîøåíèÿ Явное доверительное отношение (explicit trust) есть отношение, которое устанавливается между доменами вручную для обеспечения специального пути совместной аутентификации между доменами. В зависимости от потребностей среды этот тип отношений доверия может быть одно- или двунаправленным. То есть все доверительные отношения NT 4.0 можно определить как явные доверительные отношения, поскольку все они создаются вручную и не позволяют перетекание полномочий, как в случае транзитивных доверительных отношений. Использование явных доверительных отношений в Active Directory предоставляет разработчикам большую гибкость и возможность устанавливать доверительные отношения с внешними доменами и доменами нижнего уровня. Все доверительные отношения между доменами Active Directory и доменами NT являются явными доверительными отношениями.
Ñîêðàùåííûå äîâåðèòåëüíûå îòíîøåíèÿ Сокращенное доверительное отношение (shortcut trusts) представляет собой явное доверительное отношение, образующее более короткий путь между двумя доменами в доменной структуре. Например, если дерево доменов содержит несколько поддоменов, расположенных на большой глубине, то можно установить сокращенное довери-
184
Active Directory в Windows Server 2003 ×àñòü II
тельное отношение между этими глубинными поддоменами дерева, как показано рис. 5.1. Это отношение увеличивает связность между двумя доменами и уменьшает число переходов при выполнении запросов на аутентификацию. В обычных условиях такой запрос должен был бы подняться вверх по дереву транзитивных отношений, а затем снова опуститься, что существенно увеличивает затраты ресурсов.
companyabc.com
asia.companyabc.com
europe.companyabc.com
Ñîêðàùåííîå äîâåðèòåëüíîå îòíîøåíèå
sales.asia.companyabc.com
sales.europe.companyabc.com
Ðèñ. 5.1. Сокращенные доверительные отношения уменьшают количество переходов между доменами Пример на рис. 5.1 показывает, как сокращенное доверительное отношение теоретически может уменьшить затраты при совместном использовании ресурсов двумя поддоменами сбыта (sales) в дереве companyabc.com. Дополнительную информацию об этих доверительных отношениях можно найти далее в этой главе, в разделах, описывающих отдельные модели создания.
Òðàíçèòèâíûå äîâåðèòåëüíûå îòíîøåíèÿ ìåæäó ëåñàìè Транзитивные доверительные отношения между лесами представляют собой двунаправленные транзитивные доверительные отношения, существующие между двумя несопоставимыми лесами Active Directory. Явные доверительные отношения между отдельными доменами в различных лесах были возможны еще в Windows 2000, но доверительные отношения между лесами в Windows Server 2003 позволяют устанавливать двунаправленные транзитивные доверительные отношения между двумя отдельными лесами. Более подробная информация о различных новых доверительных отношениях приведена далее в этой главе.
Âûáîð ïðîñòðàíñòâà èìåí äîìåíà При фактической разработке структуры Active Directory вначале нужно принять решение об общем пространстве имен системы доменных имен (Domain Name System — DNS), которое будет занимать Active Directory. Active Directory тесно связана
Создание Active Directory в Windows Server 2003 Ãëàâà 5
185
и неотделима от DNS, так что это решение относится к числу наиболее важных. Выбранное пространство имен может быть простым, как, например, microsoft.com, или более сложным. Однако до принятия этого решения нужно учесть несколько различных факторов. Будет ли лучше, если зарегистрировать пространство имен в Internet и тем самым потенциально открыть его злоумышленникам? Нужно ли связывать несколько пространств имен в один лес? Прежде чем приступить к процессу создания, необходимо ответить на эти и другие вопросы.
Âíåøíåå (îïóáëèêîâàííîå) ïðîñòðàíñòâî èìåí Простейший метод реализации структуры Active Directory — с помощью единого общего пространства имен DNS, которое отражает имя компании и зарегистрировано в Internet. Очевидным примером является microsoft.com, а также мириады других возможностей. Опубликованное пространство имен обладает некоторыми достоинствами: оно сразу доступно через Internet, и конечные пользователи меньше путаются при определении местоположения в сети и в Internet. Например, пользователь Вера Сердючка, работающая в корпорации CompanyABC, будет представлена в сети своим основным именем (User Principal Name — UPN) как [email protected]. Это имя можно выбрать так, чтобы оно в точности соответствовало ее адресу электронной почты, и уменьшило вероятность путаницы у конечных пользователей. Ограничения, присущие этому типу пространства имен, связаны в основном с требованиями безопасности. Опубликование пространства имен Active Directory открывает потенциальным хакерам имя доменной системы и той ее части, которая нужна для компрометации пользовательских учетных записей. Когда пространство имен совпадает с пространством имен организации, опубликованным в Internet, становится менее интуитивно понятным и администрирование брандмауэра для блокировки внутренних DNS-запросов. Если, например, пространства имен раздельные, то можно записать простое правило блокирования любого трафика, направленного во внутреннюю структуру домена. Еще одно ограничение может возникнуть, если организация вначале использует для собственной идентификации сразу несколько пространств имен, а затем эти пространства имен необходимо объединить в один лес. В этом случае создание общего пространства имен невозможно. Слияние, смена владельцев или даже наличие нескольких подразделений в рамках одной и той же родительской организации могут служить примерами подобных проблем.
Âíóòðåííèå ïðîñòðàíñòâà èìåí По желанию или требованию организации пространство имен, в котором обитает структура Active Directory, может быть внутренним, то есть не опубликованным в Internet. Использование внутренних пространств имен добавляет в сеть лишний уровень сложности, так как в этом случае UPN пользователей отличаются от их адресов электронной почты. Но организации выбирают эту структуру, поскольку она увеличивает безопасность. Другой фактор, который может повлиять на выбор в пользу внутреннего пространства имен, состоит в том, что здесь вы больше не ограничены стандартными пространствами имен Internic: .com, .net, .biz, .info и так далее. Другими
186
Active Directory в Windows Server 2003 ×àñòü II
словами, во внутреннем пространстве имен, вы можете, наконец, получить в свое распоряжении домен moogoo.funk, о котором “мечтали с детства”. Имейте в виду, что очень важно избежать регистрации внутреннего пространства имен в любом месте Internet, отличном от вашей сети. То есть если одна организация зарегистрирует internalnetwork.net, и какая-либо другая организация зарегистрирует в Internet это же доменное имя для своей собственной сети, то у приложений или других систем, выполняющие DNS-запросы по вашему лесу, могут возникнуть конфликты именования. Например, если какое-либо приложение на переносном компьютере обычно обращается к внутреннему пространству имен, а затем попытается обратиться к нему с помощью удаленного доступа через ISP (Internet service provider — поставщик услуг Internet), то DNS поставщика направит это приложение к DNS-имени, зарегистрированному в Internet. Короче говоря, если вы намерены создать свой домен с неопубликованным пространством имен, но используете стандартные имена наподобие .net или .org, которые теоретически мог зарегистрировать кто-нибудь еще, то лучше всего зарегистрировать и зарезервировать этот домен, но нигде его не выказывать. Другая общепринятая тактика — присваивание домену такого имени, которое никогда не будет опубликовано, например, выбрать в качестве корня биржевое обозначение своей компании (наподобие network.msft), либо воспользоваться суффиксом .internal, специально зарезервированным только для внутреннего использования.
Íîâûå âîçìîæíîñòè ñîçäàíèÿ äîìåíîâ â Windows Server 2003 Многие администраторы уже привыкли к строению Active Directory и знакомы с основной компоновкой и характеристиками структуры Active Directory в Windows 2000. Windows Server 2003 вносит в Active Directory ряд существенных изменений, затронувших некоторые фундаментальные компоненты Active Directory и повысивших гибкость доменной структуры. Ниже перечислены эти изменения. •
Функция переименования домена. Возможность переименования доменов в лесу Windows Server 2003 открыло новые возможности создания и возможного пересоздания доменных структур Active Directory. Раньше существовали строгие предупреждения о невозможности переименования доменов или изменения общей структуры леса Active Directory. С появлением в реализации Active Directory Windows Server 2003 функции переименования доменов эти ограничения были отменены, и проектировщики могут с облегчением вздохнуть, зная, что теперь изменения можно вносить и после реализации. Однако наличие этой возможности отнюдь не отменяет необходимости тщательно проектировать структуру домена. Не изменять имена доменов и не перемещать домены в лесу гораздо легче, чем выполнить процесс переименования домена. Однако знание, что такая возможность существует, несколько раскрепощает проектировщиков.
•
Транзитивные доверительные отношения между лесами. Появившееся лишь в Windows Server 2003 понятие транзитивных доверительных отношений между лесами облегчает усилия проектировщиков по поддержанию связности доменов. Раньше некоторые администраторы сетовали на ограничения на взаимодействие со структурами Active Directory Windows 2000. Возможность устанав-
Создание Active Directory в Windows Server 2003 Ãëàâà 5
187
ливать транзитивные доверительные отношения между лесами снимает эти ограничения, поскольку теперь несколько лесов Active Directory можно объединить доверительными отношениями, транзитивными по своей природе, а не потому что они так объявлены. Комбинация таких лесов называется в среде Microsoft интегрированным лесом. •
Создание контроллера домена с носителя данных. Возможность повысить удаленный сервер до контроллера домена с помощью образа глобального каталога на компакт-диске помогает ограничить трафик репликации и время, затрачиваемое на установку удаленных контроллеров доменов. В Windows 2000 известны случаи повышения DC, требовавшие несколько дней — вплоть до недели — на репликацию первоначальной информации глобального каталога. Windows Server 2003 решает эту проблему, предоставляя возможность записать глобальный каталог на носитель (например, на компакт-диск), перенести его на удаленную площадку и, наконец, запустить повышение контроллера домена (dcpromo), вставив диск с записанным на нем восстанавливаемым каталогом. После этого необходима репликация только изменений, проведенных после создания носителя, что экономит время и пропускную способность. Результат такого подхода к созданию домена проявляется в уменьшении времени установки и повышении гибкости при размещении контроллера домена глобального каталога.
•
Административные улучшения. Новая возможность бесконсольного управления снижает необходимость в локальных администраторах на каждой площадке. Удаленное администрирование терминальной службы (Terminal Services Remote Administration) включено во все инсталляции Windows Server 2003, упрощая дистанционное администрирование. Пользователи терминальных служб заметят, насколько теперь легче дистанционно управлять работой машин и администрировать их в точности как с их клавиатуры. Больше не надо ехать за 500 верст, чтобы перезагрузить сервер в филиале на Кудыкиных горах. Поскольку все контроллеры доменов, обычные серверы, серверы приложений и так далее содержат терминальные службы, проектировщики получили большую свободу при выборе конфигурации сервера.
Âûáîð ñòðóêòóðû äîìåíà При проектировании структуры домена Active Directory нужно соблюдать один базовый принцип. Начинайте с самого простого варианта и расширяйте его только в случае конкретной необходимости. Этот принцип, в том или ином виде, следует соблюдать при создании различных компонентов Active Directory. Применительно к созданию доменов это означает, что процесс проектирования всегда нужно начинать с одного домена, а затем добавлять другие, если этого требуют сложившиеся в вашей организации условия. Следование этой простой философии в процессе проектирования существенно упростит вашу дальнейшую жизнь. При проектировании Active Directory следует использовать диаграммы стандартного вида. Например, в Active Directory домены часто графически представляются в виде треугольников, как показано на рис. 5.2. Итак, приступая к проектированию, начните с одного треугольника.
188
Active Directory в Windows Server 2003 ×àñòü II
В этом примере вымышленная компания CompanyABC companyabc.com приступила к проектированию домена. В зависимости от своих конкретных потребностей CompanyABC может принять решение расширить эту модель либо оставить ее в простейшем виде. Эти решения должны быть приняты на основе Ðèñ. 5.2. На диаграмточного знания различных моделей создания доменов и мах домен представляется в виде треугольника сред, в которых они работают лучше всего. Active Directory — это гибкая и устойчивая к ошибкам служба каталогов. Это еще более справедливо по отношению к реализации Active Directory в Windows Server 2003. Следовательно, существует выбор из нескольких моделей создания, в зависимости от индивидуальных потребностей организаций. Основными моделями создания являются следующие: •
Модель с единственным доменом.
•
Модель с несколькими доменами.
•
Модель с несколькими деревьями в одном лесу.
•
Модель создания интегрированных лесов.
•
Модель с выделенным корнем.
•
Модель с фиктивным доменом.
•
Домены специального назначения.
На практике не все структуры AD попадают в одну из этих категорий, так как возможны различные сочетания и видоизменения структуры AD. Но большая часть доменных структур либо попадает в эти категории, либо являются гибридными моделями, обладающими свойствами двух разных моделей. Однако из всех перечисленных моделей наиболее употребительна модель с единственным доменом; кроме того, она и наиболее легка для развертывания.
Ìîäåëü ñ åäèíñòâåííûì äîìåíîì Наиболее простой из всех структур Active Directory является модель с единственным доменом. Этот тип структуры домена обладает существенным преимуществом перед остальными структурами — простотой. Одна граница безопасности определяет границы домена, и все объекты расположены внутри этой границы. Устанавливать доверительные отношения с другими доменами не нужно, а реализовывать такие технологии, как групповые политики, для простых структур гораздо проще. Многие организации, которые постоянно использовали многодоменную структуру NT, могут решить, что им невозможно перейти к модели с одним доменом. Но большинство организаций могут воспользоваться преимуществами этой модели, поскольку наряду с упрощением Active Directory была усилена ее способность объединять несколько физических границ.
Âûáîð ìîäåëè ñ åäèíñòâåííûì äîìåíîì Модель с единственным доменом идеально подходит для многих организаций, а с учетом возможных модификаций — для очень многих. Структура с единственным до-
Создание Active Directory в Windows Server 2003 Ãëàâà 5
189
меном обладает несколькими преимуществами, главным из которых является простота. Любой администратор или инженер с опытом реальной работы согласится с тем, что чаще всего самое простое решение и является наилучшим. Чрезмерное усложнение архитектуры системы привносит потенциальный риск и усложняет устранение неполадок в этих системах. Следовательно, объединение сложных доменных структур наподобие NT 4.0 в более простую структуру с единственным доменом Active Directory позволяет уменьшить расходы на администрирование и минимизировать связанные с этим проблемы. Другим преимуществом, связанным с созданием структуры с единственным доменом, является возможность централизованного администрирования. Многие организации с сильной централизованной IT-структурой желают сосредоточить контроль над всеми информационными структурами и пользователями в одном месте. Доменам NT явно не хватало возможности расширения до этих уровней, а нужные организациям типы централизованного управления были недоступны. Active Directory, и особенно модель с единственным доменом, обеспечивает более высокий уровень административного управления и возможность делегирования задач администраторам более низкого уровня. Это стало сильным стимулом для использования Active Directory. Но все-таки не все структуры Active Directory могут состоять из единственного домена, и существуют некоторые факторы, которые могут ограничить способность организации к переходу на структуру с единственным доменом. При наличии в организации таких факторов может потребоваться расширение доменной модели, чтобы она включала другие домены леса и другую доменную структуру. Например, единая граница безопасности, сформированная одним доменом, может оказаться совсем не тем, что нужно организации. И хотя с помощью организационных единиц можно делегировать администрирование элементов безопасности, сам домен является границей безопасности в структурах Active Directory. Если контуры безопасности внутри организации должны иметь точные границы, то единственный домен может не подходить для этой цели. Например, если отдел кадров требует, чтобы никто из пользователей отдела информационных технологий не имел доступа к ресурсам его среды, то для удовлетворения дополнительным требованиям безопасности придется расширить структуру домена. Еще одним недостатком модели с единственным доменом является то, что при наличии в лесу единственного домена нужно, чтобы компьютер с ролью мастера схемы находился в этом домене. Тогда мастер схемы должен находиться в домене, в котором содержатся все пользовательские учетные записи. Хотя доступ к мастеру схемы можно жестко контролировать соответствующим администрированием, все же риск раскрытия схемы выше, если роль мастера схемы находится в пользовательском домене. Если эта модель порождает в организации проблемы, то лучше воспользоваться моделями, выделяющими мастера схемы в фиктивный домен. Модель с фиктивным доменом будет более подробно описана далее в этой главе.
Ðåàëüíûé ïðèìåð ñîçäàíèÿ В качестве иллюстрации рассмотрим пример организации, которая по логике вещей выбирает модель с единственным доменом — пусть это будет Компания A с 500 пользователями и центральным офисом в Миннеаполисе. Несколько ее филиалов разбросаны по территории Среднего Запада, но все администрирование службы под-
190
Active Directory в Windows Server 2003 ×àñòü II
держки сосредоточено в главном офисе компании. В настоящее время Компания A использует модель с единственным пользовательским NT-доменом и имеет несколько доменов ресурсов в различных местах страны. IT-команда в Миннеаполисе проектирует структуру Active Directory и желает сосредоточить все администрирование в главном офисе корпорации. Филиалы должны иметь возможность локально менять пароли и очищать очереди печати, но кроме этого — никаких других административных полномочий в сети. Процесс проектирования Active Directory Компания A начала с единственного леса Active Directory, домена и пространства имен companya.net. Затем для каждого филиала были добавлены организационные единицы, чтобы делегировать им функции управления заменой паролей и администрирование печати. Существующие домены NT 4.0 были объединены в структуру Active Directory, как показано на рис 5.3. Компания A не сочла необходимым существование дополнительных доменов, так как ее модель безопасности была централизованной без географически разветвленной сети филиалов, связанных с главным офисом медленными каналами, и других подобных ограничений, требующих наличия дополнительных доменов.
companya.net Ìèííåàïîëèñ
Гранд-Форкс Милуоки
Крукстон
Виннипег
Ðèñ. 5.3. Структура службы каталогов Active Directory и структура организационной единицы Делегирование функции управления заменой паролей и другие локальные административные функции были поручены администраторам, назначенным в каждой географической организационной единице, которые получили полномочия только в отношении ресурсов их собственных групп с сохранением централизованного административного контроля в Миннеаполисе. Подробное обсуждение создания организационных единиц приведено в главе 6. Для управления частотой репликации было создано несколько сайтов Active Directory. Сайты соответствовали каждой географической области, что породило структуру сайта, похожую на приведенную на рис. 5.4.
Создание Active Directory в Windows Server 2003 Ãëàâà 5
191
Ìèííåàïîëèñ
Ñòðóêòóðà ñàéòîâ companya.net
Гранд-Форкс Крукстон
Виннипег
Милуоки
Ðèñ. 5.4. Структура сайтов, созданная в соответствии с географическим расположением Создание раздельных сайтов помогает регулировать трафик репликации и уменьшить загрузку связей глобальной сети, соединяющих сайты. Более подробно о связях сайтов и репликации говорится в главе 7. Этот тип структуры с единственным доменом идеально подходит для типа организации, описанного в данном разделе и, вообще-то, может быть использован для многих других типов организаций, больших и малых. Поскольку делегирование администрирования теперь выполняется с помощью OU и объектов групповых политик, а регулирование репликации осуществляется сайтами AD, причин применения в организациях нескольких доменов стало меньше.
Ìîäåëü ñ íåñêîëüêèìè äîìåíàìè В силу различных причин организациям бывает нужно добавить в их среду более одного домена, но сохранить функциональность, присущую одному лесу. В таких случаях можно добавить в лес один или несколько доменов. Однако к добавлению доменов нельзя подходить легковесно: необходимо тщательно обдумать конкретные характеристики моделей с несколькими доменами. По умолчанию в Active Directory между поддоменами и доменами существуют двунаправленные транзитивные доверительные отношения. Однако следует иметь в виду, что это отнюдь не означает, что членам других доменов автоматически разрешается доступ к ресурсам. Пользователь из поддомена B не получает автоматически никаких прав в домене A; их нужно определить явно с помощью групп. Понимание этого принципа позволит определить логистику добавления доменов.
Êîãäà ñëåäóåò äîáàâëÿòü äîïîëíèòåëüíûå äîìåíû Как уже было сказано, рекомендуется начать создание Active Directory в Windows Server 2003 с одного домена, а затем добавлять домены только в случаях абсолютной
192
Active Directory в Windows Server 2003 ×àñòü II
необходимости. Добавление дочерних доменов в существующую доменную структуру может оказаться необходимым, если инфрастуктура обладает перечисленными ниже свойствами. •
Децентрализованное администрирование. Когда различные филиалы организации в основном управляют своей собственной IT-структурой и не планируется их объединение в централизованную модель, то идеальным решением могут оказаться несколько взаимосвязанных доменов. Каждый домен действует как граница безопасности для большинства видов деятельности и может быть настроен на блокировку администрирования за границами доменов. Этот подход действует примерно так же, как и домены NT, и наследует многие из их ограничений. Другими словами, перед тем как разворачивать Active Directory, лучше попытаться централизовать администрирование, чтобы воспользоваться дополнительными преимуществами AD.
•
Географические ограничения. Если различные части компании связаны медленными или ненадежными каналами либо разделены огромными географическими расстояниями, целесообразно будет разбить пользователей на отдельные домены. Это поможет ограничить интенсивность междоменных репликаций и облегчить поддержку различных часовых поясов. Имейте в виду, что только лишь медленные каналы не являются основанием для создания нескольких доменов, поскольку для регулирования репликаций по медленным каналам Active Directory Windows Server 2003 использует понятие сайтов Active Directory. Основная причина создания домена из-за географической удаленности — гибкость администрирования. То есть при возникновении проблемы с сетью в Японии местный администратор имеет больше возможностей администрирования азиатского домене и может не звонить среди ночи североамериканским администраторам.
•
Необходимость уникального пространства имен DNS. Если два организационных элемента хотят использовать для Active Directory свое пространство имен, зарегистрированное в Internet, но используют общий лес наподобие hotmail.com или microsoft.com, эти домены должны быть добавлены как отдельные домены. Этот тип доменной модели более подробно описан далее в этой главе, в разделе “Модель с несколькими деревьями в одном лесу”.
•
Специальные политики паролей. Поскольку политики паролей устанавливаются на уровне доменов, то если в разных доменах устанавливаются разные политики, для разделения этих политик нужны разные домены. На практике редко бывает, чтобы эта проблема была единственной причиной создания нового домена, но знание о таком ограничении может быть полезным в процессе создания.
•
Требование повышенной безопасности. В зависимости от потребностей организации может оказаться целесообразным выделение роли мастера схемы в домен, отдельный от пользователей. В этом случае модель с единственным доменом неприменима, и более уместными будут такие модели как модель с выделенным корнем или с фиктивным доменом.
При обдумывании необходимости дополнительных доменов не забывайте о принципе “чем проще, тем лучше”. Но все же если в процессе проектирования возникает
Создание Active Directory в Windows Server 2003 Ãëàâà 5
193
особая необходимость добавить новые домены, обязательно соблюдайте правила создания, иначе ваша среда рискует приобрести вид беспорядочной груды NT-доменов, которой надо всячески избегать.
Ðåàëüíûé ïðèìåð ñîçäàíèÿ В качестве организации, которая имеет основания для создания нескольких доменов, может служить следующий пример. Компания B является инженерной компанией, расположенной в городе Йорке, штат Пенсильвания. Администрация всех филиалов в настоящее время сосредоточена в главном офисе, а организационные единицы и групповые политики используются для делегирования задач низкого уровня. Недавно компания приобрела две отдельных компании, которые называются Дочерняя A и Дочерняя B; обе имеют свои собственные IT-отделы и функционируют в разных географических областях. Компания B приняла решение при внедрении Windows Server 2003 заодно реализовать и Active Directory и намеревается включить две приобретенные компании в единый общий лес. Поскольку в каждой приобретенной компании имеется свой собственный IT-отдел и не существует планов немедленной централизации этих функций, компания B приняла решение развернуть структуру Active Directory с двумя поддоменами для Дочерней A и Дочерней B, как показано на рис. 5.5.
companyb.com
subsidiarya.companyb.com
subsidiaryb.companyb.com
Ðèñ. 5.5. Active Directory с двумя поддоменами Эта модель создания позволяет вновь приобретенным дочерним компаниям некоторую свободу администрирования, но в то же время позволяет использовать общий лес и схему и содержать домены в одном и том же пространстве имен DNS. Эта модель создания обладает тем преимуществом, что ее легче реализовать политически, чем объединять существующие домены. Филиалы и дочерние компании могут сохранять свои собственные доменные структуры и границы безопасности, а сотрудники их IT-отделов могут сохранить значительную часть административной автономии. Однако имейте в виду, что объединение доменов NT в меньшее число доменов является основным свойством Active Directory, следовательно, добавление доменов чисто по политическим соображениям повышает сложность и потенциально ненужную инфраструктуру. Поэтому прежде чем выбрать одну из моделей создания, очень важно обдумать все возможные альтернативы.
194
Active Directory в Windows Server 2003 ×àñòü II
Ìîäåëü ñ íåñêîëüêèìè äåðåâüÿìè â îäíîì ëåñó Предположим, что ваша организация хотела бы работать с Active Directory и использовать для своей структуры внешнее пространство имен. Однако ваша среда на данный момент использует несколько пространств имен DNS и вынуждена интегрировать их в одну и ту же структуру. Вопреки широко распространенному заблуждению, интеграцию этих пространств имен в единый лес AD можно осуществить с помощью нескольких деревьев, существующих в одном лесу. Одной из наиболее неправильно понимаемых характеристик Active Directory является различие между непрерывным лесом и непрерывным пространством имен DNS. Многие не понимают, что несколько пространств имен DNS можно интегрировать в единый лес Active Directory в виде отдельных деревьев этого леса. Например, на рис. 5.6 показано, как компания Microsoft могла бы теоретически организовать несколько доменов Active Directory, совместно использующих один и тот же лес, но расположенных в различных пространствах имен DNS.
Корень леса
hotmail.com
microsoft.com
sales.microsoft.com
msn.com
msnbc.com
service.microsoft.com
Ðèñ. 5.6. Пример леса Active Directory с несколькими уникальными деревьями в одном и том же лесу Только один домен в этой структуре является корнем леса — в данном случае microsoft.com — и только этот домен управляет доступом к схеме леса. Все другие домены, в том числе и поддомены microsoft.com и другие домены, занимающие различные структуры DNS, являются членами того же леса. Все доверительные отношения между доменами являются транзитивными, то есть перетекают из одного домена в другой.
Êîãäà ñëåäóåò âûáèðàòü ìîäåëü äîìåíà ñî ìíîãèìè äåðåâüÿìè Если организация в настоящее время манипулирует несколькими единицами в отдельных пространствах имен DNS, одним из вариантов может быть проект, подобный предлагаемому здесь. Однако важно понимать, что простое использование нескольких пространств имен DNS не делает вас автоматически кандидатом на эту структуру домена. Например, у вас может быть пять отдельных пространств имен DNS, а вы хотите создать структуру Active Directory на основе нового пространства имен, непрерывного во всей организации. Объединение Active Directory в едином домене позволяет упростить логическую структуру среды, не объединяя пространства имен DNS с Active Directory.
Создание Active Directory в Windows Server 2003 Ãëàâà 5
195
Если ваша организация интенсивно использует отдельные пространства имен, то вам, возможно, понравится такая структура. Тогда каждое дерево доменов в лесу может сохранять определенную степень автономии, как видимой, так и реальной. Часто этот тип создания предназначается для удовлетворения самого привередливого администратора филиала, который требует полного контроля над всей его IT-структурой.
Ðåàëüíûé ïðèìåð ñîçäàíèÿ Чтобы лучше понять, сколько раз организация может использовать данную модель создания, рассмотрим следующую структуру AD. Город A — организация управления одним из округов США со слабо связанной сетью полунезависимых городских служб, таких как полиция и пожарная охрана, разбросанных по всему городу. Каждое подразделение уже использует пространство имен DNS для разрешения имен всех хостов и пользовательские учетные записи, локальных внутри себя, что обеспечивает различные адреса электронной почты пользователей из пожарной охраны, полицейского департамента и других подразделений. В инфраструктуре города используются следующие пространства имен: •
citya.org
•
firedeptcitya.org
•
policeofcitya.org
•
cityalibrary.org
Принято решение о слиянии существующих сетевых сред в единый лес Active Directory, что позволит сохранить существующие пространства имен подразделений, но сохранить общую схему и корень леса. Для этого пространством имен корневого домена в Active Directory было взято citya.org. Дополнительные домены были добавлены в лес как отдельные деревья, но с совместно используемой схемой, как показано на рис. 5.7.
Корень леса
cityalibrary.org
citya.org
firedeptcitya.org
policeofcitya.org
Ðèñ. 5.7. Единый лес Active Directory с отдельными деревьями каталогов для подразделений Отдельные подразделения могут управлять своей безопасностью, но не могут вносить изменения в домены за пределами их влияния. Общая схема леса и глобальный каталог помогли усилить взаимодействие между различными организациями и допускают некоторую степень централизованного администрирования. Этот тип структуры домена логически несколько сложнее, но выполняет те же самые технические функции, что и любая другая модель структуры с единственным лесом. Все модели имеют двунаправленные доверительные отношения с корневым доменом и совместно используют общую схему и глобальный каталог. Различие заключается в том, что все они используют отдельные пространства имен DNS — этот факт должен быть отражен в зонах, существующих в DNS.
196
Active Directory в Windows Server 2003 ×àñòü II
Ìîäåëü ñîçäàíèÿ èíòåãðèðîâàííûõ ëåñîâ Одним из новых свойств реализации Active Directory в Windows Server 2003 является добавление транзитивных доверительных отношений между лесами. По существу это позволяет устанавливать транзитивные доверительные отношения между двумя лесами с совершенно раздельными схемами, позволяющими пользователям разных лесов совместно использовать информацию и выполнять аутентификацию. Однако способность осуществлять доверительные отношения и синхронизацию между лесами не возникает автоматически, поскольку функциональность каждого леса нужно сначала довести до уровня функциональности Windows Server 2003. Это означает, что сначала в каждом лесу нужно модернизировать все контроллеры доменов до уровня Windows Server 2003, а потом можно будет устанавливать доверительные отношения между лесами. Это может оказаться трудной задачей для организаций, которые уже развернули у себя Windows 2000. Следовательно, модель создания интегрированного леса легче создавать, если структуры Active Directory еще нет. Модель создания интегрированного леса идеальна для двух различных ситуаций. Одна из них — это объединение двух несопоставимых структур Active Directory, необходимость которого возникает при приобретениях, слияниях и других видах изменений организационной структуры корпорации. В этих случаях для обмена информацией необходима связь между двумя лесами AD. Например, при слиянии двух крупных организаций с сильно заполненными лесами Active Directory можно воспользоваться этой возможностью и соединить их среды, как показано на рис. 5.8, без необходимости применения сложных средств миграции доменов. Äâóíàïðàâëåííîå äîâåðèòåëüíîå îòíîøåíèå ìåæäó ëåñàìè
Корень леса
Ëåñ ïåðâîé èç ñëèòûõ êîìïàíèé
Корень леса
Ëåñ âòîðîé èç ñëèòûõ êîìïàíèé
Ðèñ. 5.8. Доверительное отношение между лесами совершенно различных организаций, которым необходимо совместно использовать ресурсы Теперь в данном примере пользователи из обоих лесов имеют доступ к информации, находящейся в другом лесу, с помощью двунаправленного доверительного отношения, установленного между корнями этих лесов. Второй тип ситуации, в которой может быть выбрана эта форма структуры леса — когда различным подразделениям и филиалам организации требуется абсолютная безопасность и владение информационной структурой, но нужен также и обмен информацией. Например, в организации, связанной с авиацией, могут быть созданы два леса AD:
Создание Active Directory в Windows Server 2003 Ãëàâà 5
197
один для гражданского отделения, а другой — для военного. Это эффективно разделит две среды, предоставив каждому отделению полный контроль над своей средой. Можно установить одно- или двунаправленные доверительные отношения между лесами, чтобы облегчить обмен и синхронизацию информации между этими двумя лесами. Этот тип создания иногда порождается необходимостью полной изоляции безопасности между различными подразделениями организации. Со времени появления Active Directory в Windows 2000 обнаружено несколько уязвимостей междоменной безопасности, которые сместили реальную границу безопасности на уровень леса. В частности, с помощью атрибута SIDHistory администратор доверяемого домена леса может имитировать и, следовательно, получить доступ к ролям администратора схемы и администратора предприятия. Памятуя об этих уязвимостях, некоторые организации могут разделить леса и просто установить доверительные отношения между лесами, специально для снятия с пользователей атрибута SIDHistory. На рис. 5.9 между гражданским и военным отделениями авиационной организации установлено однонаправленное доверительное отношения между лесами с фильтрацией SIDHistory. Структура, созданная в этом примере, допускает только доверие к учетным записям военного отделения со стороны гражданского отделения, то есть предоставляет пользователям военного отделения доступ к файлам из обоих лесов. Как и в случае доменов NT, доверительные отношения между лесами по умолчанию устанавливаются однонаправленными. Но в отличие от доверительных отношений NT, доверительные отношения между лесами в Windows Server 2003 могут быть транзитивными, если оба леса выполняются на функциональных уровнях Windows Server 2003. Чтобы установить двунаправленные транзитивные доверительные отношения, необходимо установить между двумя корнями леса два однонаправленных доверительных отношения. Îäíîíàïðàâëåííîå äîâåðèòåëüíîå îòíîøåíèå ìåæäó ëåñàìè
Корень леса
Корень леса
Ëåñ AD äëÿ âîåííîãî îòäåëåíèÿ êîìïàíèè
Ëåñ AD äëÿ ãðàæäàíñêîãî îòäåëåíèÿ êîìïàíèè
Ðèñ. 5.9. Однонаправленное доверительное отношение между лесами
Êîãäà ñëåäóåò âûáèðàòü èíòåãðèðîâàííûå ëåñà Понятие интегрированных лесов существенно увеличивает возможности лесов Active Directory по обмену информацией с другими средами. Кроме того, организации, которые не решались на внедрение AD из-за отсутствия надежной границы безопасности между доменами, теперь заинтересованы способностью структуры с интегриро-
198
Active Directory в Windows Server 2003 ×àñòü II
ванными лесами создавать специальные подразделения или области, имеющие полный контроль над их собственными лесами, и при этом позволять обмен данными между доменами.
Ðåàëüíûé ïðèìåð ñîçäàíèÿ В качестве хорошего примера организации, для которой подходит проектная модель интегрированных лесов, рассмотрим вымышленную организацию Конгломерат A — дистрибьютор продовольственных товаров с несколькими площадками по всему миру. Сейчас вся эта организация охвачена реализацией Active Directory Windows Server 2003. Все компьютеры являются членами леса с пространством имен companyb.net. Существует корневой домен conglomeratea.net, однако он не заполнен, поскольку все пользователи находятся в следующих трех поддоменах: asia, europe и na. Недавно Конгломерат A образовал совместное предприятие с Поставщиком A и хотел бы облегчить обмен информацией между этими двумя компаниями. Поставщик A в настоящее время также работает в среде Active Directory Windows Server 2003 и содержит все учетные записи пользователей и компьютеров в лесу Active Directory, состоящем из двух доменов в пространстве имен suppliera.com и отдельного дерева с пространством имен DNS supplierabranch.org, которое отражает некоторые функции одного из его филиалов. Было принято решение сформировать доверительные отношения между этими двумя лесами, чтобы доверить полномочия одного леса другому лесу и создать возможность обмена информацией. Доверительные отношения между лесами установлены между корневыми доменами каждого леса, как показано на рис. 5.10. Запомните, что, как и в NT 4.0, доверительное отношение не предоставляет автоматически никаких полномочий в других доменах или лесах, оно просто неявно разрешает совместное использование ресурсов. Администраторам доверяющих доменов все равно нужно разрешать доступ вручную. В нашем примере администраторы обоих лесов могут решить, какие ресурсы будут использоваться совместно, и соответствующим образом сконфигурировать свои среды. Äâóíàïðàâëåííîå äîâåðèòåëüíîå îòíîøåíèå ìåæäó ëåñàìè conglomeratea.net Корень леса
asia.conglomeratea.net
Корень леса suppliera.com
supplierabranch.org
na.conglomeratea.net
europe.conglomeratea.net
Ëåñ Êîíãëîìåðàòà A
sales.suppliera.com
Ëåñ Ïîñòàâùèêà A
Ðèñ. 5.10. Доверительное отношение между корневыми доменами каждого леса
Создание Active Directory в Windows Server 2003 Ãëàâà 5
199
Ìîäåëü äîìåíà ñ âûäåëåííûì êîðíåì Схема является наиболее критичным компонентом Active Directory и, следовательно, должна тщательно оберегаться. Несанкционированный доступ к контроллеру главного домена схемы леса может породить серьезные проблемы и, видимо, является лучшим способом разрушить весь каталог. Поэтому понятно, что выделение ключей к схеме из пользовательской базы — вполне разумный вариант. Отсюда и концепция модели домена с выделенным корнем, изображенная на рис. 5.11.
Корень леса
abcschema.root
companyabc.com
Пользователи Компьютеры Принтеры
Ðèñ. 5.11. Модель домена с выделенным незаполненным корнем леса Короче говоря, модель домена с выделенным корнем использует незаполненный корневой домен леса, который существует только для отделения функции мастера схемы от остальной сети. Показанный на рис. 5.11 домен companyabc.com используется для всех учетных записей пользователей и компьютеров, а домен abcschema.root является доменом с выделенным корнем, который содержит роль мастера схемы компании. Большая часть пользователей даже не подозревает о существовании этого домена, что делает его еще более защищенным. Одним из основных недостатков этой модели создания является стоимость оборудования. Поскольку нужен отдельный домен, то для выполнения этого плана понадобится как минимум еще один контроллер домена, а в целях резервирования желательно даже два. Этот контроллер для домена с выделенным корнем не обязательно должен быть самой быстрой машиной, поскольку она будет обрабатывать специфичные для леса роли FSMO, что не требует большой работы, но требует резервирования.
Êîãäà ñëåäóåò âûáèðàòü ìîäåëü ñ âûäåëåííûì êîðíåì Требования к безопасности меняются от организации к организации. Компании, выполняющей совершенно секретные работы, присущи совсем другие вопросы безопасности, нежели компании, которая изготавливает одежные щетки. Следовательно,
200
Active Directory в Windows Server 2003 ×àñòü II
если организация нуждается в большей безопасности, то ей более подходит модель домена с выделенным корнем. Дополнительным преимуществом этого типа среды является возможность переименования доменов, добавления доменов и включения и исключения поддоменов без необходимости переименования леса. Хотя в Windows Server 2003 имеется средство переименования доменов, выполнение этой задачи все еще сопряжено со значительными трудностями, а использование модели с выделенным корнем помогает упростить такие изменения. Например, если выделенный корень имеет имя root.network, а все домены ресурсов находятся в домене compaq.com того же леса, то при слиянии намного проще добавить в лес домен hp.com, присоединив его к root.network. Достоинство модели домена с выделенным корнем состоит в том, что она может быть встроена в любую из ранее определенных моделей доменов. Например, крупная группировка деревьев с опубликованными пространствами имен может иметь корень дерева с любым подходящим именем. Пример, представленный на рис. 5.12, иллюстрирует один из вариантов конфигурирования этого типа среды. Гибкость Active Directory не огранивается только этой моделью создания, поскольку возможны и многие другие конфигурации.
microsoft.com
Корень леса
msn.com
root.msft
hotmail.com
asia.msn.com
redmond.microsoft.com tokyo.microsoft.com europe.msn.com
sales.redmond.microsoft.com
Ðèñ. 5.12. Модель домена с выделенным корнем, использующая в лесу различные имена деревьев доменов Разумеется, многие организации зачастую не видят необходимости в затратах на дополнительное оборудование, а этот тип модели создания более дорог. На самом деле в корневом домене необходимо установить два контроллера домена: для обработки запросов аутентификации и для обеспечения резервирования домена. Учитывая эти затраты, важно сопоставить требования организации к безопасности и соотношение затрат и преимуществ данной модели создания.
Ðåàëüíûé ïðèìåð ñîçäàíèÿ Компания D является биомедицинской корпорацией, находящейся в районе залива Сан-Франциско. Для этой организации очень важна безопасность инфраструктуры, и компания хочет гарантированно защитить информацию каталога в сетевой среде.
Создание Active Directory в Windows Server 2003 Ãëàâà 5
201
Информационная структура организации сосредоточена в одном центре, а большая часть служащих трудится в главном здании компании. Администраторы Компании D изначально выбрали Active Directory и Windows Server 2003 для обеспечения надежной защиты их среды и воспользовались преимуществами увеличившейся функциональности. Но руководство компании было озабочено проблемой ограничения доступа к жизненно важным компонентам службы каталогов, например, к схеме. Дальнейшие рассмотрения различных моделей создания для Active Directory выявили, что полноценной функциональной заменой модели с единственным доменом может служить модель домена с выделенным корнем, так как она обеспечивает нужную безопасность схемы. Это привело к структуре леса, похожей на показанную на рис. 5.13.
Корень леса
Администратор rootd.peer
companyd.com
Отдел сбыта
Конструкторский отдел
IT-отдел
Общий отдел
Исследовательский отдел
Отдел кадров
Ðèñ. 5.13. Домен с выделенным корнем с повышенной безопасностью и резервированием схемы Для каждого отдела были созданы организационные единицы и помещены в домен companyd.com. Единственная пользовательская учетная запись в домене rootd.peer — это учетная запись администратора леса. Доступ к этой учетной записи возможен только избранной группе администраторов высокого уровня. Это облегчило управление доступом к корню схемы в организации с повышенными требованиями к безопасности и обеспечило пользователям простоту работы в среде с единственным доменом.
Ìîäåëü ñ ôèêòèâíûì äîìåíîì Модель с фиктивным доменом (placeholder domain), известная также как модель со стерильным родительским доменом (sterile parent domain), заслуживает специального упоминания из-за сочетания модели нескольких доменов с единым пространством имен и модели с выделенным корнем. Попросту говоря, модель с фиктивным доменом, изображенная на рис. 5.14, состоит из незаполненного домена в качестве корня леса, и нескольких поддоменов, содержащих пользовательские учетные записи и другие объекты.
202
Active Directory в Windows Server 2003 ×àñòü II companyabc.com
Корень леса
asia.companyabc.com
Объекты компьютеров
na.companyabc.com
Незаполненный фиктивный домен
europecompanyabc.com
Объекты Принтеры Организационные пользователей единицы
Поддомены, содержащие объекты AD
Ðèñ. 5.14. Незаполненный фиктивный домен Этот проект обладает двумя преимуществами. Во-первых, как и в модели с выделенным корнем, схема отделена от пользовательских доменов, делая их менее уязвимыми, а схему более защищенной. Во-вторых, пространство имен для пользовательских учетных записей отражает структуру организации, что предотвращает появление возможных политических проблем. То есть поскольку все пользователи всех подразделений находятся в доменной структуре на одном и том же логическом уровне, ни одна из групп не чувствует себя выше или ниже другой. Эта проблема может показаться смехотворной, однако психологическая природа человека непредсказуема, и вполне возможно, что для некоторых организаций эта модель обладает определенными преимуществами.
Ðåàëüíûé ïðèìåð ñîçäàíèÿ Компания E является архитектурной фирмой с крупными филиалами в НьюЙорке, Чикаго, Лос-Анджелесе, Сан-Паулу, Рио-де-Жанейро, Берлине, Париже, Лондоне, Токио, Сингапуре и Гонконге. Администрация компании сосредоточена в Нью-Йорке, но есть и региональные администрации в Рио-де-Жанейро, Лондоне и Токио. Компания недавно перешла на использование Active Directory и решила развернуть в своей организации модель с фиктивным доменом, аналогичную показанной на рис. 5.15. Все пользователи аутентифицируются в поддоменах географических центров. Кроме того, администраторы в Нью-Йорке выделили функцию мастера схемы в фиктивный домен, снизив ее уязвимость и ограничив доступ к этому домену небольшой группой администраторов высокого уровня. Кроме того, каждый домен логически ориентирован так, чтобы возникло впечатление автономности каждой географической единицы.
Создание Active Directory в Windows Server 2003 Ãëàâà 5 companye.com Корень леса
Ñàí-Ïàóëó Ðèî-äå-Æàíåéðî
203
Ñòðóêòóðà Êîìïàíèè E ñ ôèêòèâíûì äîìåíîì
Ïàðèæ Ëîíäîí Áåðëèí
sa.companye.com
europe.companye.com
Íüþ-Éîðê ×èêàãî Ëîñ-Àíäæåëåñ
na.companye.com
Ñèíãàïóð Òîêèî Ãîíêîíã
asia.companye.com
Ðèñ. 5.15. Сложная структура Active Directory с фиктивным доменом
Äîìåíû ñïåöèàëüíîãî íàçíà÷åíèÿ Домен или лес специального назначения создается для конкретных целей. Например, организация может создать домен специального назначения для размещения в нем внешних подрядных организаций или временных рабочих, чтобы ограничить их присутствие в главном лесе Active Directory. Кроме того, можно установить отношения доверия между этим доменом или доменами для обеспечения доступа к ресурсам. Вообще-то для развертывания в Active Directory дополнительных доменов должны существовать веские причины. С добавлением в среду каждого нового домена затраты ресурсов возрастают, а логическая сетевая структура постепенно все более закручивается. Однако в некоторых отдельных случаях без доменов специального назначения обойтись невозможно. Еще одной возможной причиной использования отдельной структуры домена специального назначения является размещение в нем приложения с возможностями службы каталогов, которое по причинам безопасности или каким-либо другим причинам требует исключительного доступа к схеме. То есть если отдел кадров использует приложение, которое хранит конфиденциальную информацию о работниках компании в приложении, использующем совместимый с протоколом LDAP каталог, например, Active Directory, то можно создать домен специально для этого приложения. Для обеспечения совместного использования информации между этими двумя средами можно установить доверительное отношение между лесами. Такие ситуации возникают нечасто, поскольку большая часть этих приложений пользуется своими собственными каталогами, но все же они возможны. Поскольку схема Active Directory должна быть уникальной в лесу, невозможно использовать один лес, если эти приложения требуют исключительного доступа или используют общие атрибуты схемы. Эта концепция, известная как ADAM, более подробно рассматривается в главе 4.
204
Active Directory в Windows Server 2003 ×àñòü II
Ðåàëüíûé ïðèìåð ñîçäàíèÿ Компания E представляет собой компьютерную консалтинговую фирму с главным офисом в японском городе Мориока. Основную часть консультаций выполняют постоянные служащие компании E; однако время от времени для разработки проектов привлекаются и внешние подрядчики. Компания уже развернула Active Directory для внутренней организации, но озабочена предоставлением доступа к лесу пользователям, не являющимся сотрудниками компании. В результате была развернута реализация Active Directory с единственным доменом для работы внешних пользователей. Между этим доменом и внутренним лесом было установлено доверительное отношение, а управление доступом к таким ресурсам, как файлы и печать, делегирует центральная IT-организация. Пользователи из домена подрядчиков могут обращаться к ресурсам в главном домене companye.com, но только к тем, к которым им специально предоставлен доступ. Кроме того, значительно снижена опасность несанкционированного доступа к главному домену companye.com со стороны пользователей, не работающих в организации.
Ïåðåèìåíîâàíèå äîìåíà Active Directory Active Directory в Windows Server 2003 предоставляет создателям домена возможность переименования пространства имен домена и/или присоединения доменов леса к другим местам в лесу. Это привносит в Active Directory новые замечательные возможности: можно вносить изменения при корпоративных слияниях или организационных преобразованиях. Переименование домена поддерживает переименование либо пространства имен Active Directory (например, companyabc.com), либо домена NetBIOS (NT), либо и то и другое. Однако эта процедура довольно трудоемка, и ее не стоит рассматривать как рутинную операцию. Функция переименования доменов в Windows Server 2003 является в основном психологическим фактором, поскольку условия, необходимые для проведения переименования доменов, существенно снижают вероятность его широкого применения, особенно на ранних стадиях использования Windows Server 2003. Переименование доменов устраняет существовавшие ранее барьеры на пути внедрения Active Directory, поскольку организации не хотят быть привязанными к решениям, которые уже нельзя будет изменить. Поскольку решения относительно пространства имен Active Directory Windows 2000 невозможно было отменить, это ставило ответственных лиц в сложное положение, поскольку они не желали “загонять себя в угол”. Переименование доменов устраняет это препятствие и делает для руководства организации внедрение Active Directory более привлекательным.
Îãðàíè÷åíèÿ íà ïåðåèìåíîâàíèÿ äîìåíîâ На переименование доменов накладывается несколько ограничений. Прежде чем приступать к переименованию домена, важно усвоить перечисленные ниже ограничения.
Создание Active Directory в Windows Server 2003 Ãëàâà 5
205
•
Нельзя уменьшать число доменов в лесе. Средство переименования домена не может быть использовано для удаления доменов из леса. Например, если лес состоит из четырех доменов, то после завершения этой процедуры должно оставаться также четыре домена. Функция объединения доменов может быть выполнена только с помощью других инструментов, таких как средство миграции Active Directory, подробно описанное в главах 16 и 17.
•
Нельзя переместить текущий корень домена на более низкий уровень. Хотя средство переименования доменов может объединять и перемещать домены из одной части пространства имен Active Directory в другую, оно не может совершенно изменить корневой домен дерева. Но корневой домен можно переименовать.
•
Нельзя пересылать текущие имена доменов в одном цикле. Производственному домену нельзя назначить имя другого производственного домена, существующего в лесе. Чтобы выполнить эту функцию, нужно дважды выполнить процедуру переименования.
•
Нельзя переименовывать лес Exchange 2000/2003. Средства переименования доменов не поддерживают переименование доменов с интегрированным в схему Exchange 2000 либо каким-либо другим специализированным расширением. Это один наибольших из существующих в настоящее время недостатков процедуры переименования. Будущие версии этого продукта будут обеспечивать поддержку переименования расширенных схем.
Íåîáõîäèìûå óñëîâèÿ äëÿ ïåðåèìåíîâàíèÿ äîìåíîâ Кроме ограничений самого средства переименования доменов, должны быть выполнены специальные условия, прежде чем домен может быть переименован. •
Весь лес должен функционировать в режиме Windows Server 2003. Одним из главных препятствий, которые необходимо преодолеть перед переименованием доменов, является то, что все контроллеры домена должны быть сначала модернизированы или заменены на Windows Server 2003, а функциональный уровень леса повышен до функциональности Windows Server 2003. Одна только эта причина, по всей вероятности, может стать наибольшим ограничивающим фактором, по крайней мере, в начальный период внедрения Windows Server 2003.
•
Должны быть созданы новые зоны DNS. На сервере (серверах) DNS домена должна быть добавлена зона для пространства имен нового домена, в которую будет переименован домен. Исключением является ситуация, когда переименовывается только домен NetBIOS.
•
Переименование домена должно выполняться с консольного сервера. Один из рядовых компьютеров Windows Server 2003 (но не контроллер домена) должен служить консольным сервером для процедуры переименования домена. Все операции переименования домена выполняются только с этого компьютера.
•
Возможно, придется создать сокращенные доверительные отношения. Любому домену, который будет “вклеен” в новое место леса Active Directory, потребуется сокращенное доверительное отношение между им самим и родительским доменом, куда он будет перенесен.
206
Active Directory в Windows Server 2003 ×àñòü II
Ïåðåèìåíîâàíèå äîìåíà Процедура переименования домена с сервера не очень сложна. Большая часть факторов, препятствующих переименованию домена, помимо ограничений и необходимых условий, перечисленных в предыдущем разделе — это разрушение леса вследствие перезагрузки всех компьютеров леса. После выполнения всех необходимых условий можно приступить к переименованию домена. Весь процесс переименования домена выполняется за шесть базовых шагов. Однако, как уже было сказано, эта процедура серьезно влияет на сеть, поскольку она приводит к неготовности сетевой инфраструктуры и не должна рассматриваться как обычная операция.
Øàã 1: Ñîñòàâëåíèå îïèñàíèÿ òåêóùåãî ëåñà Средство, применяемое для переименования домена, называется Rendom (от “Rename domain”; по иронии судьбы, средство проверки орфографии Microsoft автоматически заменяет “Rendom” на “Random” — “случайный”). Rendom имеет несколько ключей, используемых в операциях импорта и экспорта. Первая процедура, запускаемая с консольного сервера — rendom /list, которая находит контроллеры для домена и переводит всю информацию об именовании доменов в XML-документ с именем Domainlist.xml, как показано на рис. 5.16. Такой XML-документ можно легко модифицировать в любом текстовом редакторе, например, в блокноте, и, как станет понятно далее, на нем основана вся процедура переименования домена.
Ðèñ. 5.16. XML-документ с описанием леса
Øàã 2: Èçìåíåíèå îïèñàíèÿ ëåñà ñ ó÷åòîì íîâîãî èìåíè (èìåí) äîìåíà Файл XML, порожденный ключом /list, необходимо изменить с учетом информации о новых именах доменов. Например, если компания CompanyABC меняет свое имя на CompanyXYZ, то в списке XML, изображенном на рис. 5.16, все ссылки на companyabc потребуется заменить на companyxyz. Это касается имен и NetBIOS, и DNS.
Создание Active Directory в Windows Server 2003 Ãëàâà 5
207
Øàã 3: Çàãðóçêà ñöåíàðèÿ ïåðåèìåíîâàíèÿ â êîíòðîëëåðû äîìåíà После изменения XML-документа новой информацией о домене, его можно загрузить во все контроллеры доменов леса с помощью команды rendom /upload. Эта процедура копирует инструкции и новую информацию о домене на все контроллеры доменов, содержащиеся в лесе.
Øàã 4: Ïîäãîòîâêà êîíòðîëëåðîâ äîìåíà ê ïåðåèìåíîâàíèþ äîìåíà Переименование домена представляет собой сложный процесс, поскольку абсолютно необходимо, чтобы все контроллеры доменов в лесу получили информацию для обновления. Значит, необходимо выполнить процедуру rendom /prepare, чтобы инициировать процесс подготовки, который проверяет, все ли контроллеры домена, перечисленные в Active Directory, отвечают на запросы, и подтверждает, что они готовы для миграции. Если хоть один контроллер домена не отвечает, то функция /prepare завершается аварийно, и ее необходимо повторить. Эта предосторожность нужна для того, чтобы какой-нибудь выключенный или недоступный контроллер домена не стал после включения обслуживать клиентов по старому имени домена.
Øàã 5: Âûïîëíåíèå ïðîöåäóðû ïåðåèìåíîâàíèÿ äîìåíà После благополучного выполнения операции подготовки всеми контроллерами домена можно запустить само переименование, запустив с консольного сервера команду rendom /execute. До выполнения команды execute никаких изменений в производственной среде еще не произошло. Но в процессе выполнения команды все контроллеры домена выполняют изменения и автоматически перезагружаются. Впоследствии потребуется установить метод перезагрузки всех рядовых серверов, рабочих станций и других клиентских машин, а затем перезагрузить каждую из них дважды, чтобы гарантировать получение изменения имени домена всеми службами.
НА ЗАМЕТКУ После любой процедуры переименования домена необходимо вновь вручную включить в домен всех клиентов Windows NT, поскольку они не поддерживают функцию автоматического повторного включения в домен.
Øàã 6: Çàäà÷è, âûïîëíÿåìûå ïîñëå ïåðåèìåíîâàíèÿ И в заключение работы Rendom выполняется операция rendom /clean, которая удаляет временные файлы, созданные на контроллере домена, и возвращает домен в нормальное рабочее состояние. В дополнение к процедурам очистки необходимо переименовать каждый контроллер домена, чтобы изменить его первичный суффикс DNS. Каждый контроллер домена должен пройти через эту операцию, которая выполняется с помощью утилиты ко-
208
Active Directory в Windows Server 2003 ×àñòü II
мандной строки netdom. Переименование контроллера домена выполняется в соответствие с описанными ниже шагами. 1. Откройте командное окно (выбрав в меню Start (Пуск) пункт Run (Выполнить), а затем набрав cmd.exe). 2. Введите команду netdom имякомпьютера СтароеИмяСервера /add:НовоеИмяСервера 3. Введите команду netdom имякомпьютера СтароеИмяСервера /makeprimary:НовоеИмяСервера 4. Перезапустите сервер. 5. Введите команду netdom имякомпьютера НовоеИмяСервера /remove:СтароеИмяСервера Все эти команды можно выполнить из командной строки. Замените обозначения СтароеИмяСервера и НовоеИмяСервера полным DNS-именем старого сервера и нового сервера, например, server1.companyabc.com и server1.companyxyz.com.
Ðåçþìå С появлением таких технологий, как переименование домена и доверительные отношения между лесами, последствия ошибок при создании Active Directory стали не столь суровыми, как в Windows 2000. Но все равно при создании инфраструктуры, соответствующей потребностям организации, нужен тщательный анализ ее политических и технических аспектов. Active Directory обладает высокой гибкостью в этом отношении и может удовлетворить потребности практически любой организации.
Ïîëåçíûå ñîâåòû •
Перед созданием каталога Active Directory полностью разберитесь в его структуре.
•
Зарегистрируйте все выбранные внешние пространства имен, чтобы они не могли быть использованы нигде в Internet.
•
Начните создание домена с выбора модели с единственным доменом.
•
Рассматривайте использование нескольких доменов, только если на то имеются веские причины.
•
Рассмотрите использование модели создания интегрированного леса при объединении двух несопоставимых структур Active Directory.
•
Контролируйте и оптимизируйте трафик репликации с помощью сайтов.
•
Модернизируйте все клиенты нижнего уровня, чтобы уменьшить усилия на администрирование и сопровождение.
•
Старайтесь нечасто переименовывать домены, и только тогда, когда альтернативы не существует.
Ñîçäàíèå ñòðóêòóðû îðãàíèçàöèîííûõ åäèíèö è ãðóïï
 ÝÒÎÉ ÃËÀÂÅ... •
Îðãàíèçàöèîííûå åäèíèöû
•
Ãðóïïû
•
Ñîçäàíèå OU è ãðóïï
•
Ïðèñòóïàåì ê ñîçäàíèþ OU
•
Èñïîëüçîâàíèå OU äëÿ äåëåãèðîâàíèÿ ïðàâ àäìèíèñòðèðîâàíèÿ
•
Ãðóïïîâûå ïîëèòèêè è ñòðóêòóðà OU
•
Ïðîåêòèðîâàíèå ãðóïï
•
Ïðèìåðû êîíñòðóêòîðñêèõ ìîäåëåé
ÃËÀÂÀ
6
210
Active Directory в Windows Server 2003 ×àñòü II
Организация пользователей, компьютеров и других объектов в структуре Active Directory (AD) системы Windows Server 2003 дает администраторам большую гибкость и возможности управления их средами. Структуру и организационных единиц (OU), и групп можно приспособить к практически любым деловым требованиям. Однако администраторы безнадежно запутываются в создании и использовании OU и групп. Зачастую OU используются по любому поводу и вовсе без повода, что приводит к неэффективной и запутанной структуре групп. Однако после соответствующей подготовки и ознакомления с использованием OU и групп их функциональное построение может существенно упростить среду Active Directory в Windows Server 2003. Кроме уроков, извлеченных из использования OU и групп в Windows 2000, в Windows Server 2003 введено несколько функциональных улучшений структуры OU и групп, а также репликаций, что полностью изменило методы их создания. Кэширование глобального каталога (GC), инкрементная репликация универсальных групп и другие усовершенствования увеличили гибкость создания OU и групп и предоставили администраторам лучшие инструменты для их работы. В этой главе определяются организационные единицы и группы в Active Directory Windows Server 2003 и описываются методы их интегрирования в различные построения Active Directory. Кроме того, даны подробные пошаговые инструкции и практические советы по такому созданию. Дополнительно выполняется подробное сравнение функциональных моделей создания OU и групп.
Îðãàíèçàöèîííûå åäèíèöû Организационная единица (рис. 6.1) представляет собой контейнер административного уровня, который применяется в Active Directory для логической организации объектов. Концепция организационной единицы взята из стандарта облегченного протокола доступа к каталогам (Lightweight Directory Access Protocol — LDAP), на котором построена Active Directory, хотя между чистым LDAP и Active Directory существуют некоторые концептуальные разÎðãàíèçàöèîííûå åäèíèöû личия. Объекты в Active Directory могут быть логически размещены в OU так, как указано администратором. Хотя все объекты пользователей по умолчанию находятся в контейнере ×èêàãî Íüþ-Éîðê Users, а объекты компьютеров — в контейнере Ëîñ-Àíäæåëåñ Computers, их можно переместить оттуда в Ðèñ. 6.1. Организационная структура любое время. Active Directory
НА ЗАМЕТКУ Технически стандартные папки Users и Computers в Active Directory не являются организационными единицами, а определены как объекты класса Container. Необходимо понимать эту тонкость, поскольку объекты класса Container ведут себя не так, как организационные единицы. Для правильного использования таких служб, как Group Policies, зависящих от функциональности OU, рекомендуется переместить объекты пользователей и компьютеров из их стандартных контейнеров в структуры OU.
Создание структуры организационных единиц и групп Ãëàâà 6
211
К каждому объекту в структуре Active Directory можно обратиться с помощью запросов LDAP, указывающих на их конкретное местоположение в структуре OU. Вам будут часто встречаться ссылки на объекты в таком виде при написании сценариев для модификации или создания пользователей в Active Directory, или просто при выполнении LDAP-запросов к Active Directory. Например, на рис. 6.2 пользователь по имени Вера Сердючка из OU с названием Жмеринка Users будет представлен следующей строкой LDAP: CN=Вера Сердючка,OU=Users,OU=Жмеринка,DC=companyabc,DC=com
НА ЗАМЕТКУ Структура OU может быть вложенной, то есть OU могут включать в себя много уровней подOU. Однако учтите, что чем сложнее структура OU, тем труднее ее администрировать, и тем большее время требуется на выполнение запросов к каталогам. Microsoft не рекомендует применять глубину вложенности более 10 уровней. Однако будет разумным установить значительно меньшую сложность, чем это число, чтобы сохранить возможность быстрого отклика запросов к каталогам.
OU в основном предназначены для удовлетворения потребностей в делегировании администрирования различным группам администраторам. Хотя имеются и другие возможности использования OU, все-таки основной причиной создания OU в среде AD является этот тип делегирования администрирования. Более подробно эта концепция описана в данной главе в разделе “Приступаем к созданию OU”.
companyabc.com
Филиалы Вера Сердючка Жмеринка
Лос-Анджелес
Амстердам
Ðèñ. 6.2. Организационная структура Active Directory
212
Active Directory в Windows Server 2003 ×àñòü II
Íåîáõîäèìîñòü íàëè÷èÿ îðãàíèçàöèîííûõ åäèíèö Хотя существует тенденция использования организационных единиц для оформления структуры Active Directory, OU не следует создавать просто для отражения организационной схемы компании. Тот факт, что в организации имеются отделы продаж, производства и маркетинга, не означает, что в Active Directory обязательно должны быть три OU. Администратор должен создавать организационные единицы, если подразделения будут администрироваться раздельно, и/или к различным отделам будут применяться различные политики. Однако если администрирование отделов будет выполнять одна и та же команда IT-специалистов, и к ним будут применяться одни и те же политики, то в нескольких OU нет необходимости. Кроме того, организационные единицы не видны каталогу, то есть если пользователь захочет послать почтовые сообщения членам OU, то он не увидит в группировке OU ни структуру OU, ни ее членов. Чтобы видеть членов организационной структуры, необходимо создать группы Active Directory. Группы видны и каталогу и пользователю, если он захочет увидеть список членов и групп в организации.
Ãðóïïû Идея групп витала в мире Microsoft гораздо дольше, чем OU. Как и концепция OU, группы предназначены для логической организации пользователей в легко идентифицируемые структуры. Однако имеется некоторые существенные различия в функционировании групп и OU. Среди этих различий есть следующие: •
Членство в группах видно пользователям. В то время как OU видны только администраторам с помощью специальных средств администрирования, группы могут просматривать все пользователи, включенные в работу домена. Например, пользователи, назначающие безопасность локальному общему ресурсу, могут применить полномочия к группам доступа, созданным на уровне домена.
•
Членство в нескольких группах. OU аналогичны структуре папок файловой системы. Другими словами, файл в любой момент времени может находиться только в одной папке или OU. Однако членство в группах не является исключающим. Пользователь может быть членом любой группы или нескольких групп, и его членство в этой группе можно изменить в любое время.
•
Группы как основные объекты доступа. Каждая группа доступа в Active Directory имеет уникальный идентификатор безопасности (Security ID — SID), назначенный ей при создании. У OU нет связанных с ними элементов управления доступом (Access Control Entry — ACE) и, следовательно, их нельзя применить к доступу на уровне объектов. Это одно из наиболее существенных отличий, так как группы доступа позволяют пользователям разрешать или запрещать доступ к ресурсам на основе членства в группах. Однако имеется исключение — группы рассылки, которые не используются для обеспечения безопасности.
•
Функция разрешения работы с почтой. С помощью групп рассылки и (в последних версиях Microsoft Exchange) групп доступа с возможностью работы с электронной почтой пользователи могут послать в группу одно почтовое сооб-
Создание структуры организационных единиц и групп Ãëàâà 6
213
щение, которое будут распространено всем членам этой группы. Сами группы становятся списками рассылки, в то же время оставаясь доступными для действий по обеспечению безопасности. Эта концепция еще больше развита далее в данной главе, в разделе “Создание групп рассылки”.
Òèïû ãðóïï: äîñòóïà èëè ðàññûëêè Группы в Windows Server 2003 имеются двух видов: группы доступа и группы рассылки. Кроме того, группы могут быть организованы в различные области видимости (scopes): локальная компьютера, локальная домена, глобальная и универсальная.
Ãðóïïû äîñòóïà Из всех групп администраторы наиболее знакомы с группами доступа (security group). Этот тип групп используется для массового назначения прав доступа к ресурсам, чтобы облегчить администрирование больших групп пользователей. Группы доступа могут быть созданы для каждого отдела организации. Например, пользователям отдела маркетинга может быть назначено членство в группе доступа Marketing, как показано на рис. 6.3. Затем этой группе назначаются права доступа к конкретным каталогам среды.
Ðèñ. 6.3. Совместное назначение полномочий группе доступа Эта концепция должна быть знакома любому, кому приходилось администрировать низкоуровневые сети Windows, наподобие NT или Windows 2000. Однако, как вы вскоре увидите, некоторые фундаментальные особенности в Windows Server 2003 изменили способ функционирования этих групп. Как уже упоминалось, с группами доступа связан уникальный идентификатор безопасности (SID) — примерно так же, как и индивидуальные пользователи имеют в Active
214
Active Directory в Windows Server 2003 ×àñòü II
Directory свой SID. Уникальность SID используется для применения установок безопасности к объектам и ресурсам домена. Эта концепция также объясняет, почему нельзя просто удалить или переименовать группу, чтобы получить те же самые полномочия, что и у предыдущей группы.
Ãðóïïû ðàññûëêè Концепция группы рассылки (distribution group) в Windows Server 2003 была введена в Windows 2000 вместе с реализацией в ней Active Directory. По существу группа рассылки является группой, члены которой могут получать по протоколу SMTP (Simple Mail Transfer Protocol — простой протокол электронной почты) сообщения, отправленные группе. В Windows Server 2003 этой функциональностью может воспользоваться любое приложение, которое может использовать Active Directory для поиска в адресной книге (в первую очередь поиск LDAP). Группы рассылки часто путают с почтовыми группами — концепцией сред на базе Exchange 2000. Кроме того, в большинстве случаев группы рассылки не используются в средах без Exchange 2000, поскольку их функциональность ограничена поддерживающими их инфраструктурами.
НА ЗАМЕТКУ В Active Directory с помощью групп рассылки можно создавать списки рассылки почтовых сообщений, которые невозможно использовать для применения установок безопасности. Однако если разделение доступа и почтовой функциональности не требуется, группам доступа можно разрешить работу с электронной почтой.
Ãðóïïû ðàçðåøåíèÿ ðàáîòû ñ ïî÷òîé Членам групп Active Directory можно легко посылать почтовые сообщения с помощью концепции групп с возможностью работы с электронной почтой (mail-enabled group). Эти группы представляют собой группы доступа, которые можно указывать в адресе электронной почты для отправки SMTP-сообщений членам группы. Упомянутая функциональность стала возможной только при включении Exchange версии 2000 или выше. На самом деле Exchange 2000/2003 расширяет схему леса, позволяя включать в нее связанную с каждой группой информацию, относящуюся к Exchange, наподобие SMTP-адресов. Большинство организаций найдут, что группы доступа с возможностью работы с почтой удовлетворяют большинству их потребностей — и в отношении безопасности, и в отношении электронной почты. Например, одной группе с названием Marketing, содержащей всех пользователей отдела маркетинга, можно предоставить возможность работы с почтой, чтобы пользователи Exchange могли посылать почтовые сообщения всем работникам отдела маркетинга.
Îáëàñòü âèäèìîñòè ãðóïï В Active Directory имеется четыре основных области видимости (scope) групп. Каждая область видимости используется для различных целей, но все они предназначены для облегчения администрирования и предоставления способа просмотра или од-
Создание структуры организационных единиц и групп Ãëàâà 6
215
новременного выполнения действий с большими группами пользователей. Вот эти области видимости групп: •
Локальные группы компьютера.
•
Локальные группы домена.
•
Глобальные группы.
•
Универсальные группы.
Область видимости групп может оказаться одним из наиболее запутанных аспектов Active Directory, и чтобы в этом разобраться, зачастую может потребоваться ученая степень доктора по прикладной биогруппологии. Однако если к членству в группах и созданию групп применять определенные критерии построения, то эта концепция станет более понятной.
Ëîêàëüíûå ãðóïïû êîìïüþòåðà Локальные группы компьютера (machine local groups) представляют собой группы, встроенные в операционную систему; они могут применяться только к объектам, локальным для компьютера, на котором они существуют. Другими словами, это стандартные локальные группы наподобие Power Users, Administrators и так далее, созданные в отдельно взятой системе. До упрощения администрирования по сети для управления доступом к ресурсам сервера использовались локальные группы. Недостаток этого подхода состоял в том, что пользователям нужна была отдельная учетная запись на каждой машине, к которой они хотели иметь доступ. В доменной среде использование этих групп для назначения полномочий не рекомендуется, поскольку затраты на администрирование при этом будут огромны.
НА ЗАМЕТКУ Контроллеры доменов в лесу Active Directory не содержат локальных групп. Когда сервер с помощью команды dcpromo повышается до контроллера домена, все его локальные группы и учетные записи уничтожаются, и остаются только доменные учетные записи. Локальные группы и пользователи просто заменяются копиями доменных групп и пользователей. Все специальные полномочия, которые были у локальных пользователей, необходимо применить заново с помощью доменных учетных записей.
Ëîêàëüíûå ãðóïïû äîìåíà Понятие локальных групп домена (domain local groups) может показаться вначале противоречивым; это группы уровня домена, которые могут использоваться для установления прав доступа к ресурсам домена, в котором они находятся. Локальные группы домена представляют собой развитие старых локальных групп Windows NT. Локальные группы домена могут содержать членов из любого места леса Active Directory или любого доверяемого домена за пределами леса. Локальная группа домена может содержать членов из: •
глобальных групп;
•
учетных записей пользователей;
•
универсальных групп (только в AD в режиме Native);
•
других локальных групп домена (вложенных, только в режиме Native).
216
Active Directory в Windows Server 2003 ×àñòü II
Локальные группы домена в основном используются для доступа к ресурсам, поскольку для каждого ресурса создаются различные локальные группы домена, а затем к ним добавляются другие учетные записи и/или группы. Это помогает легко определить, какие пользователи и группы имеют доступ к ресурсу.
Ãëîáàëüíûå ãðóïïû Глобальные группы (global groups) являются своего рода реинкарнацией глобальных групп NT, но с несколько иными характеристиками. Эти группы могут содержать следующие типы объектов: •
учетные записи пользователей;
•
глобальные группы из своего собственного домена (только в режиме Native).
Глобальные группы в основном применяются для разбиения пользователей на легко идентифицируемые категории и использования их для назначения прав доступа к ресурсам. Отличаются глобальные группы от универсальных групп тем, что глобальные группы прекращают репликацию своего членства на границах доменов, ограничивая репликацию за пределами домена.
Óíèâåðñàëüíûå ãðóïïû Концепция универсальных групп (universal groups) впервые появилась в Windows 2000 и стала еще более полезной в Windows Server 2003. Универсальные группы как раз таковыми и являются — универсальными. Они могут содержать объекты из любого доверяемого домена и могут использоваться для применения прав доступа к любому ресурсу домена. Универсальные группы доступны только в функциональных режимах доменов Windows Server 2003 или Windows Native 2000 и не могут применяться в режимах Windows Server 2003 Interim или Windows 2000 Mixed. Это сделано потому, что резервные контроллеры домена Windows NT4 (BDC) не могут реплицировать функциональность, присущую универсальным группам. Хотя простое преобразование всех групп в доменах в универсальные группы может выглядеть весьма практичным, всегда существовало ограничение, что членство в универсальных группах реплицируется по всему лесу. Что еще хуже, объекты универсальных групп Windows 2000 Active Directory определяли членство с помощью одного многозначного атрибута. Это означало, что при любом изменении членства в универсальной группе все членство в группе заново реплицировалось по всему лесу. Следовательно, функциональность универсальных групп была ограниченной. В Windows Server 2003 введена концепция инкрементной репликации членства в универсальных группах, выполняющая репликацию членства в универсальных группах для отдельных членов. Это существенно уменьшает влияние репликации универсальных групп на среду и делает концепцию универсальных групп более приспособленной для распределенных сред. Однако эта возможность отсутствует, если домен не модернизирован до функционального уровня Windows Server 2003.
Создание структуры организационных единиц и групп Ãëàâà 6
217
Ñîçäàíèå OU è ãðóïï Уяснение концепций, используемых при создании Windows Server 2003, является лишь частью работы. Труднее применить эти концепции для обеспечения наилучших построений. Вы можете смириться с тем, что все элементы построения в структуре Active Directory, OU и групп являются невероятно гибкими и всеобъемлющими. Теоретически вы можете в разгар рабочего дня полностью перекроить всю структуру OU, не влияя на пользователей сети, так как структура OU является административной и не влияет непосредственно на действия пользователей. Однако необходимо обязательно удостовериться, что групповые политики уже находятся в OU, прежде чем туда будет перемещен пользователь или компьютер. Игнорирование этого может привести к применению ненужных групповых политик к различным объектам компьютеров или пользователей, зачастую с негативным эффектом. Так же легко можно изменить и членство в группах, хотя перед удалением уже используемых групп доступа следует хорошо подумать.
НА ЗАМЕТКУ Поскольку каждый SID группы уникален, следует с осторожностью удалять и вновь создавать группы. Как и в случае учетных записей пользователей, даже если назвать новую группу так же, как удаленную группу, и внести в нее тех же пользователей, все равно полномочия, назначенные старой группе, не будут применены к новой группе.
Учитывая эти факторы и успешно завершив создание леса и домена (см. главы 4 и 5), теперь можно приступить к созданию структуры OU и групп.
Ïðèñòóïàåì ê ñîçäàíèþ OU Как и в случае создания домена Active Directory, структура OU должна быть простой и расширяться, только если в силу конкретных требований необходимы дополнительные OU. Как вы узнаете, достойными причинами для создания OU в большинстве случаев обычно является лишь делегирование администрирования. Как и в случае создания домена, приступая к проектированию структуры OU, важно установить систему отсчета и общие критерии проектирования. Организационные единицы часто графически изображаются пиктограммой с папкой, похожей на показанную на рис. 6.4. Другим распространенным методом изображения структуры OU является простая текстовая иерархия, как показано на рис. 6.5. Какой бы способ ни был выбран, важно установить стандартный метод иллюстрации структуры OU, выбранной для организации. Первым шагом в процессе создания нужно определить наилучший метод организации пользователей, компьютеров и других объектов доменов в структуру OU. Вообще-то создавать организационные единицы слишком просто, и зачастую проектировщики доменов создают сложную структуру вложенных OU, по три или более на каждый отдел. Хотя этот подход работает, он не приносит никаких
Ðèñ. 6.4. Пиктограмма папки в Active Directory Ìåñòîïîëîæåíèÿ Ëîíäîí ×èêàãî Îäåññà
Ðèñ. 6.5. Простая текстовая иерархия для структуры OU
218
Active Directory в Windows Server 2003 ×àñòü II
технических преимуществ, а лишь усложняет LDAP-запросы к каталогам и требует большего объема затрат на администрирование. Поэтому лучше начать создание OU с одной OU и увеличивать их количество только в случае абсолютной необходимости.
Îòîáðàæåíèå ñòðóêòóðû OU íà ñòðóêòóðó äîìåíîâ ðåñóðñîâ NT OU в Active Directory могут служить заменой доменов ресурсов NT. Даже только этот фактор может облегчить пересоздание сетевой среды. Например, рассмотрим приснопамятную компанию CompanyABC. Ее среда NT была составлена из нескольких доменов ресурсов NT, примерно так, как показано на рис. 6.6. Каждый домен администрируется локальной IT-командой.
ÊîëîðàäîÑïðèíãñ Äåíâåð Ðàçðàáîòêà
Áåðëèí Ñàí-Äèåãî
Ðèñ. 6.6. Несколько доменов ресурсов в Windows NT4 При миграции в Windows Server 2003 компания CompanyABC оценила административные преимущества организационных единиц, показанных на рис. 6.7, и реструктурировала свою среду в единственный домен, заменяющий ранее существовавшие домены ресурсов NT.
companyabc.com
Разработка Денвер Колорадо- Берлин Сан-Диего Спрингс
Ðèñ. 6.7. Единственный домен Windows Server 2003 с несколькими организационными единицами
Создание структуры организационных единиц и групп Ãëàâà 6
219
Первоначальным назначением доменов ресурсов в NT4.0 было разделение групп администраторов доменов, чтобы они не могли управлять средами друг друга. Наряду с соображениями о репликации, это и привело так много IT-сред к администрированию огромного количества доменов NT. Active Directory позволяет свернуть все эти домены в эквивалентную структуру OU, предоставляя гораздо больший контроль центральной IT-структуре.
Èçëèøíåå èñïîëüçîâàíèå OU â ñòðóêòóðå äîìåíà Администраторы на протяжении нескольких лет слышали различные отзывы об использовании организационных единиц в Active Directory. Книги, руководства и собственные выводы запутали и затуманили мозги администраторов по поводу наилучшего использования структуры OU. Однако главное при работе с OU — это то, что, скорее всего, их не нужно столько, сколько вы думаете. Добавляйте OU в домен, если полностью отдельная группа требует специального административного доступа к сегменту пользователей. Если это условие не выполняется и одна группа работников администрирует всю среду, то зачастую нет необходимости создавать более одной OU. Конечно, для создания OU могут существовать и другие причины. Например, потенциальным кандидатом на создание OU является применение групповой политики. Однако даже эти функции лучше выполняются с помощью других средств. Мало кто знает, что групповые политики можно применять к группам пользователей, что устраняет необходимость создания OU именно для этой цели. Более подробно о выполнении этой задачи написано далее в данной главе, в разделе “Групповые политики и структура OU”.
Ãèáêîñòü OU Разработчики доменов никоим образом не привязаны к структуре OU. Пользователей можно перемещать туда-сюда между OU в разгар рабочего дня, не влияя на функциональность домена. Этот факт также помогает разработчикам легко исправлять любые огрехи, допущенные при создании структуры OU. OU были введены при появлении Windows 2000 как часть Active Directory. Существенных технических отличий между функциональностью OU в Windows 2000 и в Windows Server 2003 нет. Однако реальная практика создания OU изменила некоторые главные принципы проектирования, принятые ранее в Windows 2000.
Èñïîëüçîâàíèå OU äëÿ äåëåãèðîâàíèÿ ïðàâ àäìèíèñòðèðîâàíèÿ Как уже упоминалось, одной из наиболее важных причин создания структуры OU в Active Directory является делегирование администрирования различным администраторам или административным группам. В NT 4.0 для этого были необходимы отдельные домены, но Active Directory позволяет этот уровень административного деления в одном домене. Эта концепция более подробно иллюстрируется в данном разделе.
220
Active Directory в Windows Server 2003 ×àñòü II
По существу роль домена ресурсов NT была заменена концепцией организационной единицы. Группам пользователей можно легко назначить конкретные уровни административного доступа к подмножествам пользователей. Например, удаленной ITгруппе можно назначить стандартные полномочия создания/удаления/изменения пароля пользователей в своей собственной OU. Процесс делегирования этого типа доступа довольно прост и включает перечисленные ниже шаги. 1. В оснастке Active Directory Users and Computers щелкните правой кнопкой мыши на организационной единице (OU), которой нужно делегировать полномочия, и выберите в контекстном меню пункт Delegate Control (Делегировать полномочия управления). 2. На экране приветствия мастера делегирования управления щелкните на кнопке Next (Далее). 3. Щелкните на кнопке Add (Добавить), чтобы выбрать группу, к которой нужно предоставить доступ. 4. Введите имя группы и щелкните на кнопке ОК. 5. Щелкните на кнопке Next. 6. В разделе Delegate the Following Common Tasks (Делегировать следующие общие задачи) выберите нужные полномочия — в примере на рис. 6.8 это Create (Создание), Delete (Удаление) и Manage User Accounts (Управление учетными записями пользователей) — а затем щелкните на кнопке Next. 7. Щелкните на кнопке Finish (Готово), чтобы активизировать изменения.
Ðèñ. 6.8. Выбор делегирования общих задач На самом деле мастер делегирования управления позволяет довольно точно выбрать степень административного дробления. Если нужно, администратор может делегировать группе пользователей возможность модификации только номеров телефонов или аналогичные функции для пользователей в конкретной OU. Можно создавать специализированные задачи и применять их к OU, чтобы выполнить эти и многие другие задачи администрирования. В общем, таким способом может работать очень большой процент
Создание структуры организационных единиц и групп Ãëàâà 6
221
всех типов администрирования, которые могут потребоваться для делегирования. Чтобы выполнить пример назначения специализированного делегирования с администрированием номеров телефонов, выполните следующие шаги: 1. В оснастке Active Directory Users and Computers щелкните правой кнопкой мыши на организационной единице (OU), которой нужно делегировать полномочия, и выберите в контекстном меню пункт Delegate Control. 2. На экране приветствия мастера делегирования управления щелкните на кнопке Next. 3. Щелкните на кнопке Add, чтобы выбрать группу, к которой нужно предоставить доступ. 4. Введите имя группы и щелкните на кнопке ОК. 5. Щелкните на кнопке Next. 6. Выберите пункт Create a Custom Task to Delegate (Создать специализированную задачу для делегирования) и щелкните на кнопке Next. 7. В разделе Delegate Control Of (Делегировать управление) укажите Only the Following Objects in the Folder (Только следующие объекты в папке). 8. Установите флажок Users Objects (Объекты пользователей) и щелкните на кнопке Next. 9. Сбросьте флажок Property-Specific (Зависящий от свойства). 10. В разделе Permissions (Полномочия) отметьте флажок Read and Write Phone and Mail Options (Чтение и запись опций телефона и почты), как показано на рис. 6.9, и щелкните на кнопке Next. 11. Щелкните на кнопке Finish, чтобы активизировать изменения. Количество различных вариантов огромно, но сама концепция прозрачна. Возможность Active Directory делегировать функции администрирования до такой степени дробления является одним из основных преимуществ, присущих Windows Server 2003.
Ðèñ. 6.9. Выбор делегируемых полномочий
222
Active Directory в Windows Server 2003 ×àñòü II
Ãðóïïîâûå ïîëèòèêè è ñòðóêòóðà OU Администраторы создают групповые политики, чтобы запретить пользователям выполнять определенные действия или автоматически установить заданную функциональность. Например, можно установить групповую политику для открытого отображения всех пытающихся войти в систему пользователей либо для ограничения доступа к командному окну. Групповые политики можно применять к сайтам, доменам и организационным единицам Active Directory, но их также можно сконфигурировать и для применения к конкретным группам. Эта возможность увеличивает гибкость проектировщика домена в применении групповых политик. Как уже упоминалось в данной главе, создание дополнительных OU просто для применения нескольких групповых политик не является эффективным использованием структуры OU и может привести к излишнему использованию OU в целом. Вместо этого к групповым политикам можно применить более прямолинейный подход, применяя их непосредственно к группам пользователей. Следующая процедура иллюстрирует, как можно применить конкретную групповую политику на уровне домена, но чтобы она применялась только для конкретной группы: 1. В оснастке Active Directory Users and Computers щелкните правой кнопкой мыши на имени домена и выберите в контекстном меню пункт Properties (Свойства). 2. В окне свойств выбранного домена перейдите на вкладку Group Policy (Групповая политика). 3. Выберите групповую политику, которую нужно применить к группе, и щелкните на кнопке Properties. 4. Перейдите на вкладку Security (Безопасность). 5. Сбросьте флажки Read (Чтение) и Apply Group Policy (Применение групповой политики) в группе Authenticated Users Group (Группа аутентифицированных пользователей), если она существует. 6. Щелкните на кнопке Add (Добавить), чтобы выбрать группу, к которой нужно применить политику. 7. Введите в текстовом поле имя группы и щелкните на кнопке ОК. 8. Выберите только что добавленную группу и установите флажки Read и Apply Group Policy, как показано на рис. 6.10. 9. Повторите шаги 6–8 для всех других групп, к которым нужно применить политику. 10. Щелкните на кнопке ОК, а затем на кнопке Close (Закрыть), чтобы сохранить изменения. 11. Повторите шаги 1–10 для всех других групповых политик. Эта концепция применения конкретной групповой политики на уровне домена, но выполнения для конкретной группы, сама по себе может уменьшить количество излишних OU в среде и помочь упростить администрирование. Кроме того, облегчается устранение неполадок при применении групповых политик, поскольку не нужно будет разбираться в сложных структурах OU.
Создание структуры организационных единиц и групп Ãëàâà 6
223
Ðèñ. 6.10. Добавление свойств безопасности Read и Apply Group Policy
Ïðîåêòèðîâàíèå ãðóïï Как и в случае проектирования организационных единиц, лучше упростить структуру групп, чтобы избежать излишних административных затрат. Установление набора правил — как работать с группами и какие группы могут быть созданы — поможет в более эффективном управлении большими группами пользователей и в более эффективном устранении неполадок с безопасностью.
Ïîëåçíûå ñîâåòû ïî ïðèìåíåíèþ ãðóïï Использование групп можно упростить, применяя простую формулу: использовать локальные группы домена для управления доступом к ресурсам и использовать глобальные группы для организации похожих групп пользователей. После этого созданные глобальные группы применяются к локальным группам домена в качестве членов, разрешая права доступа этих пользователей к этим ресурсам и ограничивая влияние репликации на среду. Для иллюстрации подобного использования рассмотрим пример, приведенный на рис. 6.11. Пользователям в отделе маркетинга и финансовом отделе нужен доступ к общему сетевому принтеру. Соответственно были созданы две глобальные группы (Marketing Global и Finance Global), в которые были добавлены все пользовательские учетные записи из каждой группы. Была создана одна локальная группа домена под названием Printer1, которой разрешен исключительный доступ к общему принтеру. Затем группы Marketing и Finance были добавлены в качестве членов в группу Printer1. Эта простая формула работает и в гораздо большем масштабе и считается наилучшей практической рекомендацией для эффективного использования групп, не вызывая серьезных проблем с репликацией.
224
Active Directory в Windows Server 2003 ×àñòü II
Finance Global
Printer1 DL Ïðàâà äîñòóïà Marketing Global
Ãëîáàëüíûå ãðóïïû
Printer1
Ëîêàëüíûå ãðóïïû äîìåíà
Ðèñ. 6.11. Пример рекомендуемой структуры групп Концепция универсальной группы также нашла свое развитие в Windows Server 2003. Теперь, когда проблема с репликацией решена с помощью инкрементной репликации членства, вероятность, что это форма группы будет возможна в среде, повышается. При необходимости универсальная группа может заменять глобальные группы или, возможно, включать глобальные группы в качестве членов. Универсальные группы наиболее удобны при объединении членства в группах за пределами границ доменов, и это должно быть их основным назначением при применении в Windows Server 2003.
НА ЗАМЕТКУ Хотя универсальные группы могут существовать только в доменах, функционирующих в режиме Native, теоретически они могут содержать членов из других доменов леса в режиме Mixed. Но это не рекомендуется, поскольку существенно затрудняет устранение проблем с доступом. Поскольку члены других доменов не могут иметь SID универсальной группы, добавленной к их элементу доступа, то объект домена в режиме Mixed добавляется в универсальную группу в виде ссылки, а не непосредственно объекта.
Óñòàíîâëåíèå ñòàíäàðòîâ èìåíîâàíèÿ ãðóïï Как и в случае всех объектов Active Directory, группы должны быть легко идентифицируемы, чтобы уменьшить неопределенность и для конечных пользователей, и для администраторов. Следовательно, для всех групп важно установить некую форму соглашения по именованию и довести эти соглашения до сведения всех администраторов, создающих группы. Использование таких соглашений поможет избежать головной боли при определении, для чего используется какая-либо группа, кто ее владелец и тому подобного.
Âëîæåííîñòü ãðóïï Группы могут быть вложенными, то есть содержаться в качестве членов в других группах, чтобы легко добавлять одновременно нескольких членов известных групп в члены других групп. Эта дополнительная гибкость уменьшает общее количество необходимых групп и помогает минимизировать усилия по администрированию.
Создание структуры организационных единиц и групп Ãëàâà 6
225
НА ЗАМЕТКУ В режимах Windows 2000 Mixed и Windows Server 2003 Interim подобные группы не могут быть вложенными. Например, не в режиме Native локальная группа домена не может быть вложенной в другую локальную группу домена, а глобальная группа не может быть вложенной в отдельную глобальную группу.
Ñîçäàíèå ãðóïï ðàññûëêè Если потребуется, в организации можно создать группы рассылки, позволяющие посылать SMTP-сообщения нескольким получателям. Помните, что с этими группами не связаны SID, и, следовательно, их невозможно использовать для назначения полномочий доступа. На самом деле группы рассылки редко создаются в организациях, не применяющих Exchange 2000/2003. Однако понимание их роли и возможностей важно для определения правильной структуры групп.
НА ЗАМЕТКУ При работе с NT BDC в режиме Mixed или Interim универсальные группы доступа недоступны. Однако в этих режимах доступны универсальные группы рассылки, которые можно использовать для включения членов из любого домена леса.
Ïðèìåðû êîíñòðóêòîðñêèõ ìîäåëåé Хотя количество возможных вариантов OU и групп практически безгранично, зачастую появляются одинаковые построения, так как бизнес-требования во многих организациях весьма схожи. На протяжении времени вырисовались две различных модели, влияющих на структуру OU и групп. Первая модель ориентирована на бизнесфункции, и в ней различные отделы диктуют существование OU и групп. Вторая модель продиктована географическими соображениями, и в ней отдельные OU и группы назначены удаленным площадкам.
Ïîñòðîåíèå íà îñíîâå áèçíåñ-ôóíêöèé Компания CompanyA выпускает одежду и находится в Сент-Луисе, штат Миссури. Производственные площади компании расположены в одном районе в Дейтоне и соединены линиями T1. Центральный IT-отдел непосредственно управляет приблизительно 50% компьютерной инфраструктуры компании. Остальная часть компании управляется удаленно следующими независимыми группами, присутствующими в компании: •
продажи;
•
производство;
•
дизайн;
•
управление.
Исторически в организации существуют пять доменов NT, показанных на рис. 6.12. Эти домены были созданы для того, чтобы предоставить каждому отделу автономию и административный контроль над своей средой.
226
Active Directory в Windows Server 2003 ×àñòü II
Домены NT соединены двухсторонними доверительными отношениями и имеют названия: •
IT_NT
•
SALES_NT
•
MANUF_NT
•
DESIG_NT
•
MNGMT_NT
IT_NT
MNGMT_NT
Ñòðóêòóðà OU äëÿ ïîñòðîåíèÿ íà îñíîâå áèçíåñ-ôóíêöèé
DESIG_NT
SALES_NT
MANUF_NT
Хотя общая политика компании направлена на Ðèñ. 6.12. Структура из нескольдецентрализованный подход к ведению дел, ITких доменов Windows NT4 отдел пожелал консолидировать эти домены в единый домен AD, сохраняя в тоже время административную автономию, которую имели различные подразделения в старой среде. В результате появился единственный домен Active Directory companya.com, использующий пять различных OU, по одной для каждого подразделения, аналогично структуре, приведенной на рис. 6.13.
companya.com
IT
Продажи Производство Дизайн
Управление
Ðèñ. 6.13. Структура организационных единиц Чтобы создать эту структуру, домены ресурсов были свернуты в единый домен Active Directory с помощью средства миграции Active Directory (Active Directory Migration Tool — ADMTv2). Более подробный анализ этой процедуры приведен в главах 16 и 17. Каждой OU были назначены административные права с помощью создания специальных глобальных групп, членами которых стали локальные администраторы всех отделов, как показано на рис. 6.14. Затем, с помощью мастера делегирования управления (см. раздел “Использование OU для делегирования прав администрирования” ра-
Создание структуры организационных единиц и групп Ãëàâà 6
227
нее в этой главе) этим группам были делегированы возможности изменения паролей, создания/удаления пользователей и другие типичные функции администрирования соответствующих подразделений OU.
Ðèñ. 6.14. Завершение задачи делегирования управления
Ñòðóêòóðà ãðóïï äëÿ ïîñòðîåíèÿ íà îñíîâå áèçíåñ-ôóíêöèé Структура групп была создана с пятью отдельными глобальными группами, содержащими пользователей из каждого подразделения. Глобальные группы были названы так: •
IT Global
•
Sales Global
•
Manufacturing Global
•
Design Global
•
Management Global
Ресурсы были назначены локальным группам домена, следуя стандартной схеме наименования, как в следующих примерах: •
Printer1 DL
•
FileServer3 DL
•
VidConfServer1 DL
•
Printer3 DL
Затем соответствующим созданным локальным группам домена были даны права доступа для всех ресурсов. Глобальные группы были добавлены должным образом в эти группы в качестве членов. Например, принтер с именем Prinrer3 был физически размещен между отделами дизайна и продаж. Было решено, что этот принтер будет доступен из обеих групп. Следовательно, доступ к печати был предоставлен группе Printer3 DL, и обе группы — Design Global и Sales Global — были занесены в группу Printer3 DL в качестве членов, как показано на рис. 6.15.
228
Active Directory в Windows Server 2003 ×àñòü II
Design Global
Printer3 DL Sales Global
Ïîëüçîâàòåëè
Ðèñ. 6.15. Вложенность групп для назначения прав доступа Этот тип безопасности ресурсов предоставляет наибольшую гибкость и уменьшает необходимую репликацию членства в группах домена. Если позднее будет принято решение позволить печатать на принтере Printer3 и IT-отделу, то достаточно будет в группу Printer3 DL внести группу IT Global. Эта гибкость является главной целью построения такого типа.
Ïîñòðîåíèå íà îñíîâå ãåîãðàôè÷åñêîãî ðàñïîëîæåíèÿ Как было в случае модели построения на основе бизнес-функций, структуры доменов можно легко приспособить к нуждам организаций с географически разбросанными подразделениями, в каждом из которых имеется свой собственный набор администраторов. Важно понимать, что простое помещение сайтов на удаленных площадках совсем не обязательно требует создания OU для каждого сайта. Прежде чем приступить к обдумыванию сознания OU, в этих удаленных сайтах необходимо выполнить некоторые специальные локальные административные действия. Помня об этом, рассмотрим пример компании CompanyB. Это международный производитель полупроводников с центральным офисом в Сакраменто, штат Калифорния, но имеющий удаленные филиалы в Малайзии, Коста-Рике, Токио, Австралии, Берлине и Киеве (рис. 6.16). Администрирование производится на континентальной основе. Другими словами, Берлин и Киев обслуживаются одной и той же бригадой, а Токио и Малайзия используют одних и тех же администраторов. Австралия администрирует своих собственных пользователей, и Коста-Рика тоже.
Ñòðóêòóðà OU äëÿ ïîñòðîåíèÿ ïî ãåîãðàôè÷åñêîìó ïðèçíàêó Разработчики AD в CompanyB решили, что требованиям к локальному администрированию в офисах филиалов лучше всего можно удовлетворить, создав OU для каж-
Создание структуры организационных единиц и групп Ãëàâà 6
229
дого региона администрирования. Европейский OU был создан для пользователей в Берлине и Киеве, а азиатский — для Токио и Малайзии. Трем другим сайтам были выделены индивидуальные OU, как показано на рис. 6.17.
Ìàëàéçèÿ
Òîêèî
Áåðëèí
Àçèÿ
Êèåâ
Åâðîïà
Ñàêðàìåíòî
Ñàêðàìåíòî
Àâñòðàëèÿ
Êîñòà-Ðèêà
Àâñòðàëèÿ
Êîñòà-Ðèêà
Ðèñ. 6.16. Старая структура доменов компании CompanyB
companyb.com
Австралия
Азия
Сакраменто Коста-Рика
Европа
Ðèñ. 6.17. Новая структура с использованием организационных единиц вместо доменов
230
Active Directory в Windows Server 2003 ×àñòü II
Ñòðóêòóðà ãðóïï äëÿ ïîñòðîåíèÿ ïî ãåîãðàôè÷åñêîìó ïðèçíàêó Были созданы локальные группы домена для предоставления доступа к конкретным ресурсам каждой OU. Например, локальная группа домена с названием Europe OU DL была создана для доступа к европейской организационной единице. Чтобы разрешить упомянутый доступ, в каждой OU был запущен мастер делегирования управления, и каждой соответствующей локальной группе домена был предоставлен доступ на администрирование соответствующей OU. Членство в локальных группах домена было лишь первым шагом при разрешении администраторам CompanyB управлять их собственными средами. Для каждой ITбригады были созданы глобальные группы, соответствующие их физическому расположению. Например, были созданы группы Berlin IT Admins Global и Kiev IT Admins Global, и все учетные записи IT-администраторов для удаленных расположений были добавлены в качестве членов в соответствующие группы. Затем эти две глобальные группы были добавлены в качестве членов в локальную группу домена Europe OU DL, как показано на рис. 6.18. Данный процесс был повторен для других OU организации. Это решение предоставило наибольшую степень административной гибкости при работе с набором полномочий для OU.
Berlin IT Admins Global Europe OU DL Äåëåãèðîâàíèå óïðàâëåíèÿ Kiev IT Admins Global
Ðèñ. 6.18. Вложенное делегирование управления Затем каждой административной бригаде был предоставлен широкий диапазон административных полномочий в пределах их собственных сред, вследствие чего каждая бригада получила возможность создавать пользователей, изменять пароли и эффективно администрировать свои собственные среды без необходимости получения широких административных полномочий для всего домена. Дополнительным преимуществом этого построения является то, что оно совершенно гибко, и делегирование административного управления можно выполнять, так сказать, на лету. Например, если откроется еще один дочерний офис в Париже и французским IT-администраторам понадобится эквивалентный административный контроль над европейской OU, то можно создать простую глобальную группу и добавить ее в качестве члена в локальную группу домена Europe OU DL. Удаление полномочий столь же просто. Кроме того, все членство в OU можно эффективно свернуть в другую структуру OU, если это потребуется при изменении требований в других организациях.
Создание структуры организационных единиц и групп Ãëàâà 6
231
Ðåçþìå Если не применять какую-либо форму логической организации пользователей сетевой среды, то воцарится хаос, и администрирование станет невозможным. Администраторам нужен какой-то способ собирать группы пользователей в логически распознаваемые образования, чтобы иметь возможность массовых изменений полномочий доступа и администрирования. Active Directory была специально создана допускающей широкое масштабирование с учетом функций администрирования, и доказательством этой мощи является гибкость создания организационных единиц (OU) и групп. Правильное построение структуры и организационных единиц, и групп может существенно облегчить обретение контроля и уменьшить затраты в доменной среде.
Ïîëåçíûå ñîâåòû •
Переместите объекты пользователей и компьютеров в структуру OU — не оставляйте их в стандартных контейнерах Users и Computers.
•
Сохраняйте структуру OU максимально простой.
•
Не допускайте вложенности OU более 10 уровней, а желательно — и не более 3 уровней.
•
Сведите количество OU к минимуму, и используйте их только при необходимости.
•
Применяйте групповые политики к группам по возможности с помощью фильтрации групповых политик.
•
Используйте локальные группы домена для управления доступом к ресурсам, и применяйте глобальные группы для организации схожих групп пользователей.
•
Используйте группы рассылки или группы доступа с возможностью работы с электронной почтой для создания списков рассылки почтовых сообщений в средах на базе Exchange 2000/2003.
•
Для разрешения пользования электронной почтой используйте группы доступа, если не требуется разделение доступа и почтовой функциональности.
•
Не удаляйте и не создавайте заново группы просто так, поскольку все SID групп уникальны.
•
Не включайте в универсальные группы пользователей из других доменов леса в режиме Mixed.
•
Не используйте локальные группы для назначения полномочий в среде домена.
Èíôðàñòðóêòóðà Active Directory
 ÝÒÎÉ ÃËÀÂÅ... •
Ïîíÿòèå ðåïëèêàöèè Active Directory
•
Ñàéòû Active Directory
•
Ïëàíèðîâàíèå òîïîëîãèè ðåïëèêàöèè
•
Ïîääåðæêà IPv6 â Windows Server 2003
•
Ðåàëüíûå ïðîåêòû ðåïëèêàöèè
ÃËÀÂÀ
7
234
Active Directory в Windows Server 2003 ×àñòü II
Ïîíÿòèå ðåïëèêàöèè Active Directory В идеальном мире все части вашей сети были бы соединены высокоскоростными соединениями, и все серверы сообщались бы друг с другом без задержек и заторов. Компьютеры объединились бы и сбросили бы связывающие их оковы полосы пропускания. Увы, реальные сети так себя не ведут, и вопросы трафика нужно учитывать во всех структурах Active Directory (AD), кроме самых маленьких, состоящих из одного сервера. Windows Server 2003 расширяет возможности репликации Active Directory, введенные в Windows 2000, целым набором новых возможностей и функций. Вследствие введения этих новых возможностей существенно возросли возможности Active Directory, а также поменялись некоторые основные элементы создания репликации AD. Усовершенствования репликации Active Directory в Windows Server 2003 были сделаны на основе уроков, извлеченных из Windows 2000. В хорошо соединенных сайтах теперь можно отключить сжатие репликации, позволив разработчикам пожертвовать пропускной способностью в пользу использования процессора в контроллерах домена (DC). Кроме того, новые концепции наподобие повышения DC с носителя данных (DC Promotion from Media) позволяют создавать серверы глобального каталога с компактдисков или других носителей, что существенно увеличивает гибкость размещения DC. Такие улучшения, как кэширование универсальных групп на контроллерах домена, позволяют удаленным контроллерам домена функционировать в качестве серверов глобального каталога, локально кэшируя часто используемое членство в универсальных группах. Кроме того, были добавлены новые функции наподобие поддержки протокола IPv6, что еще больше повысило качество операционной системы. Пересоздание структуры репликации в Windows Server 2003 устраняет ограничения на построение, которые ранее сдерживали планы репликации. Проблемы с построением репликации потенциально могут привести сеть в негодность, поэтому стоит серьезно обдумать надлежащую структуру и построение эффективной схемы репликации. Основное внимание в данной главе уделяется определению компонентов Active Directory в Windows Server 2003, составляющих ее топологию репликации. В ней подробно рассматриваются стратегии построения сайтов Active Directory и приводятся реальные примеры, иллюстрирующие содержащиеся в них принципы. Кроме того, описываются новые компоненты, относящиеся к инфраструктуре AD, например, поддержка IPv6 (Internet-протокол версии 6).
Ðåïëèêàöèÿ â Active Directory Все среды каталогов предприятий должны содержать механизмы синхронизации и обновления информации в каталогах всей структуры каталогов. В Active Directory Windows Server 2003 это означает, что каждый контроллер домена должен обновляться наиболее свежей информацией, чтобы пользователи могли без проблем входить в систему, обращаться к ресурсам и взаимодействовать с каталогом. Active Directory отличается от многих реализаций служб каталогов тем, что репликация информации каталогов выполняется независимо от реального построения логического каталога. Концепция сайтов Active Directory совершенно не зависит от логической структуры лесов, деревьев и доменов Active Directory.
Инфраструктура Active Directory Ãëàâà 7
235
На самом деле один сайт в Active Directory может содержать контроллеры доменов из различных доменов или различных деревьев одного леса. Это позволяет создавать топологию репликации на основе структуры WAN, а топология каталогов может отображать структуру организации.
Êîíöåïöèè òîïîëîãèè ñ íåñêîëüêèìè õîçÿåâàìè Active Directory была специально написана так, чтобы позволить создание, модификацию и удаление информации каталогов с нескольких контроллеров домена. Эта концепция, называемая репликацией с несколькими мастерами (multimaster replication), предполагает отсутствие главного контроллера домена. Если один из контроллеров домена выйдет из строя, любой из оставшихся контроллеров может провести изменения в информации каталогов. Затем эти изменения реплицируются по всей инфраструктуре домена. Конечно, нужен какой-то вид контроля над этим типом репликации, чтобы преимущество имели наиболее свежие изменения. Этот тип контроля реализован в Active Directory с помощью концепции последовательных номеров обновлений (Update Sequence Number — USN).
Ïîñëåäîâàòåëüíûå íîìåðà îáíîâëåíèé Всем реализациям служб каталогов предприятий необходим механизм работы с инкрементным хранением изменений, выполненных в объектах каталогов. Другими словами, если изменен какой-то пароль, то эта информация должна быть аккуратно передана всем контроллерам в домене. Этот механизм должен также иметь возможность проводить только самые последние изменения. Многие реализации служб каталогов основаны на точной синхронизации времени во всех контроллерах домена для синхронизации информации. Однако оказалось, что синхронизация таймеров на нескольких серверах является крайне трудной задачей, и даже небольшая разница во времени может повлиять на результаты репликации. И вот появилась концепция последовательных номеров обновлений. Номера USN в Active Directory применяются для обеспечения аккуратной репликации изменений в каталогах. Номер USN является 64-битовым числом, поддерживаемым всеми контроллерами доменов в Active Directory. USN последовательно увеличивается при каждом изменении, выполненном в каталоге данного конкретного сервера. Каждый дополнительный контроллер домена также содержит копию самых свежих USN, сообщенных его соседями. Это делает обновления более простым процессом. Например, при запросе обновления репликации с сервера Server2 сервер Server1 выберет из своей внутренней таблицы самый последний USN, полученный от Server2, и запросит только те изменения, которые были проведены после этого номера. Простота этой конструкции также обеспечивает аккуратность репликации в среде домена. Номерами USN обеспечивается и целостность репликации, поскольку USN обновляется только при подтверждении, что изменение записано в конкретный контроллер домена. При этом если цикл репликации будет прерван отказом сервера, то рассматриваемый сервер опять запросит обновление на основе своего номера USN, что и обеспечивает целостность транзакции.
236
Active Directory в Windows Server 2003 ×àñòü II
Êîíôëèêòû ðåïëèêàöèé Концепция номеров USN не устраняет полностью роль надлежащей синхронизации времени в Active Directory. Поддержка точного времени во всей среде домена остается важной вследствие возможности возникновения конфликтов репликаций. Конфликт репликаций (replication collision) — это неточность в реплицируемой информации, возникшая из-за того, что изменения применяются к одному и тому же объекту, но не успевают реплицироваться на все контроллеры доменов. Например, если администратор изменяет пароль пользователя на сервере Server1, а другой администратор изменяет пароль этого же пользователя на сервере Server2 до того, как Server1 смог реплицировать свое изменение, возникнет конфликт репликаций. Конфликты репликаций разрешаются с помощью номеров версий базы данных.
Íîìåðà âåðñèé áàçû äàííûõ Номера версий базы данных применяются в качестве атрибутов ко всем объектам в Active Directory. Эти номера постоянно увеличиваются и содержат метку времени изменения объекта. При возникновении конфликта репликаций задействуется номер версии базы данных с более поздней меткой времени, а более старое изменение отбрасывается. В примере из предыдущего раздела к пользователю будет применено изменение пароля с самой поздней меткой времени. Понятно, что эта концепция требует точной синхронизации времени в домене Active Directory — хотя это и не так критично, как в других реализациях служб каталогов, основывающих на синхронизации все действия по репликации.
НА ЗАМЕТКУ Windows Server 2003 содержит встроенную службу синхронизации времени в домене. Для обеспечения синхронизации DC рекомендуется использовать службу времени Windows (Windows Time Service), чтобы было возможным аккуратное разрешение конфликтов репликаций.
Îáúåêòû ñîåäèíåíèé Объекты соединений автоматически генерируются компонентом проверки целостности знаний (Knowledge Consistency Checker — KCC) Active Directory и выполняют роль путей обмена данными во время репликации. Они могут устанавливаться и вручную и предоставляют пути репликации между одним контроллером домена и другим. Если, например, в организации нужно провести всю репликацию в первичный контроллер домена (Primary Domain Controller — PDC), прежде чем распространять ее дальше, то между двумя контроллерами доменов можно установить объекты прямых соединений. Создание объекта соединения является простым процессом. После его создания и до удаления Windows Server 2003 не будет пытаться автоматически генерировать новый объект для того же самого маршрута. Чтобы вручную установить объект соединения для репликации между контроллерами домена, выполните следующие шаги. 1. Откройте оснастку Active Directory Sites and Services. 2. Раскройте узел Sites \ <Имя_сайта> \ Servers \ <Имя_сервера> \ NTDS Settings (Сайты\<Имя_сайта>\Серверы\<Имя_сервера>\Параметры NTDS), где Имя_сервера — исходный сервер для объекта соединения.
Инфраструктура Active Directory Ãëàâà 7
237
3. Щелкните правой кнопкой мыши на элементе NTDS Settings (Параметры NTDS) и выберите в контекстном меню пункт New Active Directory Connection (Новое соединение Active Directory). 4. Выберите целевой контроллер домена и щелкните на кнопке ОК. 5. Введите имя объекта соединения и щелкните на кнопке ОК. Щелкните правой кнопкой мыши на только что созданном объекте соединения и выберите в контекстном меню пункт Properties (Свойства), чтобы открыть страницу свойств, показанную на рис. 7.1. Теперь можно модифицировать объект соединения, чтобы подстроить его к любому конкретному расписанию, транспорту и так далее.
НА ЗАМЕТКУ Объекты соединения, сгенерированные автоматически, создаются компонентом Active Directory KCC для обеспечения наиболее эффективных путей репликации. Следовательно, для ручного создания этих путей необходимы серьезные причины, так как автоматически сгенерированные пути обычно выполняют все, что надо.
Ðèñ. 7.1. Свойства объекта соединения
Ëàòåíòíîñòü ðåïëèêàöèè Администраторы, не привыкшие к топологии репликации Active Directory, могут недоумевать, когда они проводят изменение в AD и обнаруживают, что это изменение не реплицируется в среде немедленно. Например, администратор может изменить пароль пользовательской учетной записи, после чего этот пользователь тут же может пожаловаться, что новый пароль не работает. Причина несоответствий такого типа состоит просто в том, что не все изменения AD реплицируются немедленно. Эта концепция называется латентностью (задержкой) репликации. Поскольку затраты на немедленную репликацию изменений на все контроллеры домена велики, то стандарт-
238
Active Directory в Windows Server 2003 ×àñòü II
ное расписание выполняет репликации не так часто, как хотелось бы. Репликация критичной информации может быть выполнена вне расписания с помощью следующей процедуры: 1. Откройте оснастку Active Directory Sites and Services. 2. Просмотрите содержимое узла Sites \ <Имя_сайта> \ Servers \ <Имя_сервера> \ NTDS Settings, где Имя_сервера — это сервер, к которому вы подключены, и с которого нужно реплицировать необходимые изменения. 3. Щелкните правой кнопкой мыши на каждом объекте соединения и выберите в контекстном меню пункт Replicate Now (Реплицировать сейчас), как показано на рис. 7.2.
Ðèñ. 7.2. Немедленное выполнение репликации с помощью объектов соединения Другим полезным инструментом, с помощью которого можно выполнить репликацию немедленно, является средство командной строки repadmin. Это средство инсталлируется в составе средств поддержки Windows Server 2003 на носителе сервера. После установки repadmin можно использовать для выполнения репликации всего каталога, отдельных частей каталога или синхронизировать контроллеры домена между границами сайтов. При доступности пропускной способности совсем нетрудно подготовить пакетный файл для выполнения репликации между контроллерами домена, обеспечивающий стабильность каталога. На рис. 7.3 показан пример простого пакетного файла, выполняющего репликацию всех контекстов именования Active Directory между двумя контроллерами домена. Кроме утилиты repadmin, в средства поддержки входит утилита replmon, позволяющая графически отображать попытки репликации для контроллеров домена и их хронологию. Эта утилита может оказаться полезной для упреждающего обнаружения проблем с репликацией до их перерастания в серьезные вопросы. На рис. 7.4 показано, как эта утилита может отображать информацию репликации между контроллерами домена в Active Directory.
Инфраструктура Active Directory Ãëàâà 7
239
Ðèñ. 7.3. Пример пакетного файла, выполняющего репликацию с помощью repadmin
Ðèñ. 7.4. Мониторинг репликации контроллера домена с помощью replmon Можно изменить стандартное расписание репликаций, чтобы оно удовлетворяло потребностям организации. Например, между всеми вашими контроллерами домена сайта может быть очень высокая пропускная способность, и вы можете принять решение уменьшить стандартную частоту репликации до пятнадцати минут. Для этого выполните перечисленные ниже шаги. 1. Откройте оснастку Active Directory Sites and Services. 2. Раскройте узел Sites \ <Имя_сайта> (Сайты\<Имя_сайта>).
240
Active Directory в Windows Server 2003 ×àñòü II
3. Щелкните правой кнопкой мыши на элементе NTDS Site Settings (Параметры сайта NTDS) и выберите в контекстном меню пункт Properties. 4. Щелкните на кнопке Change Schedule (Изменить расписание). 5. Измените интервал на Four Times Per Hour (Четыре раза в час), как показано на рис. 7.5. 6. Щелкните на кнопке ОК, чтобы сохранить изменения в расписании, а затем еще раз на кнопке ОК, чтобы закрыть страницу NTDS Site Settings Properties (Свойства параметров сайта NTDS).
Ðèñ. 7.5. Задание стандартного расписания репликации сайта Конечно, это изменение расписания чревато некоторыми последствиями, а именно — снижением пропускной способности сети. Необходимо найти компромисс между потребностями вашей организации и увеличением уровня потребления ресурсов.
Ñðàâíåíèå SMTP- è IP-ðåïëèêàöèè Active Directory в Windows Server 2003 позволяет передавать трафик репликации в форме либо IP- (RPC), либо SMTP-пакетов. Это обеспечивает возможность выбора SMTP-трафика, если между двумя различными сайтами в AD нет прямой связи. Другими словами, SMTP-репликация скорее всего будет использоваться для сообщения с сайтами AD через Internet. Конечно, такой обмен данными по протоколу SMTP необходимо шифровать с помощью сервера центра сертификации, например, входящего в состав Windows Server 2003, либо центра сертификации стороннего разработчика наподобие VeriSign. Это усложняет дешифровку и анализ межсерверного обмена информацией между сайтами AD, который можно перехватить в Internet. Трафик IP-репликации обычно используется для обмена данными между сайтами. Этот тип трафика использует обмен данными с помощью известных вызовов удаленных процедур (Remote Procedure Call — RPC), чтобы пересылать информацию между различными сайтами, то есть этот вид репликации идеален для обмена данными в большинстве глобальных сетей (WAN).
Инфраструктура Active Directory Ãëàâà 7
241
Ñàéòû Active Directory Базовой единицей репликации Active Directory является сайт (site). Его не надо путать с физическими сайтами или сайтами Exchange 5.5: сайт AD представляет собой просто группу сильно связанных контроллеров домена. Все сайты настроены на более эффективную репликацию информации каталога по сети. В общем, контроллеры домена в пределах одного сайта обычно реплицируются чаще, чем контроллеры доменов, расположенные на других сайтах. Концепция сайта является основой построения репликаций в Active Directory.
Óñîâåðøåíñòâîâàíèÿ ñàéòîâ â Windows Server 2003 Со времен Windows 2000 появились специальные функции работы с сайтами. В Windows Server 2003 появилось множество усовершенствований репликаций, непосредственно влияющих на функциональность сайтов и позволяющих большую гибкость при построении сайтов: •
Кэширование членства универсальных групп в глобальном каталоге.
•
Создание контроллеров домена с носителей.
•
Репликация связанных значений.
•
Улучшения алгоритма ISTG.
•
Отсутствие полной синхронизации глобального каталога с изменениями схемы.
•
Возможность отключения сжатия пакетов репликации.
•
Обнаружение неактивных объектов.
Эти концепции более подробно рассматриваются в последующих разделах данной главы.
Ñâÿçûâàíèå ïîäñåòåé ñ ñàéòàìè В большинстве случаев экземпляры сайтов в Active Directory физически располагаются в подсети, отдельной от других сайтов. Эта идея вытекает из того факта, что топология сайтов чаще всего повторяет, или должна повторять, физическую сетевую инфраструктуру среды. В Active Directory сайты связаны с соответствующими им подсетями, чтобы иметь возможность интеллектуального назначения пользователей их соответствующим контроллерам домена. Например, рассмотрим проект, показанный на рис. 7.6. Оба сервера Server1 и Server2, являющиеся членами сайта Site1, физически принадлежат подсети 10.1.1.x. Серверы Server3 и Server4 принадлежат подсети 10.1.2.x. Клиент Client1, имеющий физический IP-адрес 10.1.2.145, автоматически назначается Active Directory серверам Server3 и Server4, как контролерам домена по умолчанию, поскольку подсети уже назначены сайтам. Назначение такого типа выполняется очень просто. Следующая процедура подробно описывает связывание подсети с сайтом. 1. Откройте оснастку Active Directory Sites and Services. 2. Раскройте узел Sites \ Subnets (Сайты\Подсети).
242
Active Directory в Windows Server 2003 ×àñòü II
3. Щелкните правой кнопкой мыши на элементе Subnets и выберите в контекстном меню пункт New Subnet (Новая подсеть). 4. Введите сетевую часть диапазона IP-адресов, которую будет охватывать сайт. В нашем примере будет использована подсеть 10.1.2.0 с маской подсети класса C (255.255.255.0). 5. Выберите сайт, связываемый с сетью. В примере, показанном на рис. 7.7, выбран сайт Site2. 6. Щелкните на кнопке ОК. Ñàéò 1
Ñàéò 2
10.1.1.0/24
10.1.2.0/24
Server1
Server2
Server3
Server4
10.1.2.145/24
Client1
Ðèñ. 7.6. Пример назначения клиентского сайта
Ðèñ. 7.7. Связывание подсети с сайтом
Инфраструктура Active Directory Ãëàâà 7
243
НА ЗАМЕТКУ В клиенты Windows 2000 или выше встроено автоматическое назначение сайтов DC. Однако низкоуровневые клиенты для применения этой функциональности требуют использования компонента Active Directory Client (Клиент Active Directory). Если клиент AD не установлен, то можно нечаянно направить клиенты Windows 9x или NT на контроллеры домена сайтов, расположенных очень далеко.
Èñïîëüçîâàíèå ñâÿçåé ñàéòîâ По умолчанию при создании двух сайтов в Active Directory соединение, связывающее эти сайты, не создается автоматически. Такую функциональность необходимо создавать вручную — в виде связей сайтов. Связь сайта (site link) представляет собой тип соединения, объединяющего два сайта и позволяющего протекание потоков репликации от одного сайта к другому. Можно создать несколько связей сайтов, которые обычно соответствуют используемым в организации линиям WAN. Несколько связей сайтов также обеспечивают резервирование, так что при выходе из строя одной связи трафик репликации будет проходить по другой связи. Создание связей сайтов является еще одним простым процессом, хотя необходимо заранее решить, какой тип трафика будет использоваться связью сайтов: SMTP или IP (см. раздел “Сравнение SMTP- и IP-репликации”). Расписания репликации связей сайтов можно изменять для подстройки к существующим в организации требованиям. Например, если канал WAN днем сильно загружен, то можно создать расписание с репликацией информации по ночам. Эта функциональность позволяет легко настраивать связи сайтов в соответствии с требованиями каналов WAN. В предположении, что нужна стандартная IP-связь сайтов, следующие шаги создают простую связь для соединения сайтов Site1 и Site2. Кроме того, будет изменен график репликации, чтобы разрешить возникновение трафика репликации только с 18:00 до 06:00 с интервалом в один час. 1. Откройте оснастку Active Directory Sites and Services. 2. Раскройте узел Sites \ Inter-Site Transports \ IP (Сайты\Межсайтовые транспорты\IP). 3. Щелкните правой кнопкой мыши на элементе IP и выберите в контекстном меню пункт New Site Link (Новая связь сайтов), чтобы открыть страницу свойств, показанную на рис. 7.8. 4. Назовите подсеть легко распознаваемым именем. В нашем примере она названа Site1 – Site2 SL. 5. Переместите соединяемые сайты на панель Sites in This Site Link (Сайты данной связи сайтов). 6. Щелкните на кнопке ОК для создания связи сайтов. 7. Щелкните правой кнопкой мыши на только что созданной связи сайтов и выберите в контекстном меню пункт Properties. 8. Щелкните на кнопке Change Schedule (Изменить расписание).
244
Active Directory в Windows Server 2003 ×àñòü II
Ðèñ. 7.8. Страница свойств создаваемой связи сайтов 9. Выберите подходящее время для выполнения репликации. В нашем случае репликация запрещена с 06:00 до 18:00 с помощью выделения нужных часов и щелчка на переключателе Replication Not Available (Репликация запрещена), как показано на рис. 7.9. 10. Два раза щелкните на кнопке ОК, чтобы сохранить все параметры связи сайтов.
Ðèñ. 7.9. Изменение расписания репликации
Ñîåäèíåíèå ñàéòîâ ñ ïîìîùüþ ìîñòîâ По умолчанию все связи сайтов реализуются с помощью мостов (bridge), что означает, что каждый контроллер домена каждого сайта может напрямую сообщаться с любым другим контроллером домена через любую последовательность связей сайтов. Преимущества этих мостов в том, что они вносят в среду резервирование. Например, если сайт A связан с сайтом B, а сайт B связан с сайтом C, то серверы сайта C могут непосредственно сообщаться с сайтом A.
Инфраструктура Active Directory Ãëàâà 7
245
В некоторых случаях оказывается лучше отключить такую репликацию. Например, в организации может возникнуть требование, чтобы некоторые контроллеры домена никогда не взаимодействовали напрямую с другими контроллерами домена. В этом случае соединение сайтов с помощью мостов можно отключить, выполнив описанную ниже процедуру. 1. Откройте оснастку Active Directory Sites and Services. 2. Найдите узел Sites \ Inter-Site Transports \ IP (или, если нужно, SMTP). 3. Щелкните правой кнопкой мыши на папке IP (или SMTP) и выберите в контекстном меню пункт Properties. 4. Сбросьте флажок Bridge All Site Links (Соединить связи сайтов с помощью мостов), как показано на рис. 7.10. 5. Щелкните на кнопке ОК, чтобы сохранить изменения.
Ðèñ. 7.10. Отключение связывания сайтов с помощью мостов НА ЗАМЕТКУ Отключение соединения сайтов с помощью мостов означает, что репликация вашего контроллера домена будет зависеть от явно установленных вами связей сайтов.
Ìåõàíèçì ïðîâåðêè öåëîñòíîñòè çíàíèé è ãåíåðàòîð ìåæñàéòîâîé òîïîëîãèè Каждый контроллер домена содержит роль под названием “Проверка целостности знаний” (Knowledge Consistency Checker — KCC), которая автоматически генерирует наиболее эффективную топологию репликации через стандартные промежутки времени в 15 минут. KCC создает объекты соединений, связывающие контроллеры домена в
246
Active Directory в Windows Server 2003 ×àñòü II
общую топологию репликации. KCC имеет два компонента: внутрисайтовый KCC, работающий с репликацией в пределах сайта, и генератор межсайтовой топологии (Inter-Site Topology Generator — ISTG), устанавливающий объекты соединений между сайтами. Команда разработчиков репликаций в Windows Server 2003 значительно улучшила алгоритм, используемый ISTG, что привело к увеличению в несколько раз количества сайтов, которые могут эффективно управляться в Active Directory. Сейчас количество сайтов, которые могут эффективно управляться в Active Directory, достигло 5000.
НА ЗАМЕТКУ Поскольку все контроллеры домена в лесу должны работать по одному алгоритму ISTG, то усовершенствования в ISTG не проявятся до тех пор, пока все контроллеры домена не будут модернизированы до Windows Server 2003, и уровни функциональности лесов и доменов не будут подняты до уровня Windows Server 2003.
Óòî÷íåíèå ñòîèìîñòè ñàéòîâ В репликации Active Directory имеется механизм, позволяющий разработчикам и администраторам устанавливать рекомендуемые маршруты, по которым должна проходить репликация. Этот механизм называется стоимостью сайтов (site cost), и каждой связи сайтов в Active Directory назначается ее стоимость. Концепция стоимости сайта, возможно, знакомая многим администраторам, основана на довольно простой формуле. Связь сайтов с наименьшей стоимостью становится рекомендуемой связью для сообщений с сайтом. Связи сайтов с большей стоимостью создаются в основном для резервирования или уменьшения трафика в отдельных сегментах. На рис. 7.11 приведен пример структуры сайта Active Directory, использующей различные стоимости отдельных связей сайтов.
7 DC
Ñàïïîðî
DC
DC
7
Ìîðèîêà 5
DC
DC
Ñåíäàè 15 DC
5
DC DC DC
DC
Òîêèî
Îñàêà DC
5 3
DC
DC
DC
Ôóêóîêà
Ðèñ. 7.11. Стоимости сайтов
Инфраструктура Active Directory Ãëàâà 7
247
В примере на рис. 7.11 большая часть трафика между сайтами Сендаи и Фукуоки проходит по связи сайтов Сендаи—Токио, так как стоимость этой связи сайтов равна 15. Однако при возникновении проблем с этим соединением или при его существенной загрузке трафик репликации будет направлен по связи Сендаи—Мориока, а затем по связям Мориока—Токио и Токио—Фукуока, поскольку общая стоимость этого маршрута (сумма стоимостей всех связей сайтов) равна 17. Данная ситуация иллюстрирует преимущество применения нескольких маршрутов в топологии сайтов Active Directory.
Ðåêîìåíäóåìûå âåäóùèå ñåðâåðû ñâÿçåé ñàéòîâ Часто бывает необходимо выделить весь исходящий или входящий межсайтовый трафик в один контроллер домена, управляя таким образом потоком трафика и снижая специальные требования к процессору, необходимые для выполнения этих функций. Из этой концепции произошли рекомендуемые ведущие серверы связей сайтов (preferred site link bridgeheads) — контроллеры домена в сайте, специально назначенные как начальные или конечные точки связей сайтов. Следовательно, рекомендуемые ведущие серверы управляют всем трафиком данной связи сайтов. В Active Directory можно легко определить несколько ведущих серверов связей сайтов. Как это можно выполнить, показано в следующем примере. С помощью описанных ниже действий в связь сайтов с именем Site1 – Site2 SL добавляется рекомендуемый ведущие сервер связи сайтов. 1. Откройте оснастку Active Directory Sites and Services. 2. Найдите узел Sites \ <Имя_сайта> \ Servers \ <Имя_сервера> (Сайты\ <Имя_сайта>\Серверы\<Имя_сервера>), где Имя_сервера — сервер, который нужно назначить в качестве ведущего сервера. 3. Щелкните правой кнопкой мыши на элементе <Имя_сервера> и выберите в контекстном меню пункт Properties, чтобы открыть страницу свойств, показанную на рис. 7.12. 4. Выберите транспорт, для которого этот сервер станет ведущим сервером, и щелкните на кнопке Add (Добавить), как показано на рис. 7.12. 5. Щелкните на кнопке ОК, чтобы сохранить параметры. Назначение рекомендуемых ведущих серверов может иметь много преимуществ. Из этой группы можно исключить контроллеры домена со слабыми процессорами, а также контроллеры домена с ролями мастера операций (Operations Master — OM), особенно для эмулятора PDC, который никогда не следует назначать ведущим сервером, если это вообще
Ðèñ. 7.12. Определение рекомендуемого ведущего сервера
248
Active Directory в Windows Server 2003 ×àñòü II
возможно. Однако важно обеспечить, чтобы, по крайней мере, один сервер сайта из каждого контекста именования был назначен в качестве ведущего сервера. Например, если имеется два домена, занимающих пространство одного и того же сайта, то необходимо, чтобы, по крайней мере, один контроллер домена из каждого домена был назначен в качестве рекомендуемого ведущего сервера для обеспечения правильной репликации доменов.
Ïëàíèðîâàíèå òîïîëîãèè ðåïëèêàöèè В идеальном мире локальная сеть организации состоит из гигабитного кабельного хозяйства, объединяющего все компьютеры в один большой сетевой сегмент. Для тех из нас, кому не так посчастливилось, важны вопросы сетевого трафика, и рекомендуется четкое понимать суть “трубопроводов”, существующих в сети организации. Например, если все удаленные сайты соединены линиями T1, то вопросов, связанных с репликацией, возникнет меньше по сравнению с сетевым трафиком по медленным каналам. Учитывая это, одним из первых шагов при создании функциональной и надежной топологии репликации является отображение сетевой топологии.
Îòîáðàæåíèå ïîñòðîåíèÿ ñàéòà íà ïîñòðîåíèå ñåòè Структура сайта в Windows Server 2003 полностью независима от структуры доменов, деревьев и лесов каталога. Такая гибкость позволяет разработчикам домена структурировать доменные среды без необходимости учета ограничений, связанных с репликацией. Следовательно, разработчики доменов при проектировании структуры своих сайтов могут сосредоточить усилия только на топологии репликации, что позволяет им создать наиболее эффективную среду репликации. Вообще-то диаграмма сайта в Windows Server 2003 должна быть похожей на диаграмму WAN вашей среды. На самом деле топология сайтов в Active Directory была специально разработана гибкой и соответствующей нормальному трафику и структуре WAN. Эта концепция помогает определить, где создавать сайты, связи сайтов и рекомендуемые серверы-мосты связей сайтов. На рис. 7.13 показан пример, как легко структура сайтов в AD переносится в диаграмму WAN этой же организации. Значит, очень хорошей идеей будет привлечь к обсуждению проекта сайта персонал, обслуживающий WAN. Поскольку структуры сред WAN также изменяются, то персонал WAN будет более заинтересован в информировании группы операционных систем об изменениях, которые могут повлиять на эффективность разработки вашего сайта.
Ñîçäàíèå ñàéòîâ Каждый “остров” высокой связности обычно разбивается на отдельные сайты. Это не только способствует репликации контроллеров домена, но и гарантирует, что клиенты получат самый близкий к ним контроллер домена и сервер глобального каталога.
Инфраструктура Active Directory Ãëàâà 7 Ñàéò Ìîíðåàëÿ
Ñàéò Ïîðòëåíäà Ñåòü Ìîíðåàëÿ Ñàéò Áîñòîíà
Ñàéò ×èêàãî
249
Ñåòü Ïîðòëåíäà
Ñåòü ×èêàãî
Ñåòü Áîñòîíà
Ñàéò Íüþ-Éîðêà Ñåòü Íüþ-Éîðêà Ñàéò Âàøèíãòîíà
Ñàéò Äàëëàñà Ñåòü Äàëëàñà
Ñåòü Âàøèíãòîíà
Ðèñ. 7.13. Структура сайтов и WAN НА ЗАМЕТКУ Клиенты Windows 2000/XP или более старых версий Windows, использующие AD Client, используют для поиска сайтов DNS. Это означает, что если в вашем DNS содержатся неточные записи для сайта, то клиенты потенциально могут быть перенаправлены на контроллер домена или сервер глобального каталога, не являющийся ближайшим к ним. Поэтому важно, чтобы все ваши сайты, перечисленные в DNS, содержали соответствующие записи хостов серверов. Эта концепция более подробно поясняется в главе 9.
Âûáîð ìåæäó îäíèì ñàéòîì èëè ìíîãèìè ñàéòàìè В некоторых случаях несколько сегментов LAN можно объединить в один сайт, при условии, что между этими сегментами имеются линии с подходящей пропускной способностью. Такая ситуация характерна для корпоративного городка, в котором различные здания, соответствующие “островам” локальной сети, объединены высокоскоростными магистралями. Однако могут существовать и причины для разбиения самих этих сегментов на сайты. Прежде чем принять решение по объединению сайтов или разделению их на отдельные сайты, необходимо учесть все факторы. Проект с одним сайтом проще конфигурировать и администрировать, но при этом увеличивается межсегментный трафик, поскольку все компьютеры во всех зданиях должны обращаться к сети при аутентификации в домене, поиске и тому подобных действиях. Проект с несколькими сайтами предназначено для решения проблем с межсегментным трафиком, так как все запросы локальных клиентов обрабатываются контроллерами домена или серверами глобального каталога локально. Но при этом возрастает сложность среды и требования к ресурсам.
250
Active Directory в Windows Server 2003 ×àñòü II
НА ЗАМЕТКУ Рекомендация, что все сайты должны содержать, по меньшей мере, один сервер контроллера домена глобального каталога, уже не является обязательной. Введение в Windows Server 2003 возможности кэширования универсальных групп может уменьшить количество серверов глобального каталога в среде и существенно уменьшить объем возникающей активности репликации.
Необходимо соотнести требования организации с доступными ресурсами, чтобы определить наилучший сценарий создания сайта. Правильная структура сайта поможет логически организовать трафик, улучшить отклик сети и ввести в среду резервирование.
Ñâÿçûâàíèå ïîäñåòåé ñ ñàéòàìè Очень важно установить физические границы сайтов AD, поскольку эта информация использует наиболее эффективные подключения к системе и запросы к каталогам от клиентов, а также помогает определить, где нужно расположить новые контроллеры домена. Несколько подсетей можно назначить одному сайту, и для максимально эффективной работы все потенциальные подсети организации должны быть связаны с соответствующими им сайтами.
Îïðåäåëåíèå ñâÿçåé ñàéòîâ è ñòîèìîñòåé ñâÿçåé ñàéòîâ Как упоминалось ранее, связи сайтов обычно должны создаваться в соответствии со структурой каналов WAN в организации. Если в организации имеется несколько маршрутов WAN, то имеет смысл установить несколько связей сайтов, соответствующих этим маршрутам. Однако организации с ячеистой топологией WAN не должны устанавливать связи сайтов для каждого подключения. Логическое объединение потенциальных маршрутов трафика в последовательность путей является более эффективным подходом и помогает созданию сред, более легких для понимания и устранения неполадок. Стоимости сайтов необходимо устанавливать, учитывая, где нужен трафик репликации, и нужно ли создавать избыточные связи. Например, двум связям сайтов можно легко назначить одинаковые стоимости, чтобы распределить между ними трафик репликации, как показано на рис. 7.14. 10 Site2
Site1 10
Ðèñ. 7.14. Одинаковые стоимости сайтов для нескольких связей сайтов
Инфраструктура Active Directory Ãëàâà 7
251
Âûáîð ðàñïèñàíèÿ ðåïëèêàöèè Трафик репликации потенциально может занять всю пропускную способность небольших или загруженных каналов WAN. Сместив расписание репликации связи сайтов на нерабочее время, можно обеспечить, чтобы этот трафик возникал в то время, когда канал загружен не так сильно. Конечно, недостатком этого подхода является то, что изменения, выполненные на одной стороне связи сайтов, не будут реплицированы до времени, указанного в расписании репликации. Следовательно, важно соотнести требования WAN с требованиями целостности каталога. Регулирование расписания репликации является еще одним средством, помогающим достичь этих целей.
Âûáîð ìåæäó SMTP- è IP-ðåïëèêàöèåé По умолчанию большинство соединений между сайтами в Active Directory использует для репликации протокол IP, потому что используемый при этом по умолчанию протокол RPC работает более эффективно и быстро. Однако в некоторых случаях лучше использовать репликацию по протоколу SMTP. Например, если физические каналы, по которым проходит трафик репликации, не всегда включены (или нестабильны), то трафик SMTP может оказаться более подходящим, поскольку в RPC установлено гораздо меньшее предельное количество повторных попыток. Трафик SMTP был разработан для сред наподобие Internet, в которых постоянно нужны повторные запросы и посылки, чтобы сообщение дошло до точки назначения. Еще одним обычным использованием соединений SMTP являются случаи, когда необходимо шифрование репликации для передачи по незащищенным физическим каналам, например, по Internet. SMTP можно шифровать с помощью центра сертификации (Certificate Authority — CA), чтобы организация, которой нужна репликация по незащищенному соединению, могла реализовать шифрование на базе сертификатов.
Øèôðîâàíèå SMTP-ñâÿçåé ñàéòîâ Часто отдельные части организации могут существовать на незащищенной “ничейной земле”, например, в самой сети Internet. Если важная информация репликации домена передается в среде такого типа, то необходимо либо сильно защищенное решение виртуальной частной сети (VPN), либо использование зашифрованных соединителей SMTP, которые позволяют посылать трафик репликации по неконтролируемым соединениям наподобие используемых в Internet. Конечно, будет вполне разумным шифровать такой трафик с помощью сертификатов или других технологий шифрования SMTP. Для шифрования внутрисайтовой репликации SMTP необходимо вначале создать и установить сертификат, чтобы иметь возможность шифрования отдельных пакетов SMTP. Это поможет защититься от кражи информации репликации злоумышленными пользователями, если они смогут перехватить трафик SMTP.
Óñîâåðøåíñòâîâàíèÿ ðåïëèêàöèè â Windows Server 2003 В Windows 2000 была введена сильная топология репликации, которая могла приспосабливаться к нескольким средам и позволяла эффективное распространение ин-
252
Active Directory в Windows Server 2003 ×àñòü II
формации каталогов по сайтам. Реальная практика работы с продуктом выявила в репликации несколько областей, требующих улучшения. В Windows Server 2003 эти области учтены, и в Active Directory включены усовершенствования репликации, которые помогают увеличить отдачу инвестирования организаций в AD.
Ïîâûøåíèå êîíòðîëëåðà äîìåíà ñ íîñèòåëÿ äàííûõ В Windows Server 2003 появился остроумный механизм, позволяющий создание контроллера домена непосредственно с носителя данных, например, с записанного компакт-диска или ленты. Преимущество этой технологии состоит в том, что теперь имеется возможность удаленного создания контроллера домена или сервера глобального каталога по медленному каналу WAN, заблаговременно отправив компакт-диск на удаленный сайт, что устраняет обычную в Windows 2000 практику создания контроллера домена в центральном сайте, а затем его посылки на удаленный сайт. Это устраняет необходимость выполнения таких приемов, как локальное создание удаленных серверов GC с последующей отправкой их на удаленную площадку. Концепция, на которой основана репликация GC/DC с носителя данных, вполне понятна. Работающий в настоящий момент контроллер домена создает копию каталога с помощью обычного процесса резервного копирования. Затем полученные файлы копируются на носитель резервной копии наподобие компакт-диска или ленты и отправляются к месту удаленного GC. После их прибытия можно запустить команду dcpromo с параметром /adv (dcpromo /adv), который активизирует вариант инсталляции с носителя данных, как показано на рис. 7.15.
Ðèñ. 7.15. DCPromo с носителя данных После восстановления информации каталога из резервной копии с помощью команды dcpromo выполняется инкрементное обновление изменений, проведенных с момента создания носителя. Поэтому связь по сети во время выполнения DCPromo все равно необходима, хотя объем необходимой репликации будет существенно мень-
Инфраструктура Active Directory Ãëàâà 7
253
ше. Поскольку некоторые операции DCPromo по медленным каналам WAN могут выполняться несколько дней или даже недель, то эта концепция существенно помогает в развертывании удаленных контроллеров домена.
НА ЗАМЕТКУ Если резервная копия глобального каталога старше времени жизни объектов в Active Directory (по умолчанию 30 дней с момента последней проверки активности объекта), то DCPromo выполняться не будет. Этот встроенный механизм защиты предохраняет от введения неактивных объектов, а, кроме того, гарантирует, что информация относительно свежа и не требуется существенный объем инкрементной репликации.
Èäåíòèôèêàöèÿ ðåïëèêàöèè ñâÿçàííûìè çíà÷åíèÿìè/êýøèðîâàíèå ÷ëåíñòâà â óíèâåðñàëüíûõ ãðóïïàõ Ранее все группы в Active Directory содержали список своих членов в многозначном атрибуте. Это означало, что при любом изменении членства в группе необходима была репликация всего членства в группе по всему лесу. Сейчас в Windows Server 2003 к таким объектам применяется инкрементная репликация, которая называется репликацией связанными значениями (linked-value replication). Этот подход существенно уменьшает трафик репликации, связанный с Active Directory. В прямой связи с этой концепцией Windows Server 2003 позволяет создание контроллеров домена, кэширующих членство в универсальных группах. Это означает, что больше нет необходимости помещать в каждом сайте сервер глобального каталога. При любом обращении пользователя к универсальной группе членство этой группы кэшируется локальным контроллером домена и применяется при поступлении следующего запроса членства в этой группе. Это также уменьшает трафик репликации, который мог бы возникнуть при помещении глобального каталога на удаленных сайтах. Оказалось, что одним из основных источников трафика репликации являются запросы членства в группах — поэтому на устранение этой проблемы было обращено серьезное внимание. В Active Directory Windows 2000 при каждом входе клиента в систему происходил запрос членства клиента в универсальной группе, что требовало обращения к глобальному каталогу. Это существенно увеличивало время входа и запроса для клиентов, у которых не было локальных серверов глобального каталога. Вследствие этого многие организации постановили, что каждый сайт, независимо от его размера, должен содержать локальный сервер глобального каталога, чтобы обеспечить быструю аутентификацию и поиск в каталоге. Недостатком этого подхода было увеличение репликации в каталоге, поскольку каждый сайт получал копию каждого элемента всей AD, даже если средний сайт обращался лишь к небольшой части этих элементов. Кэширование универсальных групп разрешило эту проблему, так как только эти группы, к которым обычно обращаются сайты, хранятся локально, и запросы на репликацию групп ограничены элементами в кэше. Это помогает ограничить репликацию и сохранить скорость входа в домен. Кэширование универсальных групп возможно только для сайтов и осуществляется в соответствие с описанными ниже шагами.
254
Active Directory в Windows Server 2003 ×àñòü II
1. Откройте оснастку Active Directory Sites and Services. 2. Найдите узел Sites \ <Имя_сайта> (Сайты\<Имя_сайта>). 3. Щелкните правой кнопкой мыши на элементе NTDS Site Settings (Параметры сайта NTDS) и выберите в контекстном меню пункт Properties (Свойства). 4. Установите флажок Enable Universal Group Membership Cashing (Включить кэширование членства в универсальных группах), как показано на рис. 7.16. 5. Щелкните на кнопке ОК, чтобы сохранить изменения.
Ðèñ. 7.16. Кэширование универсальных групп
Óäàëåíèå íåàêòèâíûõ îáúåêòîâ Неактивные объекты (lingering objects), более красочно называемые “зомби”, возникают тогда, когда контроллер домена неработоспособен в течение периода времени, большего, чем дата удаления элементов. После возврата контроллера домена в оперативное состояние он не получает запросы на уничтожение этих объектов, и они остаются на отказавшем сервере навсегда. Эти объекты могут затем реплицироваться на другие контроллеры домена, восстав из мертвых в виде “зомби”. В Windows Server 2003 имеется механизм обнаружения неактивных объектов, их изоляции и пометки на удаление.
Îòêëþ÷åíèå ñæàòèÿ ðåïëèêàöèè По умолчанию межсайтовая репликация AD сжимается, чтобы снизить требования к потребляемой пропускной способности сети. Недостатком этой технологии является потребление дополнительной мощности процессора, необходимой контроллерам домена для сжатия и восстановления этих данных. Windows Server 2003 предоставляет разработчикам возможность отключать это сжатие, если организация желает разгрузить процессоры за счет пропускной способности линий.
Инфраструктура Active Directory Ãëàâà 7
255
Îòñóòñòâèå ïîëíîé ñèíõðîíèçàöèè ãëîáàëüíîãî êàòàëîãà ñ èçìåíåíèÿìè ñõåìû Ранее в Windows 2000 любые изменения схемы влекли за собой полную ресинхронизацию глобального каталога со всеми контроллерами домена предприятия. Это отпугивало от модификаций схем, так как при модификации схемы существенно увеличивался объем модификаций репликации. Однако в средах Windows Server 2003 этого ограничения нет, поскольку модификации схемы обновляются в глобальном каталоге инкрементно.
Óëó÷øåíèÿ àëãîðèòìà ãåíåðàòîðà ìåæñàéòîâîé òîïîëîãèè Обновлена часть KCC, называемая генератором межсайтовой топологии (InterSite Topology Generator — ISTG), что дает в средах AD возможность масштабирования структур сайтов вплоть до 5000 сайтов. Предыдущие ограничения в Windows 2000 ISTG не позволяли реализациям AD содержать более 1000 сайтов. Однако это усовершенствование доступно только тогда, когда все серверы в среде Active Directory являются системами Windows Server 2003, и уровни функциональности леса повышены до уровней Windows Server 2003.
Ïîääåðæêà IPv6 â Windows Server 2003 Когда формировалась первоначальная структура Internet, схема адресации была сформулирована так, чтобы ее можно было расширить на большое количество хостов. Отсюда возникла структура протокола Internet Protocol, который включал поддержку до 232 адресов. В то время предполагалось, что этого будет более чем достаточно для адресации всех хостов в Internet. Этот исходный замысел привел к созданию структуры IP-адресов, которая распространена в настоящее время и называется десятичным форматом с точками (dotted-decimal format) (например, 12.155.166.151). В то время это адресное пространство удовлетворяло потребностям в адресации Internet. Однако довольно быстро оказалось, что этот диапазон адресов недостаточен, и потребовались ограничительные меры наподобие трансляции сетевых адресов (Network Address Translation — NAT), чтобы более эффективно использовать доступные адреса. Кроме недостаточного количества доступных адресов, Internet-протокол версии 4 (IPv4) в том виде, в котором он известен, не очень эффективно поддерживал маршрутизацию, IPSec и QoS. Стало очевидной необходимость в замене IPv4. В начале девяностых годов прошлого века была сформулирована новая версия Internet-протокола, названая протоколом Internet версии 6 (IPv6). Его структура имеет несколько функциональных преимуществ по сравнению с IPv4, и в первую очередь гораздо большее пространство доступных адресов (2128). Этот протокол является будущим Internet-адресации, и абсолютно необходимо, чтобы операционная система поддерживала его. Windows Server 2003 поставляется с готовой для инсталляции версией IPv6, которая полностью поддерживается как часть операционной системы. Учитывая сложность IPv6, несомненно, пройдет некоторое время до его широкого распространения,
256
Active Directory в Windows Server 2003 ×àñòü II
но осознание того, что такая поддержка существует, является первым шагом к его широкому развертыванию.
Îïðåäåëåíèå ñòðóêòóðû IPv6 То, что IPv6 является сложным, слишком мягко сказано. Попытки разобраться в IPv4 были достаточно сложны для сетевых инженеров; добавим сюда шестнадцатеричные 128-битовые адреса, и жизнь станет еще интереснее. Однако необходимо понимать, как минимум, основы IPv6, поскольку в будущем сети все более и более будут использовать этот протокол. IPv6 был создан для разрешения многих проблем, присутствующих в современном Internet. Ниже представлены наиболее значительные области, улучшенные в IPv6. •
Значительно расширенное адресное пространство. Разница между адресами, доступными в IPv4 и IPv6, буквально экспоненциальна. Не учитывая потерь учетных записей в подсетях и из-за других факторов, IPv4 мог поддерживать до 4 294 967 296 узлов. А IPv6 поддерживает до 340 282 366 920 938 463 463 374 607 431 768 211 456 узлов. Понятно, что авторы IPv6 заглядывали далеко вперед и хотели гарантировать, что нехватки адресного пространства больше не произойдет.
•
Улучшенные сетевые заголовки. Заголовок IPv6-пакетов улучшен, стандартизован в размере и оптимизирован. Для иллюстрации можно сказать, что хотя адреса стали в четыре раза длиннее адресов IPv4, размер заголовка увеличился лишь в два раза. Кроме того, при наличии стандартизованного размера заголовка маршрутизаторы могут более эффективно обрабатывать трафик IPv6 по сравнению с IPv4.
•
Встроенная поддержка для автоматической конфигурации адресов. В средах, где ручная адресация клиентов не поддерживается или нежелательна, в протокол встроена автоматическая конфигурация IPv6-адресов клиентов. Эта технология из IPv6 эквивалентна автоматической частной адресации Internetпротокола (Automatic Private Internet Protocol Addressing — APIPA) — возможности, добавленной в Windows для адресов IPv4.
•
Интегрированная поддержка IPSec и QoS. IPv6 содержит встроенную поддержку технологий шифрования IPSec и подходов к оптимизации сетевого трафика, в основе которых лежит качество обслуживания (Quality of Service — QoS), которая улучшает их функциональность и расширяет их возможности.
Ïîíÿòèå àäðåñàöèè â IPv6 Как уже упоминалось, IPv6-адрес имеет длину 128 бит — это по сравнению с 32битовыми адресами в IPv4. Для краткой записи таких адресов в недвоичной форме используется шестнадцатеричный формат. Возьмем, например, следующий 128-битовый IPv6-адрес в двоичном виде: 111111101000000000000000000000000000000000000000000000000000000000000010000011 00001010011111111111111110010001000111111000111111
Инфраструктура Active Directory Ãëàâà 7
257
Первым шагом в создании недвоичной формы адреса является разбиение этого числа на 16-битовые значения: 1111111010000000 0000000000000000 0000001000001100 1111111001000100
0000000000000000 0000000000000000 0010100111111111 0111111000111111
Затем каждое 16-битовое значение переводится в шестнадцатеричный формат, и получается IPv6-адрес: FE80:0000:0000:0000:020C:29FF:FE44:7E3F К счастью, авторы IPv6 предусмотрели способы краткой записи IPv6-адресов, позволяя опускать нулевые значения, которые идут перед другими значениями. Например, в приведенном выше адресе значение 020C можно сократить до просто 20C. Кроме того, IPv6 позволяет сокращать нулевые поля с помощью повтора двоеточий. Тогда наш пример будет выглядеть так: FE80::::20C:29FF:FE44:7E3F
НА ЗАМЕТКУ Запоминать IPv6-адреса бесполезно, а преобразование шестнадцатеричных чисел в десятичный формат часто проще всего выполнить на калькуляторе.
Адреса IPv6 выполняют в основном те же самые функции, что и адреса IPv4: большие сетевые узлы указываются первыми значениями, а отдельные интерфейсы — числами справа. Следование тем же принципам, что и IPv4, приводит к лучшему пониманию IPv6.
Èíñòàëëÿöèÿ IPv6 Windows Server 2003 содержит встроенную поддержку IPv6, хотя по умолчанию он не устанавливается. Инсталляцию можно выполнить из командного окна, просто введя следующую команду: Netsh interface ipv6 install Эту поддержку можно также добавить с помощью графического интерфейса сетевых компонентов (Network Components), выполнив следующие шаги: 1. Выберите в меню Start (Пуск) пункт Control Panel (Панель управления). 2. Дважды щелкните на пиктограмме Network Connections (Сетевые подключения). 3. Щелкните правой кнопкой мыши на адаптере локальной сети, чтобы установить IPv6, и выберите в контекстном меню пункт Properties (Свойства). 4. Щелкните на кнопке Install (Установить). 5. Выберите значение Protocol (Протокол), а затем щелкните на кнопке Add (Добавить). 6. Выберите в списке элемент Microsoft TCP/IP version 6, как показано на рис. 7.17. 7. Щелкните на кнопке ОК, а затем на кнопке Close (Закрыть), чтобы завершить инсталляцию.
258
Active Directory в Windows Server 2003 ×àñòü II
Ðèñ. 7.17. Установка IPv6 После инсталляции наряду с IPv4-адресацией будет сконфигурирована и IPv6адресация. Для отображения обоих наборов адресов введите в командной строке ipconfig /all, как показано на рис. 7.18.
Ðèñ. 7.18. Просмотр IPv4- и IPv6-адресов
Ìèãðàöèÿ íà IPv6 Миграция на IPv6 была и будет медленным и постепенным процессом. Кроме того, во время миграции и после нее еще значительный период времени должна проводиться поддержка IPv4. Следовательно, важно понимать средства и технологии, доступные для поддержки обеих инфраструктур — IPv4 и IPv6 — во время процесса миграции. После инсталляции IPv6 в Windows Server 2003 поддержка IPv4 по умолчанию сохраняется. Это позволяет какое-то время поддерживать оба протокола. Однако после
Инфраструктура Active Directory Ãëàâà 7
259
полной миграции на IPv6 все еще должна осуществляться поддержка связи с хостами IPv4, существующими за пределами сети (например, в Internet). Эта поддержка может выполняться с помощью развертывания технологий туннелирования IPv6. Технология туннелирования в Windows Server 2003 состоит из двух отдельных технологий. Первая технология — протокол адресации внутрисайтового автоматического туннелирования (Intrasite Automatic Tunnel Addressing Protocol — ISATAP) — позволяет создать внутрисайтовые туннели между пулами связности IPv6 в пределах организации. Вторая технология, называемая 6-в-4 (6to4), обеспечивает автоматические межсайтовые туннели между IPv6-узлами различных сетей, наподобие сетей в Internet. Развертывание одной или обеих этих технологий абсолютно необходимо на начальных стадиях перехода на стандарт IPv6.
Ïðûæîê â IPv6 Освоение внедрения нового протокола не входит в число первоочередных интересов большинства людей. Во многих случаях улучшений наподобие улучшенной маршрутизации, поддержки IPSec, отсутствия требований к NAT и тому подобное недостаточно для того, чтобы организации решились на изменение протокола. Однако процесс перехода неотвратим, по мере уменьшения количества узлов, доступных в модели IPv4. Следовательно, стоит знать, что Windows Server 2003 хорошо подготовлен для окончательного принятия стандарта IPv6.
Ðåàëüíûå ïðîåêòû ðåïëèêàöèè Топология сайтов в Active Directory Windows Server 2003 спроектирована так, чтобы обеспечить приспосабливаемость к сетевым средам любых форм и размеров. Поскольку существует так много топологий WAN, то, значит, можно создать и большое количество топологий сайтов, соответствующих средам WAN. Если не считать мелких отличий, то реализовано несколько общих топологий сайтов, примерно соответствующих двум моделям построения, описанным в последующих разделах. Эти реальные модели более подробно описывают эффективное использование топологии сайтов AD в Windows Server 2003.
Ñòðóêòóðà çâåçäîîáðàçíîé ðåïëèêàöèè Компания CompanyA производит стеклотару и имеет производственные площади и главный офис в Лювене (Бельгия). Четыре меньших цеха расположены в Марселе, Брюсселе, Амстердаме и Кракове. Трафик WAN описывается типичной звездообразной диаграммой, изображенной на рис. 7.19. Компания решила развернуть Windows Server 2003 во всех своих филиалах и разместила в каждом филиале несколько контроллеров домена. Для каждого крупного местоположения компании в Active Directory были назначены сайты, и им были присвоены имена, соответствующие их географическому расположению. Созданы связи сайтов, соответствующие расположениям каналов WAN, а их расписания репликаций привязаны к уровням загрузки самих каналов. В результате появилась диаграмма сайтов Active Directory Windows Server 2003, приведенная на рис. 7.20.
260
Active Directory в Windows Server 2003 ×àñòü II
DC
DC
Àìñòåðäàì
Àìñòåðäàì
DC
Ëþâåí-Áðþññåëü Ñâÿçü ñàéòîâ
DC
Áðþññåëü
512 Êáèò/ñ
Áðþññåëü
Ëþâåí-Àìñòåðäàì Ñâÿçü ñàéòîâ
DC
512 Êáèò/ñ
DC
DC DC
(Ýìóëÿòîð PDC)
Ëþâåí 256 Êáèò/ñ
Ëþâåí-Ìàðñåëü Ñâÿçü ñàéòîâ
Ëþâåí
Ëþâåí-Êðàêîâ Ñâÿçü ñàéòîâ
128 Êáèò/ñ
Ìàðñåëü
Êðàêîâ
DC
DC
Ìàðñåëü
Ðèñ. 7.19. Диаграмма WAN компании CompanyA
DC
DC
Êðàêîâ
Ðèñ. 7.20. Топология сайтов компании CompanyA
Оба контроллера домена в каждом сайте были назначены рекомендуемыми ведущими серверами для снижения нагрузки репликации на серверы глобального каталога в удаленных сайтах. Однако эмулятор PDC главного сайта не был включен в список рекомендуемых ведущих серверов, чтобы снизить нагрузку на этот сервер. Оформление связей сайтов в виде мостов было оставлено включенным, поскольку не было никаких специальных показаний к отключению этой функциональности. В результате этого построения в CompanyA была получена относительно простая, но надежная модель репликации, которую легко модифицировать при возможных изменениях инфраструктуры WAN.
Äåöåíòðàëèçîâàííàÿ ñòðóêòóðà ðåïëèêàöèè Компания CompanyB является корпорацией по добыче и обогащению полезных ископаемых, имеющей центральные отделения в Далате, Чарльстоне и Шайенне. Несколько филиалов находятся в разных местах континентальных Соединенных Штатов. Диаграмма WAN компании использует несколько каналов WAN с различными скоростями подключения, как показано на рис. 7.21. Недавно CompanyB внедрила в своей инфраструктуре Windows Server 2003 Active Directory. Три главных отделения состоят из пяти контроллеров домена Active Directory и двух серверов глобального каталога. Меньшие сайты, в зависимости от размера, пользуются одним или двумя контроллерами домена на каждый сайт. Каждая инсталляция сервера на удаленных сайтах была проведена с помощью варианта установки с носителя данных, поскольку каналы WAN не настолько устойчивы, чтобы справиться с трафиком, необходимым для выполнения полной операции DCPromo. Схема построения связей сайтов, показанная на рис. 7.22, была выбрана, чтобы учесть наличие в топологии WAN нескольких маршрутов. Эта схема построения обеспечивает и некоторую степень резервирования, так как трафик репликации будет продолжаться даже в случае отказа одного из главных каналов WAN.
Инфраструктура Active Directory Ãëàâà 7 Òàíäåð Áåé
Õèááèíã 128 Êáèò/ñ
128 Êáèò/ñ 64 Êáèò/ñ
Èëàé
64 Êáèò/ñ
Ãàððèñáóðã
Äàëàò T1
64 Êáèò/ñ
128 Êáèò/ñ
T1
×àðëüñòîí
Áèëëèíãç
64 Êáèò/ñ
T1
Øàéåíí
128 Êáèò/ñ
261
128 Êáèò/ñ
Êàìáåðëåíä
256 Êáèò/ñ
64 Êáèò/ñ
Äåíâåð
Êàñïåð
Ðèñ. 7.21. Диаграмма WAN компании CompanyB Òàíäåð Áåé
Õèááèíã DC DC
Èëàé 20 DC
DC
DC
Äàëàò 15
15
DC
20
DC DC
DC
DC
5
DC DC 20
DC
Ãàððèñáóðã
5
10
DC
DC
DC DC DC
DC DC
15
Áèëëèíãç
DC
DC
DC DC 20
DC
Êàñïåð
Øàéåíí
×àðëüñòîí
5
DC DC DC
15 10
20
DC
Êàìáåðëåíä DC DC
Äåíâåð
Ðèñ. 7.22. Топология сайтов CompanyB В каждом меньшем сайте, в силу небольшой пропускной способности, предусмотрено кэширование членства в универсальных группах — поэтому CompanyB пожелала уменьшить трафик репликации до минимально возможных уровней, еще позволяющих вход пользователей в систему и обращения к каталогу. Кроме того, расписание трафика репликации по связям с меньшими сайтами было составлено так, чтобы она
262
Active Directory в Windows Server 2003 ×àñòü II
происходила только вечером с часовыми интервалами, чтобы не мешать обычному трафику WAN в рабочее время. Каждый контроллер домена меньших сайтов был назначен рекомендуемым сервером-мостом. В больших сайтах три контроллера домена с более мощными процессорами были назначены рекомендуемыми ведущими серверами для соответствующих им сайтов, чтобы снять излишнюю нагрузку с других контроллеров домена этих сайтов. В результате этого построения CompanyB получила надежный метод регулирования трафика репликации по медленным каналам WAN и, одновременно, поддержку распределенной среды службы каталогов, предоставляемой AD.
Ðåçþìå Отделение модели каталогов от модели репликации в Active Directory системы Windows Server 2003 предоставляет разработчикам доменов полную гибкость при проектировании топологии репликации и позволяет им сконцентрировать свои силы на эффективности репликации. Кроме того, некоторые новые возможности в Windows Server 2003 — поддержка IPv6, кэширование универсальных групп и повышение контроллеров домена с помощью инсталляции с носителя данных — поднимают топологию репликации на еще более высокий уровень и позволяют уменьшить время репликации и снизить требования к пропускной способности сети.
Ïîëåçíûå ñîâåòû •
Используйте объекты соединений, автоматически генерируемые KCC, если нет особой причины для ручного кодирования путей репликации.
•
Обеспечьте, чтобы все ваши сайты, упоминаемые в DNS, имели соответствующие записи SRV.
•
Используйте утилиты repadmin и replmon для устранения неполадок и проверки репликации Active Directory.
•
Подумайте над использованием IPv6 в средах, состоящих из систем Windows XP и Windows Server 2003 и других сред, совместимых с IPv6.
•
Используйте механизмы туннелирования IPv6 наподобие ISATAP и 6-в-4 для обеспечения долгосрочной совместимости IPv4 и IPv6.
•
Инсталлируйте клиент AD на низкоуровневых клиентских машинах 95/98/NT, чтобы обеспечить соединение с ближайшим контроллером домена.
•
Не отключайте соединение связей сайтов с помощью мостов, если нет необходимости сделать репликацию контроллера домена зависимой от явно созданных связей сайтов.
•
Используйте репликацию по протоколу SMTP, если физические каналы, по которым передается трафик репликации, не всегда включены (или нестабильны).
Èíòåãðàöèÿ Active Directory ñ êàòàëîãàìè Novell, Oracle, Unix è NT4
 ÝÒÎÉ ÃËÀÂÅ... •
Çíàêîìñòâî ñ Services for Unix 3.5 è åå èñïîëüçîâàíèå
•
Interix êàê êîìïîíåíò Services for Unix
•
Ñîâìåñòíîå èñïîëüçîâàíèå ôàéëîâ â Unix NFS è Windows
•
Ñèíõðîíèçàöèÿ ïîëüçîâàòåëåé â SFU
•
Óñîâåðøåíñòâîâàíèå àäìèíèñòðèðîâàíèÿ â Services for Unix
•
Îáúåäèíåíèå ñðåä Windows è NetWare ñ ïîìîùüþ Services for NetWare
•
Ñåðâåð èäåíòèôèêàöèè è îáúåäèíåíèÿ Microsoft
•
Èñïîëüçîâàíèå âîçìîæíîñòåé è ïîòåíöèàëà MIIS
ÃËÀÂÀ
8
264
Active Directory в Windows Server 2003 ×àñòü II
Раньше многие не любили компанию Microsoft за то, что она делала вид, что, якобы, ее технологии — единственные, которые должны быть развернуты в организациях. Доступные инструментальные наборы для совместной работы в межплатформенных средах зачастую были слабыми и в основном представляли собой прямые средства для миграции из этих сред в среды Microsoft. Однако выпуск Windows Server 2003 совпал с появлением в Microsoft нескольких серьезных технологий совместной работы, позволяющих тесную интеграцию технологий Microsoft с Unix, Novell, Oracle и множеством других сред. В этой главе обсуждаются три главных продукта: Services for Unix (SFU) 3.5, Services for NetWare (SFNW) 5.02 SP2 и сервер идентификации и объединения Microsoft Identity Integration Server (MIIS) 2003. Каждый из этих продуктов работает в сочетании с технологиями Windows Server 2003, обеспечивая прозрачный обмен информацией между средами Microsoft и другими средами. В этой главе приводятся начальные сведения о каждой среде и описываются различные функции, доступные в каждом продукте. Кроме того, в данной главе основное внимание уделяется специфическим вопросам интеграции, привносимым каждым продуктом в Windows Server 2003, и предоставляется высокоуровневое описание способов использования каждого продукта для улучшения межплатформенной среды.
Çíàêîìñòâî ñ Services for Unix 3.5 è åå èñïîëüçîâàíèå На протяжении многих лет системы Unix и Windows рассматривались как отдельные несовместимые среды, различающиеся между собой физически, технически и идеологически. Однако на протяжении этих лет организации обнаружили, что поддержка в их средах двух совершенно отдельных топологий неэффективна и дорога; кроме того, требовался значительный объем излишней работы по поддержанию нескольких наборов пользовательских учетных записей, паролей, сред и так далее. Понемногу начали разрабатываться средства взаимодействия между этими средами. В начале большая часть средств взаимодействия была написана для объединения Unix с Windows, что можно видеть на примере Samba — метода, позволяющего доступ из платформ Linux/Unix к общим файловым ресурсам Windows NT. Были разработаны и другие средства взаимодействия, но Microsoft обвиняли в том, что она предпочитает не замечать Unix, и, следовательно, ее средства взаимодействия с Unix работали не очень хорошо. Разработка Services for Unix свидетельствует об изменении этой стратегии. Разработчики Microsoft потратили очень много времени, создавая средства, предназначенные не только для миграции Unix, но и для взаимодействия с ней. В качестве рабочих вариантов были представлены такие долгожданные функции, как синхронизация паролей, возможность выполнения Unix-сценариев в Windows, объединенные полномочия доступа и тому подобные, которые могут рассматриваться как часть перехода от миграции к взаимодействию с Windows Server 2003.
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
265
Ðàçâèòèå Services for Unix Services for Unix развивается ошеломляющими темпами. После фазы первоначального скептицизма этот продукт превратился во внушительную утилиту интеграции и миграции, обеспечивающую значительную гибкость в связи между средами. Однако первые версии этой программы, 1.x и 2.x, были ограничены во многих отношениях. Последующие обновления программы существенно увеличили ее возможности. Переломным моментом в развитии Services for Unix было введение версии 3.0. В этой версии была улучшена поддержка Unix и внесены усовершенствования практически во все компоненты. В состав версии 3.0 входил также продукт Interix — расширение Windows-инфраструктуры POSIX, обеспечивающее поддержку сценариев и приложений Unix непосредственно в Windows Server. Позднее появилась SFU версии 3.5, содержащая несколько усовершенствованных функций по сравнению с SFU 3.0. В этой промежуточной версии добавлены и улучшены следующие компоненты: •
Более широкая поддержка аутентификации в Active Directory Windows Server 2003.
•
Улучшенные утилиты межъязыковой поддержки.
•
Поддержка многопоточных приложений в Interix.
•
Существенное увеличение производительности Interix (до 100%).
•
Поддержка службы фонового копирования тома из Windows Server 2003.
Êîìïîíåíòû Services for Unix Пакет служб для Unix, Services for Unix (SFU), состоит из нескольких основных компонентов, каждый из которых выполняет конкретную задачу интеграции с различными средами Unix. Любой из этих компонентов и все вместе могут быть использованы как часть Services for Unix, поскольку установка этого набора может настраиваться в зависимости от потребности организации. Основные компоненты SFU перечислены ниже. •
Interix
•
Шлюз для NFS
•
Клиент для NFS
•
Сервер для NFS
•
Сервер Telnet
•
Клиент Telnet
•
Сервер для PCNFS
•
Сервер для NIS
•
Сервер отображения имен пользователей
•
Синхронизация паролей
•
NIS-домены
266
Active Directory в Windows Server 2003 ×àñòü II
Каждый компонент можно инсталлировать отдельно, но при необходимости на одном сервере можно установить несколько компонентов. Каждый компонент более подробно описан в последующих разделах.
Íåîáõîäèìûå óñëîâèÿ äëÿ ðàáîòû Services for Unix Пакет Services for Unix взаимодействует с различными вариантами Unix, однако он был протестирован и специально написан для работы со следующими разновидностями Unix: •
Sun Solaris 7.x или 8.x
•
Red Hat Linux 8.0
•
Hewlett-Packard HP-UX 11i
•
IBM AIX 5L 5.2
НА ЗАМЕТКУ SFU не ограничивается работой с указанными версиями Sun Solaris, Red Hat Linux, HP-UX и IBM AIX. На самом деле он довольно хорошо работает в различных других похожих версиях реализаций Unix.
Само приложение может быть инсталлировано в любой из систем Windows 2000 (Server или Professional), Windows XP Professional и Windows Server 2003 (все версии). Services for Unix имеет некоторые другие важные требования и ограничения, которые необходимо учесть, прежде чем приступить к ее использованию в среде. Вот эти факторы: •
Сервер для NIS должен быть установлен на контроллере домена Active Directory. Кроме того, на всех контроллерах этого домена должен выполняться сервер для NIS.
•
Клиент NFS и шлюз для NFS нельзя инсталлировать на одном и том же сервере.
•
Синхронизация паролей требует установки на контроллерах доменов в каждой среде.
•
Сервер для NIS не должен быть подчинен NIS-серверу Unix — он может быть подчинен только другому SFU-серверу на базе Windows. Это требование может оказаться политически щекотливым и должно быть тщательно рассмотрено, так как некоторые администраторы Unix могут не желать, чтобы главным NISсервером был NIS на основе Windows.
•
Компонент аутентификации сервера для NIS должен быть инсталлирован на всех контроллерах домена, в котором используются полномочия безопасности.
Èíñòàëëÿöèÿ Services for Unix 3.5 Инсталляция Services for Unix достаточно проста и использует знакомый графический мастер установки Microsoft. После выполнения всех необходимых условий и определения желательных функций можно получить и инсталлировать эту программу.
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
267
Services for Unix 3.5 можно загрузить или заказать на компакт-диске непосредственно у Microsoft на Web-сайте Services for Unix по адресу: http://www.microsoft.com/windows/sfu Для установки SFU 3.5 выполните перечисленные ниже шаги. 1. Вставьте компакт-диск в привод и дождитесь срабатывания автозапуска. Если автозапуск отключен, дважды щелкните на файле setup.exe в корневом каталоге компакт-диска SFU. 2. На экране приветствия щелкните на кнопке Next (Далее). 3. Введите имя и организацию и щелкните на кнопке Next. 4. Прочитайте лицензионное соглашение и примите его условия. Щелкните на кнопке Next. 5. Выберите пункт меню Custom Installation (Выборочная установка) и щелкните на кнопке Next. 6. Выберите нужные компоненты. В нашем примере (рис. 8.1) инсталлируются все компоненты, кроме Client for NFS.
Ðèñ. 8.1. Выбор варианта установки 7. В зависимости от выбранных компонентов на нескольких последующих экранах могут появиться дополнительные лицензионные соглашения. Примите условия этих соглашений и щелкните на кнопке Next. Если инсталлируются все средства, то появятся еще два лицензионных соглашения (для компилятора GNU C++ и ActivePerl). 8. Внимательно прочтите текст на следующем экране, поскольку он содержит информацию о безопасности, относящуюся к Interix, и о том, что включение поддержки некоторых приложений Interix может снизить безопасность. Если вы сомневаетесь, не устанавливайте флажки, как показано на рис. 8.2, а затем щелкните на кнопке Next.
268
Active Directory в Windows Server 2003 ×àñòü II
Ðèñ. 8.2. Просмотр вариантов установки безопасности Interix 9. Если выбрана служба отображения имен пользователей (User Name Mapping Service), то следующий экран будет содержать предложение установить эту службу. Укажите тип сервера отображения имен пользователей — удаленный или локальный. Если сервер пока не установлен, оставьте значения по умолчанию и щелкните на кнопке Next. 10. На следующем экране необходимо ввести имя NIS-сервера и используемого им домена. Если вы хотите просто проверить работу сервера, оставьте эти поля пустыми, как показано на рис. 8.3, и щелкните на кнопке Next.
Ðèñ. 8.3. Конфигурирование опций сервера отображения имен пользователей 11. Выберите папку инсталляции и щелкните на кнопке Next. После этого начнется инсталляция, в результате которой будут скопированы все необходимые файлы. 12. После завершения копирования щелкните на кнопке Finish (Готово), а затем на кнопке Yes (Да), чтобы перезагрузить сервер.
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
269
После инсталляции SFU можно проверить ее различные функции в лабораторной среде или развернуть ее в производственной среде.
Interix êàê êîìïîíåíò Services for Unix Если вы знакомы с предыдущими версиями Services for Unix, то вы наверняка сразу же заметили одно изменение. Interix — ранее отдельный продукт — теперь интегрирован в пакет Services for Unix. Interix является расширением подсистемы POSIX для Windows, позволяющей привычное выполнение сценариев и приложений Unix в среде Windows. Interix не является эмулятором, и все приложения и сценарии выполняются в подсистеме POSIX, встроенной в Windows Server 2003, обычным образом. Interix заполняет пробел между разработкой на платформе Unix и разработкой в среде Windows. Он написан для того, чтобы позволить программистам, знакомым с Unix, продолжать пользоваться наиболее знакомыми средствами и сценариями программирования: grep, tar, cut, awk и многими другими. Кроме того, с небольшими усилиями на перепрограммирование, приложения, выполняющиеся на Unix-системах, можно перенести на платформу Wintel, что позволяет использовать дешевизну Windows и сохранить инвестиции в программное обеспечение для Unix. SFU версии 3.5 еще более улучшает возможности подсистемы Interix. Увеличение производительности файлового ввода/вывода, пропускной способности конвейера и улучшение общего времени отклика хорошо заметны, а иногда скорость повышается почти в два раза. Кроме того, версия Interix из SFU 3.5 поддерживает многопоточные приложения и аутентификацию, присущие средам Active Directory Windows Server 2003.
Íàïèñàíèå ñöåíàðèåâ äëÿ Interix Если вы знакомы со средами Unix, то, работая с Interix, вы сразу почувствуете себя буквально как дома, поскольку в нем доступны командные интерпретаторы Korn и C, и оба они ведут себя в точности так же, как и в Unix. SFU также поддерживает с помощью этих интерпретаторов файловую систему с единственным корнем, что устраняет необходимость изменения сценариев для поддержки буквенных обозначений дисков. Файловая система с единственным корнем предоставляет множество функций, позволяя максимально естественно переносить в среду Windows сценарии, написанные для Unix.
Èíñòðóìåíòû è ÿçûêè ïðîãðàììèðîâàíèÿ Interix Interix поддерживает все распространенные инструменты и утилиты Unix со всеми знакомыми командами — grep, man, env, pr, nice, ps, kill и другими. Каждый инструмент работает в точности так, как в Unix (рис. 8.4), и пользователи Interix могут создавать или импортировать свои собственные настраиваемые инструменты с помощью тех же процедур, что и в среде Unix.
270
Active Directory в Windows Server 2003 ×àñòü II
Ðèñ. 8.4. Команды Interix в интерпретаторе C
Ñîâìåñòíîå èñïîëüçîâàíèå ôàéëîâ â Unix NFS è Windows В Services for Unix применяется новый подход к совместному использованию информации между Unix и Windows Server 2003, предоставляя пользователям обеих сред прозрачный доступ к данным из каждой из этих сред без необходимости применять специализированные клиентские программы. Использование шлюза для NFS, NFSсервера и клиента NFS обеспечивает такой уровень функциональности и предоставляет более интегрированную среду.
Øëþç äëÿ NFS Клиенты Windows с инсталлированным компонентом шлюз для NFS (Gateway for NFS) могут обращаться к томам сетевой файловой системы (Network File System — NFS) Unix. Шлюз для NFS позволяет серверу Windows Server 2003 транслировать запросы файловой системы клиента в соответствующий “язык” NFS, чтобы обеспечить правильный доступ к общим файловым ресурсам на NFS-сервере Unix без необходимости модификации клиента или NFS-сервера. Шлюз для NFS для своей работы создает общие шлюзовые ресурсы (gateway shares), видимые клиентом Windows как стандартные локальные общие ресурсы наподобие \\server1\marketing, но которые создают на сервере буквенное обозначение диска, отображаемое непосредственно на общие ресурсы NFS. Поэтому важно отметить, что общие шлюзовые ресурсы на одном сервере SFU ограничены количеством доступных букв для обозначения дисков.
Èñïîëüçîâàíèå ñåðâåðà äëÿ NFS Работа сервера для NFS (Server for NFS) противоположна функциям шлюза для NFS. Он предоставляет дисковую память на любом Windows-компьютере сети клиентам NFS, транслируя их NFS-запросы в SMB-запросы Windows. Никакое дополнительное клиентское программное обеспечение не нужно, и сервер Windows Server 2003 ведет себя как обычный NFS-сервер Unix для этих клиентов.
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
271
Ðàçâåðòûâàíèå êëèåíòà NFS Компонент клиент NFS (NFS Client) можно устанавливать непосредственно на рабочие станции Windows, чтобы они имели возможность отображения на экспорты NFS в сети. NFS-серверы видимы в стандартном проводнике Windows, и на них не требуется присутствие дополнительного программного обеспечения. На NFS-серверы посылаются запросы Windows-аутентификации, использующие UID или GID пользователя, отображенного с помощью службы отображения имен пользователей из SFU. Кроме того, непосредственно из клиента можно использовать команды Unix NFS net и mount.
Ñèíõðîíèçàöèÿ ïîëüçîâàòåëåé â SFU Цель единой регистрации (Single Sign-In — SSI), при которой пользователи регистрируются в сети один раз, а затем получают доступ к нескольким ресурсам и средам, пока не достигнута. Все еще встречаются ситуации, когда обычный пользователь хранит и использует три или более отдельных пользовательских имени и связанных с ними наборов паролей. Однако в Services for Unix проведена большая работа по воплощению SSI в реальность, предоставив возможности отображения имен пользователей и синхронизации паролей.
Îòîáðàæåíèå èìåí ïîëüçîâàòåëåé Отображение имен пользователей (User Name Mapping) позволяет связать конкретные пользовательские учетные записи из Active Directory Windows Server 2003 с соответствующими пользовательскими учетными записями в Unix. Кроме отображения учетных записей с одинаковыми именами пользователей, эта служба позволяет связать учетные записи с различными именами в разных организациях. Этот фактор особенно полезен, если вспомнить, что пользовательские учетные записи в Unix чувствительны к регистру букв, а учетные записи в Windows не чувствительны. Отображение имен пользователей поддерживает возможность отображения нескольких пользовательских учетных записей Windows в одну пользовательскую учетную запись в Unix. Эта возможность позволяет, например, отобразить несколько учетных записей администраторов Active Directory Windows Server 2003 в учетную запись администратора (root) в Unix.
Ñèíõðîíèçàöèÿ ïàðîëåé ñ ïîìîùüþ SFU Работая совместно со службой отображения имен пользователей, синхронизация паролей позволяет отображенным пользовательским учетным записям автоматически обновлять их пароли между двумя средами. Эта возможность, доступная с помощью консоли MMC SFU, показанной на рис. 8.5, позволяет пользователям изменять свои пароли на любой стороне, и эти изменения отражаются на отображаемых учетных записях на другой платформе. Как уже упоминалось, синхронизацию паролей необходимо инсталлировать на стороне Active Directory на всех контроллерах домена, поскольку все контроллеры домена должны уметь понимать направляемые к ним запросы на Unix-пароли. Кроме того, синхронизация паролей поддерживается в неизменном виде на следующих платформах Unix:
272 • • •
Active Directory в Windows Server 2003 ×àñòü II
Solaris 7 and 8 Red Hat Linux 6.2, 7.0 and 8.0 HP-UX 11
Все другие варианты Unix требуют перекомпиляции платформы, что облегчается включением сборочных файлов и исходного кода SFU. В состав SFU 3.5 входят также библиотеки шифрования, что еще более облегчает компиляцию специализированного решения.
Ðèñ. 8.5. Просмотр вариантов синхронизации паролей
Óñîâåðøåíñòâîâàíèå àäìèíèñòðèðîâàíèÿ â Services for Unix Одной из главных целей Services for Unix была возможность получения более централизованного контроля над несколькими средами. Такие средства, как улучшенный сервер и клиент Telnet, ActivePerl 5.6 для сценариев и централизованная консоль MMC Admin максимально облегчают администрирование компонентов Services for Unix. Кроме того, средства SFU позволяют администраторам получить более централизованный контроль над средой.
Óäàëåííîå àäìèíèñòðèðîâàíèå ñ ïîìîùüþ ñåðâåðà è êëèåíòà Telnet В Services for Unix используются два различных и отдельных сервера Telnet. Первый из них, Windows-сервер Telnet, по сути дела является тем же самым сервером Telnet, который входит в состав Windows Server 2003 и Windows XP. Второй сервер Telnet управляется компонентом SFU inetd, использует оболочку Interix и должен приме-
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
273
няться отдельно от Windows-сервера Telnet. Каждая версия сервера Telnet кроме обычной входной регистрации пользователей Unix поддерживает аутентификацию диспетчера NT LAN (NTLM).
Èñïîëüçîâàíèå êîíñîëè MMC Services for Unix Все компоненты Services for Unix, за исключением шлюза для NFS, администрируются из единой оснастки консоли управления Microsoft (Microsoft Management Console — MMC), показанной на рис. 8.6. Знакомство администраторов Windows с оснастками MMC делает ее идеальным выбором для администраторов и снижает затраты на обучение администрированию SFU.
Ðèñ. 8.6. Консоль MMC Services for Unix
Âûïîëíåíèå ñöåíàðèåâ ñ ïîìîùüþ ActivePerl 5.6 è SFU В Services for Unix можно писать сценарии с помощью средства ActivePerl 5.6, полностью перенесенного из Perl 5.6 для Unix. Сценарии на Perl могут использоваться в среде Windows, а ActivePerl 5.6 непосредственно поддерживает использование хоста сценариев Windows (Windows Scripting Host — WSH), который позволяет выполнять сценарии на Perl в системах с WSH-серверами.
Îáúåäèíåíèå ñðåä Windows è NetWare ñ ïîìîùüþ Services for NetWare Microsoft всегда старалась предоставлять утилиты и службы для миграции пользователей из NetWare в сетевую операционную систему (Network Operating System —
274
Active Directory в Windows Server 2003 ×àñòü II
NOS) Windows. Взаимодействие с системами NetWare никогда не было приоритетным направлением Microsoft. Однако с тех пор сосуществование с ними было значительно улучшено за счет разработки утилит Gateway Services for NetWare (GSNW) и Services for NetWare (SFNW), обеспечивающих более непосредственное обеспечение взаимодействия и миграции.
Gateway Services for NetWare Интеграция среды Windows с сетевыми операционными системами Novell упрощена с помощью Gateway Services for NetWare (Шлюзовая служба NetWare, GSNW) — надежного средства интеграции, которое позволяет Windows Server 2003 интегрировать и совместно использовать ресурсы с Novell NetWare. GSNW предоставляет следующие функциональные элементы: •
Доступ клиентов Windows к службам файлов и принтеров на серверах NetWare.
•
Доступ службы клиентов NetWare к файл-серверам и серверам печати Windows.
Вот конкретные сценарии для GSNW: •
Системе Windows Server 2003 или серверу Exchange нужен прямой доступ к службам файлов или печати NetWare. Одним из случаев, когда может понадобиться такая служба, является извлечение учетных записей NetWare с сервера или извлечение исходных учетных записей из системы пересылки сообщений на базе NetWare, наподобие GroupWise.
•
Компания переносит настольные клиенты из сети Novell в сеть Microsoft Windows Server 2003. Клиенты на базе Microsoft, мигрировавшие и более не принадлежащие сети Novell, но которым нужен доступ к ресурсам NetWare, могут обращаться к ним с помощью GSNW.
НА ЗАМЕТКУ Windows-сервер с GSNW может одновременно обеспечить только один шлюз для одного сервера NetWare. Несколько одновременных подключений невозможны.
Èñïîëüçîâàíèå Services for NetWare Services for NetWare (SFNW) 5.02 с Service Pack 2 (SP2) предоставляет компаниям средства интеграции или миграции пользователей и ресурсов Novell в среды Windows. SFNW предоставляет следующие средства: •
Службы файлов или печати NetWare (FPNW).
•
Служба синхронизации каталогов Microsoft (MSDSS).
•
Утилита миграции файлов (FMU).
НА ЗАМЕТКУ Предыдущие версии Services for NetWare не поддерживали Windows Server 2003. Но с выпуском пакета обновлений Service Pack 2 для SFNW 5.02 появилась поддержка инсталляции в системе Windows Server 2003.
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
275
Èíñòàëëÿöèÿ Services for NetWare 5.02 SP2 Инсталляция SFNW проходит не очень просто. Во-первых, и это самое главное, на контроллере домена должна быть установлена MSDSS, и должна быть расширена схема леса Active Directory. Поскольку изменения в схеме леса провести не очень легко, то одно лишь это заставляет задуматься, выполнять ли процедуру инсталляции. После модернизации схемы можно инсталлировать базовую программу и применить последний служебный пакет. Для установки SFNW выполните перечисленные ниже шаги. 1. Загрузите или закажите по почте SFNW 5.02 и запустите пакет MSDSS.MSI. 2. Если схема не изменялась, то появится диалоговое окно с сообщением, что сейчас будет запущен мастер обновления схемы. Щелкните на кнопке ОК. 3. На экране приветствия мастера щелкните на кнопке Next (Далее).
НА ЗАМЕТКУ Расширение схемы — это очень деликатная задача, влияющая на все контроллеры доменов леса, которая может существенно загрузить трафик репликации. Приступая к расширению, вы должны полностью понимать его последствия на существующем оборудовании.
4. Программа инсталляции сообщит, что схема AD будет расширена, как показано на рис. 8.7. Щелкните на кнопке ОК, чтобы расширить схему для MSDSS.
Ðèñ. 8.7. Выбор расширения схемы AD для MSDSS 5. После завершения расширения схемы щелкните на кнопке Finish (Готово). 6. Теперь убедитесь, что расширение схемы реплицировано во всем лесе, и при необходимости выполните эту репликацию вручную с помощью утилиты repadmin. После распространения расширения схемы снова дважды щелкните на пакете MSDSS.MSI. 7. На экране приветствия щелкните на кнопке Next. 8. Прочитайте лицензию, согласитесь с ее условиями и щелкните на кнопке Next. 9. Выберите переключатель Microsoft Directory Synchronization Services (Служба синхронизации каталогов Microsoft), как показано на рис. 8.8, и щелкните на кнопке Next. 10. Введите свое имя и название организации и щелкните на кнопке Next. 11. Выберите вариант Custom Install (Выборочная установка) и щелкните на кнопке Next. 12. Выберите нужные опции, как показано на рис. 8.9, и щелкните на кнопке Next.
276
Active Directory в Windows Server 2003 ×àñòü II
Ðèñ. 8.8. Выбор инсталляции MSDSS
Ðèñ. 8.9. Просмотр опций инсталляции для SFNW 13. Щелкните на кнопке Next, чтобы начать инсталляцию. 14. После завершения инсталляции щелкните на кнопке Finish, а затем на кнопке Yes (Да), чтобы перезагрузить компьютер. Теперь Services for NetWare установлена и готова к конфигурированию. Все приложения находятся в меню Administrative Tools (Средства администрирования), как показано на рис. 8.10.
Ñëóæáû ôàéëîâ è ïå÷àòè NetWare Службы файлов и печати NetWare — это прикладная служба, позволяющая Windows-серверу эмулировать файловый сервер и сервер печати NetWare. Клиенты NetWare могут подключаться к общим файловым ресурсам и к общим принтерам, как будто они подключены к серверу Novell. Клиенты Novell используют тот же самый пользовательский интерфейс для доступа к ресурсам файлов и принтеров, выполняю-
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
277
щимся на сервере FPNW. По сути FPNW позволяет серверу FPNW имитировать существующий сервер NetWare после его удаления, предоставляя администраторам время на постепенную миграцию компьютеров в среду Windows.
Ðèñ. 8.10. Доступ к средству администрирования Services for NetWare через меню Start (Пуск) Ниже представлены примеры конкретных сценариев FPNW. •
Компании необходимо прекратить работу со старым сервером Novell 3.12, не проводя изменений в сетевой конфигурации для настольных клиентов NetWare. Windows Server 2003, на котором выполняется FPNW, должен быть сконфигурирован с теми же самыми службами файлов и печати, что и сервер Novell 3.12.
•
Компания переходит из сети Novell в сеть Microsoft Windows Server 2003. Во время перехода клиенты Novell, еще не мигрированные в сеть Windows Server 2003, могут обращаться к службам файлов и печати, уже перенесенным в Windows Server 2003 с помощью FPNW.
Ñëóæáà ñèíõðîíèçàöèè êàòàëîãîâ Microsoft Служба синхронизации каталогов Microsoft (Microsoft Directory Synchronization Services — MSDSS) является средством синхронизации информации, хранящейся в Active Directory, и в службе каталогов Novell (Novell Directory Services — NDS). MSDSS синхронизирует информацию, хранящуюся в Active Directory, со всеми версиями NetWare, поддерживает двухстороннюю синхронизацию с NDS и одностороннюю синхронизацию со службами связок Novell 3.x. Поскольку Active Directory не поддерживает контейнеры, сравнимые с организацией корня NDS, и поскольку механизмы поддержки безопасности в Active Directory
278
Active Directory в Windows Server 2003 ×àñòü II
отличаются от Novell, то MSDSS (только в режиме миграции) создает в Active Directory соответствующую локальную в домене группу безопасности для каждой организационной единицы (OU) NDS и организации. Затем MSDSS отображает каждую OU или всю организацию Novell в соответствующую локальную в домене группу безопасности Active Directory. MSDSS предоставляет единую точку администрирования. С помощью односторонней синхронизации изменения, проведенные в Active Directory, во время синхронизации будут распространены в NDS. Синхронизация из Active Directory в NDS позволяет распространять изменения атрибутов объектов, таких как отчество или адрес пользователя. В режиме двухсторонней синхронизации изменения из NDS в Active Directory требуют полной синхронизации объекта (всех атрибутов объекта пользователя). Одним из главных преимуществ MSDSS является синхронизация паролей. Пароли можно администрировать в Active Directory и во время синхронизации распространять изменения в NDS. Синхронизация паролей позволяет пользователям обращаться к ресурсам Windows Server 2003 и ресурсам NDS с одними и теми же входными полномочиями. Архитектура MSDSS составлена из следующих трех компонентов. Эти компоненты осуществляют управление, отображение, чтение и запись изменений, происходящих в Active Directory, NDS и службах связок NetWare. •
Диспетчер сеансов (Session Manager). Этот компонент обрабатывает конфигурацию параметров синхронизации. Например, с его помощью можно создать отдельные сеансы для различных контейнеров NDS, требующих различных параметров синхронизации.
•
Функция отображения объектов (Object Mapper). Ставит в соответствие друг другу объекты (классы, атрибуты, пространство имен, права и полномочия) между исходным каталогом и каталогом назначения.
•
Поставщик DirSync (DirSync Provider). Изменения в каждом каталоге обрабатываются поставщиком DirSync (чтение/запись). Облегченный протокол доступа к каталогам (Lightweght Directory Access Protocol — LDAP) используется для вызовов Active Directory и вызовов NetWare NCP для NDS и связок NetWare.
Кроме основных компонентов MSDSS, в Active Directory безопасно сохраняются параметры конфигурации сеанса (база данных сеансов). Ниже представлены примеры конкретных сценариев для MSDSS. •
Компания переходит непосредственно с Novell на сеть Windows Server 2003. Все сетевые службы — DNS, DHCP и ISS — выполняются на одном сервере. Для миграции всех пользователей и файлов в Windows Server 2003 после миграции всех служб можно воспользоваться MSDSS.
•
Компания постепенно переходит с Novell на сеть Windows Server 2003. Сетевые службы — DNS, DHCP и ISS — установлены на различных серверах и сайтах. Можно использовать MSDSS для миграции и синхронизации во время миграции каталогов AD и NDS.
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
279
Ìèãðàöèÿ ñ ïîìîùüþ óòèëèòû ìèãðàöèè ôàéëîâ Утилита миграции файлов (File Migration Utility — FMU) используется для автоматического управления миграции файлов с файловых серверов и серверов печати NetWare в системы Windows Server 2003. Интегрированная с MSDSS, утилита FMU копирует файлы, сохраняя их права доступа и списки управления доступом (ACL), связанные с каждым файлом. FMU копирует права доступа файлов, используя файл отображения пользователей, связывающий пользовательские учетные записи NDS с учетными записями Active Directory. С помощью этого файла отображения, созданного с помощью MSDSS, файлы и права доступа к ним, наследованные или назначенные в NetWare, вычисляются и поддерживаются в сети Windows, сохраняя безопасность и сводя к минимуму длительность процесса переназначения прав и полномочий файлов. В отсутствие файла отображения FMU разрешает доступ ко всем мигрированным файлам только администратору.
НА ЗАМЕТКУ Утилита миграции файлов создает прямое отображение в Windows активных прав доступа папок и файлов NetWare на основе ближайшего эквивалента безопасности Windows. Поскольку безопасность NTFS не полностью совпадает с безопасностью Novell, то необходимо быть в курсе приблизительных соответствий, устанавливаемых во время этого процесса.
Ñåðâåð èäåíòèôèêàöèè è îáúåäèíåíèÿ Microsoft Во многих современных бизнес-средах зачастую несколько каталогов используются для обеспечения аутентификации в различных средах или для ведения адресных книг или контактной информации, доступной во всем предприятии. Для упрощения синхронизации данных между такими различными приложениями, как электронная почта, телефонные книги, базы данных отдела кадров и базы данных расчета заработной платы, организация должна использовать продукт метакаталогов наподобие сервера идентификации и объединения Microsoft (Microsoft Identity Integration Server — MIIS) 2003.
Èñòîðèÿ MIIS MIIS представляет собой версию Microsoft решения метакаталогов. Метакаталог (metadirectory) можно рассматривать как главный каталог, содержащий наиболее авторитетные данные службы каталогов в организации. В 1996 году, когда Бертонская группа (Burton Group, http://www.tbg.com) придумала и определила данный термин, таких продуктов на рынке еще не было. С тех пор многие компании создали свои версии метакаталогов, но все они характеризуются наличием собственной сложной настройки и функциональности. Первоначальная версия решения метакаталогов Microsoft называлась службой метакаталогов Microsoft (Microsoft Metadirectory Services — MMS). Эта версия приложения работала эффективно, но была крайне техничной. Многие компоненты для пра-
280
Active Directory в Windows Server 2003 ×àñòü II
вильной работы требовали специальных сценариев, а поддержка сторонних продуктов была минимальной. С выпуском продукта 3.0 появились изменения в торговой марке, и появился сервер идентификации и объединения Microsoft (Microsoft Identity Integration Server — MIIS) 2003. MIIS предоставляет больше возможностей по работе с метакаталогами, чем его предшественник, и расширяет его возможности с помощью встроенных агентов управления, предназначенных для синхронизации множества различных каталогов, перечисленных ниже: •
Active Directory Windows 2000/2003
•
Active Directory в режиме приложения (ADAM)
•
Windows NT 4.0
•
Novell NDS и eDirectory
•
SunONE/iPlanet Directory
•
Lotus Notes и Domino
•
Microsoft Exchange 5.5
•
ERP
•
PeopleSoft
•
SAP
•
Microsoft SQL Server
•
dBase
•
Oracle
•
Informix
•
DSMLv2
•
Текстовые файлы наподобие LDIF, CSV, с ограничителями, фиксированной длины и парами атрибут/значение
•
Другие каталоги, совместимые с LDAP.
Одной из важных новых возможностей MIIS 2003 является предоставляемая пользователям возможность изменять свои пароли с помощью Web-страницы самообслуживания. Это существенно экономит время служб поддержки и безопасности, затрачиваемого ранее на изменение паролей пользователей, а также предоставляет более безопасный и скрытый метод изменения паролей.
Çíàêîìñòâî ñ ïàêåòîì âîçìîæíîñòåé èäåíòèôèêàöèè è îáúåäèíåíèÿ (IIFP) Понимая необходимость “облегченной” версии MIIS, Microsoft выпустила пакет возможностей идентификации и объединения (Identity Integration Feature Pack — IIFP) — свободно загружаемый с сайта Microsoft продукт, обеспечивающий работу метакаталогов между Active Directory, глобальными списками адресов (Global Address List — GAL) Exchange 2000/2003 и лесов Active Directory в режиме приложения (Active Directory in Application Mode — ADAM). Функциональность этой версии совпадает с MIIS, но она поддерживает синхронизацию и инициализацию только между AD, не
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
281
работая с другими каталогами, поддерживаемыми MIIS. Если вам нужна синхронизация между двумя или более лесами AD, то эту работу великолепно выполнит IIFP. IIFP можно загрузить по одной из ссылок на Web-сайте Microsoft MIIS по адресу http://www.microsoft.com/miis.
Áàçà äàííûõ SQL Server äëÿ MIIS MIIS и IIFP требуют для своей работы серверной базы данных Microsoft SQL Server 2000. Эта база данных используется для хранения информации конфигурации и информации объектов пользователей, хранимой в метастроке. Эта база данных может располагаться на выделенном сервере MIIS, или может находиться на уже существующем компьютере с SQL Server. Все требования к сопровождению и администрированию любой другой базы данных SQL относятся и к базам данных MIIS.
Òåðìèíîëîãèÿ MIIS Организациям, имеющим множество различных каталогов, и которым необходимо постоянно синхронизировать информацию между этими каталогами, необходим продукт метакаталога наподобие MIIS. MIIS предоставляет администраторам единый интерфейс для доступа к различным каталогам и для конфигурирования синхронизации и/или репликации этих каталогов друг с другом с помощью метакаталога. Прежде чем продолжить обсуждение MIIS, необходимо определить некоторые основные термины. •
Агент управления (Management Agent — MA). Средство, используемое для сообщения с конкретным типом каталогов. Например, агент управления Active Directory позволяет MIIS импортировать или экспортировать данные или выполнять задачи в Microsoft Active Directory.
•
Подключенный каталог (Connected Directory — CD). Каталог, с которым MIIS сообщается с помощью сконфигурированного MA. Примером подключенного каталога может быть база данных каталогов Microsoft Exchange 5.5.
•
Пространство имен соединителя (Connector Namespace — CS). Иерархия реплицированной информации и контейнеров, либо извлеченная, либо предназначенная для записи в соответствующий подключенный каталог.
•
Пространство имен метастрок (Metaverse Namespace — MV). Авторитетные данные каталога, созданные из информации, собранной из всех соответствующих связующих пространств имен.
•
Метакаталог (Metadirectory). В MIIS метакаталог состоит из всех связующих пространств имен плюс авторитетного пространства имен метастрок.
•
Атрибуты (Attributes). Поля информации, экспортируемые или импортируемые в элементы каталога. Часто встречаются такие атрибуты элементов каталогов, как имя, псевдоним, адрес электронной почты, номер телефона, табельный номер и другая информация.
MIIS можно использовать для различных задач, но обычно эта служба используется для управления информацией учетных данных элементов каталогов. В этом случае целью является управление пользовательскими учетными записями с помощью синхронизации таких атрибутов, как идентификатор имени регистрации, имя, фамилия, но-
282
Active Directory в Windows Server 2003 ×àñòü II
мер телефона, должность и отдел. Например, если пользователь Джейн Доу повышена в должности, и ее должность сменилась с менеджера на вице-президента, то изменение должности сначала нужно ввести в базу данных кадров или расчета заработной платы, и с помощью агентов управления MIIS это изменение будет реплицировано в другие каталоги организации. Это обеспечивает, что если кто-либо захочет узнать атрибут должности Джейн Доу, то этот атрибут будет одним и тем же во всех каталогах, синхронизированных с помощью MIIS. Это обычное и основное использование MIIS называется управлением учетными данными (identity management). Другие распространенные применения MIIS — это разнесение и уничтожение учетных записей, автоматическое централизованное создание и удаление пользовательских учетных записей и управление группами.
Àãåíòû óïðàâëåíèÿ MIIS В состав MIIS 2003 входит множество встроенных агентов управления, предназначенных для упрощения внедрения MMS. Эти агенты используются для конфигурирования обмена данными и взаимодействия MIIS с подключенными каталогами при выполнении агента. Тип выбираемого агента управления зависит от типа подключаемого каталога. При первоначальном создании агента управления все конфигурирование этого агента может быть выполнено во время создания этого агента. Можно сконфигурировать то, какие типы объектов каталогов будут реплицироваться в пространство имен соединителя, какие атрибуты будут реплицироваться, правила объединения и проецирования элементов каталогов, правила потоков атрибутов между связующим пространством имен и пространством имен метастрок и многое другое. Если во время создания MA необходимая конфигурации неизвестна, то к ней можно вернуться и модифицировать ее позднее.
Ïðîôèëè âûïîëíåíèÿ àãåíòîâ óïðàâëåíèÿ После создания агента управления необходимо создать профили выполнения, определяющие, как будет выполняться агент выполнения. В числе возможных опций — Full Import (Полный импорт), Delta Import (Импорт различий), Export Apply Rules (Правила применения экспорта) и Full Import and Re-Evaluate Rules (Правила полного импорта и перевычисления). Это позволяет администраторам MIIS установить более точные административные полномочия для выполнения агентов без нарушения целостности данных — например, при создании только профиля выполнения импорта. Если нужно лишь импортировать профиль, агент управления импортирует требуемые объекты и атрибуты из подключенного каталога в соответствующее пространство имен соединителя. Данные в подключенном каталоге изменяться не будут.
Óñòàíîâêà ñåðâåðà èäåíòèôèêàöèè è îáúåäèíåíèÿ Microsoft Установка MIIS 2003 довольно проста, хотя требует выполнения некоторых предварительных условий. MIIS требует не только наличия версии Enterprise сервера MIIS, но и версии Enterprise Windows Server 2003, и SQL Server 2000 Enterprise. После ин-
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
283
сталляции этих продуктов можно начать инсталляцию MIIS 2003. Для этого выполните перечисленные ниже шаги. 1. Вставьте в привод компакт-диск с MIIS и запустите программу установки, щелкнув на пиктограмме Install Microsoft Identity Integration Server 2003 (Установка сервера идентификации и объединения Microsoft), как показано на рис. 8.11.
Ðèñ. 8.11. Запуск установки MIIS 2. На экране приветствия щелкните на кнопке Next (Далее). 3. Прочитайте лицензионное соглашение и выберите переключатель I Agree (Я согласен). Щелкните на кнопке Next. 4. Выберите вариант Complete Installation (Полная инсталляция) и щелкните на кнопке Next. 5. Укажите, где находится SQL Server. Если он является локальным, примите стандартные значения, как показано на рис. 8.12, и щелкните на кнопке Next.
Ðèñ. 8.12. Выбор SQL Server для MIIS
284
Active Directory в Windows Server 2003 ×àñòü II
6. Выберите учетную запись службы, которую будет использовать MIIS, и щелкните на кнопке Next. 7. Выберите группы, которые будут созданы для MIIS, как показано на рис. 8.13, и щелкните на кнопке Next.
Ðèñ. 8.13. Указание групп MIIS 8. Щелкните на кнопке Start (Пуск), чтобы запустить инсталляцию. 9. Может появиться диалоговое окно с предупреждением о безопасности, похожее на показанное на рис. 8.14. Если оно появится, щелкните на кнопке ОК. Необходимо будет пересмотреть безопасность для учетной записи службы.
Ðèñ. 8.14. Предупреждение о безопасности MIIS 10. После завершения установки MIIS щелкните на кнопке Finish (Готово). Теперь MIIS должен быть инсталлирован и готов для конфигурации агентов управления, профилей выполнения и других компонентов, необходимых для управления учетными данными.
Èñïîëüçîâàíèå âîçìîæíîñòåé è ïîòåíöèàëà MIIS MIIS является очень мощным средством. С помощью правильной конфигурации и некоторых интересных сценариев его можно настроить для выполнения невероятно большого количества автоматизированных действий. Современные среды изобилуют
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
285
каталогами, что увеличивает объем администрирования, необходимого для ручного создания и удаления учетных записей и ручного обновления информации о пользователях. MIIS может существенно облегчить эти требования, улучшив администрирование и безопасность. Следующие разделы посвящены некоторым наиболее ценным возможностям MIIS и их эффективному использованию.
Óïðàâëåíèå ó÷åòíûìè äàííûìè ñ ïîìîùüþ MIIS С помощью MIIS можно реализовать большинство базовых и простых конфигураций. Например, с помощью MIIS можно синхронизировать учетные данные между учетными записями в различных каталогах. Информация учетных данных может включать в себя имена, адреса электронной почты и физические адреса, должности, членство в подразделениях и многое другое. В общем случае информация учетных данных — это тип данных, обычно встречающийся в корпоративных телефонных справочниках или intranet-сетях. Чтобы использовать MIIS для управления учетными данными между Active Directory и сервером каталогов LDAP, выполните следующие высокоуровневые шаги: 1. Установите MIIS 2003. 2. Создайте агент управления для каждого каталога, в том числе агент управления Active Directory и агент LDAP. 3. Сконфигурируйте агенты управления на импорт типов объектов каталогов в их соответствующие связующие пространства имен, как показано на рис. 8.15. 4. Сконфигурируйте один из агентов управления — например, для Active Directory — чтобы спроецировать объекты каталогов связующего пространства и иерархию каталогов в пространство имен метастрок.
Ðèñ. 8.15. Использование мастера MA
286
Active Directory в Windows Server 2003 ×àñòü II
5. В каждом из агентов управления можно сконфигурировать функцию, называемую потоком атрибутов, чтобы определить, какие атрибуты объектов каталогов нужно проецировать из каждого каталога в соответствующие объекты каталогов метастрок. Сконфигурируйте правила потоков атрибутов для каждого агента управления. 6. Сконфигурируйте свойства присоединения учетных записей для объектов каталогов. Это наиболее ответственный шаг, поскольку в нем определяется, как объекты из каждого каталога соотносятся друг с другом в пространстве имен метастрок. Чтобы сконфигурировать присоединение учетных записей, можно использовать некоторые критерии, например, табельный номер работника или сочетание его имени и фамилии. Главное здесь — определить наиболее уникальную информацию, чтобы избежать проблем с размещением двух объектов с одинаковыми именами, например, если в Active Directory существуют два пользователя с именами Том Джонс. 7. После завершения конфигурирования MA и присоединения учетных записей сконфигурируйте профили выполнения агентов управления, чтобы сообщить агентам управления, что они должны делать с каталогом и пространством имен соединителя. Например, можно выполнить полный импорт или экспорт данных. При первом запуске MA импортируется информация подключенного каталога и создается первоначальное пространство имен соединителя. 8. После первого запуска MA их можно запустить во второй раз для распространения авторитетных данных метастрок в соответствующие связующие пространства имен и в подключенные каталоги. Эти шаги можно использовать для упрощения задач сопровождения учетных записей, когда необходимо одновременное управление несколькими каталогами. Кроме выполнения управления учетными данными для пользовательских учетных записей, с помощью MIIS можно выполнять задачи управления группами. Если группа спроецирована в пространство имен метастроки, то атрибут членства в группах может быть реплицирован в другие подключенные каталоги с помощью их агентов управления. Это позволяет изменять членство в группах только в одном каталоге, а затем автоматически реплицировать его в другие каталоги.
Ðàçíåñåíèå è óíè÷òîæåíèå ó÷åòíûõ çàïèñåé ñ ïîìîùüþ MIIS Разнесение (provisioning) учетных записей в MIIS позволяет выполнять сложное конфигурирование агентов управления каталогами, а также специальных агентов разнесения, используемых для автоматизации создания и удаления учетных записей в нескольких каталогах. Например, если в Active Directory создается новая пользовательская учетная запись, то агент управления Active Directory может пометить эту учетную запись. Затем, при выполнении соответствующих MA для других подключенных каталогов, новая пользовательская учетная запись может быть автоматически сгенерирована в этих других каталогах. Процесс разнесения и уничтожения в MIIS может оказаться очень удобным в ситуациях, в которых требуется автоматическое создание и удаление пользовательских
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
287
учетных записей. Например, в базе данных учета кадров HR PeopleSoft может быть создана одна пользовательская учетная запись, что повлечет цепочку созданий учетных записей, как показано на рис. 8.16. Áàçà äàííûõ òåëåôîíîâ: Вера Сердючка x4288
Èìÿ ïîëüçîâàòåëÿ â NDS: ВСердючка Èìÿ ïîëüçîâàòåëÿ â ADAM: Вера
Ìåòàñòðîêà MIIS
Îáúåêò Çàïèñü áàçû äàííûõ ó÷åòà ðàáîòíèêà MIIS êàäðîâ HR PeopleSoft: Lastname=Сердючка Firstname=Вера JobTitle=Массовик-затейник Extension=x4288 EmploeeID=12345678
NT
Èìÿ ïîëüçîâàòåëÿ â äîìåíå NT: СердючкаВ
UPN â AD/Exchange 2003 UPN: [email protected]
Èìÿ ïîëüçîâàòåëÿ â êàòàëîãå LDAP: Сердючка
Ðèñ. 8.16. Разнесение учетных записей с помощью MIIS В дополнение к созданию этих учетных записей могут быть автоматически удалены все связанные учетные записи — с помощью процесса уничтожения в MIIS. Автоматизация этого процесса упрощает администрирование многих учетных записей пользователей в организации и минимизирует риск случайного оставления действующей учетной записи пользователя после увольнения работника. Следующий высокоуровневый пример демонстрирует шаги, необходимые для проведения простого разнесения учетной записи. В этом примере домен к MIIS подключен Windows NT. Все учетные записи пользователей, созданные в этом домене, имеют соответствующие почтовые ящики Exchange Server 2003, созданные в отдельном лесу Active Directory. 1. Установите MIIS Enterprise. 2. Сконфигурируйте агент управления для подключенного домена Windows NT 4.0. 3. Сконфигурируйте MA для NT 4.0, чтобы атрибуты, необходимые для создания почтового ящика ресурсов, поступали в метастроку. 4. Сконфигурируйте поток атрибутов между атрибутами NT MA и метастрокой MIIS, как показано на рис. 8.17. 5. Сконфигурируйте MA для домена Active Directory в лесу Exchange Resource. 6. Убедитесь, что атрибуты MA Active Directory, которые нужны MIIS для создания почтового ящика, установлены аналогично параметрам, приведенным на рис. 8.18.
288
Active Directory в Windows Server 2003 ×àñòü II
Ðèñ. 8.17. Конфигурирование потока атрибутов в MA домена NT
Ðèñ. 8.18. Конфигурирование потока атрибутов в одном из MA 7. С помощью Visual Studio .NET 2003 укажите специализированную DLL-библиотеку расширения правил, необходимую для автоматического создания пользовательской учетной записи с почтовым ящиком в лесу ресурсов. В нашем случае DLLбиблиотека должна использовать в сценарии класс MVExtensionExchange. 8. Установите эту DLL-библиотеку расширения правил в метастроку, как показано на рис. 8.19. 9. Сконфигурируйте профили выполнения для импорта информации и автоматического создания почтовых ящиков.
Интеграция Active Directory с каталогами Novell, Oracle, Unix и NT4 Ãëàâà 8
289
Ðèñ. 8.19. Установка специализированной DLL-библиотеки расширения правил в метастроку Хотя описанный пример довольно сложен, он полезен в ситуациях, в которых один лес Exchange Server 2003 или Exchange 2000 используется в нескольких организациях. Идентификатор безопасности (SID) учетной записи домена NT импортируется в метастроку и используется для создания почтового ящика в лесу ресурсов, содержащем учетную запись внешнего домена в виде связанной внешней учетной записи. С помощью централизованной реализации MIIS лес ресурсов Exchange может поддерживать автоматическое создание почтовых ящиков работников для большого количества подключенных доменов.
Ðåçþìå ïî MIIS 2003 MIIS является универсальным и мощным инструментом синхронизации каталогов, который можно использовать для упрощения и автоматизации выполнения некоторых задач управления каталогами. В силу природы MIIS это средство может оказаться очень опасным, поскольку агенты управления могут иметь полный доступ к подключенным каталогам. Из-за неверной конфигурации агентов управления MMS может произойти потеря данных, поэтому, прежде чем запустить MIIS в производственные каталоги любой организации, необходимо выполнить тщательное планирование и лабораторное тестирование. Часто целесообразно обратиться к сертифицированным провайдерам/партнерам решений Microsoft, чтобы принять решение, годится ли MIIS для вашей среды, либо даже для проектирования и помощи во внедрении.
Ðåçþìå Интеграция ключевой технологии Microsoft с другими платформами уже становится реальностью с появлением трех главных продуктов, описанных в данной главе. Правильное применение Services for Unix, Services for NetWare и службы идентификации и объединения Microsoft может помочь снизить общую стоимость затрат на со-
290
Active Directory в Windows Server 2003 ×àñòü II
провождение сред нескольких платформ. Кроме того, эти технологии приближают далекую цель сведения нескольких сред каталогов под одну крышу с помощью реализации единой входной регистрации, синхронизации паролей и других ключевых функций, интегрирующих каталоги с Windows Server 2003.
Ïîëåçíûå ñîâåòû •
Используйте сервер идентификации и объединения Microsoft для управления учетными данными и разнесения учетных записей.
•
Будьте осторожны при модернизации схемы AD для поддержки MSDSS с Services for NetWare.
•
Уясните разницу между правами доступа к файлам NetWare и правами безопасности NTFS и способ компенсации этих различий утилитой миграции файлов.
•
Используйте бесплатный пакет возможностей идентификации и объединения, если нужна лишь синхронизация между лесами AD.
•
Инсталлируйте лишь сервер для NIS, если Windows Server не подчинен какомулибо NIS-серверу на основе Unix.
•
Используйте Interix для замены старых сценариев Unix и их выполнения в среде Windows.
•
Инсталлируйте сервер для NIS только на контроллерах доменов Active Directory, чтобы обеспечить возможность аутентификацию из NIS в AD на доменном уровне.
•
Инсталлируйте клиент для NFS и шлюз для NFS на различных системах.
•
Инсталлируйте компонент аутентификации сервера для NIS на всех контроллерах домена, в котором будут применяться полномочия безопасности.
Ñåòåâûå ñëóæáû
 ÝÒÎÉ ×ÀÑÒÈ... 9. Ñèñòåìà äîìåííûõ èìåí 10. DHCP, WINS è êîíòðîëëåðû äîìåíîâ 11. Èíôîðìàöèîííûå cëóæáû Internet âåðñèè IIS 6
×ÀÑÒÜ
III
Система доменных имен Ãëàâà 9
Ñèñòåìà äîìåííûõ èìåí
 ÝÒÎÉ ÃËÀÂÅ... •
Âíóòðåííåå óñòðîéñòâî ñèñòåìû äîìåííûõ èìåí
•
Ñòðóêòóðà DNS
•
Íà÷àëî ðàáîòû ñ DNS â Windows Server 2003
•
Ïîíÿòèå çàïèñåé ðåñóðñîâ
•
Çîíû DNS
•
Ïåðåíîñû çîíû
•
DNS-çàïðîñû
•
Äðóãèå êîìïîíåíòû DNS
•
Ýâîëþöèÿ Microsoft DNS
•
Èçìåíåíèÿ DNS â Windows Server 2003
•
DNS â ñðåäå Active Directory
•
Óñòðàíåíèå íåïîëàäîê â DNS
ÃËÀÂÀ
9
293
294
Сетевые службы ×àñòü III
Âíóòðåííåå óñòðîéñòâî ñèñòåìû äîìåííûõ èìåí Преобразование имен (во многих источниках называемое “трансляцией имен”) — основной компонент реализации любой сетевой операционной системы (NOS). Способность любого отдельного ресурса находить остальные ресурсы является обязательным условием функционирования сети. И, конечно, выбранная для конкретной NOS стратегия преобразования имен должна быть надежной и соответствовать существующим промышленным стандартам. В Windows Server 2003 в качестве основного метода преобразования имен используется система доменных имен (Domain Name System — DNS) — жизненно важный компонент любых реализаций Active Directory в Windows Server 2003. Реализация DNS в Windows Server 2003 была спроектирована в соответствии с основными запросами на комментарии (Request for Comments — RFC), в которых определена сущность функционирования DNS. В результате ее применение особенно выгодно в существующих сетевых реализациях, поскольку Windows Server 2003 получает возможность взаимодействия с другими типами DNS, совместимыми с теми же RFC. В этой главе подробно рассмотрены основные компоненты DNS в целом и дан обзор особенностей ее реализации в Windows Server 2003. Особое внимание уделено роли DNS в Active Directory и способам ее сопряжения со стандартными и нестандартными конфигурациями. Приведены пошаговые инструкции по установке и конфигурированию компонентов DNS, специфичных для Windows Server 2003. Кроме того, ознакомиться с DNS на практических примерах помогут рекомендации по устранению неполадок в DNS и конкретные сценарии проектирования Active Directory.
Ïîòðåáíîñòü â DNS Компьютеры и люди воспринимают информацию совершенно по-разному. Люди значительно лучше воспринимают названия, а не числа. Например, большинство людей запоминают названия городов, а не их почтовые коды. Однако компьютеры работают с двоичными значениями и, следовательно, им удобнее работать с числами. Например, почтовые компьютеры для облегчения доставки писем преобразуют названия городов и улиц в используемые в данном регионе почтовые коды. Преобразование имен в компьютерных системах осуществляется аналогично. Удобное для пользователя имя преобразуется в воспринимаемое компьютером число. В TCP/IP используется схема нумерации, которая однозначно идентифицирует в сети интерфейс каждого компьютера последовательностью чисел наподобие 10.1.2.145, называемой IP-адресом. Поскольку большинству людей неохота запоминать такого рода номера, требуется возможность их простого преобразования в удобные для пользователей имена, например, www.microsoft.com. В простейшей форме DNS обеспечивает распределенное преобразование имен, при котором каждый сервер или набор серверов управляет определенной зоной и содержит записи для каждого ресурса, называемые записями ресурсов (Resource Record — RR), которые указывают расположение конкретных объектов.
Система доменных имен Ãëàâà 9
295
Удобной аналогией DNS являются телефонные книги. В каждом городе или регионе (пространстве имен) издается отдельная телефонная книга (зона), содержащая множество списков (записей ресурсов), в которых имена людей сопоставлены их телефонным номерам (IP-адресам). Этот простой пример служит иллюстрацией основных принципов, положенных в основу DNS. Если эти основные принципы понятны, дальнейшее понимание нюансов, особенно применительно к DNS Windows Server 2003, не представляет особой сложности.
Èñòîðèÿ DNS В первоначальной реализации Internet использовался простой текстовый файл с именем HOSTS, который содержал простой список всех серверов Internet и соответствующих им IP-адресов. Этот файл вручную копировался с первичного сервера на несколько вторичных HOSTS-серверов. Однако по мере добавления в Internet все новых серверов обновление этого файла становилось все более трудной задачей, что породило потребность в новой системе. В 1983 году в качестве непосредственного решения этой проблемы были выпущены документы RFC для системы доменных имен (Domain Name System — DNS), и эта форма преобразования имен была реализована по всей сети Internet. Вместо небольшого числа статических файлов HOSTS образовалась иерархическая система преобразования имен, состоящая из DNS-серверов, в которой серверы выполняли преобразование имен только определенного сегмента хостов Internet, а те запросы, которые они были не в состоянии удовлетворить, переадресовывали другим серверам. Это позволило в огромной степени увеличить количество записей, хранящихся в DNS, не вызывая при этом существенного снижения производительности. Для Windows NT 4.0 компания Microsoft разработала собственную реализацию DNS, основанную на стандартах RFC, определяющих DNS. С выпуском Windows 2000 компания Microsoft приняла DNS в качестве стратегии преобразования имен в своих продуктах. Более старые, унаследованные от предшествующих операционных систем (OC), системы преобразования имен наподобие WINS постепенно выходят из употребления. С тех пор используемая Microsoft реализация DNS значительно развилась, и теперь включает ряд важных преимуществ по сравнению со стандартными реализациями, используемыми в других системах — например, Unix BIND. Однако чтобы разобраться в этих усовершенствованиях, необходимо усвоить основные принципы функционирования DNS.
Ñòðóêòóðà DNS Структура DNS тесно связана со структурой Internet, и ее часто путают с самой сетью Internet. Эта структура исключительно удобна, и ее применение до настоящего времени обусловлено как раз ее функциональностью. Подробное исследование компонентов DNS и способа ее логического структурирования важно для общего понимания того, как DNS интегрирована в Windows Server 2003.
296
Сетевые службы ×àñòü III
Èåðàðõèÿ DNS В DNS использован иерархический подход к преобразованию имен, при котором информация передается по иерархии доменных имен вверх и вниз, пока не будет найден нужный компьютер. Уровни иерархии в обозначении доменного имени разделяются точками (.) Полностью определенное имя домена (Fully Qualified Domain Name — FQDN), такое как server1.sales.companyabc.com, однозначно идентифицирует пространство ресурса в иерархии DNS. На рис. 9.1 показано размещение вымышленной компании CompanyABC в иерархии DNS. . Êîðåíü
.com .edu
.net
.org
companyabc.com microsoft.com
sales.companyabc.com
Ðèñ. 9.1. Иерархия DNS Вершина этой иерархии называется корнем (root), представляется единственной точкой (.) и управляется главным центром регистрации в Internet (Internet Registration Authority). Следующий уровень иерархии DNS образован пространствами доменных имен .com, .net, .gov, .fr и так далее, которые нестрого определяют определенную категорию, к которой относится данное пространство доменных имен. Например, обычно доменам образовательных заведений присваиваются расширения .edu, а доменам коммерческих организаций — .com. Эти расширения образуют первый набор ветвей дерева DNS. Второй уровень иерархии DNS, как правило, содержит официальное название организации, наподобие companyabc, как показано на рис. 9.1. Обычно этот уровень является первой областью в иерархии DNS, в которой организация может авторитетно контролировать записи внутри домена. По различным причинам в иерархии DNS могут создаваться, и обычно создаются, поддомены. Например, домен sales.microsoft.com мог бы существовать в качестве поддомена домена microsoft.com. Таким образом, иерархия DNS может содержать несколько возможных уровней.
Система доменных имен Ãëàâà 9
297
Ïðîñòðàíñòâî èìåí DNS Ограниченную область, определенную именем DNS, называют пространством имен (namespace) DNS. Например, пространством имен является microsoft.com или marketing.companyabc.com. Пространства имен могут быть либо общедоступными, либо внутренними. Общедоступные пространства имен публикуются в Internet и определяются набором стандартов. Все пространства имен типа .com, .net, .org и тому подобные являются внешними, или общедоступными. Внутренние пространства имен не публикуются в Internet, но зато они и не ограничиваются никакими правилами. То есть внутреннее, неопубликованное, пространство имен может быть любым мыслимым пространством имен, например, dnsname.local или companyabc.internal. Чаще всего внутренние пространства имен используются в Active Directory, поскольку они повышают безопасность пространства имен. Поскольку такие пространства имен не публикуются, к ним нельзя получить доступ непосредственно из Internet.
Íà÷àëî ðàáîòû ñ DNS â Windows Server 2003 Чтобы полностью разобраться в возможностях, которые Windows Server 2003 предоставляет для работы с DNS, нужно установить этот продукт в лабораторной среде. Это облегчит концептуальное понимание различных компонентов DNS, которые представлены в данной главе.
Óñòàíîâêà DNS ñ ïîìîùüþ ìàñòåðà êîíôèãóðèðîâàíèÿ ñåðâåðà Хотя существуют различные способы установки и конфигурирования DNS, наиболее простой и полный процесс выполняет вызов мастера Configure Your Server Wizard (Мастер конфигурирования сервера), а затем мастера Configure a DNS Server Wizard (Мастер конфигурирования сервера DNS). Подробно описанный в этой главе процесс служит иллюстрацией установки стандартной зоны. Возможно множество вариантов установки, но данный сценарий иллюстрирует основные принципы установки DNS. Установка DNS на сервере Windows Server 2003 очень проста и не требует перезагрузки системы. Чтобы установить и сконфигурировать службу DNS на компьютере Windows Server 2003, выполните следующие шаги. Если DNS уже установлена на сервере, но не сконфигурирована, выполните шаги, начиная с пункта 7. 1. Выберите в меню Start (Пуск) пункт All ProgramsÖAdministrative ToolsÖConfigure Your Server Wizard (Все программыÖАдминистрированиеÖМастер конфигурирования сервера). 2. На экране приветствия мастера щелкните на кнопке Next (Далее). 3. Убедитесь, что все необходимые условия выполнены, и щелкните на кнопке Next. После этого мастер конфигурирования сервера выполнит проверку сети.
298
Сетевые службы ×àñòü III
НА ЗАМЕТКУ Если при запуске мастера конфигурирования сервера, как описано до пункта 3, была выбрана типичная конфигурация, сетевые компоненты DNS и контроллер домена Active Directory будут установлены автоматически. В случае выбора пользовательской конфигурации в Мастере конфигурирования сервера придется выполнить шаги 4–21.
4. Выберите пункт DNS Server Component (Компонент сервера DNS) и щелкните на кнопке Next. 5. Выберите опции Install DNS Server (Установить сервер DNS) и Run the Configure a DNS Server Wizard to Configure DNS (Запустить Мастер конфигурирования сервера DNS для конфигурирования DNS), после чего щелкните на кнопке Next. 6. После завершения установки DNS может появиться предложение вставить компакт-диск Windows Server 2003. В этом случае вставьте его и щелкните на кнопке OK. 7. Затем автоматически запустится мастер Configure a DNS Server Wizard (Мастер конфигурирования сервера DNS), окно которого показано на рис. 9.2. (Или, если DNS уже установлена, запустите мастер вручную, выбрав в меню Start пункт Run (Выполнить) и введя команду dnswiz.exe.)
Ðèñ. 9.2. Мастер конфигурирования сервера DNS 8. На экране приветствия мастера конфигурирования сервера DNS щелкните на кнопке Next. 9. Установите флажок Create Forward and Reverse Lookup Zones (Recommended for Large Networks) (Создать зоны прямого и обратного просмотра (рекомендуется для больших сетей)) и щелкните на кнопке Next. 10. Выберите опцию Yes, Create a Forward Lookup Zone Now (Recommended) (Да, создать сейчас зону прямого просмотра (рекомендуется)) и щелкните на кнопке Next. 11. Выберите тип создаваемой зоны — в данном случае Primary Zone (Первичная зона) — и щелкните на кнопке Next. Если сервер является контроллером домена, активен флажок Store Zone in Active Directory (Хранить зону в Active Directory).
Система доменных имен Ãëàâà 9
299
12. В поле Zone Name (Имя зоны) введите имя зоны и щелкните на кнопке Next. 13. На этом этапе можно создать новый текстовый файл зоны или выполнить импорт из существующего файла зоны. В данном случае выберите опцию Create a New File with This File Name (Создать новый файл с этим именем) и примите значения, предложенные по умолчанию. Щелкните на кнопке Next. 14. На следующем экране можно позволить или запретить возможность динамических обновлений. В данном случае разрешите динамические обновления, выбрав переключатель Allow Both Nonsecure and Secure Dynamic Updates (Разрешить и небезопасные, и безопасные динамические обновления), и щелкните на кнопке Next.
НА ЗАМЕТКУ Разрешая динамические обновления для DNS-сервера, необходимо точно знать источники динамически обновляемой информации. Если источники не надежны, динамическое обновление может привести к повреждению или искажению информации.
15. На следующем экране можно создать зону обратного просмотра. В данном случае выберите опцию Yes, Create a Reverse Lookup Zone Now (Да, создать зону обратного просмотра сейчас) и щелкните на кнопке Next. 16. Выберите вариант Primary Zone и щелкните на кнопке Next. 17. Введите сетевой идентификатор зоны обратного просмотра и щелкните на кнопке Next. (Как правило, сетевой идентификатор является первым набором октетов IP-адреса зоны. Например, если в сети используется диапазон IP-адресов класса C 10.1.1.0/24, нужно ввести значения 10.1.1, как показано на рис. 9.3.)
Ðèñ. 9.3. Создание зоны обратного просмотра 18. Как и ранее, имеется возможность создать новый файл зоны или использовать уже существующий. В данном случае опять выберите опцию Create a New File with This File Name и щелкните на кнопке Next. 19. Снова откроется окно для определения динамических обновлений. Еще раз выберите опцию Allow Both Nonsecure and Secure Dynamic Updates и щелкните на кнопке Next.
300
Сетевые службы ×àñòü III
20. Следующий экран позволяет определить параметры ретрансляторов, которые подробнее будут описаны далее в этой главе, в разделе “Зоны DNS”. Для данного примера выберите опцию No, It Should Not Forward Queries (Нет, запросы переадресовывать не нужно) и щелкните на кнопке Next. 21. В последнем окне, изображенном на рис. 9.4, отображается сводка предстоящих изменений и зон, которые будут добавлены в базу данных DNS. Чтобы завершить внесение изменений и создать зоны, два раза щелкните на кнопке Finish (Готово).
НА ЗАМЕТКУ В зависимости от связности сети между двумя щелчками в процессе завершения внесения изменений в DNS, описанном в пункте 21, может появиться еще одно диалоговое окно. Если данный компьютер не подключен к локальной сети, появится диалоговое окно с сообщением об ошибке при поиске корневых ссылок. Но, несмотря на это, при щелчке на кнопке OK конфигурирование DNS все же будет успешно выполнено. Так что это сообщение можно считать всего лишь информационным.
Ðèñ. 9.4. Заключительные шаги мастера конфигурирования сервера DNS
Êîíôèãóðèðîâàíèå DNS äëÿ óêàçàíèÿ íà ñåáÿ Установка DNS выполняется сразу после закрытия мастера конфигурирования сервера DNS. После установки необходимо сконфигурировать параметры TCP/IP DNS-сервера, чтобы при преобразовании имен DNS он указывал на самого себя, если только нет веской причины не делать этого. Для выполнения этой задачи выполните следующие шаги: 1. Выберите в меню Start пункт Control PanelÖNetwork Connections (Панель управленияÖСетевые подключения). 2. В окне Network Connections (Сетевые подключения) щелкните правой кнопкой мыши на строке <Подключение по локальной сети> (где Подключение по локальной сети — конкретный сетевой адаптер, предназначенный для использования в сети, в которой внедрена DNS) и выберите в контекстном меню пункт Properties (Свойства).
Система доменных имен Ãëàâà 9
301
3. Дважды щелкните на строке Internet Protocol (TCP/IP) (Протокол Internet (TCP/IP)). 4. Убедитесь, что в появившемся диалоговом окне выбрана опция Use the Following DNS Server Address (Использовать следующий адрес DNS-сервера), а затем введите IP-адрес DNS-сервера в поле Preferred DNS Server (Предпочитаемый DNS-сервер). 5. При наличии еще одного сервера DNS его адрес можно ввести в поле Alternate DNS Server (Альтернативный DNS-сервер). 6. Щелкните два раза на кнопке OK, чтобы активизировать изменения.
НА ЗАМЕТКУ Ранее для Windows 2000 рекомендовалось, чтобы корневой DNS-сервер указывал в качестве первичного сервера имен на другой сервер DNS. Эта рекомендация была вызвана так называемой проблемой “острова” (“island” problem) в Windows DNS. Администраторов обрадует тот факт, что в Windows Server 2003 эта проблема решена, и поэтому в большинстве случаев рекомендуется конфигурировать DNS-сервер так, чтобы он указывал на самого себя. Подробнее эта концепция описана далее в этой главе.
Ïîíÿòèå çàïèñåé ðåñóðñîâ Объекты в иерархии DNS идентифицируются с помощью записей ресурсов (Resource Record — RR). Эти записи используются для выполнения основных операций поиска пользователей и ресурсов внутри указанного домена и уникальны для содержащего их домена. Однако, поскольку DNS не является плоским пространством имен, на различных уровнях иерархии DNS может существовать несколько одинаковых записей RR. Возможность существования таких уровней обусловлена распределенной природой иерархии DNS. Большинство реализаций DNS, особенно связанных с Active Directory Windows Server 2003, содержат несколько ключевых записей ресурсов. Для лучшего понимания DNS необходимо иметь общее представление об этих конкретных типах записей RR.
Çàïèñè íà÷àëà ïîëíîìî÷èé В базе данных DNS начальная запись зоны (Start of Authority — SOA) указывает, какой сервер ответственен за указанную зону. Теперь указанный в записях SOA сервер считается лучшим источником информации об этой зоне и ответственным за обработку обновлений зоны. Запись SOA содержит такую информацию, как время существования (Time to Live — TTL), контактное лицо, отвечающее за работу DNS, и другую важную информацию, как показано на рис. 9.5.
Çàïèñè õîñòîâ (A) Наиболее часто встречающийся тип записей ресурсов — записи хостов, называемые также записями A. Этот тип RR содержит лишь имя хоста и соответствующий ему IPадрес, как показано на рис. 9.6.
302
Сетевые службы ×àñòü III
Ðèñ. 9.5. Пример записи SOA
Ðèñ. 9.6. Примеры записей хостов Подавляющее большинство записей ресурсов в DNS — это записи A, поскольку они используются для идентификации IP-адресов большинства содержащихся в домене ресурсов.
Çàïèñè ñåðâåðà èìåí (NS) Записи сервера имен (Name Server — NS) указывают, какие компьютеры в базе данных DNS являются серверами имен — то есть DNS-серверами для конкретной зоны. Для каждой зоны может существовать только одна запись типа SOA, но могут быть несколько NS-записей, которые указывают клиентам, к каким компьютерам можно адресовать DNS-запросы.
Система доменных имен Ãëàâà 9
303
НА ЗАМЕТКУ В действительности записи серверов имен, или записи NS, не содержат IP-адрес конкретного ресурса. На самом деле в большинстве случаев эту информацию содержат только записи A. Записи NS и другие аналогичные записи просто указывают на запись A сервера. Например, запись NS просто указывает на запись server1.companyabc.com, которая направляет запрос к записи A сервера server1 в зоне companyabc.com.
Çàïèñè ñëóæá (SRV) Записи служб (Service — SRV) — это записи ресурсов, которые указывают на ресурсы, выполняющие конкретные услуги. Обращение к контроллерам доменов в Active Directory осуществляется посредством записей SRV, определяющих конкретные службы: глобальный каталог, LDAP и Kerberos. Записи SRV введены в DNS сравнительно недавно и не существовали в первоначальной реализации стандарта. Каждая запись SRV содержит информацию о конкретных функциях, выполняемых данным ресурсом. Например, LDAPсервер может добавить запись SRV, указывающую, что он может обрабатывать LDAPзапросы для конкретной зоны. Записи SRV могут оказаться очень удобными для Active Directory, поскольку с их помощью контроллеры доменов могут объявлять о своей возможности обрабатывать запросы глобальных каталогов, как показано на рис. 9.7.
НА ЗАМЕТКУ Поскольку записи SRV появились в DNS сравнительно недавно, они не поддерживаются некоторыми реализациями DNS низкого уровня, такими как Unix BIND 4.1.x и NT 4.0 DNS. Поэтому крайне важно, чтобы среда DNS, используемая для работы Active Directory Windows Server 2003, позволяла создавать записи SRV. Для серверов Unix BIND рекомендуется использовать версию 8.1.2 или более позднюю.
Ðèñ. 9.7. Пример записи SRV для элемента глобального каталога Active Directory
304
Сетевые службы ×àñòü III
Çàïèñè îáìåíà ïî÷òîé (MX) Записи обмена почтой (Mail Exchanger — MX) указывают, какие ресурсы позволяют принимать почту по протоколу SMTP. Записи MX могут быть определены на уровне домена, чтобы адресованная конкретному домену почта направлялась серверу или серверам, указанным в этой записи. Например, если запись MX определена для домена companyabc.com, то вся почта, отравленная по адресу [email protected], будет автоматически направляться серверу, указанному в записи MX.
Çàïèñè óêàçàòåëåé (PTR) Обратные запросы к DNS выполняются с помощью записей указателей (Pointer — PTR). То есть, если пользователю нужно узнать имя ресурса, связанного с конкретным IP-адресом, ему придется выполнить обратный поиск по этому IP-адресу. В этом случае сервер DNS с помощью записи PTR возвратит имя, связанное с данным IP-адресом. Обычно записи PTR находятся в зонах обратного просмотра.
Çàïèñè êàíîíè÷åñêèõ èìåí (CNAME) Запись канонического имени узла (Canonical Name — CNAME) представляет псевдоним сервера, что делает возможной в DNS ссылку на любой сервер по нескольким именам. По существу, эта запись перенаправляет адресованные ей запросы на записи A данного хоста. Записи CNAME полезны при миграции серверов и в ситуациях, когда для указания на сложные имена серверов типа sfoexch01.companyabc.com требуются более удобные имена наподобие mail.companyabc.com.
Äðóãèå òèïû çàïèñåé В DNS могут существовать и другие, реже встречающиеся формы записей, имеющие специальное назначение. Ниже приведен далеко не полный перечень возможных типов записей: •
AAAA. Отображает стандартный IP-адрес на 128-битовый адрес IPv6, как показано на рис. 9.8. По мере принятия стандарта IPv6 этот тип записи станет более распространенным.
•
ISDN. Отображает конкретное имя DNS на телефонный номер ISDN.
•
KEY. Хранит открытый ключ, используемый для шифрования в конкретном домене.
•
RP. Указывает ответственное лицо (Responsible Person) домена.
•
WKS. Обозначает конкретную общеизвестную службу (Well Known Service).
•
MB. Указывает хост, содержащий конкретный почтовый ящик.
Çîíû DNS Зона (zone) в DNS — это часть пространства имен DNS, управляемая конкретным сервером или группой серверов DNS. В DNS зона представляет собой основной механизм делегирования полномочий и используется для установки границ, в пределах ко-
Система доменных имен Ãëàâà 9
305
торых может выполнять запросы конкретный сервер. Любой сервер, на котором размещена какая-либо зона, называют ответственным за эту зону, за исключением зонзаглушек, которые определены далее в этой главе. На рис. 9.9 показано, как различные части пространства имен DNS могут быть разделены на зоны, каждая из которых может размещаться на сервере или группе серверов DNS. Важно понимать, что любой раздел или подраздел DNS может существовать внутри единой зоны. Например, организация может поместить в единую зону все пространство имен домена, поддоменов и под-поддоменов. Или же определенные разделы этого пространства имен можно разделить на отдельные зоны. Фактически все пространство имен Internet можно рассматривать как единое пространство имен с корнем ., которое разделено на множество различных зон.
Ðèñ. 9.8. Запись ресурса типа AAAA .com
ЗОНА companyxyz.com
companyabc.com ЗОНА
asia.companyabc.com
europe.companyabc.com
ЗОНА ЗОНА east.asia.companyabc.com
Ðèñ. 9.9. Зоны DNS
west.asia.companyabc.com
sales.europe.companyabc.com
306
Сетевые службы ×àñòü III
НА ЗАМЕТКУ Сервер, установленный с DNS, но не имеющий ни одной сконфигурированной зоны, называют только кэширующим (caching-only) сервером. Установка только кэширующего сервера может пригодиться в некоторых ситуациях установки системы в филиалах организации, поскольку это может уменьшить объем трафика клиентских запросов по сети и устранить необходимость репликации полных зон DNS на удаленные площадки.
Çîíû ïðÿìîãî ïðîñìîòðà Как понятно из их названия, зоны прямого просмотра (forward lookup zone) создаются для выполнения прямого просмотра в базе данных DNS. То есть этот тип зоны выполняет преобразование имен в IP-адреса и информацию о ресурсах. Например, если пользователю нужно обратиться к серверу Server1, и он запрашивает его IP-адрес в зоне прямого просмотра, DNS возвратит 10.0.0.11 — IP-адрес данного ресурса.
НА ЗАМЕТКУ Ничто не мешает присвоить одному ресурсу нескольких записей ресурсов. На самом деле этот прием часто используется во многих ситуациях. В определенных обстоятельствах удобнее, если сервер откликается на более чем одно имя. Обычно подобная функциональность достигается созданием записей CNAME, которые создают псевдонимы для конкретного ресурса.
Çîíû îáðàòíîãî ïðîñìîòðà Зона обратного просмотра (reverse lookup zone) выполняет прямо противоположную операцию по сравнению с зоной прямого просмотра. В зоне обратного просмотра IPадрес сопоставляется обычному имени. Эта операция аналогична поиску неизвестного имени по известному номеру телефона. Зоны обратного просмотра должны создаваться вручную, и они существуют не во всех реализациях. В основном они содержат записи PTR, которые служат для определения имени при выполнении запроса обратного просмотра.
Ïåðâè÷íûå çîíû В традиционной DNS (без интегрированной Active Directory) один сервер служит первичным DNS-сервером зоны, и все изменения, выполняемые в данной зоне, выполняются на этом конкретном сервере. Один DNS-сервер может содержать несколько зон, будучи первичным сервером для одной зоны и вторичным для другой. Однако если зона является первичной, все запрошенные изменения для данной зоны должны выполняться на сервере, содержащем основную копию зоны. Ручное создание новой первичной зоны — достаточно простой процесс. Ниже приведена процедура создания стандартной зоны для пространства имен DNS companyabc.com: 1. Откройте оснастку DNS консоли MMC, выбрав в меню Start пункт Administrative ToolsÖDNS (АдминистрированиеÖDNS). 2. Найдите строку DNS \ <Имя_сервера> \ Forward Lookup Zones (DNS\ <Имя_сервера>\Зоны прямого просмотра).
Система доменных имен Ãëàâà 9
307
3. Щелкните правой кнопкой мыши на элементе Forward Lookup Zones (Зоны прямого просмотра) и выберите в контекстном меню пункт New Zone (Создать зону). 4. На экране приветствия щелкните на кнопке Next. 5. В списке возможных типов зон выберите Primary Zone. Поскольку эта зона не будет интегрирована в AD, сбросьте флажок Store the Zone in Active Directory (Хранить зону в Active Directory), если он установлен, и щелкните на кнопке Next. 6. Введите имя создаваемой первичной зоны и щелкните на кнопке Next. 7. Поскольку файл новой зоны создается, а не импортируется, выберите опцию Create New File with This File Name (Создать новый файл с этим именем) и щелкните на кнопке Next. 8. Определите, будут ли разрешены в этой зоне динамические обновления. Если нет, выберите опцию Do Not Allow Dynamic Updates (Не разрешать динамические обновления) и щелкните на кнопке Next. 9. На заключительной странице щелкните на кнопке Finish, чтобы создать зону.
Âòîðè÷íûå çîíû Вторичные зоны (secondary zone) создаются для обеспечения резервирования и разгрузки первичной зоны. Однако каждая копия базы данных DNS доступна только для чтения, поскольку все модификации записей выполняются в первичной зоне. Один сервер DNS может содержать несколько первичных и несколько вторичных зон. Процесс создания вторичной зоны аналогичен описанному в предыдущем разделе процессу создания первичной зоны, но только зона передается из существующего первичного сервера.
Çîíû-çàãëóøêè Концепция зон-заглушек появилась в Microsoft DNS недавно. Зона-заглушка (stub zone) представляет собой зону, которая не содержит никакой информации о членах домена, а служит только для переадресации запросов к списку назначенных серверов имен для различных доменов. Поэтому зона-заглушка содержит только записи NS, SOA и связанные записи. Связанные записи (glue records) представляют собой записи A, которые используются в сочетании с конкретной записью NS для преобразования IPадреса конкретного сервера имен. Сервер, содержащий зону-заглушку какого-либо пространства имен, не управляет этой зоной. Как показано на рис. 9.10, по существу зона-заглушка замещает зону, выполняющую управление на другом сервере. Она позволяет серверу переадресовывать запросы, направленные в определенную зону, в список серверов имен этой зоны. Если в Windows Server 2003 понадобится зона-заглушка, создать ее легко. Ниже приведены шаги создания зоны-заглушки. 1. Откройте оснастку DNS консоли MMC, выбрав в меню Start пункт Administrative ToolsÖDNS. 2. Найдите строку DNS \ <Имя_сервера> \ Forward Lookup Zones. 3. Щелкните правой кнопкой мыши на строке Forward Lookup Zones и выберите в контекстном меню пункт New Zone.
Сетевые службы ×àñòü III
308
Server1 192.168.0.11 NSзаписи
Управляет зоной
Управляет зоной
companyabc.com
companyabc.com
Server2 192.168.0.12
Server3 192.168.0.13
ÏÅÐÂÈ×ÍÀß ÇÎÍÀ
ЗОНА-ЗАГЛУШКА NS server2.companyabc.com
SOA
A server2.companyabc.com
NS
NS server3.companyabc.com
NS
A server3.companyabc.com
A A A
A
A A
A
Связанные записи
A
A A
A A
ÂÒÎÐÈ×ÍÀß ÇÎÍÀ
A
SOA
A A A A A
NS A
A
NS
A
A A
A
Âñå çàïèñè çîíû
A A
A A
A
A
A A
A A
A A A A A
A A
A
Âñå çàïèñè çîíû
Ðèñ. 9.10. Зоны-заглушки 4. На экране приветствия щелкните на кнопке Next. 5. В списке возможных типов зон выберите Stub Zone (Зона-заглушка). Поскольку эта зона не будет интегрирована в AD, сбросьте флажок Store the Zone in Active Directory (Хранить зону в Active Directory), если он установлен, и щелкните на кнопке Next. 6. Введите имя создаваемой зоны-заглушки и щелкните на кнопке Next. 7. Выберите опцию Create a new File with This File Name (Создать новый файл с этим именем) и примите параметры, предложенные по умолчанию, если только не выполняется миграция из существующего файла зоны. Щелкните на кнопке Next. 8. Введите IP-адрес сервера или серверов, с которых будут скопированы записи зоны. Для каждого введенного сервера щелкните на кнопке Add (Добавить), как показано на рис. 9.11, а затем щелкните на кнопке Next. 9. На заключительной странице щелкните на кнопке Finish, чтобы создать зону. Вновь созданная зона-заглушка будет содержать только записи SOA, NS и связанные записи того домена, на который она указывает.
Ïåðåíîñû çîíû Копирование базы данных DNS с одного сервера на другой выполняется с помощью процесса, называемого переносом зоны (zone transfer). Переносы зоны требуются для любой зоны, содержимым которой управляет более чем один сервер имен. Однако механизм переноса зоны зависит от версии DNS и от того, интегрирована ли зона в Active Directory. DNS-серверы могут быть сконфигурированы так, чтобы уведомлять другие DNSсерверы об изменениях в зоне и о начале запланированном переносе зоны. Чтобы настроить сервер для переноса зоны из зоны прямого просмотра на другой сервер, необходимо выполнить следующую процедуру.
Система доменных имен Ãëàâà 9
309
1. Откройте оснастку DNS консоли MMC, выбрав в меню Start пункт Administrative ToolsÖDNS. 2. Найдите строку DNS \ <Имя_сервера> \ Forward Lookup Zones. 3. Щелкните правой кнопкой мыши на имени зоны и выберите в контекстном меню пункт Properties. 4. Перейдите на вкладку Zone Transfers (Переносы зоны). 5. Установите флажок Allow Zone Transfers (Разрешить переносы зоны) и выберите опцию Only to the Following Servers (Только на следующие серверы). 6. Введите IP-адрес сервера, который будет принимать обновления, как показано на рис. 9.12. 7. Чтобы сохранить изменения, щелкните на кнопке OK.
НА ЗАМЕТКУ Кроме конкретного указания адресатов переносы зоны их IP-адресами, можно выбрать переключатель Only to Servers Listed on the Name Servers Tab (Только на серверы, перечисленные на вкладке серверов имен) — конечно, если сервер или серверы назначения перечислены на вкладке Name Servers (Серверы имен).
Âûïîëíåíèå ïîëíîãî ïåðåíîñà çîíû Стандартный метод переноса зоны, при котором все содержимое зоны DNS пересылается на другие серверы, называют асинхронным переносом зоны (Asynchronous Zone Transfer — AXFR) или полным переносом зоны. При этом типе переноса зоны все элементы базы данных DNS копируются на отдельный сервер, независимо от наличия в базе данных каких-либо элементов. В предшествующих реализациях DNS использовался исключительно метод AXFR, а в некоторых случаях он используется и в настоящее время.
Ðèñ. 9.11. Вновь созданная зона-заглушка
Ðèñ. 9.12. Настройка переносов зоны
310
Сетевые службы ×àñòü III
Èíèöèèðîâàíèå èíêðåìåíòíîãî ïåðåíîñà çîíû Инкрементный перенос зоны (incremental zone transfer — IXFR) — это процесс, при котором все инкрементные изменения в базе данных DNS реплицируются на другой DNS-сервер. Это экономит пропускную способность сети по сравнению с репликацией изменений методом AXFR, поскольку реплицируется только дельта, то есть изменения, внесенные в базу данных с момента ее последнего переноса. Переносы зоны методом IXFR выполняются с учетом номера индекса, указанного в записи SOA DNS-сервера, который содержит первичную зону. При каждом изменении зоны этот номер увеличивается на единицу. Если, например, номер индекса сервера, который запрашивает перенос зоны, равен 45, а номер индекса сервера первичной зоны равен 55, то перенос IXFR отправит на запрашивающий сервер только изменения, выполненные в промежутке между 45 и 55. Однако если различие между номерами индексов слишком велико, информация на запрашивающем сервере будет считаться устаревшей, и система выполнит полный перенос AXFR. Например, если индекс запрашивающего сервера равен 25, а индекс сервера первичной зоны — 55, будет запущен перенос зоны AXFR, как показано на рис. 9.13. Èíäåêñ = 50
íûé åíò û ðåì ñ çîí ê í È åíî ïåð
Server2
Èíäåêñ = 45
Èíäåêñ = 55 Èíêðåìåíòíûé ïåðåíîñ çîíû Server1
Server3
Ï ïåð îëíû åíî é ñ çî íû
Èíäåêñ = 25
Èíèöèèðîâàí ïåðåíîñ èçìåíåíèé ñ Server1 íà Server2 äëÿ èíäåêñîâ îò 50 äî 55
Èíèöèèðîâàí ïåðåíîñ èçìåíåíèé ñ Server1 íà Server3 äëÿ èíäåêñîâ îò 45 äî 55
Ïîñêîëüêó ðàçëè÷èå ìåæäó èíäåêñàìè âåëèêî, âûïîëíåí ïîëíûé ïåðåíîñ çîíû ñ Server1 íà Server4
Server4
Ðèñ. 9.13. Переносы зоны методом IXFR
DNS-çàïðîñû Основная функция DNS — преобразование имен для запрашивающих клиентов, поэтому механизм запроса является одним из наиболее важных элементов системы. Обычно к базе данных DNS выполняются два типа запросов: рекурсивный и итеративный.
Система доменных имен Ãëàâà 9
311
Ðåêóðñèâíûå çàïðîñû Чаще всего рекурсивные запросы выполняются распознавателями (resolvers), или клиентами, которые нуждаются в преобразовании конкретного имени сервером DNS. Рекурсивные запросы выполняются также DNS-сервером, если ретрансляторы сконфигурированы для использования на конкретном сервере имен. Рекурсивный запрос просто выясняет, может ли конкретный сервер имен разрешить конкретную запись. Ответ на рекурсивный запрос может быть отрицательным или положительным. Типичный сценарий выполнения рекурсивного запроса показан на рис. 9.14.
3 Server2 (Êîðíåâîé ñåðâåð)
Ðåêóðñèâíûé çàïðîñ 1
Îòâåò 8 íà çàïðîñ
Client1
2
Çàïðîñ ðàñïîçíàâàòåëÿ
5
4 6 Server1 Èòåðàòèâíûé çàïðîñ
Server3 (Êîðíåâîé ñåðâåð) 7
Server4 (Ñåðâåð Microsoft DNS Server)
Ðèñ. 9.14. Рекурсивные и итеративные запросы
Èòåðàòèâíûå çàïðîñû Итеративные запросы требуют от сервера DNS либо выполнить запрос, либо указать наилучшую ссылку на DNS-сервер, содержащий более точную информацию о том, где этот запрос может быть разрешен. Затем выполняется еще один итеративный запрос к указанному в ссылке серверу и так далее, пока не будет получен положительный или отрицательный результат. В примере, приведенном на рис. 9.14, клиент Client1 из компании CompanyABC открывает Web-браузер и пытается войти на Web-сайт www.microsoft.com. Система инициирует рекурсивный запрос к стандартному серверу имен — в данном случае Server1. Поскольку Server1 управляет только пространством имен companyabc.com и не содержит записей для microsoft.com, запрос пересылается “вышестоящему” DNSсерверу, который указан в корневых ссылках DNS-сервера. Этот Server2 тоже не управляет пространством имен microsoft.com, но он возвращает серверу Server1 ссылку на сервер Server3, являющийся сервером имен пространства имен .com. Серверу Server3 известно, что запросы преобразования имен для пространства имен microsoft.com выполняет сервер Server4, и он возвращает эту информацию серверу Server1. Затем Server1 отправляет серверу Server4 заключительный итеративный запрос, и Server4 успешно разрешает имя www соответствующим IP-адресом. Получив эту
312
Сетевые службы ×àñòü III
информацию, Server1 возвращает ответ на первоначальный запрос клиента Client1, содержащий нужный IP-адрес, и браузер клиента Client1 успешно разрешает имя www.microsoft.com. Этот функциональность лежит в основе распределенной структуры DNS и позволяет успешно выполнять поиск в DNS, что мы все и наблюдаем.
Äðóãèå êîìïîíåíòû DNS В основе DNS лежат и некоторые другие основные компоненты, которые необходимы для ее правильного функционирования. Кроме того, необходимо полностью разобраться в функциях некоторых основных компонентов DNS, интенсивно используемых в DNS реализации Microsoft.
Äèíàìè÷åñêàÿ DNS Предыдущие версии DNS зависели от обновлений всех записей в базе данных DNS, которые администраторы выполняли вручную. При каждом добавлении ресурса или изменении информации о ресурсе база данных DNS обновлялась для отражения этих изменений, обычно с помощью простого текстового редактора. Динамическая DNS была разработана из-за возросшей нагрузки администраторов по поддержанию баз данных DNS в работоспособном состоянии. Пользуясь динамической DNS, клиенты могут автоматически обновлять свои записи в DNS в соответствии с настройками безопасности данной зоны. Важно отметить, что динамические обновления поддерживают только клиенты Windows 2000/XP и последующих систем, а для обновления в DNS информации клиентов предшествующих систем (NT/9x) они должны иметь сконфигурированный соответствующим образом протокол DHCP. Однако с этой функциональностью связаны некоторые проблемы безопасности, которые будут подробно рассмотрены в последующих разделах данной главы и в главе 10.
Âðåìÿ ñóùåñòâîâàíèÿ Значение Time to Live (TTL, время существования) сервера — промежуток времени (в секундах), в течение которого распознаватель или сервер имен хранит кэшированный DNS-запрос, прежде чем снова запросить его с исходного сервера имен. Это значение помогает поддерживать актуальность информации в базе данных DNS. Установка уровней TTL отражает компромисс между потребностью в обновленной информации и необходимостью снижения сетевого трафика, обусловленного DNS-запросами. Если бы в примере из раздела “Итеративные запросы” клиент Client1 запросил IPадрес имени www.microsoft.com, и DNS-сервер получил эту информацию, то резонно было бы предположить, что этот IP-адрес изменяется не слишком часто и поэтому может быть кэширован для ответов на будущие запросы. Когда в следующий раз другой клиент запросит эту же информацию, локальный DNS-сервер возвратит ему IPадрес, полученный в ответ на запрос клиента Client1 — пока не истечет время TTL. Этот подход способствует снижению сетевого трафика и сокращению времени ответов на DNS-запросы.
Система доменных имен Ãëàâà 9
313
Значение TTL для ответа устанавливается сервером имен, который успешно разрешает запрос. То есть значения TTL для различных элементов в кэше зависят от места их преобразования и конкретной зоны, из которой они получены. Значение TTL для зоны может быть изменено в записи SOA. В среде Windows Server 2003 для этого следует использовать следующую процедуру. 1. Откройте оснастку DNS консоли MMC, выбрав в меню Start пункт Administrative ToolsÖDNS. 2. Найдите строку DNS \ <Имя_сервера> \ Forward Lookup Zones \ <Имя_зоны>. 3. Найдите запись SOA зоны и дважды щелкните на ней. 4. Измените значение Minimum (Default) TTL (Минимальное (стандартное) время существования) на нужное, как показано на рис. 9.15. 5. Чтобы принять изменения, щелкните на кнопке OK.
Ðèñ. 9.15. Изменение времени существования
Âûïîëíåíèå áåçîïàñíûõ îáíîâëåíèé Одна из основных проблем реализации динамической DNS — безопасность механизма обновления. При отсутствии мер обеспечения безопасности ничто не препятствует злоумышленникам обновить запись сервера, чтобы, например, выполнить перенаправление на свой IP-адрес. Поэтому по умолчанию динамические обновления новых стандартных зон при их создании в Windows Server 2003 отключены. Однако для зон DNS, интегрированных в AD, существует механизм, который позволяет клиентам выполнять безопасные динамические обновления. При безопасных обновлениях используется аутентификация пользователей с помощью Kerberos, обеспечивающая, что запись могут обновлять только создавшие ее клиенты. При выполнении безопасных обновлений по протоколу DHCP необходимо помнить про одну связанную с ними важную тонкость: DHCP-серверы по возможности не
314
Сетевые службы ×àñòü III
должны размещаться на контроллере домена. Эта рекомендация обусловлена тем, что все DHCP-серверы помещаются в группу DNSUpdateProxy. Никакие члены этой группы не владеют элементами, опубликованными в DNS. Данная группа была создана потому, что зачастую DHCP-серверы автоматически динамически опубликовывают обновления для клиентов, и клиентам приходится самостоятельно изменять свои записи. В результате первый же клиент, обратившийся к только что созданной записи, завладел бы ею. Поскольку контроллеры доменов создают важные для безопасности записи SRV и подобную информацию, то не стоит делать членом этой группы контроллер домена, и соответственно, не стоит размещать DHCP-сервер на одном из контроллеров домена. Если создания DHCP на контроллере домена избежать нельзя, рекомендуется отключить эту функциональность, не включив сервер в данную группу.
Ñòàðåíèå è î÷èñòêà Часто записи ресурсов DNS устаревают или теряют актуальность, поскольку компьютеры отключаются от сети, или IP-адреса изменяются без уведомления об этом DNSсервера. Процесс очистки (scavenging) этих записей состоит в их удалении из базы данных при отсутствии обновлений исходными владельцами. По умолчанию очистка отключена, но в Windows Server 2003 эту функцию можно включить, выполнив перечисленные ниже шаги. 1. Откройте оснастку DNS консоли MMC, выбрав в меню Start пункт Administrative ToolsÖDNS. 2. Щелкните правой кнопкой мыши на имени сервера и выберите в контекстном меню пункт Properties. 3. Перейдите на вкладку Advanced (Дополнительно).
Ðèñ. 9.16. Включение очистки
4. Установите флажок Enable Automatic Scavenging of Stale Records (Включить автоматическую очистку устаревших записей). 5. Выберите интервал очистки, как показано на рис. 9.16, и щелкните на кнопке OK, чтобы сохранить изменения. Очистка очищает базу данных DNS, но слишком активная очистка может привести к удалению и актуальных записей. Поэтому при использовании очистки нужно найти разумный баланс между чистой и достоверной базой данных.
Êîðíåâûå ññûëêè По умолчанию инсталляция DNS включает в себя список серверов имен уровня Internet, которые могут быть использованы для преобразования в Internet доменных
Система доменных имен Ãëàâà 9
315
имен .com, .net, .uk и им подобных. Когда сервер DNS не может выполнить запрос локально в своем кэше или в локальных зонах, он обращается к списку корневых ссылок (Root Hints), в котором указано, с каких серверов следует начинать итеративные запросы. Файл ссылок должен регулярно обновляться, чтобы гарантировать актуальность перечисленных в нем серверов. Этот файл находится в каталоге \%systemroot%\system32\DNS\cache.dns и может быть обновлен со следующей Web-страницы: ftp://ftp.rs.internic.net/domain/named.cache
Ðåòðàíñëÿòîðû Ретрансляторы (forwarders), или переадресаторы, — это серверы имен, которые обрабатывают все итеративные запросы к серверу имен. То есть если сервер не может ответить на запрос клиентского распознавателя и имеет ретранслятор, то он просто переадресует запрос ретранслятору более высокого уровня, который выполнит итеративные запросы к корневым серверам имен Internet. Часто ретрансляторы применяются в ситуациях, когда для обработки всего трафика преобразования имен организация использует DNS-серверы поставщика Internet-услуг. Еще одна обычная ситуация — применение DNS-серверов Active Directory для преобразования всех запросов в пределах AD с переадресацией всех внешних DNS-запросов другой DNS-среде внутри организации, например, все еще работающему серверу Unix BIND. При условной переадресации запросы, направленные конкретному домену или набору доменов, посылаются специально определенному DNS-серверу переадресации. Обычно подобный сценарий используется для определения маршрутов трафика для внутреннего преобразования доменов. Например, если организация управляет пространствами имен доменов companyabc.com и companyxyz.com, то запросы между этими доменами лучше разрешать на локальных DNS-серверах, а не пересылать в Internet для того, чтобы они тут же возвращались обратно для внутреннего преобразования. Серверы, предназначенные только для переадресации, никогда не выполняют итеративные запросы, а лишь переадресуют все не разрешаемые локально запросы ретранслятору или набору ретрансляторов. Если эти ретрансляторы не отвечают, генерируется сообщение о невозможности выполнения запроса. Если в среде DNS Windows Server 2003 планируется использовать ретрансляторы, их можно установить, выполнив следующие шаги. 1. Откройте оснастку DNS консоли MMC, выбрав в меню Start пункт Administrative ToolsÖDNS. 2. Щелкните правой кнопкой мыши на имени сервера и выберите в контекстном меню пункт Properties. 3. Перейдите на вкладку Forwarders (Ретрансляторы). 4. В разделе DNS Domain (Домен DNS) определите, нужны ли необязательные ретрансляторы. Если да, добавьте их, щелкнув на кнопке New (Создать).
316
Сетевые службы ×àñòü III
5. Добавьте IP-адреса ретрансляторов в список Selected domain’s forwarder IP address list (Список IP-адресов ретрансляторов выбранного домена), как показано на рис. 9.17. 6. Если данный сервер конфигурируется только для переадресации и в случае ее невозможности должен сообщать о неудаче, установите флажок Do Not Use Recursion For This Domain (Не применять рекурсию для этого домена). 7. Чтобы сохранить изменения, щелкните на кнопке OK.
Ðèñ. 9.17. Настройка ретрансляторов
Ïîèñê ñ ïîìîùüþ WINS Если в среде интенсивно используется WINS, то при преобразовании имен DNS база данных WINS может применяться в сочетании с DNS. Если ни один из методов преобразования имен в DNS не дал ответ на DNS-запрос, то запрос можно направить для преобразования WINS-серверу. Этот метод создает в DNS несколько записей ресурсов WINS для поддержки этого подхода. Для подключения WINS к поиску в DNS выполните описанные ниже шаги. 1. Откройте оснастку DNS консоли MMC, выбрав в меню Start пункт Administrative ToolsÖDNS. 2. Найдите строку DNS \ <Имя_сервера> \ Forward Lookup Zones. 3. Щелкните правой кнопкой мыши на имени зоны и выберите в контекстном меню пункт Properties. 4. Перейдите на вкладку WINS. 5. Установите флажок Use WINS Forward Lookup (Использовать прямой поиск в WINS). 6. Введите IP-адрес сервера (серверов) WINS, щелкните на кнопке Add (Добавить), а затем на кнопке OK, чтобы сохранить изменения.
Система доменных имен Ãëàâà 9
317
Ýâîëþöèÿ Microsoft DNS Реализация Active Directory в Windows Server 2003 расширяет усовершенствованный набор возможностей, представленный в Windows 2000 DNS. В систему добавлено несколько важных функциональных улучшений, но, вообще говоря, конструктивные и функциональные изменения не очень значительны и не повлияли на какие-либо принципиальные решения по DNS, принятые ранее в Windows 2000. В последующих разделах описана функциональность DNS Windows 2000, которая была перенесена в DNS Windows Server 2003 и отличает ее от других реализаций DNS.
Çîíû, èíòåãðèðîâàííûå â Active Directory Наиболее важным изменением в DNS, реализованным в Windows 2000, являлась концепция интегрированных в каталог зон DNS, получивших название AD-интегрированных зон. Эти зоны хранились в Active Directory, а не в текстовом файле, как в стандартной DNS. При репликации Active Directory выполнялась репликация и интегрированной в него зоны DNS. Это позволило также выполнять безопасные обновления с помощью аутентификации Kerberos и применить концепцию DNS с несколькими мастерами, в которой ни один сервер не является главным, и все DNS-серверы содержат доступную для записи копию зоны. Windows Server 2003 также использует AD-интегрированные зоны, но с одним важным изменением. Для снижения затрат, связанных с репликацией, информация зоны хранится не в контекстах именования Active Directory, а в разделе приложения. Эта концепция подробнее описана в последующих разделах.
Äèíàìè÷åñêèå îáíîâëåíèÿ Как уже было сказано, динамические обновления с помощью динамических DNS (Dynamic DNS — DDNS) позволяют клиентам автоматически регистрировать и отменять регистрацию своих записей хостов при подключении к сети. Эта концепция впервые была применена в Windows 2000 DNS, а затем перенесена в Windows Server 2003.
Ïîääåðæêà ñèìâîëîâ Unicode Введенная в Windows 2000 и сохраненная в Windows Server 2003 поддержка расширенных наборов символов Unicode позволяет DNS хранить записи, состоящие из символов Unicode, то есть нескольких наборов символов из множества различных языков. При этом DNS-сервер получает возможность выполнять поиск записей, состоящих из нестандартных символов: подчеркиваний, букв иностранных алфавитов и так далее.
НА ЗАМЕТКУ Хотя реализация DNS от Microsoft поддерживает символы Unicode, в любой реализации DNS рекомендуется обеспечивать совместимость со стандартным набором символов DNS, чтобы иметь возможность выполнять переносы зоны в несовместимые с Unicode реализаций DNS (например, серверы Unix BIND) и обратно. В стандартный набор символов входят символы a–z, A–Z, 0–9 и символ дефиса (-).
318
Сетевые службы ×àñòü III
Èçìåíåíèÿ DNS â Windows Server 2003 В дополнение к изменениям, внесенным в DNS Windows 2000, Windows Server 2003 содержит дальнейшие усовершенствования для формирования DNS как надежной стратегии преобразования имен в средах Microsoft и других компаний. Общее представление об улучшенных функциях и структурных изменениях поможет еще лучше понять возможности DNS в Windows Server 2003.
Èíôîðìàöèÿ DNS õðàíèòñÿ â ëîãè÷åñêîì ðàçäåëå ïðèëîæåíèÿ Вероятно, наиболее значительное изменение DNS в Windows Server 2003 — это хранение интегрированных в Active Directory зон в разделе приложения AD. Для каждого домена леса создается отдельный раздел приложения, который используется для хранения всех записей каждой AD-интегрированной зоны. Поскольку раздел приложения не является частью глобального каталога, записи DNS больше не включаются в репликацию глобального каталога. Ранее, в Windows 2000, все AD-интегрированные зоны хранились в качестве объектов глобального каталога и реплицировались на все серверы глобального каталога всего леса. Во многих случаях эта информация не относилась ко всему лесу и создавала лишний трафик репликации. Впоследствии была разработана концепция разделов приложения, что позволило уменьшить обусловленную репликацией нагрузку, поскольку важная информация из зон передается в те области сети, в которых она действительно требуется.
Àâòîìàòè÷åñêîå ñîçäàíèå çîí DNS Как было показано в разделе “Установка DNS с помощью мастера конфигурирования сервера”, мастер конфигурирования сервера позволяет шаг за шагом автоматически создать зону DNS. Эта функция существенно упрощает процесс создания зоны, особенно для Active Directory. Этот мастер можно вызвать, щелкнув правой кнопкой мыши на имени сервера в оснастке DNS консоли MMC и выбрав в контекстном меню пункт Configure a DNS Server (Конфигурировать DNS-сервер).
Ðåøåíèå ïðîáëåìû “îñòðîâà” Ранее Windows 2000 была присуща широко известная так называемая проблема “острова” (“island” problem), создаваемая DNS-сервером, который указывал на самого себя в качестве DNS-сервера. При изменении IP-адреса этого сервера DNS-сервер обновлял собственную запись в DNS, но тогда другие DNS-серверы домена не могли получать обновления с исходного сервера, поскольку они запрашивали старый IP-адрес. Исходный DNS-сервер оказывался как бы на “острове” — отсюда и возник данный термин. DNS Windows Server 2003 вначале изменяет записи хостов на достаточном количестве других авторитетных серверов внутри DNS, чтобы успешно реплицировать изменения IP-адреса и исключить проблему “острова”. Теперь больше не нужно указывать в корневом DNS-сервере другой DNS-сервер для обновлений, как рекомендовалось ранее для решения этой проблемы.
Система доменных имен Ãëàâà 9
319
Êîðíåâàÿ çîíà ëåñà _msdcs âûäåëåíà â îòäåëüíóþ çîíó В Active Directory все входные регистрации клиентов и их запросы на поиск направляются локальным контроллерам домена и серверам глобального каталога через ссылки на записи SRV DNS. Эти записи SRV хранились в поддомене домена Active Directory, который назывался поддоменом _msdcs. В Windows Server 2003 поддомен _mscds выделен в отдельную зону DNS, как показано на рис. 9.18. Эта зона, хранящаяся в разделе приложения, реплицируется на каждый контроллер домена, являющийся DNS-сервером. Выделение этого списка записей SRV было выполнено в основном для удовлетворения требований удаленных сайтов. В Windows 2000 для доступа к записям _msdcs эти удаленные сайты были вынуждены локально реплицировать всю базу данных DNS, что вело к увеличению времени репликации и ухудшению времени отклика. Если же делегировать записи SRV в свою собственную зону, то для репликации на DNS-серверы удаленных сайтов можно выбрать только эту конкретную зону, что уменьшает объем реплицируемой информации и улучшает время отклика клиентам.
Ðèñ. 9.18. Зона _msdcs
DNS â ñðåäå Active Directory DNS неотделима от Active Directory. Эти два понятия часто даже путают из-за сходства их логических структур. Такое сходство вызвано тем, что в Active Directory используется иерархическая структура X.500, предназначенная для отображения в иерархию DNS. Кроме того, Active Directory использует DNS для всех внутренних запросов поиска — от входной регистрации клиентов до поиска в глобальном каталоге. Поэтому при планировании развертывания или модернизации Active Directory необходимо тщательно обдумывать интеграцию DNS с Active Directory.
320
Сетевые службы ×àñòü III
Âëèÿíèå DNS íà Active Directory Как может подтвердить любой администратор Windows 2000, проблемы с DNS могут разрушительно влиять на среду Active Directory. Поскольку все серверы и клиенты постоянно выполняют взаимный поиск, перебой в службе преобразования имен может очень плохо отразиться на работе Active Directory. По этой и ряду других причин в любой реализации Active Directory настоятельно рекомендуется устанавливать избыточную инфраструктуру DNS. Даже в небольших средах следует рассмотреть возможность дублирования первичной зоны DNS, а защите DNS следует уделять почти такое же внимание, как и защите индекса глобального каталога AD. Мерами по обеспечению безопасности базы данных DNS пренебрегать нельзя. Настоятельно рекомендуется выполнять безопасные обновления AD-интегрированных зон, а также отделить DHCP-серверы от контроллера домена. (Эта концепция уже описана в предыдущих разделах данной главы.) Кроме того, ограничение административного доступа к DNS снизит остроту проблемы несанкционированного “рысканья” по DNS.
Active Directory â ðåàëèçàöèÿõ DNS, îòëè÷íûõ îò Microsoft Active Directory была создана специально для сосуществования и даже для использования реализаций DNS, отличных от Microsoft — если эти реализации поддерживают активные обновления и SRV-записи. Например, Active Directory будет функционировать во всех версиях Unix BIND версии 8.1.2 или более поздних. Однако даже с учетом этого организациям, в которых интенсивно используются технологии Microsoft, все же рекомендуется подумать над размещением DNS Active Directory в системах Windows Server 2003, поскольку их функциональные усовершенствования наиболее подходят для таких ситуаций. В средах, использующих старые версии DNS, либо в которых невозможно (или нежелательно) размещение клиентов Active Directory непосредственно в их базах данных, DNS Active Directory может быть просто делегирована в отдельную зону, за которую она будет ответственна. В системах Windows Server 2003 можно просто установить ретрансляторы для сторонних реализаций DNS, которые будут обеспечивать преобразование имен для ресурсов из исходной зоны.
Èñïîëüçîâàíèå âòîðè÷íûõ çîí â ñðåäå Active Directory В определенных ситуациях в Active Directory для выполнения специального преобразования имен требуется применение вторичных зон. Например, в моделях доменов с выделенным корнем, в которых два отдельных дерева образуют различные пространства имен внутри одного леса, для правильной синхронизации в рамках всего леса в Windows 2000 были нужны вторичные зоны каждого корня DNS. Поскольку каждое дерево в модели доменов с выделенным корнем состоит из независимых доменов, которые могут не иметь полномочий безопасности в других доменах, для выполнения поиска между двумя деревьями требуется специальный механизм.
Система доменных имен Ãëàâà 9
321
Создание вторичных зон в каждой из сред DNS обеспечивает решение этой проблемы, как показано на рис. 9.19. Сейчас в Windows Server 2003 существует возможность репликации этих отдельных деревьев на все DNS-серверы леса, что снижает потребность во вторичных зонах. Но все равно иногда требуются репликации вторичных зон за пределы леса. Ëåñ AD êîìïàíèè CompanyABC abcroot.local
companyabc.com
DNS-ñåðâåð äîìåíà
DNS-ñåðâåð äîìåíà
abcroot.local AD-èíòåãðèðîâàííàÿ çîíà
companyabc.com Âòîðè÷íàÿ çîíà
Ïåðåíîñû çîíû
companyabc.com AD-èíòåãðèðîâàííàÿ çîíà
abcroot.local Âòîðè÷íàÿ çîíà
Ðèñ. 9.19. Вторичные зоны DNS доменов с выделенным корнем
Çàïèñè SRV è ïðåîáðàçîâàíèå ñàéòîâ Все клиенты Active Directory для любого типа поиска в домене используют DNS. Например, при входной регистрации необходим поиск в Active Directory специальных записей SRV, указывающих, где находятся контроллеры домена и серверы глобального каталога. Как уже было сказано, Windows Server 2003 выделяет записи SRV в отдельную зону, которая реплицируется на все контроллеры доменов с установленной в них DNS. В этой зоне для каждого сайта создаются поддомены, в которых указываются доступные в этих сайтах ресурсы. Говоря коротко, если запись SRV в конкретном поддомене сайта неверна или указывает на другой сервер из другого сайта, все клиенты этого сайта должны аутентифицироваться на других сайтах. Эта концепция важна, поскольку довольно часто возникает следующая проблема: когда создается сайт Active Directory без находящихся в нем серверов, в поддомен этого сайта в DNS добавляется запись SRV из местоположения концентратора. Когда в эти сайты добавляются новые серверы, их записи SRV присоединяются к другим записям SRV, помещенным туда при создании сайта. Эти записи не удаляются автоматически, и, следовательно, направляют клиентов к серверам по медленным каналам WAN, зачастую сильно замедляя входную регистрацию. Кроме контейнеров сайта, корневой домен этих контейнеров содержит список всех контроллеров данного домена, как показано на рис. 9.20. Эти списки используют-
322
Сетевые службы ×àñòü III
ся для преобразования имен при отсутствии ответа от какого-либо сервера сайта. Если контроллер домена сайта отключен, клиенты выбирают контроллер домена в данном сайте случайным образом. Поэтому важно, чтобы единственными записями в этом месте были серверы в сайтах с быстро подключаемыми концентраторами. Корректное обслуживание этих записей SRV и помещение серверов в поддомены соответствующих им сайтов многократно ускоряет входную регистрацию клиентов.
Ðèñ. 9.20. Записи SRV уровня сайта
Óñòðàíåíèå íåïîëàäîê â DNS О сложности DNS написано очень много, а еще больше написано такого, что лишь запутывает читателя и зачастую предлагает неверные концепции. Однако на самом деле структура DNS весьма логична и при правильном выборе средств и технологий позволяет легко устранять неполадки. Для успешного устранения неполадок при преобразовании имен в DNS требуется хорошее знание этих средств и их возможностей.
Èñïîëüçîâàíèå ïðîãðàììû ïðîñìîòðà ñîáûòèé DNS äëÿ äèàãíîñòèðîâàíèÿ ïðîáëåì Как известно любому опытному администратору, модуль просмотра событий (Event Viewer) — это первое, к чему следует обращаться при устранении неполадок. В Windows Server 2003 использование этого средства еще проще, поскольку события DNS, выбранные программой просмотра событий, доступны непосредственно в оснастке DNS консоли MMC. Анализ этого набора журналов может облегчить поиск и устранение проблем, возникающих при репликации DNS, обработке запросов и в других ситуациях. Для более глубокого анализа журнала событий можно включить ведение журнала отладки для каждого сервера в отдельности. Однако эту функциональность рекомендуется включать только при необходимости, поскольку в этом случае файлы журналов могут быстро переполниться. Чтобы включить функцию ведения журнала отладки, выполните перечисленные ниже шаги.
Система доменных имен Ãëàâà 9
323
1. Откройте оснастку DNS консоли MMC, выбрав в меню Start пункт Administrative ToolsÖDNS. 2. Щелкните правой кнопкой мыши на имени сервера и выберите в контекстном меню пункт Properties. 3. Перейдите на вкладку Debug Logging (Регистрация отладочной информации). 4. Установите флажок Log Packets for Debugging (Регистрировать пакеты для целей отладки). 5. Задайте необходимые дополнительные параметры и щелкните на кнопке OK.
Ìîíèòîðèíã DNS ñ ïîìîùüþ ìîíèòîðà ïðîèçâîäèòåëüíîñòè Окно Preformance (Производительность), в состав которого входит оснастка System Monitor (Системный монитор) и компонент Performance Logs and Alerts (Журналы и оповещения производительности) — встроенный, часто недооцениваемый инструмент, который позволяет узнать важные подробности проблем, возникших в сети. Он позволяет отслеживать многие критичные счетчики DNS, связанные с запросами, переносами зоны, использованием памяти и другими важными факторами.
Êýø íà ñòîðîíå êëèåíòà è ïðîáëåìû ñ ïðåîáðàçîâàíèåì ñ ïîìîùüþ ôàéëà HOST Клиенты Windows 2000 и более поздних версий системы обладают встроенным клиентским кэшем для преобразования имен, в котором кэшируется вся информация, полученная от серверов имен. При запросе на просмотр распознаватель вначале не обращается к серверу имен, а анализирует этот кэш. Элементы сохраняются в кэше до истечения времени существования, перезагрузки машины или сброса кэша. В случае ввода в клиентский кэш ошибочной информации ее можно сбросить, введя в командной строке команду ipconfig /flushdns. По умолчанию все клиенты имеют файл HOSTS, предназначенный для простого построчного преобразования имен в IP-адреса. Обычно этот файл находится в каталоге \%systemroot%\system32\drivers\etc. Если эти введенные вручную записи противоречат DNS, то могут возникнуть проблемы, и поэтому при устранении неполадок следует убедиться в отсутствии конфликтов между этим файлом HOSTS и базой данных DNS.
Ïðèìåíåíèå óòèëèòû êîìàíäíîé ñòðîêè NSLOOKUP Утилита командной строки NSLOOKUP — вероятно, наиболее полезное средство устранения проблем, связанных с клиентом DNS. Ее функции очень просты, но получаемая с ее помощью информация может оказаться предельно полезной при выяснении причин возникновения проблем в DNS. В самом общем случае утилита NSLOOKUP связывается со стандартным DNS-сервером клиента и пытается разрешить введенное имя. Например, чтобы протестировать поиск в сайте www.companyabc.com, введите в
324
Сетевые службы ×àñòü III
командной строке nslookup www.companyabc.com. В NSLOOKUP можно вводить и другие типы запросов. Например, выполнив следующие шаги, показанные на рис. 9.21, можно создать простые запросы для просмотра записей MX и SOA, связанных с конкретным доменом: 1. Откройте командное окно, выбрав в меню Start пункт All ProgramsÖAccessoriesÖCommand Prompt (ПускÖВсе программыÖСтандартныеÖКомандная строка). 2. Введите nslookup и нажмите клавишу <Enter>. 3. Введите set query=mx и нажмите клавишу <Enter>. 4. Введите <имядомена> и нажмите клавишу <Enter>. 5. Введите set query=soa и нажмите клавишу <Enter>. 6. Введите <имядомена> и нажмите клавишу <Enter>.
Ðèñ. 9.21. Просмотр записи MX с помощью утилиты NSLOOKUP Функции NSLOOKUP не ограничены выполнением этих простых поисков. Команда nslookup /? выводит список выполняемых ею функций. Утилита NSLOOKUP — прекрасный инструмент решения многих проблем преобразования имен и обязательно должна присутствовать в арсенале средств отладки.
Ïðèìåíåíèå óòèëèòû êîìàíäíîé ñòðîêè IPCONFIG Еще одно важное средство устранения проблем преобразования DNS — утилита IPCONFIG, используемая также и для решения проблем с TCP/IP. Применительно к DNS утилита IPCONFIG выполняет несколько важных функций. Они могут быть вызваны из командной строки с помощью соответствующего флага. •
ipconfig /flushdns. При возникновении проблем с клиентским кэшем его можно “сбросить” с помощью флага flushdns. Этот флаг удаляет все ранее кэшированные запросы, сохраненные клиентом, и особенно полезен, если для имени сервера только что изменены IP-адреса, и некоторые клиенты не могут подключиться к нему.
Система доменных имен Ãëàâà 9
325
•
ipconfig /registerdns. Флаг registerdns заставляет клиента динамически перерегистрировать себя в DNS, если данная зона поддерживает динамические обновления.
•
ipconfig /displaydns. Интересный, однако малоизвестный флаг. Он отображает содержимое клиентского кэша и полезен при устранении некоторых проблем, связанных с отдельными записями.
НА ЗАМЕТКУ Эти три флага, равно как и несколько других, доступны только в клиентах Windows 2000 и последующих версий. Функциональность предыдущих версий клиентов, например, NT 4.0, была ограничена более простой утилитой IPCONFIG, а другие клиенты, такие как Win9x, использовали другую утилиту — WINIPCFG. Как и в случае прочих утилит, сведения о более сложных функциях можно получить, вызвав ее с флагом ? (ipconfig /?).
Ïðèìåíåíèå óòèëèòû êîìàíäíîé ñòðîêè TRACERT Утилита TRACERT является ценным источником информации, дающим представление о пути прохождения DNS-запроса при пересылке его по сети. Например, направив TRACERT на сайт www.microsoft.com, можно узнать, сколько маршрутизаторов и DNSсерверов проходит пакет. Принцип работы TRACERT прост, но довольно интересен. Вначале отправляется DNS-запрос с TTL, равным 1. Поскольку все маршрутизаторы уменьшают значение TTL каждого обрабатываемого пакета на 1, это означает, что первый же маршрутизатор откажется переадресовать пакет и возвратит отправителю сообщение с отказом. Затем значение TTL увеличивается на 1, и пакет отправляется снова. На этот раз пакет пройдет через первый маршрутизатор и получит отказ от второго. Этот процесс продолжается до тех пор, пока пакет не достигнет своего назначения, как показано на рис. 9.22. Понятно, что данная утилита предоставляет простой, но эффективный способ просмотра пути прохождения DNS-запроса по Internet.
Ðèñ. 9.22. Пример использования утилиты TRACERT
326
Сетевые службы ×àñòü III
Ïðèìåíåíèå óòèëèòû êîìàíäíîé ñòðîêè DNSCMD Утилита DNSCMD представляет собой просто командную версию оснастки DNS консоли MMC. Устанавливаемая в качестве составной части пакета средств сопровождения (Support Tools) Windows Server 2003, эта утилита позволяет администраторам создавать зоны, изменять записи и выполнять другие важные функции администрирования. Чтобы установить средства сопровождения, запустите программу установки средств сопровождения с компакт-диска Windows Server 2003 (она находится в каталоге \support\tools). Со всеми функциями этой утилиты можно ознакомиться, набрав в командной строке команду DNSCMD /? (рис. 9.23).
Ðèñ. 9.23. Опции утилиты командной строки DNSCMD
Ðåçþìå Система DNS уже показала себя как устойчивое, надежное и масштабируемое решение для преобразования имен. Windows Server 2003 поднимает DNS на более высокий уровень и дополняет усовершенствования, введенные в DNS Windows 2000. Используется ли DNS для полномасштабной реализации Active Directory или просто для поддержки DNS Internet — она построена на удачной, проверенной базе и предоставляет предприятиям надежную функциональную стратегию преобразования имен.
Система доменных имен Ãëàâà 9
327
Ïîëåçíûå ñîâåòû •
Для поддержки Active Directory по возможности применяйте DNS Windows 2000/2003. Если необходимо использовать DNS не на базе Windows, то она должна поддерживать записи SRV, как, например, в BIND версии 8.1.2 и выше.
•
Устанавливайте в небольших филиалах только кэширующие серверы, чтобы избежать больших объемов сетевого трафика, обусловленного запросами клиентов, и для исключения необходимости репликации целых зон DNS в удаленные сайты.
•
Если необходимы динамические записи, сконфигурируйте DHCP на динамическое обновление информации DNS для низкоуровневых клиентов.
•
Во избежание проблем с надежностью информации, определяйте источники динамически обновляемой информации.
•
Конфигурируйте DNS-сервер, чтобы для DNS-запросов он указывал сам на себя, а не на другой DNS-сервер.
•
Обеспечьте совместимость любой реализации DNS со стандартным набором символов, чтобы иметь возможность выполнять переносы зоны в несовместимые с Unicode реализации DNS (например, серверы Unix BIND) и обратно. В стандартный набор символов входят символы a–z, A–Z, 0–9 и символ дефиса (-).
•
Включайте журналы отладки для более подробного анализа журнала событий DNS только для отдельных серверов и только когда это необходимо, и выключайте эту функциональность, когда она больше не нужна.
DHCP, WINS è êîíòðîëëåðû äîìåíîâ
 ÝÒÎÉ ÃËÀÂÅ... •
Îáçîð “ïðî÷èõ” ñåòåâûõ ñëóæá
•
Îñíîâíûå êîìïîíåíòû ñåòè ïðåäïðèÿòèÿ
•
Ïðîòîêîë äèíàìè÷åñêîé êîíôèãóðàöèè õîñòîâ
•
Èçìåíåíèÿ DHCP, âíåñåííûå â Windows Server 2003
•
Ïîäõâàò ôóíêöèé DHCP
•
Óãëóáëåííûå êîíöåïöèè DHCP
•
Áåçîïàñíîñòü DHCP
•
Ñëóæáà Internet-èìåí Windows
•
Óñòàíîâêà è êîíôèãóðèðîâàíèå WINS
•
Ïëàíèðîâàíèå, ìèãðàöèÿ è îáñëóæèâàíèå WINS
•
Ðàçìåùåíèå êîíòðîëëåðîâ äîìåíà ãëîáàëüíîãî êàòàëîãà
ÃËÀÂÀ
10
330
Сетевые службы ×àñòü III
Îáçîð “ïðî÷èõ” ñåòåâûõ ñëóæá Достаточно часто некоторые важные компоненты сети остаются в тени, поскольку они постоянно выполняют свою работу и очень мало нуждаются в обслуживании. Они привлекают к себе внимание, и их действительная важность становится очевидна только при возникновении каких-либо проблем. Двумя такими службами являются протокол динамической конфигурации хостов (Dynamic Host Configuration Protocol — DHCP) и служба Internet-имен Windows (Windows Internet Naming Service — WINS), которые исправно день за днем выполняют свои функции, зачастую располагаясь на видавшем виды сервере на чьем-нибудь столе. Внешне не слишком эффектные, функции, выполняемые службами DHCP и WINS, исключительно важны для сетевой среды, и их архитектура, администрирование и функциональные требования должны быть тщательно продуманы. В данной главе рассмотрены эти часто упускаемые из виду службы и приведены рекомендации по их проектированию и конфигурированию для наилучшего использования. Кроме информации по DHCP и WINS, в этой главе рассмотрена работа серверов контроллера домена глобального каталога в среде Windows Server 2003, и особо — вопросы размещения серверов. И, наконец, в главе приведены пошаговые инструкции по установке этих служб и наиболее рациональные сценарии их миграции.
Îñíîâíûå êîìïîíåíòû ñåòè ïðåäïðèÿòèÿ Хотя локальная сеть предприятия имеет множество функциональных уровней, в этой главе основное внимание уделено трем ключевым компонентам, крайне важным для функционирования среды Windows Server 2003. Эти три компонента — сетевая адресация, преобразование имен и интеграция каталогов — выполняют базовые функции, требуемые от любой современной сети предприятия, и образуют основу инфраструктуры Windows Server 2003.
Ñåòåâàÿ àäðåñàöèÿ Первый крайне важный компонент сети — адресация, то есть предоставление клиентам некоторого логического места в сети, чтобы пакеты информации могли направляться к ним и от них. Исторически сложилось так, что этот компонент реализован на основе сетевых специализированных протоколов, своих в каждой сетевой операционной системе (Network Operating System — NOS). Этот подход предоставил проектировщикам сетевых операционных систем (ОС) значительную гибкость в приспособлении коммуникационных компонентов сетей к конкретным проектным требованиям, но затруднял обмен информацией между различными сетями. Стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol — Протокол управления передачей/протокол Internet) был разработан для взаимодействия различных видов сетей и предоставил им возможность “говорить на одном языке”. Появление этого протокола совпало с широким распространением самой сети Internet, и именно популярность и широкое распространение этого протокола приве-
DHCP, WINS и контроллеры доменов Ãëàâà 10
331
ли компанию Microsoft к его принятию в качестве стандартного протокола для Windows 2000. Windows Server 2003 продолжает использовать TCP/IP в качестве стандартного сетевого протокола, расширяя его применение в мире сетевых ОС компании Microsoft. Протокол TCP/IP требует, чтобы каждый узел в сети адресовался уникальным IPадресом наподобие 10.23.151.20. Каждому узлу сети должен быть присвоен IP-адрес — вручную или автоматически. Компонент автоматической адресации и является тем местом, где вступает в действие служба DHCP системы Windows Server 2003. DHCP обеспечивает автоматизацию критичной для среды Windows Server 2003 адресации TCP/IP и облегчает администрирование сети. Подробнее служба DHCP описана далее в этой главе, в разделе “Протокол динамической конфигурации хостов”.
Ïðåîáðàçîâàíèå èìåí Второй критичный аспект сетей — преобразование имен. Поскольку люди лучше воспринимают имена, а не IP-адреса, возникает необходимость преобразования этих наборов цифр в обычные имена. Windows Server 2003 поддерживает два типа преобразования имен. Первый тип — система доменных имен (Domain Name System — DNS) — преобразует IP-адреса в полностью определенные доменные адреса (Fully Qualified Domain Name — FQDN), которые могут использоваться для адресации в структуре Active Directory или Internet DNS. Этот стандартный (и обязательный) тип преобразования имен в Windows Server 2003 подробно рассмотрен в главе 9. Второй тип преобразования имен — преобразование старых имен Microsoft NetBIOS в IP-адреса — выполняется службой WINS. Хотя технически возможно (и желательно) создать среду Windows Server 2003, в которой не используется преобразование имен NetBIOS, в действительности вывести WINS из сети очень трудно. Поэтому в большинстве организаций эта служба будет активно использоваться, по крайней мере, на протяжении еще нескольких лет. Она подробнее рассмотрена далее в этой главе, в разделе “Служба Internet-имен Windows”.
Èíòåãðàöèÿ êàòàëîãîâ Последняя важная служба из состава функциональной сети предприятия — это размещение каталогов и возможность поиска в них. Наличие централизованного каталога, управляющего доступом к ресурсам и позволяющего централизованное администрирование — жизненно важная функция всех современных сетей. Active Directory — это служба каталогов, предоставляемая Windows Server 2003 и встроенная во многие компоненты операционной системы. Серверы, обрабатывающие запросы на вход в систему и изменения паролей и содержащие информацию каталогов, являются контроллерами доменов и контроллерами домена глобального каталога, которые подробнее рассмотрены в разделе “Глобальный каталог Active Directory” далее в главе. Следовательно, размещение контроллера домена и глобального каталога — крайне важный аспект среды Windows Server 2003. Этому вопросу должно быть уделено особое внимание, поскольку доступ к средствам поиска и регистрации в каталоге — основное условие работы клиента в сети.
332
Сетевые службы ×àñòü III
Îñíîâíûå èçìåíåíèÿ ñåòåâûõ ñëóæá â Windows Server 2003 Windows Server 2003 содержит несколько функциональных усовершенствований сетевых служб. Эти усовершенствования расширяют функции администрирования, повышают надежность и ценность инфраструктуры локальной сети организации. Такие усовершенствования, как резервное копирование и восстановление DHCP, усовершенствования миграции и расширенные возможности поиска и фильтрации в базе данных WINS, расширяют основные возможности этих сетевых служб и предоставляют более богатый набор средств конфигурирования сетевой среды. Подробную информацию об этих возможностях можно найти далее в этой главе, в разделе “Автоматизация резервного копирования и восстановления базы данных DHCP”.
Ïðîòîêîë äèíàìè÷åñêîé êîíôèãóðàöèè õîñòîâ О службе DHCP известно поразительно мало, хотя она используется буквально во всех организациях. Сама по себе эта служба создавалась очень простой, но со временем превратилась в важный компонент сетевой среды. Рекомендуется внимательно ознакомиться с основами и функциональными возможностями DHCP.
Ïîòðåáíîñòü â DHCP Постоянные действия, выполняемые TCP/IP, могут быть сложными, поскольку клиенты должны иметь возможность регулярно обновлять свою сетевую информацию для синхронизации с изменениями в сети. Каждый объект в среде TCP/IP нуждается в уникальном адресе, который определяет его местоположение и предоставляет средства маршрутизации сетевых пакетов из одного места в другое. Этот адрес (IP-адрес) должен быть присвоен каждому клиенту в сети, чтобы клиенты могли обмениваться информацией с помощью протокола TCP/IP. Раньше при добавлении в сеть новых клиентов большинство IP-адресов распределялось вручную. Обслуживание такой системы требовало больших усилий администраторов и часто выливалось в проблемы в конфигурации, вызванные ошибками при вводе и обычными человеческими ошибками. Поэтому были предприняты попытки поиска автоматического метода распределения IP-адресов клиентам — ведь административные преимущества такой системы очевидны. Эти попытки привели к созданию предшественников DHCP: RARP и BOOTP.
Ïðåäøåñòâåííèêè DHCP: RARP è BOOTP Впервые задача динамического выделения IP-адресов клиентам была решена с помощью протокола обратного преобразования адреса (Reverse Address Resolution Protocol — RARP). Протокол RARP просто выделял IP-адрес клиенту в ответ на его широковещательный запрос. Однако вскоре выяснилось, что этот протокол неэффективен, поскольку он не выполнял маршрутизацию за пределами одной сети и мог присваивать только IP-адреса, но не маски подсетей, шлюзы или другую важную для TCP/IP информацию.
DHCP, WINS и контроллеры доменов Ãëàâà 10
333
Преемником протокола RARP стал протокол самонастройки (Bootstrap Protocol — BOOTP), в котором динамическое назначение IP-адресов было усовершенствовано с помощью маршрутизации в различных сетях и концепции так называемых магических cookie — 64-байтового фрагмента пакета BOOTP, содержащего такую информацию о конфигурации, как маска подсети, назначения DNS-серверов и тому подобного. Этот протокол был значительно совершеннее протокола RARP, но все же был ограничен в нескольких функциональных областях: фактически база данных не была динамической и хранилась в статическом текстовом файле, что ограничивало ее применение.
Ñëóæáà ñåðâåðîâ DHCP Протокол динамической конфигурации хостов (Dynamic Host Configuration Protocol — DHCP) был разработан как усовершенствованная версия протокола BOOTP. На самом деле пакет DHCP почти идентичен пакету BOOTP, за исключением измененной части магических cookie, размер которой был увеличен для помещения таких дополнительных параметров, как DNS-сервер, WINS-сервер и так далее. Сам по себе процесс работы DHCP прост. При загрузке клиента рассылается широковещательный запрос всем узлам подсети, для которой требуется динамический IPадрес. Сервер, слушающий такие широковещательные запросы через UDP-порт 67, отвечает на запрос клиента, выделяя ему IP-адрес из заранее определенного диапазона адресов (рис. 10.1). Кроме IP-адреса, клиенту выдаются все параметры, которые определяются сервером. В число этих параметров входят серверы DNS и WINS, шлюзы, маски подсетей и многие другие. Если эти параметры выдаются автоматически, вероятность возникновения ошибок уменьшается, а весь процесс присвоения IP-адресов становится автоматизированным, что ведет к снижению нагрузки на администратора.
10.1.2.242
Êëèåíò
Êëèåíò ïðè çàãðóçêå ðàññûëàåò øèðîêîâåùàòåëüíûé çàïðîñ IP-àäðåñà âñåì óçëàì ïîäñå-òè ëîêàëüíîé ñåòè.
Êëèåíò
DHCP-ñåðâåð
DHCP-ñåðâåð, ñëóøàþùèé UDP-ïîðò 67, ïîëó÷àåò çàïðîñ êëèåíòà è îòâå÷àåò íà íåãî, íà÷èíàÿ ïðîöåññ ñîãëàñîâàíèÿ ñ êëèåíòîì àðåíäû IP-àäðåñà.
Ðèñ. 10.1. Процесс запроса IP-адреса по протоколу DHCP
Êëèåíò
DHCP-ñåðâåð
Ïîñëå âûïîëíåíèÿ ñîîòâåòñòâóþùèõ óñëîâèé DHCP-ñåðâåð ðàçðåøàåò êëèåíòó àðåíäó IP-àäðåñà.
334
Сетевые службы ×àñòü III
Êëèåíòñêàÿ ñëóæáà DHCP Серверная часть DHCP — это лишь половина процесса DHCP-транзакции. Запрос IP-адреса поступает от специального интерфейса, называемого клиентом DHCP. На компьютерах-клиентах Windows 2000 и последующих версий этот клиент устанавливается вместе с TCP/IP и может быть установлен в качестве дополнительного компонента в клиентах низкого уровня. Как уже было сказано, клиент DHCP управляет обменом информацией со службой DHCP-сервера, обрабатывая IP-запросы и обновления. Каждая версия клиента Windows содержит свой вариант клиента DHCP, слегка отличающийся по функциям от других. Однако главная функция — назначение и получение IP-адреса от DHCPсервера — остается неизменной для всех клиентов Windows.
Àâòîìàòè÷åñêàÿ ÷àñòíàÿ IP-àäðåñàöèÿ В клиентах Windows 2000 и последующих версиях клиент-серверная служба была обновлена, позволяя клиентам, при отсутствии серверов, присваивать себе IP-адрес самостоятельно. Это выполняет процесс, называемый автоматической частной IPадресацией (Automatic Private IP Addressing — APIPA). В подобной ситуации клиенты APIPA автоматически присваивают себе IP-адрес из диапазона 169.254.0.0/16, что позволяет им выполнять основные функции связи TCP/IP в небольших сетях. В больших сетях применение APIPA может привести к проблемам, поскольку клиенты вынуждены присваивать себе адреса из диапазона, который обычно не относится к локальной подсети компании. Если DHCP-сервер отключен, попытки клиентов возобновить аренду адреса с сервера будут безрезультатны, и клиенты автоматически будут присваивать себе адреса APIPA. Когда сервер снова подключится к сети, клиенты не сразу выполнят перерегистрацию и по существу окажутся отрезанными от сети. Поэтому в системах Microsoft используется ключ системного реестра, который отключает APIPA в этой ситуации. Ключ должен иметь следующий вид: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ <ИмяАдаптера>\IPAutoconfigurationEnabled:REG_DWORD=0 Этот ключ можно создать, выполнив на машине клиента перечисленные ниже шаги. 1. Откройте редактор системного реестра, выбрав в меню Start (Пуск) пункт Run (Выполнить) и набрав команду regedit. 2. Найдите раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Tcpip\Parameters|Interfaces\ <ИмяАдаптера> (где ИмяАдаптера — шестнадцатеричное представление нужного сетевого адаптера). 3. Щелкните правой кнопкой мыши на элементе <ИмяАдаптера> и выберите в контекстном меню пункт NewÖDWORD Value (СоздатьÖПараметр DWORD). 4. Введите имя параметра DWORD: IPAutoconfigurationEnabled. 5. Дважды щелкните на новом параметре и убедитесь, что его значение равно 0. 6. Щелкните на кнопке OK, чтобы закрыть редактор системного реестра.
DHCP, WINS и контроллеры доменов Ãëàâà 10
335
НА ЗАМЕТКУ В клиентах Windows XP службу APIPA можно также отключить с помощью альтернативной конфигурации IP, которая предназначена для назначения статического IP-адреса при недоступности DHCP. Эта концепция подробнее описана далее в этой главе.
Àãåíòû ðåòðàíñëÿöèè DHCP Поскольку для поиска DHCP-серверов клиенты DHCP используют широковещательные сетевые запросы, важна правильная маршрутизация этого трафика в сети с несколькими подсетями. По существу это означает, что должен существовать какойлибо тип агента для обнаружения широковещательных пакетов DHCP и их переадресации соответствующему DHCP-серверу, если он расположен в другой сети. Например, для маршрутизаторов Cisco этот агент представлен записью ip-helper в конфигурации маршрутизатора, которая указывает IP-адрес назначения, на который должны переадресовываться широковещательные пакеты. Если такая конфигурация маршрутизатора не используется, сервер Windows, где выполняется служба маршрутизации и удаленного доступа (Routing and Remote Access), должен быть сконфигурирован как агент ретрансляции DHCP (рис. 10.2).
НА ЗАМЕТКУ В большинстве реальных реализаций DHCP маршрутизаторы между сегментами сети конфигурируются на переадресацию широковещательных пакетов клиентов DHCP непосредственно DHCP-серверу. Поэтому в больших организациях важно, чтобы разработчики архитектуры сети участвовали во всех обсуждениях структуры DHCP.
Ëþáûå êëèåíòû â ïîäñåòè 2 ïîëó÷àþò îòâåòû íà ñâîè øèðîêîâåùàòåëüíûå çàïðîñû íåïîñðåäñòâåííî îò DHCP-ñåðâåðà.
Êëèåíò3 Êëèåíò4 Êëèåíò5
Ìàðøðóòèçàòîð1
Ìàðøðóòèçàòîð2
Ïîäñåòü1
Êëèåíò7 Êëèåíò8 Êëèåíò9 Ïîäñåòü3
Ïîäñåòü2 Êëèåíò1
Ñåðâåð àãåíòà Êëèåíò6 ðåòðàíñëÿöèè DHCP
Êëèåíò2 DHCP- Êëèåíò10 ñåðâåð
 ñîîòâåòñòâèè ñ ïàðàìåòðîì íàñòðîéêè â ìàðøðóòèçàòîðå 1 øèðîêîâåùàòåëüíûå çàïðîñû êëèåíòîâ èç ïîäñåòè 1 íàïðàâëÿþòñÿ íåïîñðåäñòâåííî ñåðâåðó DHCP.
Êëèåíò11
 ñâÿçè ñ îãðàíè÷åíèÿìè íà ðåòðàíñëÿöèþ øèðîêîâåùàòåëüíûõ çàïðîñîâ â ìàðøðóòèçàòîðå 2 àãåíò ïåðåêëþ÷åíèÿ DHCP â ïîäñåòè 3 íàñòðîåí íà ïåðåàäðåñàöèþ øèðîêîâåùàòåëüíûõ çàïðîñîâ êëèåíòîâ DHCP-ñåðâåðó.
Ðèñ. 10.2. Маршрутизация широковещательных пакетов DHCP
336
Сетевые службы ×àñòü III
DHCP è äèíàìè÷åñêàÿ DNS При использовании DNS в Windows Server 2003 клиенты автоматически регистрируются в базе данных DNS с помощью механизма динамической DNS (Dynamic DNS — DDNS). Подробнее эта концепция описана в главе 9. Для обеспечения автоматической регистрации клиентов в DNS в Windows Server 2003 механизм DDNS встроен непосредственно в службу DHCP. По умолчанию все клиенты Windows 2000 или более поздних версий выполняют эту функцию самостоятельно. Но DHCP можно сконфигурировать так, чтобы служба сервера обновляла запись DDNS для клиента, если он не может выполнить это самостоятельно. Эту опцию можно включать и отключать на уровне сервера с помощью оснастки DHCP Manager (Диспетчер DHCP) консоли MMC.
Óñòàíîâêà DHCP è ñîçäàíèå íîâûõ îáëàñòåé Процесс установки DHCP всегда был простым. В Windows Server 2003 установка стала еще проще благодаря мастеру Configure Your Server Wizard (Мастер конфигурации сервера). Этот мастер инсталлирует службу сервера DHCP и автоматически вызывает мастер New Scope Wizard (Мастер создания области), с помощью которого можно установить и сконфигурировать области (scope) DHCP. Чтобы установить систему Windows Server 2003 в качестве DHCP-сервера выполните следующие шаги. 1. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖConfigure Your Server Wizard (Все программыÖАдминистрированиеÖМастер конфигурации сервера). 2. На экране приветствия мастера щелкните на кнопке Next (Далее). 3. Проверьте правильность выполнения необходимых условий и щелкните на кнопке Next. После этого программа выполнит тестирование сети. 4. Выберите вариант DHCP Server (DHCP-сервер) и щелкните на кнопке Next. 5. В следующем окне, показанном на рис. 10.3, проверьте правильность выбранных параметров и щелкните на кнопке Next.
Ðèñ. 10.3. Проверка параметров инсталляции DHCP
DHCP, WINS и контроллеры доменов Ãëàâà 10
337
6. На этом этапе программа вызовет мастер New Scope Wizard, который начнет процесс конфигурирования области. Щелкните на кнопке Next. 7. Введите имя области и ее описание. Имя должно быть понятным, например, 10.1.1.0/24 Scope. Щелкните на кнопке Next. 8. Введите начальный и конечный адреса диапазона, в котором область будет распределять свои IP-адреса. Кроме того, введите маску нужной подсети, как показано на рис. 10.4. Щелкните на кнопке Next. 9. При необходимости введите диапазоны исключения адресов. Такой диапазон определяет адреса из диапазона области, которые не должны использоваться для предоставления аренды клиентам. Щелкните на кнопке Next. 10. Введите срок действия аренды. Эта информация определяет частоту возобновления аренды адресов клиентами DHCP. Щелкните на кнопке Next. 11. В следующем окне можно определить необязательные возможности DHCP для создаваемой области. В данном примере сконфигурируйте шлюз, WINS-сервер и DNS-сервер. Для этого выберите опцию Yes, I Want to Configure These Options Now (Да, я хочу сконфигурировать эти параметры сейчас) и щелкните на кнопке Next. 12. Введите IP-адрес шлюза, используемого по умолчанию в данной подсети, и щелкните на кнопке Next. 13. Введите необходимую информацию в поля сведений о DNS-сервере, после чего щелкните на кнопке Next. 14. В следующем окне введите информацию о WINS-сервере, а затем щелкните на кнопке Next. 15. Выберите, когда должна быть активизирована созданная область: сейчас или позже. В данном случае, поскольку сервер не авторизован, выберите отложенную активизацию. После внесения нужных изменений щелкните на кнопке Next.
Ðèñ. 10.4. Определение адресов в окне мастера создания области
338
Сетевые службы ×àñòü III
16. Чтобы закрыть мастер, щелкните на кнопке Finish (Готово). 17. Мастер конфигурирования сервера должен вывести сообщение об успешном превращении сервера в DHCP-сервер, как показано на рис. 10.5. Закройте мастер, щелкнув на кнопке Finish.
НА ЗАМЕТКУ Поскольку теоретически DHCP может “похищать” действующие клиенты из промышленной сети, опробование работы DHCP рекомендуется выполнять в лабораторной среде. Кроме того, тестирование в промышленной среде может быть затруднено, поскольку компонент авторизации службы DHCP не позволяет активизировать области на DHCP-сервере Windows Server 2003, что описано далее в этой главе, в разделе “Авторизация DHCP”.
Ðèñ. 10.5. Завершение работы с мастером конфигурирования сервера для DHCP
Èçìåíåíèÿ DHCP, âíåñåííûå â Windows Server 2003 Как уже упоминалось, в Windows Server 2003 в функциональность DHCP были внесены два усовершенствования. Эти усовершенствования позволяют расширить функциональные возможности по сравнению с добавленными в Windows 2000, но все же незначительно изменяют конструктивные решения, принятые в DHCP Windows 2000.
Àâòîìàòèçàöèÿ ðåçåðâíîãî êîïèðîâàíèÿ è âîññòàíîâëåíèÿ áàçû äàííûõ DHCP В Windows Server 2003 упрощен процесс резервного копирования всех параметров DHCP и их восстановления на тот же (или другой) сервер. Теперь для миграции DHCP больше не нужно экспортировать записи системного реестра и вручную переносить
DHCP, WINS и контроллеры доменов Ãëàâà 10
339
базы данных с одного сервера на другой, так как процесс резервного копирования и восстановления может быть выполнен непосредственно из консоли MMC. Процесс резервного копирования и восстановления базы данных DHCP выглядит следующим образом. 1. Откройте диспетчер DHCP, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖDHCP (Все программыÖАдминистрированиеÖDHCP). 2. Щелкните правой кнопкой мыши на имени сервера и выберите в контекстном меню пункт Backup (Резервное копирование), как показано на рис. 10.6.
Ðèñ. 10.6. Резервное копирование базы данных DHCP 3. Укажите расположение резервного файла и щелкните на кнопке OK. Файлы резервной копии будут сохранены в указанном каталоге. 4. Снова откройте диспетчер DHCP, как объяснялось в шаге 1. 5. Щелкните правой кнопкой мыши на имени сервера и выберите в контекстном меню пункт Restore (Восстановить). 6. Когда появится диалоговое окно с запросом, нужно ли остановить и перезапустить службу, щелкните на кнопке Yes (Да). Служба будет перезапущена с восстановленной базой данных и системным реестром.
НА ЗАМЕТКУ Процесс резервного копирования и восстановления DHCP чрезвычайно полезен при миграции существующих конфигураций, областей и последней информации об аренде адресов DHCP-сервера на новые серверы. Однако, поскольку серверы DHCP более низкого уровня (до Windows Server 2003) не поддерживают автоматическое резервное копирование и восстановление, миграцию с этих серверов придется выполнять посредством экспорта и импортирования системного реестра DHCP и ручного переноса файлов базы данных.
340
Сетевые службы ×àñòü III
Âîçìîæíîñòü ðàáîòû êëèåíòà DHCP â äðóãîé ñåòè Клиент DHCP, включенный в состав эквивалента клиента Windows Server 2003 — Windows XP — может иметь статический IP-адрес, выделяемый клиентам при недоступности сервера DHCP. Этот статический IP-адрес используется вместо адреса APIPA, который иначе использовался бы в подобных ситуациях. Как правило, такая функциональность должна использоваться на ноутбуках, подключаемых к различным сетям. Например, в офисе мобильный компьютер пользователя получает адрес DHCP. Однако дома он использует резервный статический IPадрес, определенный в параметрах сети. Чтобы сконфигурировать эту функциональность на клиенте Windows XP, выполните следующие шаги: 1. Выберите в меню Start пункт Control Panel (Панель управления). 2. Дважды щелкните на пиктограмме Network Connections (Сетевые подключения). 3. Щелкните правой кнопкой мыши на нужном адаптере и выберите в контекстном меню пункт Properties (Свойства). 4. Выберите строку TCP/IP и щелкните на кнопке Properties. 5. В диалоговом окне свойств перейдите на вкладку Alternate Configuration (Альтернативная конфигурация). 6. Заполните поле Static IP Information (Информация статического IP-адреса) и щелкните на кнопке OK. 7. Щелкните на кнопке Close (Закрыть), чтобы закрыть окно свойств.
Ïîäõâàò ôóíêöèé DHCP Важность службы DHCP невозможно переоценить. Отказ DHCP порождает поток нареканий раздраженных пользователей, которые не могут получить доступ в сеть. Поэтому крайне важно встроить в DHCP избыточность и предусмотреть процедуры аварийного восстановления на случай полного отказа DHCP. К сожалению, в службе DHCP отсутствует какой-либо метод динамической совместной работы с другим DHCP-сервером для синхронизации информации об аренде адресов и используемой области. Однако с помощью нескольких приемов можно сконфигурировать среду DHCP с возможностью подхвата функций при отказе сервера или устаревании его информации. Для обеспечения избыточности существует три возможности, выбор из которых необходимо сделать с учетом их преимуществ и недостатков, а также требований, предъявляемых в организации.
Ïîâûøåíèå îòêàçîóñòîé÷èâîñòè DHCP ñ ïîìîùüþ ïîäõâàòà ôóíêöèé “50/50” В методе подхвата функций “50/50” используются два DHCP-сервера, каждый из которых обрабатывает в подсети равный объем клиентского трафика. Каждый DHCPсервер конфигурируется с одной и той же областью, но с различным диапазоном IPадресов, во избежание конфликтов IP-адресации.
DHCP, WINS и контроллеры доменов Ãëàâà 10
341
Подхват функций “50/50” показан на рис. 10. 7. Как видно из этой схемы, сеть содержит 200 клиентов, определенных адресом 192.168.1.0/24. Каждый DHCP-сервер содержит область, покрывающую всю клиентскую подсеть. Область сервера 1 сконфигурирована так, что из нее исключены все IP-адреса, кроме диапазона 192.168.1.1– 192.168.1.125. Из области сервера 2 исключена первая половина всего диапазона, а клиентам для аренды предоставлен диапазон 192.168.1.126–192.168.1.254. Ïîäñåòü 192.168.1.0/24 200 êëèåíòîâ
50% Èìÿ îáëàñòè: Äèàïàçîí àäðåñîâ: Èñêëþ÷åíèÿ:
Ïåðâàÿ îáëàñòü 192.168.1.1-192.168.1.254 192.168.1.126-192.168.1.254
Èìÿ îáëàñòè: Äèàïàçîí àäðåñîâ: Èñêëþ÷åíèÿ:
Âòîðàÿ îáëàñòü 192.168.1.1-192.168.1.254 192.168.1.1-192.168.1.125
Ñåðâåð 1 50%
Ñåðâåð 2
Ðèñ. 10.7. Подхват функций “50/50” При запросе IP-адреса клиент принимает адрес, выделенный ему первым ответившим сервером — так достигается приблизительная балансировка нагрузки между двумя серверов. Преимущество этого подхода состоит в том, что в среду DHCP внедряется значительная избыточность без резервирования для клиентов дополнительных диапазонов IP-адресов. Однако прежде чем применять этот подход, необходимо учесть несколько тонких моментов. Прежде всего, в принципе возможно, что один сервер окажется ближе к большинству клиентов, и поэтому к нему будет направляться больше клиентов. Теоретически это может привести к исчерпанию DHCP-сервером арендуемых адресов, сводя избыточность к нулю. Поэтому по возможности, то есть при доступности достаточного диапазона лицензируемых адресов, желательно использовать другие методы подхвата функций DHCP. Другим важным обстоятельством при конфигурировании DHCP этим методом является то, что диапазон исключаемых адресов должен соответствовать диапазону адресов, предоставляемых другим сервером, чтобы при попытке продления лицензии клиентом другого сервера он не получил отказ. Эта ситуация в принципе может возникнуть при отсутствии исключения адресов, поскольку в диалоге клиента и сервера могут возникнуть проблемы, если клиент использовал IP-адрес вне присутствующего в области диапазона. Однако если диапазон существует, но заданы исключения из него, сервер просто назначит новый адрес из резервного диапазона.
342
Сетевые службы ×àñòü III
Ïîâûøåíèå îòêàçîóñòîé÷èâîñòè DHCP ñ ïîìîùüþ ïîäõâàòà ôóíêöèé “80/20” Подхват функций “80/20” аналогичен методу “50/50”, за исключением того, что эффективный диапазон области сервера, назначенного в качестве резервного DHCPсервера, содержит только 20% адресов доступного IP-диапазона клиентских адресов. В большинстве случаев этот сервер, содержащий 20% адресов, будет располагаться в удаленной подсети, и поэтому почти не будет отвечать за аренду адресов клиентам. Сервер, содержащий 80% адресов, должен физически располагаться ближе к реальному серверу и поэтому будет принимать большинство запросов клиентов, отвечая на них быстрее (рис. 10.8). Ïîäñåòü 192.168.1.0/24 200 êëèåíòîâ
80% Èìÿ îáëàñòè: Äèàïàçîí àäðåñîâ: Èñêëþ÷åíèÿ:
Îñíîâíàÿ îáëàñòü 192.168.1.1-192.168.1.254 192.168.1.204-192.168.1.254
Èìÿ îáëàñòè: Äèàïàçîí àäðåñîâ: Èñêëþ÷åíèÿ:
Ðåçåðâíàÿ îáëàñòü 192.168.1.1-192.168.1.254 192.168.1.1-192.168.1.203
Ñåðâåð 1
20% Ðåçåðâíûé ñåðâåð â ñåòè óäàëåííîãî ñàéòà Ñåðâåð 2
Ðèñ. 10.8. Подхват функций “80/20” В случае отказа сервера 1 сервер 2 должен отвечать на запросы клиентов до тех пор, пока не будет восстановлена работа сервера 1 в сети. Недостаток этого подхода состоит в том, что при длительном простое сервера 1 все арендуемые адреса будут исчерпаны, и возобновление аренды адресов клиентами станет невозможным. Поэтому для минимизации времени простоя важно составить план аварийного восстановления сервера, содержащего 80% адресов. Как и при использовании подхода “50/50”, важно правильно определить диапазоны исключений для каждого из DHCP-серверов, как было описано в предшествующих разделах.
Ïîâûøåíèå îòêàçîóñòîé÷èâîñòè DHCP ñ ïîìîùüþ ïîäõâàòà ôóíêöèé “100/100” В службе DHCP Windows Server 2003 подхват функций “100/100” представляет собой наиболее эффективное средство обеспечения высокой доступности среды DHCP. Однако прежде чем приступить к реализации этого типа резервирования, потребуется решить несколько серьезных вопросов.
DHCP, WINS и контроллеры доменов Ãëàâà 10
343
В своей простейшей форме подхват функций “100/100” предполагает использование двух DHCP-серверов, каждый из которых обслуживает те же самые подсети организации. Однако области каждого сервера содержат различные равные по размеру диапазоны IP-адресов для клиентов, количество которых достаточно для обслуживания всех клиентов конкретной подсети. В изображенной на рис. 10.9 подсети 10.2.0.0/16 имеется 750 клиентов. Она обслуживается двумя DHCP-серверами, каждый из которых обслуживает область для всей подсети. Область каждого сервера содержит адреса от 10.2.1.1 до 10.2.8.254. Из области сервера 1 исключены все IP-адреса, кроме входящих в диапазон 10.2.1.1– 10.2.4.254. Из диапазона сервера 2 исключены все IP-адреса, кроме входящих в диапазон 10.2.5.1–10.2.8.254. Следовательно, каждый эффективный диапазон адресов достаточно велик, чтобы обеспечить обслуживание 1000 клиентов — более чем достаточно для любого компьютера в сети. Ïîäñåòü 10.22.0.0/16 750 êëèåíòîâ 100% Èìÿ îáëàñòè: Äèàïàçîí àäðåñîâ: Èñêëþ÷åíèÿ:
Îáëàñòü A 10.2.1.1-10.2.8.254 10.2.4.255-10.2.8.254 10.2.1.255 10.2.2.255 10.2.3.255
Èìÿ îáëàñòè: Äèàïàçîí àäðåñîâ: Èñêëþ÷åíèÿ:
Îáëàñòü B 10.2.1.1-10.2.8.254 10.2.1.1-10.2.4.255 10.2.5.255 10.2.6.255 10.2.7.255
Ñåðâåð 1 100%
Ñåðâåð 2
Ðèñ. 10.9. Подхват функций “100/100” Если один из серверов DHCP прерывает обслуживание и не отвечает на запросы, другой сервер берет на себя его функции, отвечая клиентам и предоставляя им возможность поменять свои IP-адреса на доступные в другом диапазоне. Преимущества такой архитектуры очевидны. В случае отказа одного сервера второй сервер немедленно выдаст новые IP-адреса клиентам, которые ранее обслуживались отказавшим сервером. Поскольку оба сервера работают постоянно, подхват функций происходит немедленно. Кроме того, отказавший DHCP-сервер в принципе может оставаться отключенным в течение всего срока аренды, поскольку второй сервер способен взять на себя все его функции. Основной недостаток этого подхода связан с необходимостью наличия большого количества доступных клиентам IP-адресов — более чем вдвое больше, нежели в обычных условиях. Это может оказаться трудным, если не невозможным, во многих сетях с ограниченным доступным диапазоном IP-адресов. Однако в организациях, располагающих большим диапазоном IP-адресов, как, например, в конфигурациях частных сетей (10.x.x.x и т.п.), этот тип конфигурации представляется идеальным.
344
Сетевые службы ×àñòü III
Как видно на рис. 10.9, для предотвращения проблем, описанных в предшествующих примерах, оба диапазона должны включать в себя области из другого сервера.
НА ЗАМЕТКУ Если в организации используется частная схема IP-адресации, типа 10.x.x.x или 192.168.x.x, то имеет смысл сегментировать доступные IP-адреса отдельных подсетей так, чтобы диапазоны содержали в несколько раз больше потенциально доступных IP-адресов, чем требуется в сети в данный момент. Тем самым обеспечивается не только эффективная стратегия подхвата функций DHCP, но и надежное расширение сети без изменения общей схемы IP-адресации.
Ìåòîä ðåçåðâíûõ îáëàñòåé Резервный DHCP-сервер — это просто сервер с установленной службой DHCP и сконфигурированными областями, но не включенный в сеть. Области должны быть сконфигурированы в различных диапазонах адресов, как описано в предшествующих примерах, но в обычной ситуации они бездействуют до тех пор, пока не потребуются. Этот подход удобен тем, что служба DHCP может быть установлена на сервере, который в обычных условиях не будет использовать для DHCP дополнительные ресурсы. При возникновении проблем нужно просто активизировать бездействующие области. При необходимости для выполнения этой функции можно использовать автоматизированное средство или сценарий.
Êëàñòåðèçàöèÿ DHCP-ñåðâåðîâ Последняя возможность обеспечения избыточности DHCP — использование для выполнения этой службы кластеризованного сервера. В этом случае, если один сервер выходит из строя, его функции берет на себя второй сервер кластера. Этот подход требует больших вложений в оборудование, и его следует применять только в тех случаях, когда это действительно необходимо. Дополнительная информация по кластеризации серверов приведена в главе 31.
Óãëóáëåííûå êîíöåïöèè DHCP Вплоть до настоящего времени DHCP была весьма непритязательной сетевой службой. Простота протокола — еще одна причина ее успеха, поскольку DHCP не требует сложного администрирования. Однако понимание ряда углубленных концепций ее применения позволяет достичь большей степени управления DHCP. Некоторые из этих концепций появились лишь в Windows Server 2003, а некоторые были введены еще в Windows 2000. Эти усовершенствования облегчают управление средой DHCP и повышают безопасность и простоту ее использования.
Ñóïåðîáëàñòè DHCP Суперобласти DHCP используются в средах, в которых несколько подсетей сети образуют единую среду областей. В этих случаях можно создать суперобласть, содержащую несколько областей. После этого отдельные области становятся зависимыми от главной суперобласти. Если ее отключить, отдельные области также станут неактивными. Пример суперобласти DHCP показан на рис. 10.10.
DHCP, WINS и контроллеры доменов Ãëàâà 10
345
Ðèñ. 10.10. Суперобласть DHCP
Øèðîêîâåùàòåëüíûå îáëàñòè DHCP Широковещательная область создается, чтобы клиентам можно было присваивать широковещательные IP-адреса. Широковещательный IP-адрес — это адрес, который может быть присвоен нескольким хостам назначения, что удобно при таких формах коммуникаций типа “один со многими”, как широковещательные Web-рассылки и сеансы видеоконференций.
Äåëåãèðîâàíèå àäìèíèñòðàòèâíûõ ôóíêöèé DHCP Никогда не следует предоставлять все административные полномочия лицам, которые должны выполнять лишь отдельные функции сетевого администрирования. Если средой DHCP должна управлять небольшая группа администраторов, Windows Server 2003 облегчает делегирование им административных функций с помощью включения группы DHCP Administrators (Администраторы DHCP). Добавление в эту группу безопасности пользователей или, лучше, групп позволит им администрировать DHCP-серверы.
Óòèëèòà êîìàíäíîé ñòðîêè Netsh В Windows Server 2003 были предприняты огромные усилия, чтобы позволить выполнять практически все административные функции в режиме командной строки. Это не только облегчает работу тем пользователям, которые привыкли к администрированию с помощью командной строки (как в операционных системах Unix), но и позволяет выполнять сценарии и пакетные файлы, автоматизирующие процессы администрирования.
346
Сетевые службы ×àñòü III
Утилита командной строки Netsh — одна из таких утилит, которая предоставляет администраторам возможность выполнять практически все задачи DHCP, доступные для выполнения из графического интерфейса консоли MMC. Для ознакомления с полным перечнем доступных функций Netsh запустите в командной строке команду netsh /?. Результат можно видеть на рис. 10.11.
Ðèñ. 10.11. Опции утилиты командной строки Netsh
Îáñëóæèâàíèå áàçû äàííûõ DHCP База данных DHCP хранится в файле dhcp.mdb в каталоге \%systemroot%\system32\dhcp. Она структурирована с помощью технологии баз данных Microsoft JET, применяемой также в Exchange Server, Active Directory и множестве других баз данных из мира Microsoft. Как может подтвердить любой администратор, которому приходилось работать с базами данных JET, для обеспечения правильного функционирования базы данных DHCP требуется частое выполнение таких действий по ее обслуживанию, как дефрагментация и восстановление свободного пространства. По умолчанию DHCP конфигурируется для выполнения оперативного (без отключения от сети) сопровождения базы данных, но только тогда, когда она не используется для ответов на запросы клиентов. Большие и постоянно загруженные DHCP-серверы могут не иметь простоев, поэтому важно раз в квартал или полгода выполнять автономное обслуживание файла dhcp.mdb. В Windows Server 2003 обслуживание файла dhcp.mdb базы данных DHCP можно выполнить с помощью утилиты jetpack. Чтобы остановить службу DHCP-сервера, сжать базу данных и перезапустить службу, введите в командной строке следующие команды, результаты действия которых показаны на рис. 10.12. • cd %systemroot%\system32\dhcp • net stop dhcpserver • jetpack dhcp.mdb tmp.mdb • net start dhcpserver
DHCP, WINS и контроллеры доменов Ãëàâà 10
347
Ðèñ. 10.12. Обслуживание базы данных DHCP НА ЗАМЕТКУ В дополнение к любым другим действующим графикам сопровождения необходимо составить график обслуживания DHCP и всех других баз данных на основе Microsoft JET. Такой график поможет сохранять наибольшую производительность этих сетевых сред. Минимизировать время простоя, вызванного обслуживанием, можно с помощью резервных серверов, которые будут выполнять необходимые функции во время отключения базы данных.
Áåçîïàñíîñòü DHCP Протокол DHCP является небезопасным. Не существует никакого способа определения, поступил ли запрос от законного клиента или злоумышленника. Злонамеренные пользователи могут провести на DHCP-сервер атаку типа отказа в обслуживании, просто запросив все доступные в диапазоне IP-адреса, и лишить таким образом законных пользователей возможности получения IP-адресов. По этой и ряду других причин важно обеспечить надежную защиту сетевых линий. Хотя это и очевидно, физическая защита сети от потенциальных злоумышленников — обязательное условие обеспечения безопасности не только DHCP, но и других сетевых служб, уязвимых для атак отказа в обслуживании. Меры по защите должны включать и аудит безопасности беспроводных сетей, таких как 802.11b, которые могут предоставлять (и часто предоставляют) неограниченный доступ злонамеренным пользователям. Кроме мер физической защиты и защиты линий, для более полного выявления слабых мест и возможностей DHCP необходимо рассмотреть несколько аспектов и механизмов обеспечения безопасности.
Àâòîðèçàöèÿ DHCP Сама по себе служба DHCP не является аутентифицируемой, то есть любой может установить в сети сервер DHCP и начать принимать клиентов и присваивать им неверные адреса или перенаправлять их с преступными целями. Поэтому еще во времена Windows 2000 возникла необходимость авторизации DHCP-сервера, работающего в домене Active Directory. После авторизации DHCP-сервера соответствующей административной службой домена он может принимать запросы клиентов на аренду IP-адресов.
348
Сетевые службы ×àñòü III
Недостаток этого подхода состоит в том, что все равно в сеть можно добавить неаутентифицированный сервер Windows NT 4.0 или Linux. В этой ситуации для определения местоположения мошеннических DHCP-серверов может потребоваться применение средств анализа сети. Авторизация DHCP-сервера Windows Server 2003 не представляет сложности, если сервер является членом домена Active Directory, а входящий в систему пользователь обладает в домене соответствующими полномочиями DHCP. Авторизацию можно выполнить в соответствие с описанными ниже шагами. 1. Откройте диспетчер DHCP (DHCP Manager), выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖDHCP (Все программыÖАдминистрированиеÖ DHCP). 2. Щелкните правой кнопкой мыши на имени сервера и выберите в контекстном меню пункт Authorize (Авторизовать), как показано на рис. 10.13. 3. Спустя несколько минут DHCP-сервер должен быть авторизован, и можно активизировать его области.
Ðèñ. 10.13. Авторизация DHCP-сервера
DHCP è áåçîïàñíîñòü êîíòðîëëåðà äîìåíà По возможности службу DHCP не следует выполнять на контроллере домена Active Directory, поскольку это снижает безопасность сгенерированных SVR-записей. Это обусловлено перечисленными ниже причинами. Записи DNS в AD-интегрированной зоне DNS “защищены” — то есть только клиент, создавший запись, может впоследствии ее обновлять. Однако это может быть причиной проблем при автоматическом обновлении сервером DHCP клиентских записей, поскольку клиент больше не выполняет эту функцию и не может применить безопасность к записи.
DHCP, WINS и контроллеры доменов Ãëàâà 10
349
В DHCP Windows Server 2003 это ограничение обходится посредством помещения всех DHCP-серверов в специальную группу Active Directory, называемую DNSUpdateProxy. Члены этой группы не применяют безопасность к объектам, создаваемым ими в базе данных DNS. Идея состоит в том, что ответственность за безопасность записи возлагается на первого обратившегося к записи клиента. Но с этой концепцией связана следующая проблема: только что созданные DHCPсерверами записи не обладают безопасностью и, значит, могут быть захвачены злонамеренными клиентами. Поскольку контроллеры доменов отвечают за публикацию записей SVR в DNS, указывающих расположение контроллеров доменов, серверов Kerberos и тому подобных сведений, в системе безопасности остаются бреши, которыми могут воспользоваться злоумышленники. Следовательно, размещать DHCP на контроллерах доменов нежелательно. Если это неизбежно, то во избежание возможных проблем безопасности DHCP-сервер не рекомендуется помещать в группу DNSUpdateProxy.
Ñëóæáà Internet-èìåí Windows Служба Internet-имен Windows (Windows Internet Naming Service — WINS) в сетях Microsoft имеет долгую и драматичную историю. Вначале сети Microsoft были ориентированы главным образом на широковещательную передачу данных, используя для идентификации локальных компьютеров протоколы наподобие NetBEUI. Проблема с этим типом преобразования имен заключалась в том, что его нельзя было распространить более чем на несколько подсетей, а в современных сетях это типичная ситуация. С принятием TCP/IP в качестве легко маршрутизируемого протокола назрела потребность преобразования NetBIOS-имен компьютеров в IP-адреса. В ответ на эту потребность и была разработана WINS.
Ïðåîáðàçîâàíèå èìåí, ïðèìåíÿâøååñÿ Microsoft â NetBIOS WINS — это всего лишь простая база данных имен NetBIOS и соответствующих им IP-адресов. 16-й байт имени NetBIOS, хранящегося в WINS, может содержать также дополнительную информацию: имя домена, тип сервера и так далее. В системах Microsoft служба WINS считается устаревшей, поскольку на смену преобразованию имен NetBIOS пришло преобразование имен в системе доменных имен (Domain Name System — DNS). Однако в современных сетях трудно полностью избавиться от WINS, поскольку эта служба лежит в основе работы клиентов более низкого уровня (предшествующих Windows 2000), старых приложений и даже некоторых служб Microsoft, таких как DFS, которые по умолчанию используют WINS. Следовательно, часто бывает нужно продолжать использовать WINS в сетях Windows, если только доподлинно не известно, что она больше не нужна.
Èíòåãðàöèÿ WINS è DNS DNS может использовать базу данных WINS и разрешать запросы клиентов WINS в стиле DNS. Это означает, что если, например, DNS-серверу отправлен запрос на пре-
350
Сетевые службы ×àñòü III
образование имени client1.companyabc.com, то DNS-сервер может использовать базу данных WINS для преобразования запросов, адресованных любым зонам, в которых сконфигурирован прямой поиск WINS. Если клиент Client1 не существует в базе данных DNS, но существует в базе данных WINS, DNS-сервер возвратит IP-адрес, полученный из WINS, и присоединит к записи суффикс companyabc.com, как показано на рис. 10.14.
1 Êëèåíò
1. Клиент отправляет DNS-серверу запрос на преобразование имени client1.companyabc.com.
4 DNSñåðâåð
2. DNS-сервер не может преобразовать имя с помощью базы данных DNS, поэтому он переадресует запрос серверу WINS.
2 3 Ñåðâåð WINS
client1.companyabc.com = 10.1.2.165
3. Сервер WINS находит в своей базе данных запись CLIENT1 и возвращает ответ DNS-серверу. 4. DNS-сервер возвращает клиенту IP-адрес, присоединяя к нему суффикс companyabc.com.
Ðèñ. 10.14. Интеграция WINS и DNS Эту функцию необходимо явно активизировать на DNS-сервере, поскольку по умолчанию она отключена. Чтобы включить WINS-преобразование имен на DNSсервере, выполните следующие шаги. 1. На сервере, на котором выполняется DNS, откройте оснастку DNS консоли MMC, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖDNS (Все программыÖАдминистрированиеÖDNS). 2. Найдите строку DNS \ <Имя_сервера> \ Forward Lookup Zones (DNS\ <Имя_сервера>\Зоны прямого поиска). 3. Щелкните правой кнопкой мыши на нужной зоне и выберите в контекстном меню пункт Properties. 4. В диалоговом окне свойств перейдите на вкладку WINS. 5. Установите флажок Use WINS Forward Lookup (Использовать прямой поиск WINS). 6. Введите IP-адрес сервера (серверов) WINS и щелкните на кнопке OK, чтобы сохранить изменения, как показано на рис. 10.15. Конфигурирование DNS более подробно описано в главе 9.
Èçìåíåíèÿ ñëóæáû WINS Windows Server 2003 Хотя в Windows Server 2003 общее функционирование WINS не претерпело существенных изменений, некоторые добавления в средства администрирования расширяют ее функциональные возможности:
DHCP, WINS и контроллеры доменов Ãëàâà 10
351
Ðèñ. 10.15. Конфигурирование преобразования имен в DNS с помощью WINS •
Расширенные возможности поиска в базах данных WINS. В предшествующих реализациях WINS содержались лишь упрощенные возможности поиска, которые ограничивались простым поиском записей в базе данных NetBIOS по ключевому слову. В Windows Server 2003 поисковый механизм WINS был модернизирован для поддержки более сложных параметров поиска, что предоставляет администраторам большую гибкость при поиске конкретных записей.
•
Фильтрация в WINS принимаемых записей и утверждение партнера репликации. Вместо того чтобы пересылать на другие серверы все записи, репликация можно ограничить только теми записями, которые принадлежат конкретному серверу. Тем самым предотвращается заполнение базы данных WINS излишними записями.
Кроме этих усовершенствований, внесенных в Windows Server 2003, некоторые усовершенствования WINS были внесены и в Windows 2000: модернизированный процессор базы данных, постоянные подключения, ручное составление списка отключенных сайтов и ряд других.
Óñòàíîâêà è êîíôèãóðèðîâàíèå WINS Подобно многим другим службам Windows Server 2003, процесс установки и конфигурирования сервера WINS выполняется с помощью мастера Configure Your Server Wizard (Мастер конфигурирования сервера). Этот мастер автоматически устанавливает все необходимые службы и базы данных и выполняет настройку параметров для каждой конкретной службы. Хотя инсталляцию можно выполнить и по-другому, в Windows Server 2003 этот метод является предпочтительным.
352
Сетевые службы ×àñòü III
Óñòàíîâêà WINS Чтобы установить WINS на сервере с помощью мастера конфигурирования сервера, выполните перечисленные ниже шаги. 1. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖConfigure Your Server Wizard (Все программыÖАдминистрированиеÖМастер конфигурирования сервера). 2. На экране приветствия мастера щелкните на кнопке Next (Далее). 3. Проверьте, выполнены ли все необходимые условия, и щелкните на кнопке Next. После этого будет проведено тестирование сети. 4. В списке Server Roles (Роли сервера) выберите WINS Server (Сервер WINS) и щелкните на кнопке Next. 5. На странице Summary (Сводка) щелкните на кнопке Next. 6. Если появится требование вставить носитель с Windows Server 2003, вставьте его и щелкните на кнопке Next. 7. Для завершения установки щелкните на кнопке Finish (Готово) на последней странице мастера, как показано на рис. 10.16.
Ðèñ. 10.16. Установка сервера WINS
Êîíôèãóðèðîâàíèå ïðèíèìàþùèõ è ïåðåäàþùèõ ïàðòíåðîâ Если в данной сетевой среде имеется лишь единственный сервер WINS, никакая дополнительная конфигурация, кроме указания этого сервера в IP-конфигурации клиентов, не требуется. Однако если в этой среде установлены дополнительные серверы WINS, требуется обмен информацией баз данных между несколькими серверами. Для этого типа топологии репликации необходимо назначение принимающих и передающих партнеров.
DHCP, WINS и контроллеры доменов Ãëàâà 10
353
Принимающий партнер (push partner) какого-либо сервера WINS — это другой сервер WINS, служащий местом назначения, куда пересылаются изменения WINS. Передающий партнер (pull partner) — это сервер WINS, из которого берутся изменения. В общем, если для сервера 1 в качестве принимающего партнера сконфигурирован сервер 2, то для сервера 2 в качестве передающего партнера сконфигурирован сервер 1, и наоборот. Топология приема/передачи WINS должна в общих чертах соответствовать топологии сети организации. Например, если организация состоит из двух главных офисов, служащих сетевыми концентраторами, и нескольких филиалов, в каждом из которых имеется свой собственный сервер WINS, то топология приема/передачи WINS может быть похожа на показанную на рис. 10.17.
EURWINS01 REDWINS01
TOKWINS01 SFWINS01
SFWINS02
BAKWINS01
LAWINS01
LAWINS02
HONWINS01
SDWINS01
Ðèñ. 10.17. Пример топологии приема/передачи WINS
Ðåïëèêàöèÿ WINS Репликация изменений базы данных WINS выполняется по установленному расписанию, которое можно изменять для каждого соединения в отдельности. Как и в случае любых сетевых пересылок данных, расписание репликации должно составляться в соответствии с конкретными потребностями организации. Если канал WAN перегружен,
354
Сетевые службы ×àñòü III
имеет смысл выполнять репликации WINS пореже. Однако если канал между партнерами приема/передачи надежен, можно установить более короткие интервалы. Чтобы изменить стандартный интервал репликации, равный 30 мин., выполните следующие шаги. 1. Откройте диспетчер WINS, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖWINS (ПускÖВсе программыÖАдминистрированиеÖWINS). 2. Выберите папку Replication Partners (Партнеры репликации). 3. Щелкните правой кнопкой мыши на пиктограмме Push/Pull Partner (Партнер приема/передачи) (если такой объект отсутствует, его потребуется создать) и выберите в контекстном меню пункт Properties. 4. Измените время Replication Interval (Интервал репликации) на нужное значение, как показано на рис. 10.18, и щелкните на кнопке OK, чтобы сохранить изменения.
Ðèñ. 10.18. Параметры репликации WINS На странице, показанной на рис. 10.18, можно изменить и другие параметры партнеров приема/передачи: тип партнеров репликации, использование постоянных соединений и другую важную информацию.
Ïðåîáðàçîâàíèå êëèåíòîâ NetBIOS è ôàéë LMHOSTS При определении IP-адреса имени NetBIOS клиент Windows не сразу обращается к серверу WINS. Об этом важно помнить при устранении проблем преобразования имен на клиенте Windows. Клиент для преобразования имени вначале обращается к локальному кэшу NetBIOS. В случае изменения IP-адреса кэш может содержать старый адрес, что приведет к возникновению проблем. Для очистки кэша запустите в командной строке команду nbtstat -R (с прописной R).
DHCP, WINS и контроллеры доменов Ãëàâà 10
355
Кроме локального кэша, перед обращением к серверу WINS клиенты всегда просматривают файл LMHOSTS, если он существует. Если файл LMHOSTS содержит ошибочную информацию, это помешает правильному преобразованию имен. Приступая к устранению проблем на сервере WINS, всегда проверяйте содержимое этого файла (обычно он хранится в каталоге \%systemroot%\system32\drivers\etc клиента).
Ïëàíèðîâàíèå, ìèãðàöèÿ è îáñëóæèâàíèå WINS Как уже было сказано, служба WINS обязательна в большинстве производственных сред, поскольку пока еще не удается избавиться от повсеместная зависимости от NetBIOS, встроенной в системы Windows. В новых инсталляциях Windows Server 2003 службу WINS устанавливать не обязательно, но в старых модернизированных средах следует все же планировать использование WINS в течение нескольких ближайших лет.
Ïðîåêòèðîâàíèå ñðåäû WINS При проектировании среды WINS необходимо учитывать два основных фактора. Первый фактор — доступность. Наличие локального быстрого соединения с сервером WINS облегчает обработку клиентских запросов. Поскольку WINS не слишком загружает серверы, на всех сайтах, имеющих более 5–10 пользователей, целесообразно устанавливать, по меньшей мере, по одному серверу WINS. В меньших средах WINS можно устанавливать как часть локального файлового сервера, а в больших средах рекомендуется использовать несколько специальных вспомогательных серверов с запущенной на них службой WINS. Как уже упоминалось, обычно устанавливаемая топология репликации должна отражать инфраструктуру сети. Если в сети используется звездообразная архитектура, то такой же должна быть и топология WINS.
Ìîäåðíèçàöèÿ ñðåäû WINS Сама по себе служба WINS — одна из наиболее простых для миграции на отдельный набор серверов в процессе модернизации до Windows Server 2003. Во многих средах для этого достаточно выполнить модернизацию существующего сервера WINS. Однако миграция на отдельный сервер или набор серверов может оказаться удобной и при изменении топологии или оборудования. Миграцию существующей среды WINS проще всего выполнить с помощью описанной в этом разделе процедуры. Она позволяет перенести всю базу данных WINS на новый набор серверов, не влияя на какие-либо клиенты и не изменяя настройки сервера WINS. Миграция WINS с помощью этой процедуры показана на рис. 10.19. На рис. 10.19 старые серверы 1 и 2 обрабатывают трафик всей сети вымышленной организации CompanyABC. Они сконфигурированы с IP-адресами 10.1.1.11 и 10.1.1.12, которые в настройках IP всех клиентов сконфигурированы соответственно как Primary WINS (Первичный сервер WINS) и Secondary WINS (Вторичный сервер WINS). Старый сервер 1 и старый сервер 2 сконфигурированы в качестве партнеров приема/передачи.
356
Сетевые службы ×àñòü III Íàñòðîéêà íîâûõ îòíîøåíèé ïðèåìà/ïåðåäà÷è äëÿ ìèãðàöèè
10.1.1.11
10.1.1.21
Ñòàðûé ñåðâåð 1
Íîâûé ñåðâåð 1
10.1.1.22
10.1.1.12 Ñòàðûé ñåðâåð 2
Íîâûé ñåðâåð 2
Ðèñ. 10.19. Первый этап процедуры миграции WINS Новые серверы 1 и 2 добавлены в сеть с установленной службой WINS и сконфигурированы в качестве партнеров приема/передачи друг для друга. Их начальные IPадреса — 10.1.1.21 и 10.1.1.22. Затем старый сервер 1 и новый сервер 1 соединяются как партнеры приема/передачи в сети. В силу такого соединения серверов вся информация старой базы данных WINS реплицируется на новые серверы, как показано на рис. 10.19. После завершения репликации базы данных WINS на новые серверы старые серверы отключаются (лучше в выходные дни или ночью для уменьшения влияния этого отключения), а новым серверам 1 и 2 сразу же присваиваются IP-адреса старых серверов, как показано на рис. 10.20.
X X
Ñòàðûé ñåðâåð 1
Ñòàðûé ñåðâåð 2
10.1.1.11 Íîâûé ñåðâåð 1
10.1.1.12
Ïåðåñîçäàíèå îòíîøåíèé ïðèåìà/ïåðåäà÷è ïîñëå èçìåíåíèÿ IP-àäðåñîâ
Íîâûé ñåðâåð 2
Ðèñ. 10.20. Второй этап процедуры миграции WINS Затем выполняется повторное создание отношений партнеров приема/передачи между новым сервером 1 и новым сервером 2, поскольку их IP-адреса были изменены. Общее время простоя среды WINS может составить всего несколько минут, а старая база данных переносится в неизменном виде. Кроме того, поскольку новым серверам присваиваются старые IP-адреса, не нужны какие-либо перенастройки клиентов. Однако этот подход сопряжен с некоторыми сложностями. Если IP-адреса не могут быть изменены, серверы WINS должны быть изменены на стороне клиента. При использовании службы DHCP это можно сделать, сохраняя в среде старые и новые серверы до тех пор, пока изменения WINS не смогут быть автоматически обновлены с
DHCP, WINS и контроллеры доменов Ãëàâà 10
357
помощью DHCP. Однако в действительности эта технология позволяет очень легко выполнять миграцию WINS, и ее можно настроить в соответствии с любой топологией WINS.
Îáñëóæèâàíèå áàçû äàííûõ WINS Подобно базе данных DHCP, база данных WINS основана на технологии баз данных Microsoft JET и, следовательно, требует регулярного обслуживания. Плановое обслуживание каждой базы данных WINS рекомендуется проводить раз в квартал или полгода. Файл базы данных WINS wins.mdb хранится в каталоге \%systemroot%\system32\wins. Обслуживание базы данных можно выполнить, набрав в командной строке следующие команды: •
cd %systemroot%\system32\wins
•
net stop wins
•
jetpack wins.mdb tmp.mdb
•
net start wins
Ðàçìåùåíèå êîíòðîëëåðîâ äîìåíà ãëîáàëüíîãî êàòàëîãà Размещение контроллеров домена глобального каталога в Windows Server 2003 — крайне важный фактор сокращения времени ответа на запросы Active Directory. При отсутствии быстрого ответа от контроллера домена пользователю приходится ожидать несколько секунд, а то и минут, чтобы просто войти в сеть, или даже чтобы просмотреть список адресатов почтового сообщения. В этом разделе рассмотрены некоторые вопросы размещения контроллеров домена Active Directory и серверов глобального каталога. Подробнее эти концепции освещены в главах 4 и 5.
Ãëîáàëüíûé êàòàëîã Active Directory В Active Directory глобальный каталог — это индекс всех объектов в лесу Active Directory. Все контроллеры доменов в Active Directory Windows Server 2003 не являются по умолчанию серверами глобального каталога, поэтому их следует установить в качестве таковых, выполнив описанную ниже процедуру. 1. Откройте оснастку Active Directory Sites and Services (Сайты и службы Active Directory). 2. Найдите строку Sites \ <Имя_сайта> \ Servers \ <Имя_сервера>. 3. Щелкните правой кнопкой мыши на строке NTDS Settings (Параметры NTDS) и выберите в контекстном меню пункт Properties. 4. Установите флажок Global Catalog (Глобальный каталог), как показано на рис. 10.21.
358
Сетевые службы ×àñòü III
Ðèñ. 10.21. Превращение контроллера домена в сервер глобального каталога
Ðàçìåùåíèå ãëîáàëüíîãî êàòàëîãà/êîíòðîëëåðà äîìåíà Важно осознавать, что объекты глобального каталога должны физически располагаться вблизи всех объектов сети, которым требуется быстрый вход в сеть и быстрая работа в сети. Поскольку при каждом входе пользователя в сеть просматриваются записи глобального каталога для определения членства в универсальной группе, то это означает, что данная информация постоянно должна находиться “под рукой”. Этого можно достичь, разместив глобальный каталог/контроллер домена (GC/DC) на том же сайте глобальный сети (WAN) или используя процесс, появившийся в Windows Server 2003 и называемый кэшированием универсальной группы.
Êýøèðîâàíèå óíèâåðñàëüíîé ãðóïïû Кэширование универсальной группы — это процесс, посредством которого сайт Active Directory локально кэширует всю информацию о членстве в универсальной группе, чтобы ускорить получение информации при следующем входе клиентов в сеть, то есть ускорить сам вход. Кэширование универсальной группы эффективнее локального размещения сервера GC/DC, поскольку в локальном контроллере домена выполняется репликация и кэширование только тех универсальных групп, к которым имеют отношение члены локального сайта. Однако этот подход имеет и недостаток: первый вход клиентов в сеть выполняется все же дольше, чем при использовании локальных GC/DC, а кэш постепенно устаревает, требуя синхронизации с GC/DC.
DHCP, WINS и контроллеры доменов Ãëàâà 10
359
Кэширование универсальной группы на уровне сайта можно установить следующим образом: 1. Откройте оснастку Active Directory Sites and Services. 2. Найдите строку Sites \ <Имя_сайта>. 3. В правой панели щелкните правой кнопкой мыши на записи NTDS Site Settings (Параметры сайта NTDS) и выберите в контекстном меню пункт Properties. 4. Установите флажок Enable Universal Group Membership Caching (Разрешить кэширование информации о членстве в универсальной группе), как показано на рис. 10.22.
Ðèñ. 10.22. Включение кэширования универсальной группы
Ðàçìåùåíèå ãëîáàëüíîãî êàòàëîãà è êîíòðîëëåðà äîìåíà Как было показано в предыдущих разделах, необходимо принять решения по наиболее эффективному размещению DC и GC/DC в данной среде. Решения по размещению GC/DC и сайтов кэширования универсальных групп необходимо принимать с учетом важности для пользователей скорости входа в сайт по отношению к более высокой пропускной способности кэширования. Однако для многих сред Windows Server 2003 применимы следующие правила: •
Для сайтов, имеющих менее 50 пользователей. Используйте один DC с кэшированием универсальных групп.
•
Для сайтов, имеющих 50–100 пользователей. Используйте два DC с кэшированием универсальных групп.
360
Сетевые службы ×àñòü III
•
Для сайтов, имеющих 100–200 пользователей. Используйте один сервер GC и один сервер DC.
•
Для сайтов, имеющих более 200 пользователей. Для каждых 100 пользователей добавляйте по одному дополнительному DC и GC/DC.
Приведенные рекомендации являются обобщенными, и им не следует слепо следовать в каждой конкретной среде. В некоторых ситуациях, например, при использовании Microsoft Exchange, потребуются определенные модификации. Однако эти обобщенные рекомендации приведены для облегчения определения размеров среды Active Directory при размещении контроллеров доменов.
Ðåçþìå Хотя службы DHCP и WINS и не бросаются в глаза, они являются одними из наиболее важных компонентов функциональной среды Windows Server 2003. Кроме того, размещение контроллера домена глобального каталога и связанные с ним вопросы неразрывно связаны с функционированием среды Active Directory. Следовательно, для обеспечения высокой доступности, надежности и устойчивости сетевой инфраструктуры важно иметь хорошее представление об этих компонентах и связанных с ними процедурах проектирования, миграции и обслуживания.
Ïîëåçíûå ñîâåòû •
Тестируйте службу DHCP только в лабораторной среде.
•
Составьте график обслуживания баз данных DHCP и всех других баз данных на основе технологии Microsoft JET.
•
Обеспечьте резервирование инфраструктуры DHCP и WINS.
•
В больших сетях выделите несколько вспомогательных серверов, выполняющих службу WINS.
•
Запланируйте обслуживание каждой базы данных WINS раз в квартал или полгода.
•
Правильно определите наиболее эффективное размещение DC и GC/DC в данной среде.
•
В сайтах Active Directory, имеющих менее 50 пользователей, используйте один контроллер домена с кэшированием универсальных групп.
•
В сайтах Active Directory, имеющих от 50 до 100 пользователей, используйте не менее двух контроллеров домена.
Èíôîðìàöèîííûå ñëóæáû Internet âåðñèè IIS 6
 ÝÒÎÉ ÃËÀÂÅ... •
Óñîâåðøåíñòâîâàíèÿ IIS 6
•
Ïëàíèðîâàíèå è ïðîåêòèðîâàíèå IIS
•
Óñòàíîâêà è ìîäåðíèçàöèÿ IIS
•
Êîíôèãóðèðîâàíèå IIS
•
Êîíôèãóðèðîâàíèå è îïòèìèçàöèÿ ïðèëîæåíèé
•
Óñòàíîâêà è êîíôèãóðèðîâàíèå ñëóæá FTP
•
Çíàêîìñòâî ñ íåîáÿçàòåëüíûìè êîìïîíåíòàìè IIS
•
Çàùèòà IIS
•
Îáñëóæèâàíèå IIS
•
Óëó÷øåííîå êîíôèãóðèðîâàíèå áåçîïàñíîñòè Internet Explorer äëÿ ñåðâåðîâ
ÃËÀÂÀ
11
362
Сетевые службы ×àñòü III
Каждая последующая версия информационных служб Internet (Internet Information Services — IIS) существенно улучшена по сравнению с предшествующими версиями. Версия IIS 6 не стала исключением. В нее были внесены значительные изменения для повышения мер безопасности, улучшения администрирования и управляемости, а также встроены возможности инициативы .NET, продвигаемой Microsoft. Усовершенствование по сравнению с предыдущей версией и предоставление наиболее надежной и безопасной среды Web-служб — одна из наиболее сложных задач, с которыми Microsoft столкнулась при разработке IIS. Однако из собственного опыта и пожеланий клиентов компания Microsoft точно знала, какие это должны быть усовершенствования. Разработчики из Microsoft просмотрели буквально каждую строку кода IIS и внесли изменения, необходимые для обеспечения максимальной безопасности и надежности этой службы.
Óñîâåðøåíñòâîâàíèÿ IIS 6 В IIS было внесено несколько существенных усовершенствований. Они направлены не только на построение на основе .NET, но и на повышение надежности, производительности и безопасности. IIS 5 была создана в виде единого процесса, inetinfo.exe, но IIS 6 содержит уже четыре основных процесса: •
Http.sys. Это процесс прослушивания сообщений HTTP в режиме ядра. Каждый Web-сайт на сервере регистрируется в Http.sys, что позволяет ему получать HTTP-запросы. Затем Http.sys отправляет эти запросы процессам пользовательского режима IIS и возвращает запросы клиенту. Http.sys выполняет и другие функции: управление TCP-соединениями, кэширование ответов, обеспечение требуемого качества обслуживания (Quality of Service — QoS) и выполнение текстовой регистрации в IIS.
•
Служба Web-администрирования (Web Administration Services — WAS). Эта служба представляет собой диспетчер процессов и конфигурации в пользовательском режиме. Она является новым компонентом службы публикации в World Wide Web (World Wide Web Publishing Service — W3SVC). Сконфигурированная в пользовательском режиме, служба WAS взаимодействует с метабазой IIS для получения данных конфигурации. В качестве диспетчера процессов WAS отвечает за запуск и управление рабочими процессами.
•
Обработчики приложений/рабочие процессы. Рабочие процессы — это приложения пользовательского режима, обрабатывающие такие запросы, как запрос на возврат Web-страниц. Эти управляемые службой WAS рабочие процессы обслуживают запросы пулов приложений в Http.sys. В зависимости от конфигурации IIS в ней может быть много рабочих процессов.
•
Административная служба IIS (IIS Admin Service). Эта служба управляет такими не связанными с Web функциями, как протоколы FTP, SMTP, NNTP и метабаза IIS.
Эти процессы изолируют IIS от остальных Web-служб, обеспечивая максимальную надежность инфраструктуры Web-служб.
Информационные службы Internet версии IIS 6 Ãëàâà 11
363
Большинство остальных усовершенствований IIS можно отнести к одной из следующих трех категорий:
Масштабируемость •
Усовершенствования в производительности IIS, в том числе сниженные требования к ресурсам и упрощенные процессы, обеспечивают ускорение ответов на запросы и повышают пропускную способность Web-сервера.
•
Собственная поддержка 64-разрядных Web-серверов обеспечивает повышение возможностей поддержки памяти и обработки. 64-разрядные платформы могут справляться с большими рабочими нагрузками.
•
На одном компьютере можно разместить десятки тысяч сайтов. Это усовершенствование особенно полезно для поставщиков услуг Internet (Internet Service Provider — ISP) и поставщиков услуг приложений (Application Service Provider — ASP).
•
Улучшена поддержка удаленного сервера для повышения эффективности администрирования.
Безопасность •
В IIS 6 уменьшена возможная область атаки, доступная хакерам и процессам для попыток получения несанкционированного доступа.
•
Администраторы могут ужесточить меры безопасности с помощью мастера блокирования IIS (IIS Lockdown Wizard). Это средство позволяет администраторам включать или отключать функциональность IIS.
•
По умолчанию IIS запускается в заблокированном состоянии. Предоставляется доступ только к статической информации (файлы .htm, .jpg и им подобные), а дополнительные возможности, например, активные серверные страницы (Active Server Pages — ASP), необходимо активизировать вручную.
•
Учетная запись службы IIS обладает лишь минимальными полномочиями.
•
Рабочие процессы выделяются каждому приложению и Web-сайту. Это удобно организациям, выполняющим на одном Web-сервере несколько приложений и несколько Web-сайтов, поскольку рабочие процессы не зависят друг от друга.
•
IIS изолирует пользователей FTP. Пользователей можно направлять, в соответствии с их пользовательскими именами, в определенный каталог для загрузки и выгрузки файлов. При этом они не могут использовать или просматривать другие каталоги.
•
Существенно улучшена реализация протокола защищенных сокетов (Secure Sockets Layer — SSL): повышены его производительность, управляемость и масштабируемость.
•
IIS имеет встроенную поддержку технологии Kerberos и связанных с ней стандартов.
•
В IIS реализована безопасность доступа к коду, заключающаяся в полном разделении кода пользовательского режима и кода режима ядра. Это минимизирует нарушения безопасности со стороны процессов пользовательского режима, не снижая производительность.
•
IIS может поддерживать доверяемые подсистемы и другие компоненты, такие как служба паспортов .NET (.NET Passport).
364
Сетевые службы ×àñòü III
Управляемость •
Рециркуляция процессов в соответствии с их временем выполнения, графиком, количеством обращений и используемой памятью может обеспечивать обновление Web-сервера без прекращения обслуживания конечных пользователей.
•
Используемая в предшествующих версиях собственная метабаза IIS в версии 6 заменена текстовой метабазой в формате XML (eXtensible Markup Language — Расширяемый язык разметки). Метабаза XML допускает прямой доступ и редактирование даже в оперативном режиме.
•
Возможен простой и быстрый импорт и экспорт конфигураций как Web-сайта, так и приложений.
•
Расширена поддержка сценариев интерфейса управления Windows (Windows Management Interface), что увеличивает функциональность использования сценариев.
•
В IIS доступно больше средств командной строки, что позволяет управлять ей с помощью команд или сценариев.
Ïëàíèðîâàíèå è ïðîåêòèðîâàíèå IIS Прежде чем можно будет приступить к реализации IIS, необходимо выполнить две наиболее важные задачи — тщательное планирование и проектирование. Планирование и проектирование — начальные этапы правильной реализации IIS, и они могут состоять из следующих действий: •
Определение целей и задач проекта.
•
Определение и пересмотр типов применений IIS и их требований.
•
Проектирование инфраструктуры IIS, обеспечивающей выполнение целей и задач.
•
Проектирование внутренней инфраструктуры, например, уровня баз данных или приложений.
•
Определение требований безопасности, необходимых для выполнения целей и задач, и выбор методологий безопасности на основе компромисса между риском и удобством работы конечных пользователей.
•
Исследование и проектирование планов аварийного восстановления, а также методик мониторинга и обслуживания.
•
Документирование текущей инфраструктуры IIS и принятых проектных решений.
Îïðåäåëåíèå òðåáîâàíèé ê ñåðâåðó Требования к аппаратному и программному обеспечению зависят от собранной информации и требований, выдвинутых на этапах проектирования и планирования. Требования к аппаратному и программному обеспечению должны соответствовать целям и задачам проекта. Эти требования очень специфичны и описывают все ресурсы аппаратного и программного обеспечения. Например, для каждого из четырех серверов IIS может требоваться применение спаренных процессоров, ОЗУ объемом 1 Гб, трехканальных RAID-контроллеров и дисков со скоростью вращения 15 000 оборотов/мин.
Информационные службы Internet версии IIS 6 Ãëàâà 11
365
Îïðåäåëåíèå òðåáîâàíèé ê îòêàçîóñòîé÷èâîñòè Отказоустойчивость — основной аспект любой инфраструктуры Web, и она должна быть рассмотрена на этапах планирования и проектирования. Хотя для некоторых Web-сайтов допустима временная неготовность, многие другие Web-сайты требуют готовности 99,999%. В соответствии с производственными задачами должны быть определены соглашения об уровне обслуживания (Service Level Agreements — SLA). После определения соглашений об уровне обслуживания (например, неготовность никогда не должна превышать два часа), к Web-инфраструктуре можно применить соответствующие требования отказоустойчивости. Для выполнения даже наиболее строгих соглашений об уровне обслуживания к Webинфраструктуре Windows Server 2003 можно применять различные технологии. Например, для распределения нагрузки между несколькими Web-серверами и обеспечения отказоустойчивости в Web-серверах Windows Server 2003 можно использовать балансировку сетевой нагрузки (Network Load Balancing — NLB). NLB более удобна для обеспечения отказоустойчивости и менее дорогостояща, чем служба кластеризации Microsoft. Другим способом повышения отказоустойчивости является разбиение среды на уровни с изоляцией различных служб (например, уровень IIS, уровень приложений, уровень базы данных, уровень обмена сообщениями), как показано на рис. 11.1.
IBM-ñîâìåñòèìûé êîìïüþòåð Îðãàíèçàöèÿ îáìåíà èíôîðìàöèåé
Óðîâåíü îáìåíà ñîîáùåíèÿìè
ASP
Óðîâåíü IIS
Óðîâåíü äàííûõ
Ðèñ. 11.1. Отказоустойчивость в многоуровневой среде
366
Сетевые службы ×àñòü III
Óñòàíîâêà è ìîäåðíèçàöèÿ IIS Впервые, и вполне обоснованно, компания Microsoft решила отказаться от установки IIS по умолчанию. В результате файловый сервер и сервер печати, контроллер домена или любой другой тип сервера, который не предполагается использовать в качестве Web-сервера, не будет содержать установленную по умолчанию службу IIS, потенциально являющуюся уязвимым местом в безопасности. Для инсталляции IIS необходимо иметь полномочия администратора. Инсталляцию можно начать двумя способами: либо с помощью пиктограммы Add or Remove Programs (Установка и удаление программ) панели управления, либо с помощью мастера Manage Your Server Wizard (Мастер управления сервером), который автоматически запускается после инсталляции Windows Server 2003. Чтобы установить IIS с помощью пиктограммы Add or Remove Programs панели управления, выполните перечисленные ниже шаги. 1. Выберите в меню Start пункт Control Panel (Панель управления), а затем щелкните на пиктограмме Add or remove Programs (Установка и удаление программ). 2. В диалоговом окне Add or Remove Programs щелкните на пиктограмме Add/Remove Windows Components (Установка и удаление компонентов Windows). 3. В окне мастера Windows Components Wizard (Мастер компонентов Windows) найдите элемент Application Server (Сервер приложений). Выделите этот элемент, установите флажок, а затем щелкните на кнопке Details (Состав). 4. Диалоговое окно Application Server (Сервер приложений), показанное на рис. 11.2, содержит список доступных для установки компонентов (например, ASP.NET, доступ к COM+, служба информации Internet и многие другие). Если планируется использовать любую из этих служб, установите соответствующий флажок. А пока что установите флажок Internet Information Services (IIS) (Информационные службы Internet (IIS)) и щелкните на кнопке Details.
Ðèñ. 11.2. Диалоговое окно с компонентами сервера приложений
Информационные службы Internet версии IIS 6 Ãëàâà 11
367
5. Выберите компоненты, которые должны быть инсталлированы. Если не установлен флажок обязательного компонента, он будет выбран автоматически. После этого два раза щелкните на кнопке OK. 6. Щелкните на кнопке Next (Далее) в окне мастера компонентов Windows, чтобы приступить к установке IIS. 7. По завершении процесса инсталляции щелкните на кнопке Finish (Готово). Чтобы установить IIS с помощью мастера управления сервером, выполните следующие действия: 1. В окне мастера Manage Your Server Wizard (Мастер управления сервером) щелкните на переключателе Add or Remove a Role (Добавление и удаление ролей). 2. После открытия окна Configure Your Server Wizard (Мастер конфигурации сервера) щелкните на кнопке Next. Windows Server 2003 проанализирует конфигурацию сети.
НА ЗАМЕТКУ Для запуска функции анализа сети требуется подключение к сети. В противном случае появится сообщение об ошибке с предложением проверить кабели и соединения.
3. Щелкните на Web Application Server (IIS, ASP.NET) (Сервер Web-приложений (IIS, ASP.NET)), а затем на кнопке Next. 4. Выберите один из вариантов — FrontPage Server Extensions (Расширения сервера FrontPage) или Enable ASP.NET (Активизировать ASP.NET) — а затем щелкните на кнопке Next. 5. После просмотра сводки о выбранных опциях снова щелкните на кнопке Next, чтобы начать установку IIS. 6. По завершении процесса инсталляции щелкните на кнопке Finish. Хотя использование мастера управления сервером проще, чем мастер установки и удаления программ, возможности управления устанавливаемыми при этом компонентами минимальны.
Ìîäåðíèçàöèÿ ñ äðóãèõ âåðñèé IIS Во время модернизации предыдущей версии Windows до Windows Server 2003 автоматически модернизируется и IIS. Во время установки Windows Server 2003 на время модернизации все выполняемые службы, связанные с IIS, отключаются. Эти и многие другие службы активизируются по завершении модернизации. Служба IIS Windows Server 2003 принципиально более безопасна, чем любые предыдущие версии. В результате все Web-сайты, модернизированные до IIS 6, после выполнения модернизации останавливаются. Основная причина остановки всех этих Web-серверов — предотвращение возможности взлома безопасности IIS, связанной с ранее использовавшимися стандартными параметрами Windows. Поэтому если предыдущий сервер Windows содержит установленную службу IIS, но не будет использован в качестве Web-сервера, то после модернизации по умолчанию он станет более безопасным, чем ранее. В этой ситуации Web-сайты не активизируются.
368
Сетевые службы ×àñòü III
Еще один важный момент при модернизации предшествующих версий IIS — все приложения конфигурируются в режиме изоляции IIS 5. Эта конфигурация позволяет сохранить приложения и обеспечивает их совместимость.
Êîíôèãóðèðîâàíèå IIS После установки или модернизации IIS Web-сервер доступен для использования. Сейчас Web-сервер нужно сконфигурировать, даже если выполнялась лишь его модернизация. IIS Windows Server 2003 предоставляет множество новых доступных для использования возможностей. Конфигурирование IIS можно выполнить с помощью оснастки Internet Information Services, которая запускается через пункт All ProgramsÖAdministrative Tools (Все программыÖАдминистрирование) меню Start.
Èñïîëüçîâàíèå îñíàñòêè IIS Существует множество компонентов Web-служб, которые нужно сконфигурировать для оптимизации IIS с точки зрения безопасности, функциональности и резервирования. Оснастка IIS, окно которой показано на рис. 11.3, представляет собой интерфейс для администрирования служб IIS.
Ðèñ. 11.3. Окно администрирования служб IIS Левая панель оснастки содержит набор папок, которые перечислены ниже. •
Application Pools (Пулы приложений). Пулы приложений — это разделы физической памяти, выделяемые запущенным в пулах приложениям. Пулы приложений изолируют приложения от остальных ресурсов памяти, используемых другими службами IIS. Это обеспечивает более высокую надежность и безопасность, однако требует выделения Web-серверу большего объема памяти. Как следует из названия, пул DefaultAppPool (Пул приложения по умолчанию) создается по умолчанию.
Информационные службы Internet версии IIS 6 Ãëàâà 11
369
•
Web Sites (Web-сайты). Эта папка содержит все Web-сайты, размещенные на данном Web-сервере. Стандартный сайт Default Web Site создается по умолчанию.
•
Web Service Extensions (Расширения Web-служб). Расширения Web-служб — это службы, которые образуют Web-сервер IIS. Например, в зависимости от метода установки и выбранных опций могут быть загружены службы FrontPage Server Extensions (Расширения сервера FrontPage) и ASP.NET. Для каждой службы из списка можно либо разрешить, либо запретить ее выполнение на Web-сервере, как показано на рис. 11.4.
Ðèñ. 11.4. Окно расширений Web-служб
Êîíôèãóðèðîâàíèå Web-ñëóæá Как уже говорилось, IIS может поддерживать до 10 000 Web-сайтов на одном Webсервере. Конкретное количество Web-сайтов зависит от способа конфигурирования системы, в том числе и от количества используемых процессоров, объема ОЗУ, пропускной способности сети и других факторов. Для каждого Web-сайта, поддерживаемого системой для Internet, должен существовать общедоступный IP-адрес и зарегистрированное доменное имя. Однако при наличии только одного общедоступного IP-адреса и необходимости поддержки других Web-сайтов, обслуживающих пользователей в Internet, для них можно создать виртуальные каталоги. Использование виртуальных каталогов для поддержки более одного Web-сайта по одному IP-адресу вполне нормально, но при этом следует помнить, что для обращения к отдельному Web-сайту пользователи из Internet будут использовать подкаталог этого Web-сайта. Например, компания, владеющая сайтом http://www.companyabc.com, принимает решение о развертывании с помощью виртуального каталога еще одного Webсайта. В этом случае, чтобы подключиться ко второму Web-сайту, пользователям необходимо подключаться к каталогу http://www.companyabc.com/NewWebSite/.
370
Сетевые службы ×àñòü III
Ñîçäàíèå Web-ñàéòà ñ ïîìîùüþ IIS Созданный по умолчанию сайт Default Web Site находится в папке Web Sites (Webсайты) оснастки IIS. Его можно использовать качестве своего сайта, но лучше создать и сконфигурировать отдельный Web-сайт. Чтобы приступить к созданию нового Web-сайта, выполните следующие действия: 1. Щелкните правой кнопкой мыши на папке Web Sites. Затем выберите в контекстном меню пункт NewÖWeb Site (СоздатьÖWeb-сайт), либо, если новый Webсайт уже создан и размещен в XML-файле, можно выбрать NewÖWeb Site (From file) (СоздатьÖWeb-сайт (из файла)). Во втором случае появится предложение указать загружаемый XML-файл. 2. При выборе второго подхода будет запущен мастер Web Site Creation Wizard (Мастер создания Web-сайта). Щелкните на кнопке Next (Далее). 3. Введите описание Web-сайта и щелкните на кнопке Next. 4. Следующий экран содержит варианты выбора таких сетевых параметров, как IP-адрес создаваемого сайта, порт TCP и заголовок хоста (Host Header) Webсайта. Заполните эти поля и щелкните на кнопке Next. 5. Введите имя домашнего каталога (или щелкните на кнопке Browse (Просмотр)) и разрешите или запретите анонимный доступ к этому сайту. Щелкните на кнопке Next. 6. Теперь определите права доступа к домашнему каталогу. Можно выбрать варианты Read (Чтение), Run scripts (Запуск сценариев), Execute (Выполнение), Write (Запись) и Browse (Просмотр). Щелкните на кнопке Next. 7. Щелкните на кнопке Finish.
Âûáîð ñâîéñòâ Web-ñàéòà Щелчок правой кнопкой мыши в оснастке ISS на папке Web Sites или Default Web Site и последующий выбор в контекстном меню пункта Properties позволяет выполнить глобальные изменения стандартных параметров Web-сайта. Однако, щелкнув правой кнопкой мыши на имени конкретного Web-сайта, можно получить доступ к дополнительным возможностям конфигурирования именно этого сайта. Для простоты в этом разделе описаны стандартные параметры Web-сайта. Страница Default Web Site Properties (Стандартные свойства Web-сайта), показанная на рис. 11.5, содержит несколько вкладок для конфигурирования Web-сайта. Отсюда можно управлять всеми свойствами сайта — от идентификации до специальной фильтрации. Доступные опции перечислены ниже. •
Вкладка Web Site (Web-сайт). Эта вкладка содержит три группы параметров — идентификации, подключений и ведения журнала. На ней можно указать имя Web-сайта, IP-адрес и порты TCP и SSL. Можно также определить значения времени действия соединений и параметры ведения журнала. По умолчанию журнал ведется в формате W3C Extended Log File Format (Расширенный формат журнала W3C).
Информационные службы Internet версии IIS 6 Ãëàâà 11
371
Ðèñ. 11.5. Страница стандартных свойств Web-сайта •
Вкладка Performance (Производительность). Эта вкладка, показанная на рис. 11.6, содержит два параметра для управления пропускной способностью к данному сайту (Кбит/с) и максимальным количеством одновременных подключений. Первый параметр используется для управления пропускной способностью, чтобы один Web-сайт не занял всю пропускную способность, тормозя работу остальных Web-сайтов. Ограничение количества соединений позволяет Web-сайту сохранять приемлемую скорость ответа на запросы.
Ðèñ. 11.6. Параметры пропускной способности на вкладке Performance
372
Сетевые службы ×àñòü III
•
Вкладка ISAPI Filters (Фильтры ISAPI). Фильтры ISAPI — это программы, которые реагируют на определенные события во время обработки HTTP-запроса. На этой вкладке можно добавлять, включать и отключать фильтры для Web-сайтов.
•
Вкладка Home Directory (Домашний каталог). Домашний каталог является каталогом высшего уровня Web-сайта. Для стандартного сайта Default Web Site он создается автоматически, но для всех других Web-сайтов его нужно указывать явно. Эта вкладка, показанная на рис. 11.7, также содержит параметры конфигурации для приложений Web-сайтов: Read (Чтение), Write (Запись), Browsing (Просмотр), Script source access (Доступ к исходному коду сценариев), Indexing (Индексация) и Application logging (Ведение журнала приложения). Кроме того, здесь можно определить и другие параметры приложений, такие как права на выполнение и принадлежность к пулу приложений.
Ðèñ. 11.7. Параметры конфигурации домашнего каталога и приложения Web-сайта •
Вкладка Documents (Документы). На этой вкладке можно определить стартовую страницу Web-сайта и активизировать нижние колонтитулы документов. Нижние колонтитулы могут быть добавлены к каждой странице Web-сайта.
•
Вкладка Directory Security (Безопасность каталога). Эта вкладка, показанная на рис. 11.8, позволяет управлять анонимным доступом и аутентификацией, ограничениями на IP-адреса и доменные имена, а также параметрами конфигурации защиты передаваемых данных. Здесь можно определять пользователей, имеющих доступ к сайту, способ их аутентификации и необходимость безопасной передачи данных. Подробнее эти параметры рассмотрены далее в этой главе, в разделе “Защита IIS”.
•
Вкладка HTTP Headers (Заголовки HTTP). Эта вкладка управляет содержимым Web-сайта. Здесь нельзя создать содержимое Web-сайта, но можно задать срок его годности, настраивать заголовки HTTP, редактировать рейтинги содержи-
Информационные службы Internet версии IIS 6 Ãëàâà 11
373
мого и задавать дополнительные типы многоцелевых расширений электронной почты в Internet (Multipurpose Internet Mail Extensions — MIME). •
Вкладка Custom Errors (Пользовательские сообщения об ошибках). Здесь содержится множество сообщений об ошибках HTTP. Любое из этих сообщений можно создать или редактировать для персональной настройки Web-сайта.
Ðèñ. 11.8. Вкладка Directory Security Еще одна вкладка, Service (Служба), отрывается только после щелчка правой кнопкой мыши на папке Web Sites и выбора в контекстном меню пункта Properties. На ней можно установить режим изоляции IIS как для сервера IIS 5. Кроме того, в целях экономии пропускной способности можно задать сжатие HTTP для файлов приложений и статических файлов. Эта вкладка изображена на рис. 11.9.
Ñîçäàíèå è êîíôèãóðèðîâàíèå âèðòóàëüíîãî êàòàëîãà Виртуальные каталоги расширяют домашний каталог Web-сайта, предоставляя псевдоним, который указывает на другой каталог, отсутствующий в домашнем каталоге. Этот псевдоним пользователи будут видеть просто как подкаталог Web-сайта, хотя на самом деле он может находиться на совершенно другом сервере. Виртуальный каталог может содержать документы и другую информацию как данного, так и нового Web-сайта. Например, если нужно, чтобы Web-сайт компании CompanyABC (http://www.companyabc.com) содержал временный Web-сайт другой организации, то для этого можно использовать виртуальный каталог. В этом случае компания CompanyXYZ могла бы иметь собственный Web-сайт по адресу: http://www.companyabc.com/companyxyz/
374
Сетевые службы ×àñòü III
Ðèñ. 11.9. Параметры сжатия HTTP Для создания виртуального каталога с помощью диспетчера IIS потребуется выполнить перечисленные ниже действия. 1. Щелкните правой кнопкой мыши на Web-сайте, для которого нужно создать виртуальный каталог, и выберите в контекстном меню пункт NewÖVirtual Directory (СоздатьÖВиртуальный каталог). После появления окна мастера Virtual Directory Creation Wizard мастера создания виртуального каталога (Мастер создания виртуального каталога) щелкните на кнопке Next (Далее). 2. Введите псевдоним виртуального каталога и щелкните на кнопке Next. 3. Укажите путь к каталогу или Web-сайту с информацией и щелкните на кнопке Next. 4. Выберите полномочия (Read, Run scripts, Execute, Write или Browse) доступа к виртуальному каталогу и щелкните на кнопке Next. 5. Щелкните на кнопке Finish. Как и Web-сайт, виртуальный каталог также имеет страницы свойств, с помощью которых можно задать конкретные параметры. Страницы свойств виртуального каталога показаны на рис. 11.10. Обратите внимание, что по сравнению с Web-сайтом виртуальный каталог обладает меньшим набором параметров конфигурации. Страница содержит пять вкладок: Virtual Directory (Виртуальный каталог), Documents (Документы), Directory Security (Безопасность каталога), HTTP Headers (Заголовки HTTP) и Custom Errors (Пользовательские сообщения об ошибках). Эти вкладки относятся к виртуальному каталогу, но они аналогичны вкладкам конфигурации Web-сайта.
Информационные службы Internet версии IIS 6 Ãëàâà 11
375
Ðèñ. 11.10. Страница свойств виртуального каталога
Êîíôèãóðèðîâàíèå è îïòèìèçàöèÿ ïðèëîæåíèé Web-сайты функционируют лишь постольку, поскольку в системе установлены Webприложения. Поэтому многие усовершенствования IIS предназначены для поддержки максимально эффективного выполнения этих приложений. Улучшение взаимодействия Web-приложений с IIS повышает также надежность и доступность Web-сервера.
Èçîëÿöèÿ è îðãàíèçàöèÿ ïóëîâ ïðèëîæåíèé IIS поддерживает два режима изоляции приложений: режим изоляции рабочих процессов и режим изоляции IIS 5. Оба режима используют файл Http.sys и организацию пулов приложений. Пул приложения (application pool) — это очередь запросов внутри Http.sys и один или более рабочих процессов (worker process). Приложения включаются в пул приложения в соответствии с их URL-адресами, причем одновременно может действовать много пулов. Например, по умолчанию пул DefaultAppPool находится в папке Application Pools (Пулы приложений). В данном Web-сайте для поддержки Web-приложений может действовать только один режим. Рекомендуется всегда использовать режим изоляции рабочих процессов, если только при работе с приложением не возникают какие-либо проблемы совместимости. Режим изоляции рабочих процессов более эффективен с точки зрения повышения надежности и доступности. Еще одна причина применения режима изоляции рабочих процессов состоит в том, что используемый тип изоляции приложений вынуждает IIS динамически настраивать параметры внутренней архитектуры в соответствии с фундаментальными различиями между двумя режимами изоляции.
376
Сетевые службы ×àñòü III
Режим изоляции IIS 5 используется главным образом для поддержки приложений, работа которых может зависеть от возможностей предшествующих версий IIS (в основном IIS 5). Этот режим изоляции важно использовать только тогда, когда приложение не может правильно работать в режиме изоляции рабочих процессов. В противном случае этот режим может потребовать больше ресурсов, необходимых для запуска таких приложений, чем в режиме изоляции рабочих процессов. Это, в свою очередь, может снизить производительность и надежность системы.
НА ЗАМЕТКУ В новых инсталляциях IIS 6 автоматически используется режим изоляции рабочих процессов. При модернизации до IIS 6 предыдущих версий (IIS 4 и 5) используется режим изоляции IIS 5. При отсутствии известных проблем совместимости по завершении модернизации режим изоляции можно изменить на изоляцию рабочих процессов.
Ðåöèðêóëÿöèÿ ïðîöåññîâ IIS 6 Обычно Web-сайты должны работать без малейших перерывов. Более того, эти Web-сайты должны правильно обслуживать запросы пользователей. Инфраструктура сайтов с таким уровнем обслуживания должна включать в себя отказоустойчивость. Например, для минимизации времени простоя многие Web-серверы должны быть связаны между собой с помощью какой-либо системы балансировки сетевой нагрузки. Даже на самых надежных Web-сайтах иногда приходится обновлять те или иные серверы, чтобы можно было переустановить приложения или выполнить иные работы по обслуживанию. Еще одно решение, которое может применяться в сочетании с отказоустойчивостью инфраструктуры — применение рециркуляции (recycling) процессов IIS 6. Применение IIS 6 позволяет минимизировать количество требуемых обновлений серверов благодаря возможности автоматически обновлять Webприложения без воздействия на все остальные системы или прекращения обслуживания обновляемого Web-приложения. Рециркуляция процессов также очень полезна для таких проблемных Web-приложений, которые могут требовать перезапуск сервера. Часто бывает трудно переписать приложение для улучшения его работы по материальным соображениям, из-за технических ограничений или высокой трудоемкости внесения изменений. На вкладке Recycling (Рециркуляция) диалогового окна Properties пула приложения, показанного на рис. 11.11, рециркуляцию приложений можно назначить по истечении заданного количества минут (по умолчанию через 1 740 минут, или 29 часов), после выполнения обслуживания определенного количества запросов, в указанное время или при использовании заданного объема физической или виртуальной памяти. В случае наступления одного из указанных событий может выполняться одна из двух процедур: •
Служба администрирования Web (Web Administration Services — WAS) создаст другой рабочий процесс, а старый рабочий процесс будет завершен. Этот процесс, называемый перекрывающейся рециркуляцией (overlapping recycling), обеспечивает обслуживание запросов даже при рециркуляции процесса.
•
Текущий процесс завершается, и сразу после этого WAS создает новый процесс.
Информационные службы Internet версии IIS 6 Ãëàâà 11
377
Ðèñ. 11.11. Конфигурации рециркуляции приложений Рециркуляция процессов — весьма удобная функция, но она применима не во всех ситуациях. По понятным причинам рециркуляция процессов не работает со статическим содержимым. Но она не работает и тогда, когда на Web-сайте используются написанные под заказ приложения ISAPI. Кроме того, если Web-сайт нуждается в данных о состоянии сеанса, важно помнить, что при рециркуляции процесса эти данные могут быть утеряны.
Ìîíèòîðèíã ðàáîòîñïîñîáíîñòè IIS Теперь, с появлением IIS 6, стало возможным наблюдение за состоянием приложений. Точнее говоря, служба WAS может выполнять следующие процедуры мониторинга работоспособности. •
Отпрашивать рабочие процессы по истечении указанного периода времени.
•
Отслеживать сбои приложения и отключать пул приложения после определенного количества сбоев или устанавливать допустимое количество сбоев в течение заданного отрезка времени.
Когда рабочий процесс не отвечает на опрос, служба WAS может завершить его и создать новый, чтобы приложение могло продолжать обслуживание запросов.
Ïðîèçâîäèòåëüíîñòü ïðèëîæåíèÿ Существует множество факторов, влияющих на производительность приложений. К этим факторам, в частности, относятся ресурсы сервера, способ написания приложения и способ структурирования среды. Рециркуляция процессов и определение работоспособности способствуют эффективному выполнению приложений. Еще один набор параметров расположен на вкладке Performance (Производительность) страницы свойств пула приложения. Эта вклад-
378
Сетевые службы ×àñòü III
ка содержит следующие опции, предназначенные специально для оптимизации производительности: •
Idle Timeout (Максимальное время простоя). Приложения могут быть остановлены после простоя в течение указанного периода времени. По умолчанию период простоя равен 20 минут.
•
Kernel Requests Queues (Очереди запросов в режиме ядра). Очереди запросов в режиме ядра могут быть ограничены определенным количеством запросов. По умолчанию эта опция включена, а максимальное количество ожидающих запросов равно 1000.
•
CPU Utilization (Использование процессора). Использование процессора пулом приложения может быть ограничено, чтобы пул не слишком загружал процессор. По умолчанию эта возможность отключена. Если она включена, после превышения указанного значения использования процессора может быть выполнено заданное действие.
•
Web Gardens (Web-парки). Эта опция позволяет определить максимальное количество рабочих процессов.
Ïàðàìåòðû ïðèëîæåíèé IIS поддерживает множество типов приложений, в том числе Active Server Pages, ASP.NET, COM+, Java, Common Gateway Interface (CGI) и FastCGI. Независимо он типа устанавливаемых на сервере приложений, их необходимо правильно протестировать. Тестировать приложения нужно при различных рабочих нагрузках и предпочитать созданные специально для выполнения на платформе IIS. Например, ASP и ASP.NET были разработаны исключительно для IIS и поэтому могут работать значительно эффективнее, чем другие технологии, не созданные специально для конкретной платформы.
Óñòàíîâêà è êîíôèãóðèðîâàíèå ñëóæá FTP FTP (File Transfer Pritocol — Протокол передачи файлов) представляет собой один из нескольких протоколов из состава TCP/IP, который является распространенным средством пересылки файлов как на удаленные компьютеры, так и с них. В отличие от FTP предшествующих версий IIS, сейчас возможна изоляция пользователей FTP, а сам FTP по умолчанию не устанавливается вместе с IIS. Для инсталляции FTP выполните шаги, которые описываются ниже. 1. Дважды щелкните на пиктограмме Add or Remove Programs (Установка и удаление программ) панели управления. 2. В диалоговом окне Add or Remove Programs щелкните на пиктограмме Add/Remove Windows Components (Установка и удаление компонентов Windows). 3. В окне мастера Windows Components Wizard (Мастер компонентов Windows) найдите и выделите элемент Application Server (Сервер приложений).
Информационные службы Internet версии IIS 6 Ãëàâà 11
379
4. Щелкните на кнопке Details (Состав), а затем в окне Application Server (Сервер приложений), показанном на рис. 11.12, выделите компонент IIS. 5. Снова щелкните на кнопке Details и выберите элемент File Transfer Protocol (FTP) Service (Служба FTP). 6. Два раза щелкните на кнопке OK. 7. Щелкните на кнопке Next и дождитесь, пока Windows Server 2003 не установит службу FTP. 8. По завершении установки щелкните на кнопке Finish (Готово).
Ðèñ. 11.12. Параметры сервера Web-приложений IIS
Èçîëÿöèÿ ïîëüçîâàòåëåé FTP äëÿ çàùèòû äàííûõ Теперь IIS позволяет изолировать пользователей FTP для обеспечения защиты содержимого FTP. Эта функция особенно полезна для приложений ISP и ASP, которые обслуживают множество пользователей. Каждый пользователь FTP может иметь свой отдельный каталог для выгрузки и загрузки файлов на Web-сервер или FTP-сервер. При подключении к серверу пользователи видят в качестве каталога высшего уровня только свой каталог и не могут просматривать другие каталоги FTP. Для домашнего каталога FTP можно определить права на выполнение операций по созданию, изменению или удалению. Изоляция пользователей FTP выполняется на уровне FTP-сайта, а не на уровне сервера, и может быть включена или отключена. Однако сайты, для которых требуется изоляция пользователей FTP, не ограничены строго этой функцией. Вместе с изоляцией пользователей FTP можно разрешить анонимный доступ, создав в FTP-сайте виртуальный каталог и разрешив к нему доступ только для чтения. Единственное ограничение, накладываемое на сочетание изоляции пользователей FTP и анонимного доступа, заключается в том, что информация может загружаться только из общедоступного каталога или из виртуального каталога, доступного только для чтения.
380
Сетевые службы ×àñòü III
НА ЗАМЕТКУ Изоляция пользователей FTP и Active Directory могут использоваться совместно — тогда контейнер Active Directory (но не весь каталог Active Directory) может применяться для аутентификации пользователей и их изоляции от остальных каталогов FTP. В этом случае очень важно полностью блокировать FTP-сервер и обмен данными. Например, при использовании Active Directory и изоляции пользователей FTP для защиты передаваемых данных рекомендуется использовать либо IPSec, либо SSL. Изоляция пользователей FTP активизируется во время создания FTP-сайта. После появления страницы изоляции пользователей выберите опцию Isolate Users (Изолировать пользователей) и следуйте дальнейшим указаниям. Обратите внимание на предупреждение о том, что после активации изоляции сайт нельзя перевести в состояние без изоляции.
Ñîçäàíèå FTP-ñàéòà По умолчанию создается и активизируется сайт Default FTP Site. А для создания нового FTP-сайта (кроме Default FTP Site) необходимо выполнить следующие действия. 1. Щелкните правой кнопкой мыши на папке FTP Sites (FTP-сайты) и выберите в контекстном меню пункт NewÖFTP Site (СоздатьÖFTP-сайт). При наличии XML-файла для создания FTP-сайта можно также выбрать пункт FTP Site (From File) (FTP-сайт (из файла)). 2. В окне мастера FTP Site Creation Wizard (Мастер создания FTP-сайта) щелкните на кнопке Next (Далее), а затем введите описание создаваемого FTP-сайта. Щелкните на кнопке Next. 3. Задайте IP-адрес и порт, используемые FTP. По умолчанию FTP использует порт 21. Щелкните на кнопке Next. 4. В следующем окне выберите соответствующие параметры изоляции пользователей FTP. Можно выбрать следующие варианты: без изоляции пользователей, изоляция пользователей с локальными учетными записями на Web-сервере или изоляция пользователей с помощью Active Directory. Щелкните на кнопке Next.
НА ЗАМЕТКУ После первоначального конфигурирования параметры изоляции пользователей FTP изменить нельзя.
5. Укажите путь к домашнему каталогу FTP, а затем щелкните на кнопке Next. 6. Задайте права доступа для FTP-сайта (доступ для чтения или записи) и щелкните на кнопке Next. 7. Щелкните на кнопке Finish (Готово).
Ñòðàíèöà ñâîéñòâ FTP Как видно на рисунках 11.13 и 11.14, существуют две отдельные страницы свойств FTP. Первая страница свойств открывается при щелчке правой кнопкой на папке FTP Sites (FTP-сайты). Вторая страница свойств открывается для конкретного FTP-сайта.
Информационные службы Internet версии IIS 6 Ãëàâà 11
381
Ðèñ. 11.13. Страница свойств FTP-сайтов
Ðèñ. 11.14. Параметры конфигурации FTP Страница свойств папки FTP Sites используется для конфигурирования глобальных свойств FTP-сайтов. При создании нескольких FTP-сайтов эти настройки будут применены к сайтам по умолчанию. Страница свойств папки FTP Sites содержит перечисленные ниже вкладки. •
Вкладка FTP Site (FTP-сайт). Функциональность этой вкладки ограниченна. На ней можно задать параметры конфигурирования подключений и входа в FTP-сайт.
382 •
Сетевые службы ×àñòü III
Вкладка Security Accounts (Учетные записи безопасности). На этой кладке можно сконфигурировать аутентификацию с помощью анонимных учетных записей и пользовательских учетных записей. При снятии установленного по умолчанию флажка Allow Anonymous Connections (Разрешить анонимные подключения), показанного на рис. 11.15, появляется окно предупреждения об уязвимости паролей при передаче по сети без применения шифрования или SSL. Щелчок на кнопке Yes (Да) позволяет продолжить конфигурирование. Однако на этой вкладке нельзя настроить учетные записи, шифрование или SSL.
Ðèñ. 11.15. Вкладка конфигурации учетных записей безопасности •
Вкладка Messages (Сообщения). Сообщения FTP могут отображаться при подключении или отключении пользователей от FTP-сайта. По соображениям безопасности могут отображаться сообщения типа: Use of this FTP Site is by permission only. All uploads and downloads must adhere to the data transmission policies is Company ABC. Этот FTP-сайт может использоваться только по специальному разрешению. Все операции загрузки и выгрузки должны соответствовать политике пересылки данных, принятой в организации Company ABC. Кроме того, при невозможности подключения из-за ограничения числа одновременно обслуживаемых пользователей могут отображаться сообщения наподобие: You have been disconnected because a maximum user limit has been reached. Please try again later. Подключение невозможно из-за исчерпания максимального числа подключенных пользователей. Повторите попытку позднее. Эти сообщения не обязательны и предназначены для удобства пользователей FTP-сайта.
Информационные службы Internet версии IIS 6 Ãëàâà 11 •
383
Вкладка Home Directory (Домашний каталог). Аналогично вкладке Web Site Home Directory (Домашний каталог Web-сайта), вкладка Home Directory для FTP может использоваться для задания прав доступа к каталогу FTP-сайта. На ней можно определить стиль вывода оглавления каталога (Unix или MS-DOS). По умолчанию принят стиль MS-DOS.
•
Вкладка Directory Security (Безопасность каталога). На этой вкладке можно задать ограничения доступа TCP/IP в зависимости от IP-адреса. Доступ к каталогам FTP может быть разрешен или запрещен IP-адресам или группам IP-адресов. Различия между свойствами папки FTP Sites и конкретного FTP-сайта минимальны. Страница свойств FTP-сайта имеет отличия на следующих вкладках: •
Вкладка FTP Site (FTP-сайт). Отличие этой вкладки состоит в возможности вводить описание и определять IP-адрес и порт сайта.
•
Вкладка Home Directory (Домашний каталог). На этой вкладке можно определять местонахождение содержимого FTP.
Çíàêîìñòâî ñ íåîáÿçàòåëüíûìè êîìïîíåíòàìè IIS Теперь IIS заставляет администратора перед установкой компонентов анализировать каждую опцию. Тем самым снижается риск пропуска установки обязательного компонента или службы, что может привести к повышению уязвимости системы. Большинство компонентов IIS не обязательны. Однако несколько служб, хотя и считаются отдельными элементами, входят в состав IIS. Эти службы — SMTP, NNTP и Indexing (Индексация).
Ñëóæáà SMTP Служба простого протокола электронной почты (Simple Mail Transport Protocol) — это служба передачи сообщений, которая позволяет отправлять сообщения электронной почты с Web-сервера. Web-сервер IIS может одновременно быть и почтовым сервером. Чтобы установить службу SMTP, выполните следующие действия: 1. Дважды щелкните на пиктограмме Add or Remove Programs панели управления. 2. В диалоговом окне Add or Remove Programs щелкните на пиктограмме Add/Remove Windows Components. 3. В окне мастера Windows Components Wizard найдите и выделите элемент Application Server (Сервер приложений). 4. Щелкните на кнопке Details, а затем в окне Application Server (Сервер приложений) выделите компонент IIS. 5. Снова щелкните на кнопке Details и выберите строку SMTP Service (Служба SMTP), как показано на рис. 11.16. 6. Два раза щелкните на кнопке OK. 7. Щелкните на кнопке Next и дождитесь, когда Windows Server 2003 установит службу SMTP. 8. По завершении установки щелкните на кнопке Finish.
384
Сетевые службы ×àñòü III
Ðèñ. 11.16. Параметры конфигурации службы SMTP
Ñëóæáà NNTP IIS с помощью службы NNTP может содержать внутренние или внешние конференции. Конференции остаются популярным средством обмена информацией в большой аудитории пользователей. Они могут использоваться для выполнения разнообразных задач, в том числе для совместного использования информации и данных. Служба News Service (Служба новостей) обеспечивает конференции с помощью протокола передачи сетевых новостей (Network News Transfer Protocol — NNTP), предназначенного для управления сообщениями каждой конференции. Однако эта служба отличается от массовой рассылки почтовых сообщений, поскольку сообщения передаются либо от сервера к серверу, либо от клиента к серверу, но не от сервера к клиенту. В первом случае (от сервера к серверу) обмен сообщениями может выполняться между двумя NNTPсерверами. Типичным примером может служить запрос внутренним NNTP-сервером сообщений с внешнего сервера поставщика услуг Internet. Клиенты могут подписываться (и аннулировать подписку) на конференции для чтения и отправки сообщений. В связи со значительным использованием дисковой памяти и потенциально высокими требованиями к пропускной способности сети NNTP-сервер требует наличия дополнительной дисковой памяти и пропускной способности. Установить сервер новостей можно с помощью тех же процедур, что и при установке SMTP-сервера, за исключением того, что нужно выбрать службу NNTP, а не SMTP.
Ñëóæáà èíäåêñàöèè Internet Индексация — это компонент Windows Server 2003, который был отделен от службы IIS. Если эта служба установлена на Web-сервере, все его содержимое может быть проиндексировано для обеспечения более быстрого поиска Web-информации.
CОВЕТ Многих пользователей интересует, как выполнить поиск по содержимому PDF-файлов (Adobe Acrobat), расположенных на Web-сайте. Служба индексации Windows Server 2003 не обеспечивает эту возможность, но ее бесплатно предоставляет драйвер, предлагаемый на сайте поддержки компании Adobe. Зайдите на сайт http://support.adobe.com и выполните поиск по слову iFilter.
Информационные службы Internet версии IIS 6 Ãëàâà 11
385
Çàùèòà IIS Несомненно, последняя версия IIS значительно более защищена, чем ее предшественницы. Несколько важных усовершенствований — уменьшенная возможная область атаки и улучшенная изоляция приложений — создают надежную и безопасную Webплатформу. Кроме того, по умолчанию в IIS разрешено представление только статической информации (то есть для использования приложений или другого динамического содержимого их нужно активизировать вручную). Но вместе с тем продукты Microsoft являются наиболее популярными объектами, в отношении которых предпринимаются попытки взлома. Поэтому важно максимально защитить Web-сервер. Чем больше барьеров, тем меньше желания у хакера получить несанкционированный доступ. Каждый компонент Web-сервера должен быть защищен; безопасность сервера определяется безопасностью его наиболее слабого звена.
Áåçîïàñíîñòü Windows Server 2003 В действительности безопасность Windows Server 2003 начинается с рассмотрения всех мыслимых проблем безопасности на этапах планирования и проектирования. Сюда могут входить физическая, логическая (на уровне Windows Server 2003, приложений и так далее) и коммуникационная безопасность. При защите Web-сервера Windows Server 2003 важно использовать файловую систему NTFS и применять последние пакеты обновлений безопасности. Применение NTFS обязательно, поскольку она позволяет устанавливать соответствующие права доступа к файлам, папкам и общим ресурсам. Использование последних пакетов обновлений обеспечивает наиболее защищенную работу Windows Server 2003. Безопасность приложений, установленных на Web-сервере Windows Server 2003, требует тщательного анализа, особенно если это специально созданное приложение. Если приложение разработано сторонним поставщиком, убедитесь, что оно сертифицировано для работы в Windows Server 2003, и что в нем установлены и протестированы последние пакеты обновлений.
НА ЗАМЕТКУ Дополнительная информация по защите Windows Server 2003 приведена в части IV.
Áëîêèðîâêà ðàñøèðåíèé Web-ñëóæá Как уже отмечалось, по умолчанию IIS может отображать только статическое содержимое (файлы .htm, изображения и тому подобные), пока динамическое содержимое не будет активизировано вручную. IIS предоставляет средства точного управления динамическим содержимым. Например, можно активизировать Active Server Pages, но отключить приложения ASP.NET. Чтобы включить или отключить динамическую информацию, выполните перечисленные ниже действия. 1. В окне диспетчера IIS (IIS Manager) раскройте узел с именем Web-сервера и выберите строку Web Service Extensions (Расширения Web-служб).
386
Сетевые службы ×àñòü III
2. В окне Web Service Extensions (справа) найдите расширения, которые нужно сконфигурировать, и укажите для них либо Allow (Разрешить), либо Prohibit (Запретить). С помощью интерфейса Web Service Extensions можно также добавлять и разрешать расширения для специальных приложений, которые могут отсутствовать в списке.
Àóòåíòèôèêàöèÿ IIS Аутентификация — это процесс проверки предоставленных пользователями сведений о себе. IIS поддерживает несколько методов аутентификации: •
Анонимная аутентификация. Пользователи могут устанавливать соединение с Web-сайтом без предъявления своих полномочий.
•
Интегрированная аутентификация Windows. Этот метод аутентификации может быть интегрирован с Active Directory. Когда пользователи входят в систему, по линии связи передается хеш пароля, а не сам пароль.
•
Аутентификация с помощью дайджеста. При этом методе, как и при интегрированной аутентификации Windows, передается хеш пароля. Но при аутентификации дайджестом контроллер домена Windows Server 2003 проверяет значение хеша.
•
Базовая аутентификация. При базовой аутентификации имя пользователя и пароль передаются по линии связи открытым текстом. Этот метод аутентификации обеспечивает незначительную защиту от несанкционированного доступа.
•
Аутентификация с помощью .NET Passport. .NET Passport — это Web-служба аутентификации, разработанная компанией Microsoft. Она не располагается на Web-сервере, а представляет собой центральное хранилище, поддерживаемое и защищаемое Microsoft, которое позволяет пользователям создать учетную запись .NET Passport лишь один раз. Эти имя пользователя и пароль могут использоваться в любом сайте, поддерживающем .NET Passport. За дополнительной информацией о .NET Passport обращайтесь в главу 14.
Эти методы аутентификации можно активизировать в диалоговом окне Authentication Methods (Методы аутентификации), показанном на рис. 11.17. Это окно можно открыть, щелкнув на кнопке Edit (Правка) на вкладке Directory Security (Безопасность каталога) диалогового окна свойств Web-сайта.
Àóäèò Web-ñëóæá Средства аудита Windows Server 2003 можно применять к Web- и FTP-сайтам для документирования попыток входа (успешных и безуспешных), попыток получения несанкционированного доступа к учетным записям служб, попыток изменения или удаления файлов и выполнения запрещенных команд. Записи об этих событиях можно просмотреть с помощью утилиты просмотра событий Event Viewer. Важно также сочетать мониторинг журналов IIS и аудит событий — для определения, пытались ли внешние пользователи получить несанкционированный доступ, и если да, то как и когда.
Информационные службы Internet версии IIS 6 Ãëàâà 11
387
Ðèñ. 11.17. Настройка методов аутентификации
Èñïîëüçîâàíèå ñåðòèôèêàòîâ SSL Протокол защищенных сокетов (Secure Sockets Layer — SSL) способствует сохранению целостности информации о пользователях и содержимого, а также конфиденциальности, что позволяет защитить обмен между клиентом и Web-сервером такими важными данными, как пароли или информация кредитных карточек. В основе SSL лежит протокол обеспечения безопасности с помощью открытого ключа, который защищает передаваемые данные посредством их шифрования перед отправкой. Предшествующие версии IIS могли использовать SSL, и IIS 6 — не исключение. Однако существуют различия в реализации SSL в среде IIS. В IIS Windows Server 2003 внесены следующие усовершенствования: •
Производительность SSL до 50% выше производительности предшествующих реализаций. Процесс применения SSL упрощен, поэтому требования к ресурсам снижены.
•
Теперь возможно удаленное управление SSL с централизованного сайта.
•
Теперь Windows Server 2003 поддерживает большее число аппаратных устройств SSL. Эти аппаратные устройства (смарт-карты, биоинформационные контроллеры и тому подобное) позволяют частично снизить требования к ресурсам Windows Server 2003.
Сертификаты SSL служат трем основным целям, хотя обычно они используются для шифрования подключений. Ниже перечислены эти цели. •
Аутентификация сервера SSL. Позволяет клиентам проверить подлинность сервера. Клиентская программа работы с SSL может для проверки сертификата сервера использовать инфраструктуру открытого ключа (Public Key Infrastruc-
388
Сетевые службы ×àñòü III
ture — PKI). Она может также проверить, выдан ли сертификат доверяемым центром сертификации (Certificate Authority — CA). •
Аутентификация клиента SSL. Позволяет серверам проверять подлинность клиентов. SSL может проверить допустимость сертификата клиента, а также проверить, выдан ли сертификат доверяемым CA.
•
Шифрование подключений SSL — Наиболее распространенным применением SSL является шифрование всего трафика данного подключения. Это обеспечивает высокую степень конфиденциальности и безопасности.
НА ЗАМЕТКУ SSL почти не увеличивает нагрузку на пропускную способность, но существенно увеличивает загрузку процессора. Чтобы минимизировать снижение производительности данной системы из-за работы SSL, можно использовать аппаратный адаптер SSL, берущий на себя часть нагрузки с процессоров компьютеров.
С точки зрения IIS, SSL может применяться ко всему Web-сайту, к каталогам или к конкретным файлам Web-сайта. Конфигурирование SSL можно выполнить с помощью оснастки IIS, доступной через пункт Administrative Tools меню Start. Для применения SSL на Web-сайте его необходимо сначала запросить, а затем установить. Запрос на получение сертификата может быть создан или от внешнего доверяемого CA, или от внутренней PKI. Чтобы запросить сертификат SSL для Webсайта, выполните следующие действия: 1. Откройте оснастку Internet Information Services (IIS) Manager (Диспетчер информационных служб Internet (IIS)), раскройте требуемый компьютер, папку Web-сайтов, а затем Web-сайт, которому нужно назначить сертификат. 2. Щелкните правой кнопкой мыши на этом Web-сайте и выберите в контекстном меню пункт Properties. 3. На вкладке Directory Security выберите пункт Server Certificate (Сертификат сервера). 4. На экране приветствия мастера Web Server Certificate Wizard (Мастер сертификатов Web-серверов) щелкните на кнопке Next. 5. Щелкните на кнопке Create a New Certificate (Создать новый сертификат), а затем на кнопке Next. 6. Выберите вариант Prepare the Request Now, But Send It Later (Подготовить запрос сейчас, но отправить его позднее), а затем щелкните на кнопке Next. 7. Введите новое имя сертификата и выберите нужную длину ключа шифрования (в битах). Рекомендуется использовать длину 1024 (по умолчанию) или больше. Помните, что более длинные ключи могут снизить производительность. Щелкните на кнопке Next. 8. Введите имя компании и организационной единицы и щелкните на кнопке Next. 9. Введите имя компьютера IIS, на котором располагается Web-сайт, в поле Common Name (Обычное имя). Если доступ к сайту будет производиться через Internet, то введите полностью определенное доменное имя наподобие server.domain.com. Обычное имя должно соответствовать URL-адресу, с помощью которого пользователи подключаются к Web-сайту. Щелкните на кнопке Next.
Информационные службы Internet версии IIS 6 Ãëàâà 11
389
10. В первом выпадающем списке выберите Country/Region (Страна/Регион), а затем введите State/Province (Штат/Область) и City/Locality (Город/Район), которые будут входить в состав сертификата. Щелкните на кнопке Next. 11. Укажите путь и имя файла запроса на сертификат и щелкните на кнопке Next. 12. Просмотрите окно Request File Summary (Сводка данных файла запроса) и проверьте правильность всей информации. Щелкните на кнопке Next, а затем на кнопке Finish, чтобы завершить создание запроса. После создания запроса на сертификат он должен быть отправлен на обработку доверяемому CA. Чтобы отправить только что созданный запрос на сертификат внутреннему CA, выполните следующие действия: 1. Откройте браузер и введите URL-адрес сервера, на котором выполняется служба сертификатов (например, http://имясервера/certsrv). 2. Если появится диалоговое окно входной регистрации, введите имя пользователя и пароль с полномочиями, достаточными для генерации сертификата, а затем щелкните на кнопке ОК. 3. Выберите пункт Request a Certificate (Запрос сертификата). 4. На следующей странице выберите пункт Advanced Certificate Request (Расширенный запрос сертификата). 5. Выберите вариант Submit a Certificate Request (Отправить запрос сертификата) с помощью файла CMC или PKCS #10 в кодировке base-64 или пошлите запрос на обновление с помощью файла PKCS #7 в кодировке base-64. 6. На странице Submit a Certificate Request or Renewal Request (Отправить запрос сертификата или запрос на обновление) щелкните на ссылке Browse for a File to Insert (Поиск вставляемого файла) или вручную введите путь файла в только что созданном файле запроса на сертификат. 7. В разделе Certificate Template (Шаблон сертификата) используйте выпадающий список, чтобы выбрать пункт Web Server (Web-сервер), как показано на рис. 11.18. После этого щелкните на кнопке Submit (Отправить). 8. На странице Certificate Issued (Выпущенный сертификат) выберите ссылку Download Certificate (Загрузить сертификат), а при получении подсказки щелкните на кнопке Save (Сохранить), чтобы указать путь и имя файла для сертификата. Для применения сертификата SSL выполните следующие действия: 1. Откройте оснастку Internet Information Services (IIS) Manager и найдите Webсайт, для которого создан сертификат. 2. Щелкните правой кнопкой мыши на этом Web-сайте и выберите в контекстном меню пункт Properties. 3. Перейдите на вкладку Directory Security и щелкните на кнопке Server Certificate (Сертификат сервера). 4. На экране приветствия мастера Web Server Certificate Wizard щелкните на кнопке Next, а затем выберите пункт Process the Pending Request and Install the
390
Сетевые службы ×àñòü III
Certificate (Обработка отложенного запроса и установка сертификата). Щелкните на кнопке Next. 5. Укажите файл сертификата, созданный на предыдущих шагах, и щелкните на кнопке Next. 6. В окне SSL Port (Порт SSL) введите порт прослушивания для SSL (по умолчанию 443) и щелкните на кнопке Next. 7. Просмотрите сводку информации, а затем щелкните на кнопке Next. Если информация верна, щелкните на кнопке Finish; если что-то не так, щелкните на кнопке Back (Назад) или отправьте новый запрос.
Ðèñ. 11.18. Отправка запроса сертификата
Êîíôèãóðèðîâàíèå ïàðàìåòðîâ áåçîïàñíîñòè FTP По умолчанию протокол FTP не является защищенным. Это обусловлено используемым методом аутентификации пользователей и передачи данных. К примеру, если пользователю нужно представить имя пользователя и пароль, эта информация может быть перехвачена и легко прочитана, поскольку она передается в виде открытого текста. Многие организации отказались от использования FTP для предоставления внешним пользователям загружаемых файлов, доступных только для чтения. В этом случае для предоставления загружаемых файлов организации используют протокол HTTP. HTTP гораздо проще защитить, чем FTP, и он требует меньшего администрирования.
Информационные службы Internet версии IIS 6 Ãëàâà 11
391
Çàùèòà ïåðåäà÷è äàííûõ â FTP Передачу данных в FTP можно защитить с помощью шифрования по VPN-соединению (IPSec и L2TP). Как правило, при этом возникают лишние неудобства и сложности для конечных пользователей. Для загрузки файлов им приходится устанавливать VPNсоединение, что для многих пользователей является сложной технической проблемой.
Çàùèòà àóòåíòèôèêàöèè FTP При отсутствии безопасного соединения между конечным пользователем, представляющим имя пользователя и пароль, и FTP-сервером невозможно надежно защитить пересылку данных в FTP. Имена пользователей и пароли в принципе могут быть рассекречены, если хакеру удастся перехватить FTP-трафик к серверу. Так что пересылка данных в FTP будет более защищенной, если FTP-сервер разрешает только анонимные подключения. В этом случае пользователям не нужно представлять имена пользователей и пароли.
Äðóãèå ìåðû ïî çàùèòå FTP Другие возможные способы минимизации риска нарушения безопасности FTP: •
Используйте локальные папки для совместного использования загружаемых файлов и защищайте их с помощью файловой системы NTFS. Такая папка должна находиться в дисковом разделе, отличном от того, в котором размещены системные файлы Windows Server 2003.
•
Предоставляйте пользователям содержимое, доступное только для чтения.
•
Просматривайте журналы дисковой памяти и IIS — не было ли попыток получения несанкционированного доступа.
Îáñëóæèâàíèå IIS Метабаза IIS — это информационное хранилище, содержащее все конфигурации IIS. Поэтому для обеспечения наивысшей надежности сервера IIS важно правильное обслуживание метабазы IIS. В противном случае может произойти авария, а в результате — нежелательный простой или невозможность полного восстановления IIS и соответствующих конфигураций. Метабаза IIS больше не является информационным хранилищем в специальном формате. Теперь она представляет собой иерархическое хранилище XML-файлов, содержащих информацию конфигураций и схем. Так что теперь метабаза IIS может изменяться во время работы служб (то есть для проведения изменений не обязательно останавливать и перезапускать службы IIS). Это свойство очень полезно для повышения надежности и доступности, но его следует применять с осторожностью. В противном случае изменения в конфигурации могут привести к сбоям. Поэтому важно регулярно создавать резервные копии.
НА ЗАМЕТКУ По умолчанию возможность изменения метабазы во время работы отключена. Чтобы активизировать эту функцию в диспетчере IIS, щелкните правой кнопкой мыши на сервере, выберите в контекстном меню пункт Properties и выберите опцию Enable Direct Metabase Edit (Разрешить непосредственную правку метабазы).
392
Сетевые службы ×àñòü III
Windows Server 2003 автоматически выполняет резервное копирование метабазы IIS. Однако это можно делать и с помощью диспетчера IIS, и с помощью специальной программы наподобие утилиты резервного копирования Windows Server 2003. Чтобы выполнить резервное копирование вручную с помощью диспетчера IIS, выполните перечисленные ниже шаги. 1. Запустите диспетчер IIS, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖInternet Information Services (IIS) (Все программыÖАдминистрированиеÖ Служба информации Internet (IIS)). 2. В левой панели выберите Web-сервер. 3. В меню Action (Действия) выберите пункт All TasksÖBackup/Restore Configuration (Все задачиÖКонфигурация резервного копирования/восстановления). 4. Окно Configuration Backup/Restore (Конфигурация резервного копирования/ восстановления) содержит список автоматически выполненных IIS резервных копирований. Чтобы выполнить резервное копирование вручную, щелкните на кнопке Create Backup (Создать резервную копию). 5. Укажите имя файла резервной копии и установите флажок, если этот файл должен быть зашифрован с помощью пароля, как показано на рис. 11.19.
Ðèñ. 11.19. Настройка параметров конфигурации резервного копирования IIS 6. Щелкните на кнопке OK, а затем на кнопке Close (Закрыть). По умолчанию резервные копии хранятся в папке: %SystemRoot%\System32\Inetsrv\MetaBack Важно также отметить, что метабазу IIS можно импортировать и экспортировать в файл.
Âåäåíèå æóðíàëîâ IIS Ведение журналов IIS следует считать обязательным, а не факультативным компонентом IIS. Оно помогает обеспечивать безопасность IIS, а также является прекрасным средством облуживания и устранения неполадок. Просмотр журналов позволяет выявить скрытые нюансы происходящего в системе. Затем эту информацию можно использовать для пересмотра процедур обслуживания и выявления проблем в системе.
Информационные службы Internet версии IIS 6 Ãëàâà 11
393
Текстовые форматы журналов IIS — W3C Extended Log File Format (Расширенный формат журналов W3C), Microsoft IIS Log File Format (Формат журналов Microsoft IIS) и NCSA Common Log File Format (Общий формат журналов NCSA) — управляются процессом режима ядра Http.sys. В этом состоит отличие от предшествующих версий, в которых запись в журналы выполнялась в режиме пользователя. Еще один формат журналов, ODBC, реализован с помощью рабочего процесса в режиме пользователя.
НА ЗАМЕТКУ Чтобы активизировать эту функцию в диспетчере IIS, щелкните правой кнопкой мыши на сервере, выберите в контекстном меню пункт Properties и затем выберите опцию Enable Direct Metabase Edit (Разрешить непосредственное редактирование метабазы).
Óëó÷øåííîå êîíôèãóðèðîâàíèå áåçîïàñíîñòè Internet Explorer äëÿ ñåðâåðîâ Излишне говорить, что браузер Internet Explorer (IE) дополняет возможности IIS. Однако этот набор возможностей и система, в которой он выполняется, нуждаются в защите. Теперь браузер IE на платформе Windows Server 2003 стал более безопасным, благодаря инициативе Microsoft по повышению безопасности. Компонент IE Enhanced Security Configuration (Улучшенное конфигурирование безопасности IE) устанавливается на всех серверных версиях Windows Server 2003. Первый экран, появляющийся после запуска IE (рис. 11.20) — это информационная страница со сведениями о конфигурации безопасности.
Ðèñ. 11.20. Открывающаяся по умолчанию страница расширенного конфигурирования безопасности IE
394
Сетевые службы ×àñòü III
Компонент IE Enhanced Security Configuration защищает систему с помощью зон безопасности IE. Для зоны Internet установлен высокий уровень безопасности, для доверяемых зон — средний уровень, а для всех локальных зон intranet-сети — ниже среднего. Эти настройки ограничивают круг Web-сайтов, которые могут быть просмотрены. При попытке посещения ненадежного сайта появляется предупреждение, что данный Web-сайт отсутствует в списке доверяемых сайтов (см. рис. 11.20). Однако можно разрешить доступ к любому сайту, включив его в список доверяемых сайтов. Чтобы добавить сайт из окна, показанного на рис. 11.21, щелкните на кнопке Add (Добавить). Затем вам будет предложено добавить URL-адрес в список доверяемых сайтов. Кроме того, сайты можно добавлять вручную из списка, применять их к отдельным пользователям или группам пользователей, либо понижать критерии зоны безопасности в настройках IE.
Ðèñ. 11.21. Окно предупреждения о зоне безопасности Хотя всплывающие предупреждения могут вызывать раздражение, они служат целям защиты серверной системы. Как утверждает Microsoft в документации IE Enhanced Security Configuration, в серверной системе важно свести к минимуму просмотр Web, а при посещении Web-сайтов необходимо убедиться в том, что им можно доверять. Для посещения Web-сайтов на серверах следует применять браузер IE, чтобы получать информацию по устранению неполадок, загрузке последних обновлений и тому подобные сведения.
Ðåçþìå Служба IIS 6 существенно улучшена по сравнению с предшествующими версиями в отношении безопасности, надежности, доступности и производительности. Компания Microsoft придает этим аспектам первостепенное значение. С целью создания надежной платформы для работы Web-служб в компании Microsoft используется как внутренняя обратная связь, так и обратная связь с клиентами.
Информационные службы Internet версии IIS 6 Ãëàâà 11
395
Ïîëåçíûå ñîâåòû •
Для повышения производительности и безопасности используйте IIS 6.0.
•
Тщательно проектируйте и планируйте среду IIS 6.
•
Определите цели и задачи проекта IIS 6.
•
Определите и пересмотрите типы приложений и требования к ним.
•
Определите требования безопасности, соответствующие поставленным целям и задачам.
•
Определите методологии безопасности на основе компромисса между риском и удобством работы конечных пользователей.
•
Анализируйте и разрабатывайте планы аварийного восстановления и отслеживайте изменения в требованиях и методиках обслуживания.
•
Документируйте текущую инфраструктуру IIS и принятые проектные решения.
•
Встраивайте отказоустойчивость в инфраструктуру Web, исходя из допустимого времени простоя и существующих соглашений об уровне обслуживания.
•
Используйте режим изоляции IIS 5 только для обеспечения совместимости с приложениями, работа которых зависит от функций предшествующих версий IIS и которые не могут работать в режиме изоляции IIS 6.
•
Используйте рециркуляцию процессов IIS 6 для обеспечения дополнительной отказоустойчивости и минимизации числа обновлений серверов.
•
Используйте IIS для мониторинга приложений: опрос рабочих процессов по истечении заданного времени, регистрация сбоев приложений и отключение пула приложения после заданного количества сбоев или при превышении числа сбоев за определенный промежуток времени.
•
Изолируйте пользователей FTP для защиты содержимого FTP-сайта.
•
Обеспечьте на Web-сайте возможность поиска по содержимому PDF-файлов (Adobe Acrobat) с помощью драйвера iFilter.
•
Начните защиту системы IIS с использования файловой системы NTFS в дисковой подсистеме и применения самых последних пакетов обновлений безопасности.
•
Тщательно анализируйте безопасность приложений, установленных на Webсервере Windows Server 2003, особенно при использовании заказных приложений.
•
Тщательно выбирайте метод аутентификации в соответствии с производственными и техническими требованиями.
•
Применяйте аудит Web- и FTP-сайтов для документирования попыток входа в систему (успешных и неудачных), получения несанкционированного доступа к учетным записям служб, изменения или удаления файлов и выполнения запрещенных команд.
•
Используйте SSL для обеспечения конфиденциальности данных.
396
Сетевые службы ×àñòü III
•
Используйте IPSec и L2TP для защиты FTP.
•
Используйте локальные папки для загрузки совместно используемых файлов и их защиты средствами NTFS. Такая папка должна располагаться в дисковом разделе, отличном от того, в котором размещены системные файлы Windows Server 2003.
•
Следите за использованием дисковой памяти и просматривайте журналы IIS — не было ли попыток получения несанкционированного доступа.
•
Включите возможность редактирования метабазы во время работы.
•
Используйте журналы не только при анализе безопасности IIS, но и для облегчения обслуживания и устранения неполадок.
Áåçîïàñíîñòü
 ÝÒÎÉ ×ÀÑÒÈ... 12. Áåçîïàñíîñòü íà ñåðâåðíîì óðîâíå 13. Áåçîïàñíîñòü íà òðàíñïîðòíîì óðîâíå 14. Ïàñïîðòà â Windows Server 2003 15. Ïîëèòèêè è ñðåäñòâà áåçîïàñíîñòè
×ÀÑÒÜ
IV
Безопасность на серверном уровне Ãëàâà 12
Áåçîïàñíîñòü íà ñåðâåðíîì óðîâíå
 ÝÒÎÉ ÃËÀÂÅ... •
Ïîíÿòèå áåçîïàñíîñòè Windows Server 2003
•
Îáåñïå÷åíèå ôèçè÷åñêîé áåçîïàñíîñòè
•
Ïîâûøåíèå áåçîïàñíîñòè ñåðâåðà
•
Îáåñïå÷åíèå áåçîïàñíîñòè ñåðâåðà ñ ïîìîùüþ øàáëîíîâ áåçîïàñíîñòè
•
Áåçîïàñíîñòü íà ôàéëîâîì óðîâíå
•
Äîïîëíèòåëüíûå ìåðû áåçîïàñíîñòè
•
Ðàáîòà ñî ñëóæáîé îáíîâëåíèÿ ïðîãðàììíîãî îáåñïå÷åíèÿ
ÃËÀÂÀ
12
399
400
Безопасность ×àñòü IV
Ïîíÿòèå áåçîïàñíîñòè Windows Server 2003 Долгое время термин безопасность Microsoft считался (и, возможно, справедливо) сочетанием несовместимых понятий. Значительные бреши в безопасности и вирусы, пользующиеся особенностями систем Windows NT и Windows 2000, часто вынуждали организации с осторожностью относиться к безопасности (или к ее отсутствию), встроенной в технологии компании Microsoft. Прямым результатом такого критического отношения стало то, что безопасность в Windows Server 2003 была объявлена первостепенным, если не наиболее важным приоритетом для разработчиков. Безопасность на серверном уровне является одним из наиболее важных факторов сетевой среды. Серверы в инфраструктуре не только обеспечивают работу крайне важных сетевых служб — таких как DNS, DHCP, поиск в каталогах и аутентификация — но и служат центральным хранилищем большинства, если не всех, наиболее важных файлов в сети организации. Соответственно, для получения полного представления о возможностях системы безопасности Windows Server 2003 важно составить план безопасности на серверном уровне. В этой главе основное внимание уделено механизмам безопасности в системе Windows Server 2003 на стороне сервера. Особое значение придается своевременному устранению брешей в безопасности серверов с помощью службы обновления программного обеспечения (Software Update Services) — главного усовершенствования в системе безопасности Windows. Кроме того, в главе рассмотрены темы безопасности на файловом уровне, физической безопасности и другие важные вопросы безопасности серверов.
Èíèöèàòèâà Trustworthy Computing êîìïàíèè Microsoft После обнаружения нескольких широко распространившихся вирусов и брешей в безопасности, Билл Гейтс разработал инициативу, получившую название Trustworthy Computing (Безопасные вычисления). Эта инициатива вылилась в повышенное внимание к вопросам безопасности во всех технологиях Microsoft. Каждая строка кода Windows Server 2003 была исследована на предмет наличия возможных уязвимых мест, а внимание было перенесено с разработки новых возможностей на обеспечение безопасности. О значении этой инициативы для пользователей технологии Microsoft можно судить по тому, что в самой Microsoft безопасность стала главным приоритетом при разработке, а Windows Server 2003 — первым из основных программных продуктов компании, в котором это повышенное внимание к безопасности нашло свое довольнотаки яркое выражение.
Common Language Runtime Весь код продуктов Microsoft проверяется в процессе работы среды Common Language Runtime (Среда выполнения с общим языком). Эта среда выполняет код приложения, автоматически проверяя его на наличие брешей в безопасности, которые мо-
Безопасность на серверном уровне Ãëàâà 12
401
гут быть вызваны ошибками программирования. Кроме того, тщательно проверяются используемые этими фрагментами полномочия, чтобы убедиться, что код выполняет только нужные действия. Ограничивая с помощью этих технологий возможности злоупотреблений и уменьшая уязвимость программного обеспечения, среда Common Language Runtime снижает общий риск безопасности Windows Server 2003.
Ìíîãîóðîâíåâûé ïîäõîä ê áåçîïàñíîñòè ñåðâåðà Меры безопасности наиболее эффективны, когда они применяются по уровням. Например, ограбить дом значительно труднее, если грабителю нужно не только взломать парадную дверь, но и справиться со сторожевой собакой и отключить домашнюю охранную систему. Это же относится и к безопасности сервера: система безопасности должна состоять из нескольких уровней, чтобы трудность ее взлома возрастала экспоненциально. В Windows Server 2003 органично сочетаются множество необходимых уровней безопасности, в которых используются аутентификация Kerberos, защита файлов NTFS и встроенные средства безопасности, обеспечивая таким образом готовую систему безопасности. Для применения дополнительных компонентов безопасности необходимо понимать особенности их функционирования и установить и сконфигурировать их элементы. Windows Server 2003 позволяет добавлять дополнительные уровни безопасности и предоставляет организациям повышенную безопасность без ущерба для функциональных возможностей.
Îáåñïå÷åíèå ôèçè÷åñêîé áåçîïàñíîñòè Один из наиболее часто недооцениваемых, но, возможно, наиболее важных компонентов безопасности сервера — реальная физическая безопасность самого сервера. Самый надежный, не поддающийся взлому Web-сервер бессилен, если злоумышленник может просто отключить его от сети. Еще хуже, если кто-либо, войдя в систему важного файлового сервера, сможет скопировать важные файлы или вывести компьютер из строя. Физическая безопасность — обязательное условие для любой организации, поскольку именно с ней чаще всего связано появление брешей в системе безопасности. Несмотря на это, во многих организациях уровни физической безопасности важных для производственной деятельности серверов легко преодолимы или вовсе отсутствуют. Значит, непременным условием обеспечения безопасности является понимание того, что требуется для защиты физического и логического доступа к серверу.
Îãðàíè÷åíèå ôèçè÷åñêîãî äîñòóïà Серверы должны быть защищены физически, то есть установлены в запирающемся помещении с контролируемым доступом. Критичные для производственного процесса серверы не стоит помещать у ног администраторов или в других ненадежных местах. Идеальной с точки зрения безопасности сервера средой является специальное помещение или постоянно запертый шкаф.
402
Безопасность ×àñòü IV
Большинство компаний-изготовителей оборудования снабжают свои изделия механизмами для физической блокировки некоторых или всех компонентов сервера. В зависимости от применения других уровней безопасности может быть целесообразным использовать такие механизмы для защиты среды сервера.
Îãðàíè÷åíèå âõîäà â ñèñòåìó Все серверы должны конфигурироваться так, чтобы только администраторы имели физический доступ к консоли для входа в систему. По умолчанию это ограничение используется в контроллерах доменов, но на других серверах — файловых серверах, вспомогательных серверах и аналогичном оборудовании — такие типы входа в систему должны быть специально запрещены. Чтобы ограничить вход в систему, выполните перечисленные ниже шаги. 1. Выберите в меню Start (Пуск) пункт All ProgramsÖAdministrative ToolsÖLocal Security Policy (Все программыÖАдминистрированиеÖЛокальная политика безопасности). 2. В левой панели найдите узел Security Settings \ Local Policies \ User Rights Assignment (Параметры безопасности\Локальные политики\Назначение прав пользователей). 3. Дважды щелкните на элементе Allow Log On Locally (Разрешить локальный вход в систему). 4. Удалите всех пользователей и группы, которым не требуется доступ к серверу, как показано на рис. 12.1. (Имейте в виду, что на Web-серверах для правильного отображения Web-страниц нужен доступ для локального входа в систему с учетной записью IUSR_SERVERNAME.) По завершении щелкните на кнопке ОК.
Ðèñ. 12.1. Ограничение доступа для входа в систему
Безопасность на серверном уровне Ãëàâà 12
403
НА ЗАМЕТКУ Если в шаге 1 процедуры ограничения доступа заменить Local Security Policy на Domain Security Policy (Политика безопасности домена), то такие же ограничения можно применить к контроллеру домена Windows Server 2003.
НА ЗАМЕТКУ Групповая политика (Group Policy), установленная на уровне организационной единицы (OU), может быть применена ко всем серверам, что упрощает задачу и исключает необходимость ее выполнения вручную для каждого сервера. Дополнительная информация по установке таких групповых политик приведена в главе 21.
Èñïîëüçîâàíèå êîìàíäû Run As äëÿ ïîëó÷åíèÿ àäìèíèñòðàòèâíîãî äîñòóïà Выход администраторов из системы после запуска всех рабочих станций и серверов сети часто оказывается наиболее трудно реализуемой и утомительной мерой безопасности. Если администратор забудет выйти из системы или просто ненадолго отойдет от рабочей станции, любой оказавшийся рядом может без труда проникнуть в инфраструктуру сети. Поэтому целесообразно применять стратегию входа в систему с помощью команды Run As (Запуск от имени) Windows Server 2003. По существу это означает, что все пользователи, включая IT-персонал, входят в систему с ограниченными стандартными учетными записями типа User (Пользователь). Когда потребуется выполнить административную задачу, нужное средство или исполняемый файл можно вызвать с помощью команды Run As, которая предоставляет этому средству административные возможности учетной записи, указанной командой Run As. Если администратор отойдет от консоли рабочей станции, не выходя из системы, ситуация не будет опасной, поскольку консоль не предоставит посторонним полный доступ к сети с правами администратора. В следующем примере показано, как из графического интерфейса вызвать с помощью команды Run As оснастку Computer Management консоли MMC. 1. Найдите (но не выбирайте) в меню Start пункт All ProgramsÖAdministrative ToolsÖComputer Management (Все программыÖАдминистрированиеÖУправление компьютером). 2. Щелкните правой кнопкой мыши на элементе Computer Management (Управление компьютером) в списке программ и выберите в контексте меню пункт Run As (Запуск от имени). 3. В диалоговом окне Run As, показанном на рис. 12.2, выберите полномочия, с которыми необходимо запустить программу, и щелкните на кнопке OK.
НА ЗАМЕТКУ Командная версия средства Run As предоставляет такие же возможности. Например, чтобы открыть командное окно с правами администратора, можно ввести следующую команду:
runas /user:DOMAINNAME\administrator cmd
404
Безопасность ×àñòü IV
Кроме ручного применения Run As можно сконфигурировать компьютер администратора так, чтобы при запуске административных средств каждый ярлык автоматически запрашивал соответствующие полномочия. Например, с помощью следующих действий можно настроить оснастку Active Directory Users and Computers консоли MMC так, чтобы она всегда запрашивала дополнительные полномочия. 1. Выберите в меню Start пункт All ProgramsÖAdministrative Tools (Все программыÖ Администрирование). 2. Щелкните правой кнопкой мыши на пиктограмме Computer Management (Управление компьютером) и выберите в контекстном меню пункт Properties. 3. Щелкните на кнопке Advanced (Дополнительно). 4. Установите флажок Run with Different Credentials (Запускать с другими полномочиями), как показано на рис. 12.3, и два раза щелкните на кнопке OK, чтобы сохранить настройки.
Ðèñ. 12.3. Запуск ярлыка с дополнительÐèñ. 12.2. Использование команды Run As
ными полномочиями
НА ЗАМЕТКУ Как ни странно, иногда для изменения некоторых свойств ярлыков требуется наличие административных прав доступа. То есть для настройки ярлыков в профилях другого пользователя может потребоваться вход в систему в качестве пользователя с большими полномочиями.
Äîñòóï ê ñèñòåìå ñ ïîìîùüþ ñìàðò-êàðò В наиболее защищенных инфраструктурах для разрешения входа в систему применяются так называемые смарт-карты (smartcard), которые полностью поддерживаются в Windows Server 2003. Смарт-карта представляет собой пластиковую карточку с встроенным в нее микрочипом. Каждому пользователю выдается уникальная карточка и соответствующий PIN-код. Вход в рабочую станцию сводится к вставке карточки в специальное считывающее устройство и вводу PIN-кода, который может быть комбинацией цифр и букв наподобие пароля. Безопасность можно повысить еще больше, требуя извлечения смарт-карты после входа в консоль. В такой ситуации пользователи вставляют в считывающее устройство смарт-карту, закрепленную на теле цепочкой или шнурком. После ввода PIN-кода они
Безопасность на серверном уровне Ãëàâà 12
405
входят в систему и выполняют все необходимые действия. После этого пользователи просто извлекают карточку из считывающего устройства, что приводит к автоматическому выходу из системы рабочей станции. В этом случае практически невозможно забыть выйти из системы, поскольку пользователь, отходя от компьютера, должен физически отсоединиться от него.
Îáåñïå÷åíèå áåçîïàñíîñòè áåñïðîâîäíûõ ñåòåé Обеспечение безопасности кабелей всегда было сложной задачей, но появившаяся недавно тенденция использования беспроводных сетей осложнила ее еще больше. Многие организации были потрясены тем, какой ущерб может быть нанесен сети лицом, имеющим возможность подключиться через сетевой порт. Появление беспроводных сетей еще более упрощает доступ. Например, злоумышленник может просто подъехать на автостоянку и получить доступ к локальной сети организации с помощью ноутбука и стандартной карты беспроводной связи 802.11b. Стандартная система безопасности WEP, используемая в беспроводных сетях, практически бесполезна, поскольку ее можно взломать буквально за несколько минут. Управление сетевыми портами и защита сетевых переключателей являются частью стратегии безопасности. В организациях с беспроводными сетями необходимо предпринимать более строгие меры безопасности. Внедрение беспроводных сетей, в которых используется протокол 802.1x, значительно повышает уровень сетевой безопасности. Microsoft использует этот протокол для защиты своей разветвленной сети, и Windows Server 2003 полностью поддерживает его. Организации, которым не хватает времени или ресурсов для внедрения протокола 802.1x, могут эффективно защитить беспроводную сеть, просто разместив точки беспроводного доступа снаружи брандмауэра и требуя доступ по VPN через брандмауэр. Даже если злоумышленник сможет взломать ключ WEP, ему удастся подключиться только к изолированному фрагменту, не имеющему выход в остальную сеть.
Áåçîïàñíîñòü ñ ïîìîùüþ áðàíäìàóýðîâ Внедрение конфигурации с брандмауэром предприятия — обязательное требование в любой среде, подключенной к Internet. Напрямую подключенные к Internet серверы или рабочие станции — первоочередные кандидаты для попыток взлома. Современные реализации брандмауэров, такие как Internet Security and Acceleration (ISA) 2000/2004 компании Microsoft, допускают расширенные настройки, например, прокси-сервера и демилитаризованной зоны (DMZ). Правильная установка и конфигурирование брандмауэра, установленного между сетью Windows Server 2003 и Internet — обязательное условие обеспечения безопасности.
НА ЗАМЕТКУ Установка брандмауэра ISA Server 2000 в системе Windows Server 2003 трудновыполнима, но технически возможна. Сразу после завершения инсталляции в системе Windows Server 2003 (с несколькими сообщениями об ошибках) необходимо применить пакет обновлений ISA Service Pack 1. Однако последняя версия, ISA Server 2004, уже поддерживает инсталляцию на Windows Server 2003.
406
Безопасность ×àñòü IV
Ïîâûøåíèå áåçîïàñíîñòè ñåðâåðà В предшествующих версиях Windows Server — Windows NT 4.0 и Windows 2000 — после установки часто требовалось длительное конфигурирование для повышения безопасности сервера и защиты от вирусов и шпионских программ. К счастью, в Windows Server 2003 по умолчанию многие редко используемые службы отключены. Фактически на всех серверах отключена все информационные службы Internet (Internet Information Service — IIS), что делает их менее уязвимыми для атак. Следовательно, в Windows Server 2003 важно вначале определить, в какой роли будет использоваться сервер, а затем включить только действительно необходимые службы, желательно с помощью мастера Configure Your Server Wizard (Мастер конфигурирования сервера). Эта процедура подробно описана далее в этой главе, в разделе “Защита сервера с помощью мастера конфигурирования сервера”.
Îïðåäåëåíèå ðîëåé ñåðâåðà В зависимости от размеров организации сервер может быть предназначен для выполнения одной или нескольких сетевых ролей. В идеале для выполнения каждой из ролей — сервер DHCP или сервер DNS — следовало бы выделять отдельный сервер. Однако для небольших организаций такой подход неприемлем, и в зависимости от их потребностей один сервер может выполнять несколько ролей. Поскольку любая активизированная служба повышает степень общего риска, важно точно определить, какие роли будет выполнять сервер, чтобы должным образом сконфигурировать соответствующие службы. Хотя эти компоненты можно установить вручную, процесс настройки служб упрощается с помощью мастера конфигурирования сервера.
Çàùèòà ñåðâåðà ñ ïîìîùüþ ìàñòåðà êîíôèãóðèðîâàíèÿ ñåðâåðà После определения перечня ролей, которые будет выполнять сервер, идеальным средством активизации этих ролей и их защиты может служить практически заново разработанный мастер конфигурирования сервера (Configure Your Server — CYS) системы Windows Server 2003. Значительно усовершенствованный по сравнению с версией Windows 2000, новый мастер CYS включает только необходимые службы. Если сервер является DNS-сервером, но не является сервером файлов и печати, мастер CYS автоматически сконфигурирует сервер специально для обеспечения доступа к DNS, уменьшая тем самым его уязвимость. Пользоваться мастером конфигурирования сервера легко, и его можно вызвать в любой момент. Мастер CYS не только устанавливает службы, но и отображает текущие роли действующего сервера. Этот мастер используется для назначения сервера в качестве выделенного сервера WINS, снижая его уязвимость за счет отключения всех остальных ненужных ролей. Этот процесс выполняется посредством описанных ниже шагов.
Безопасность на серверном уровне Ãëàâà 12
407
1. Откройте мастер CYS, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖConfigure Your Server Wizard (Все программыÖАдминистрированиеÖ Мастер конфигурирования сервера). 2. Два раза щелкните на кнопке Next на экранах приветствия и предварительных сведений. 3. На следующем экране выберите роль сервера WINS, как показано на рис. 12.4, и щелкните на кнопке Next.
Ðèñ. 12.4. Запуск мастера конфигурирования сервера 4. В окне Summary (Сводка) щелкните на кнопке Next. На этом этапе программа установки может запросить компакт-диск с Windows Server 2003. В ответ на запрос вставьте нужный диск. 5. В окне Success (Установка успешно завершена) щелкните на кнопке Finish. 6. Повторите шаги 1–5, но вместо добавления роли выберите роль файлового сервера и удалите ее. Щелкните на кнопке Next.
НА ЗАМЕТКУ Для добавления или удаления любых дополнительных ролей мастер конфигурирования сервера придется запускать несколько раз.
Îáåñïå÷åíèå áåçîïàñíîñòè ñåðâåðà ñ ïîìîùüþ øàáëîíîâ áåçîïàñíîñòè Windows Server 2003 содержит встроенную поддержку шаблонов безопасности, с помощью которых можно стандартизовать настройки безопасности на нескольких серверах для облегчения их развертывания. Шаблон безопасности (security template) — это просто текстовый файл в формате, пригодном для массового применения отдельных настроек безопасности. Например, шаблон безопасности может заставить
408
Безопасность ×àñòü IV
сервер использовать только аутентификацию Kerberos и не пытаться использовать низкоуровневые (и менее безопасные) методы аутентификации. На рис. 12.5 показан один из стандартных шаблонов безопасности из состава Windows Server 2003 — securedc.inf.
Ðèñ. 12.5. Пример файла шаблона безопасности Шаблон безопасности просто применяется непосредственно к OU, сайту или домену с помощью объекта групповой политики (Group Policy Object — GPO). Шаблоны безопасности могут быть чрезвычайно удобными, если нужно применить одинаковую безопасность ко всем серверам, но с ними связано очень большое неудобство. Зачастую настройки, определенные в шаблоне, могут быть слишком жесткими, и выполнение приложения или работа сети может оказаться невозможной из-за слишком жестких шаблонов безопасности для сервера. Поэтому крайне важно тестировать все настройки шаблонов безопасности перед их развертыванием в промышленной среде.
Îñòàíîâêà íåíóæíûõ ñëóæá Каждая выполняющаяся служба, особенно если она использует повышенные системные полномочия, подвергает сервер дополнительному риску. Хотя особое внимание, уделяемое безопасности в Windows Server 2003, снижает общую угрозу, все же остается вероятность, что одна из этих служб откроет путь специализированному вирусу или настойчивому хакеру. Поэтому значительные усилия были направлены на разработку методик определения того, какие службы необходимы, а какие могут быть отключены. Windows Server 2003 упрощает принятие этого решения с помощью оснастки Services (Службы) консоли MMC. Чтобы открыть консоль Services, выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖServices (Все программыÖАдминистрированиеÖСлужбы). Как видно на рис. 12.6, оснастка Services консоли MMC не только отображает установленные и выполняющиеся службы, но и приводит достаточно подробное описание
Безопасность на серверном уровне Ãëàâà 12
409
выполняемых каждой службой действий и последствий ее отключения. На каждом развернутом сервере имеет смысл просмотреть журнал Services и определить, какие службы необходимы, а какие можно отключить. Цель всех этих действий — нахождение “золотой середины”, поскольку слишком большое количество выполняющихся служб может в принципе привести к образованию брешей в системе безопасности, а остановка слишком большого числа служб может отрицательно сказаться на функциональности сервера.
Ðèñ. 12.6. Администрирование сервера с помощью оснастки Services консоли MMC НА ЗАМЕТКУ Шаблоны безопасности могут содержать информацию о том, какие службы необходимо автоматически отключить на серверах. Эти шаблоны можно настроить и развернуть на серверах с помощью GPO для организационных единиц Active Directory.
Áåçîïàñíîñòü íà ôàéëîâîì óðîâíå Файлы в Windows Server 2003 безопасны лишь постольку, поскольку для них определены права доступа. Поэтому неплохо знать, что Windows Server 2003, впервые в операционных системах Microsoft, не предоставляет группе Everyone (Все пользователи) полный контроль над правами доступа уровня общих ресурсов и уровня NTFS. Кроме того, критические файлы и каталоги операционной системы защищены от их несанкционированного использования. Несмотря на наличие общих усовершенствований, рекомендуется тщательно разобраться в безопасности на файловом уровне, чтобы не снизить безопасность сервера на этом уровне.
410
Безопасность ×àñòü IV
Áåçîïàñíîñòü ôàéëîâîé ñèñòåìû NTFS В Windows Server 2003 для обеспечения безопасности в операционной системе на файловом уровне применяется последняя версия файловой системы NT (NT File system — NTFS). Каждый объект, на который имеется ссылка в NTFS, в том числе файлы и папки, помечается записью контроля доступа (Access Control Entry — ACE), которая физически ограничивает круг пользователей, имеющих доступ к ресурсу. Права доступа NTFS используют эту концепцию для жесткого управления доступом на чтение, запись и другие типы доступа к файлам. Файловые серверы должны обоснованно применять права доступа уровня NTFS, и следует проверить права доступа файлового уровня во всех каталогах для обнаружения возможных брешей в наборе прав доступа NTFS. Изменение прав доступа NTFS в Windows Server 2003 — простой процесс. Достаточно выполнить следующие действия: 1. Щелкните правой кнопкой мыши на папке или файле, к которому нужно применить установки безопасности, и выберите в контекстном меню пункт Sharing and Security (Совместное использование и безопасность). 2. Перейдите на вкладку Security (Безопасность). 3. Щелкните на кнопке Advanced (Дополнительно). 4. Снимите флажок Allow Inheritable Permissions from the Parent to Propagate (Разрешить наследование прав доступа от родительского объекта). 5. При появлении запроса о применении родительских прав доступа щелкните на кнопке Remove (Удалить). 6. В диалоговом окне Advanced воспользуйтесь кнопкой Add (Добавить) для предоставления доступа группам и/или пользователям, которым нужен доступ к файлам или папкам. 7. Установите флажок Replace Permission Entries on All Child Objects (Заменить записи прав доступа для всех дочерних объектов), как показано на рис. 12.7, и щелкните на кнопке OK.
Ðèñ. 12.7. Установка прав доступа NTFS
Безопасность на серверном уровне Ãëàâà 12
411
8. При появлении запроса о замене безопасности дочерних объектов щелкните на кнопке Yes (Да). 9. Щелкните на кнопке OK, чтобы закрыть страницу свойств.
Ñðàâíåíèå áåçîïàñíîñòè óðîâíÿ îáùèõ ðåñóðñîâ è áåçîïàñíîñòè NTFS В системе безопасности предыдущих версий Windows использовались независимо устанавливаемые права доступа уровня общих ресурсов. Общий ресурс (share) — это точка входа на файловом сервере наподобие \\sfofs01\marketing, которая позволяет пользователям обращаться к конкретному каталогу на этом сервере. Более старые файловые системы — FAT, HPFS и FAT32 — не содержали средств безопасности файлового уровня, поэтому безопасность устанавливалась на уровне общих ресурсов. Хотя к файлам по-прежнему можно применять безопасность на уровне общих ресурсов, все же лучше по возможности использовать безопасность уровня NTFS. Защита на уровне общих ресурсов не особенно надежна, поскольку с ее помощью трудно защитить содержимое подкаталогов.
НА ЗАМЕТКУ Наиболее рациональный подход для файловых серверов в Windows Server 2003 заключается в предоставлении всем пользователям домена широких прав доступа к общим ресурсам с последующим ужесточением безопасности на уровне NTFS. Тогда становится возможным администрирование безопасности только на уровне NTFS без риска нарушить ограничений уровня общих ресурсов.
Àóäèò äîñòóïà ê ôàéëàì Для обеспечения безопасности на файловом уровне имеет смысл выполнять аудит отдельных серверов, каталогов или файлов. Аудит томов NTFS позволяет администраторам получать информацию о том, кто осуществляет или пытается получить доступ к конкретному каталогу. Например, может быть целесообразным выполнять аудит доступа к важным общим сетевым ресурсам, наподобие папки с финансовыми файлами, для определения того, не пытается ли кто-либо получить доступ к закрытой информации.
НА ЗАМЕТКУ Записи аудита являются еще одним примером настроек безопасности, которые в Windows Server 2003 можно устанавливать автоматически с помощью шаблонов безопасности. Рекомендуется применять шаблоны безопасности для более эффективного управления параметрами аудита.
Ниже приведен пример процедуры установки простого аудита папки в системе Windows Server 2003. 1. Щелкните правой кнопкой мыши на папке или файле, для которого нужно включит аудит, и выберите в контекстном меню пункт Properties. 2. Перейдите на вкладку Security. 3. Щелкните на кнопке Advanced. 4. Перейдите на вкладку Audit (Аудит).
412
Безопасность ×àñòü IV
5. Снимите флажок Allow Inheritable Auditing Entries from the Parent to Propagate (Разрешить наследование записей аудита от родительского объекта) и щелкните на кнопке Apply (Применить). 6. С помощью кнопки Add (Добавить) введите всех пользователей и группы, для которых необходимо выполнять аудит. Если нужен аудит для всех пользователей, укажите группу Everyone (Все пользователи). 7. На странице Auditing Entry (Запись аудита) отметьте все типы доступа, для которых требуется включить аудит. Если нужен аудит для всех успешных и неудачных попыток, выберите все опции, как показано на рис. 12.8.
Ðèñ. 12.8. Выбор объектов для аудита 8. Чтобы активизировать выбранные параметры, щелкните на кнопке OK. 9. Установите флажок Replace Auditing Entries on All Child Objects (Заменить записи аудита для всех дочерних объектов) и щелкните на кнопке OK.
НА ЗАМЕТКУ Эффективный способ поимки “шпионов” с поличным — создание в сети достоверно выглядящих совместных сетевых ресурсов, например, “Финансовые соглашения”, “Информация о корневом каталоге” и тому подобных, и аудит обращений к этим папкам. Эту методику можно успешно использовать для выявления внутренних (или внешних) злоумышленников до того, как они смогут нанести серьезный ущерб.
Øèôðîâàíèå ôàéëîâ ñ ïîìîùüþ ñëóæáû øèôðîâàíèÿ ôàéëîâ В Windows Server 2003 продолжается поддержка шифрованной файловой системы (Encrypting File System — EFS) — метода перемешивания содержимого файлов, чтобы
Безопасность на серверном уровне Ãëàâà 12
413
они были непонятными для несанкционированных пользователей. EFS доказала свою ценность для организаций, в которых необходимо хранить секретные данные, чтобы они не попали в чужие руки, особенно в ноутбуках. Windows 2000 поддерживает EFS, но EFS начала широко использоваться лишь после выпуска Windows XP, поскольку к ней появился доступ из меню проводника Windows. Однако на стороне сервера возможности EFS были ограниченны, так как шифрование автономных файлов, хранимых на файловых серверах, было невозможно. В Windows Server 2003 эта технология улучшена и теперь поддерживает шифрование автономных файлов с помощью EFS. Эта дополнительная возможность делает EFS ценным дополнением к безопасности на стороне сервера, доступной в Windows Server 2003.
Äîïîëíèòåëüíûå ìåðû áåçîïàñíîñòè В нашем небезопасном мире сервер безопасен ровно настолько, насколько безопасны выполняемые на нем приложения. Тем не менее, Windows Server 2003 является наиболее безопасной операционной системой Windows и содержит множество встроенных механизмов обеспечения безопасности сервера. Однако необходимо учитывать и дополнительные меры безопасности — антивирусную защиту и резервное копирование — так как они непосредственно влияют на общий уровень безопасности самой операционной системы.
Ìåðû àíòèâèðóñíîé çàùèòû Вероятно, вирусы — одна из наиболее серьезных опасностей для сервера. Многие вирусы написаны специально для использования основных уязвимостей в инфраструктуре сервера. Другие заражают файлы, которые могут храниться на сервере, распространяя инфекцию среди клиентов, загружающих эти файлы. Поэтому крайне важно подумать над применением средств антивирусной защиты всех файловых серверов сети предприятия. Все основные производители антивирусных программ включают в свои пакеты надежные сканеры файлового уровня, и эти сканеры следует использовать на всех файловых серверах. Для поддержания баз данных и средств обнаружения вирусов на современном уровне следует разработать четкий план. Поскольку появление нового вируса может привести к хаосу во всем мире за считанные дни и даже часы, целесообразно проверять наличие обновлений ежедневно.
НА ЗАМЕТКУ Не обязательно, да и не имеет смысла, всегда держать активный антивирусный сканер на серверах, которые не являются файловыми серверами. Такие сканеры постоянно просматривают все открытые используемые файлы, и их лучше использовать только на файловых серверах или рабочих станциях. Периодическое сканирование системных компонентов на других серверах — неплохая идея, но то, что вспомогательные серверы или контроллеры доменов не хранят данные пользователей, делает их сравнительно неуязвимыми для вирусов файлового уровня. Кроме того, загрузка процессора этими постоянно действующими антивирусными сканерами может снижать производительность серверов.
414
Безопасность ×àñòü IV
Îáåñïå÷åíèå áåçîïàñíîñòè ñ ïîìîùüþ ðåçåðâíîãî êîïèðîâàíèÿ Хотя необходимость стратегии резервного копирования вполне очевидна большинству людей, зачастую можно лишь удивляться, насколько небрежно многие организации относятся к этому важному аспекту. Слишком часто компаниям приходится на собственном горьком опыте убеждаться, что сделать резервную копию сервера очень легко, а вот восстановить его значительно труднее. Часто в организациях пренебрегают не только вопросами аварийного восстановления, но и защитой резервных копий. Процедура резервного копирования файлового сервера требует, чтобы копирование данных на устройство хранения данных выполнял пользователь, имеющий соответствующие полномочия. Это требование гарантирует, что никто посторонний не сможет скопировать состояние среды и унести с собой магнитную ленту. Поэтому все ленты, содержащие резервные копии серверов, должны охраняться столь же тщательно, как и сам сервер. Слишком часто огромные стопки лент с резервными копиями серверов оставляют без присмотра на рабочих столах, и слишком часто в организациях отсутствует механизм учета, где и какие ленты находятся. Поэтому обязательно применение строгой процедуры хранения и проверки архивных лент.
Ðàáîòà ñî ñëóæáîé îáíîâëåíèÿ ïðîãðàììíîãî îáåñïå÷åíèÿ Одним из главных недостатков безопасности Windows была трудность своевременного обновления серверов и рабочих станций последними оперативными исправлениями. Например, обновление безопасности на сервере индексирования IIS был доступен более чем за месяц до появления вирусов Code Red и Nimbda. Если бы развернутые Web-серверы вовремя загрузили это обновление, то они бы не пострадали. Основная причина того, что подавляющее большинство серверов не были обновлено, заключалась в том, что своевременное обновление серверов и рабочих было абсолютно не автоматизированным, к тому же длительным процессом. Поэтому потребовался упрощенный способ применению обновлений безопасности, который был реализован в очередной версии службы обновления программного обеспечения (Software Update Services — SUS).
Îñíîâíûå ïðèíöèïû SUS: Windows Update Занявшись вопросом трудности своевременного применения обновлений на компьютерах, компания Microsoft развернула общедоступный Web-сайт Windows Update (Обновление Windows), к которому клиенты могли подключиться, загрузить обновления безопасности и затем установить их. При обращении к Web-странице Windows Update выполнялась удаленная установка исполняемого модуля, который запускал тест для выяснения того, какие оперативные обновления уже применены в системе. Программа предлагала загрузить еще не примененные обновления, и пользователи могли легко их установить.
Безопасность на серверном уровне Ãëàâà 12
415
Windows Update упрощал процесс проверки и установки обновлений безопасности, но его основным недостатком была необходимость вручную подключаться к серверу каждые несколько дней или недель и проверять наличие новых обновлений. Нужен был более эффективный автоматизированный процесс.
Êëèåíò àâòîìàòè÷åñêèõ îáíîâëåíèé Клиент автоматических обновлений (Automatic Updates Client) был разработан для автоматизации установки исправлений и обновлений безопасности и для предоставления пользователям возможности автоматически “просачивать” исправления из Internet для установки на локальных компьютерах. Просачивание (drizzling), называемое также службой фоновой интеллектуальной пересылки данных (Background Intelligent Transfer Service — BITS) — это процесс, в ходе которого компьютер разумно использует свободную пропускную способность сети для загрузки файлов. Поскольку при этом используется только свободная пропускная способность, процесс не оказывает заметного влияния на сам сетевой клиент. Клиент автоматических обновлений был включен в качестве стандартной возможности в пакеты обновлений Windows 2000 Service Pack 3 и Windows XP Service Pack 1, но доступен и для загрузки в качестве отдельного компонента.
Ðàçðàáîòêà ñëóæáû îáíîâëåíèÿ ïðîãðàììíîãî îáåñïå÷åíèÿ Web-сайт Windows Update и связанный с ним клиент удовлетворяют потребностям большинства домашних пользователей и некоторых небольших организаций. Однако в больших организациях, где загрузка из Internet большого числа обновлений влияет на пропускную способность сети, зачастую эта служба отключалась или не рекомендовалась к использованию. И все-таки в этих организациях имелась серьезная потребность в возможностях Windows Update. Это привело к разработке службы обновления программного обеспечения (Software Update Services — SUS). SUS доступна для бесплатной загрузки на сайте Microsoft и, по сути дела, предоставляет организациям собственную, независимую версию сервера Windows Update. SUS выполняется на компьютере Windows Server 2003 (или Windows 2000) с запущенной службой информации Internet (IIS). Для загрузки всех исправлений и обновлений безопасности клиенты подключаются к центральному серверу SUS intranet-сети. Службу SUS не следует рассматривать как технологию, заменяющую существующие решения распространения программного обеспечения, наподобие сервера управления системами (Systems Management Server — SMS). Скорее, она представляет собой ориентированное на средние и большие организации решение для быстрого распространения обновлений безопасности сразу после их появления. Клиенты, использующие SMS, могут применять пакет SMS 2.0 Value Pack, который предоставляет возможности по обновлению безопасности, аналогичные предоставляемым службой SUS. В самой последней редакции SUS — пакете обновлений Service Pack 1 — добавлены новые возможности и исправлены некоторые ошибки. Вот список элементов и возможностей, добавленных в Service Pack 1 для SUS:
416
Безопасность ×àñòü IV
•
Поддержка распространения служебных пакетов. Ранее в SUS отсутствовала возможность распространения крупных пакетов обновлений. Теперь Service Pack 1 позволяет применять последние пакеты обновлений для более новых операционных систем Microsoft.
•
Возможность выполнения на контроллере домена или на сервере для малого бизнеса. Ранее SUS работала только на серверах, не являющихся контроллерами доменов.
•
Улучшенный просмотр информации об исправлениях. Сейчас SUS содержит ссылки на информацию о каждом доступном с ее помощью исправлении.
•
Улучшенный ADM-файл групповой политики. Файл wuau.adm, доступный для загрузки на сайте Microsoft, теперь позволяет более интеллектуальное применение исправлений и перезагрузку клиентов по расписанию.
Íåîáõîäèìûå óñëîâèÿ äëÿ ðàçâåðòûâàíèÿ SUS Лучше развернуть SUS на выделенном сервере, но это можно сделать и на рядовом сервере Windows Server 2003, если на нем выполняется информационные службы Internet (IIS). Ниже приведены минимальные требования к оборудованию, на котором может действовать SUS: •
x86-совместимый процессор с тактовой частотой 700 МГц;
•
ОЗУ объемом 512 Мб;
•
6 Гб свободной дискового пространства.
В общем, сервер SUS может быть легко установлен на машине класса рабочей станции, хотя у более крупных организаций может появиться потребность в большем резервировании для среды SUS.
Óñòàíîâêà ñåðâåðà ñëóæáû îáíîâëåíèÿ ïðîãðàììíîãî îáåñïå÷åíèÿ Если на сервере уже установлена и сконфигурирована служба IIS (более подробно установка IIS описана в главе 11), то установка SUS не связана с особыми сложностями. Исполняемый файл SUS можно загрузить с Web-сайта компании Microsoft: http://www.microsoft.com/sus Для выполнения начальной установки SUS потребуется предпринять перечисленные ниже действия. 1. Запустите программу установки SUS Setup с компакт-диска или из загруженного архива в виде исполняемого файла. 2. В окне приветствия щелкните на кнопке Next. 3. Чтобы продолжить установку, прочтите и примите условия лицензионного соглашения. Щелкните на кнопке Next. 4. Для выполнения стандартной установки щелкните на кнопке Typical (Типичная).
Безопасность на серверном уровне Ãëàâà 12
417
5. В следующем окне укажите URL-адрес сервера, к которому должны обращаться клиенты службы SUS. Если этот сервер — выделенный сервер SUS, оставьте его в корневом узле, как показано на рис. 12.9. Затем щелкните на кнопке Install (Установить). 6. По завершении установки отобразится URL-адрес административного Webсайта. Для завершения установки щелкните на кнопке Finish.
Ðèñ. 12.9. Указание URL-адреса сервера загрузки для клиентов службы SUS По завершении установки автоматически отобразится административная Webстраница (http://имясервера/SUSAdmin). Эта страница — главное хранилище всех параметров конфигурирования службы SUS, и она является единственной административной консолью. По умолчанию она доступна из любого Web-браузера локальной сети. Все дальнейшие действия по конфигурированию будут выполняться с административной консоли, показанной на рис. 12.10.
Óñòàíîâêà ïàðàìåòðîâ ñëóæáû SUS Непосредственно после установки служба SUS физически не содержит никаких исправлений безопасности. Теперь прежде всего необходимо сконфигурировать все доступные параметры сервера. Страницу параметров можно вызвать щелчком на ссылке Set Options (Установить параметры) в левой панели административной страницы SUS.
Ïðîêñè-ñåðâåð Если в сети используется прокси-сервер, первый набор параметров SUS позволяет серверу для загрузки обновлений использовать прокси-сервер. Если прокси-серверов в сети нет, выберите на странице параметров вариант Do Not Use a Proxy Server (Не использовать прокси-сервер).
418
Безопасность ×àñòü IV
Ðèñ. 12.10. Административная консоль службы SUS НА ЗАМЕТКУ Если вы не уверены, выберите вариант Automatically Detect Proxy Server Settings (Автоматически определить настройки прокси-сервера). В этом случае при отсутствии прокси-сервера служба SUS автоматически выполнит свое конфигурирование без использования прокси-сервера.
Èìÿ ñåðâåðà SUS Следующий набор параметров, приведенный на рис. 12.11, позволяет указать имя сервера, по которому клиенты будут подключаться к серверу обновлений. Рекомендуется ввести полностью определенное доменное имя (наподобие server2.companyabc.com) сервера, чтобы для отыскания сервера клиенты использовали DNS, а не NetBIOS.
Èñòî÷íèê îáíîâëåíèé Следующие опции позволяют загружать обновления SUS либо непосредственно с серверов Windows Update компании Microsoft, либо с внутреннего сервера SUS. Чаще применяется первый подход, хотя возможны ситуации больших развертываний, в которых несколько серверов SUS могут копировать обновления один с другого.
Îáðàáîòêà ðàíåå óòâåðæäåííûõ îáíîâëåíèé Следующий параметр позволяет указать, должно ли автоматически выполняться повторное утверждение новых версий обновлений, ранее утвержденных администратором. Выберите нужный вариант и продолжите конфигурирование.
Ìåñòîïîëîæåíèå îáíîâëåíèé è ïîääåðæèâàåìûå êëèåíòîì ÿçûêè Последний параметр весьма важен. На этом этапе принимается решение о том, нужно ли развернуть SUS в виде полномасштабной копии всех исправлений Microsoft
Безопасность на серверном уровне Ãëàâà 12
419
или просто сконфигурировать ее для направления клиентов на сервер Windows Update при запросе ими исправлений. В большинстве ситуаций используется первый вариант, показанный на рис. 12.12, при котором требования к пропускной способности соединения клиентов с Internet минимальны. При выборе применения серверов Windows Update для загрузки реального исправления безопасности клиенты будут перенаправляться с сервера SUS на Internet-серверы Windows Update.
Ðèñ. 12.11. Установка параметров SUS
Ðèñ. 12.12. Установка дополнительных параметров SUS
420
Безопасность ×àñòü IV
Этот параметр позволяет также выбирать язык загружаемых исправлений безопасности. Необходимо отметить все языки, которые используются внутри организации, однако чем больше языков выбрано, тем больше будет объем первоначальной и последующих загрузок.
Ñèíõðîíèçàöèÿ ñåðâåðà SUS После конфигурирования всех параметров SUS, особенно исправлений, связанных с поддержкой различных языков, можно выполнить начальную синхронизацию сервера SUS. Для этого необходимо выполнить следующие действия. 1. Откройте Web-страницу администрирования SUS, войдя в Internet Explorer на сервер SUS и перейдя к Web-странице http://localhost/SUSAdmin. 2. Щелкните на ссылке Synchronize Server (Синхронизировать сервер) в левой панели. 3. Появится следующий экран, показанный на рис. 12.13, на котором можно выполнить синхронизацию с сайтом SUS немедленно или задать расписание выполнения синхронизации. Рекомендуется вначале выполнить полную синхронизацию, а затем выполнять последующие загрузки ежедневно. Поэтому в данном примере щелкните на кнопке Synchronize Now (Синхронизировать сейчас). 4. После этого будет загружен обновленный каталог SUS в дополнение ко всем исправлениям безопасности, которые уже существуют на корпоративном сервере SUS. В зависимости от скорости используемого соединения с Internet загрузка может занять значительное время.
Ðèñ. 12.13. Установка параметров синхронизации сервера SUS
Безопасность на серверном уровне Ãëàâà 12
421
НА ЗАМЕТКУ Запланируйте выполнение начальной синхронизации SUS в выходные дни, начиная с вечера пятницы. Учитывая большое количество исправлений, которые придется загрузить, и общую занимаемую при этом пропускную способность соединения с Internet, лучше снизить влияние этой процедуры на работу пользователей.
Óòâåðæäåíèå èñïðàâëåíèé ïðîãðàììíîãî îáåñïå÷åíèÿ â SUS По завершении начальной синхронизации все нужные исправления безопасности будут загружены и готовы для утверждения. Хотя теперь эти файлы физически загружены в метакаталог IIS, они недоступны для загрузки клиентами до тех пор, пока каждое из обновлений не пройдет процесс утверждения. Это позволяет администраторам тщательно протестировать каждое обновление, прежде чем утвердить его для распространения на корпоративные серверы и рабочие станции. Для утверждения потребуется выполнить перечисленные ниже шаги. 1. Откройте Web-страницу администрирования SUS, войдя в Internet Explorer на сервер SUS и перейдя к Web-странице http://localhost/SUSAdmin. 2. Щелкните на ссылке Approve Updates (Утвердить обновления) в левой панели. 3. В списке обновлений установите флажки для тех, которые утверждены для использования в организации, как показано на рис. 12.14, и щелкните на кнопке Approve (Утвердить). 4. В следующем окне VBScript щелкните на кнопке Yes (Да).
Ðèñ. 12.14. Утверждение обновлений
422
Безопасность ×àñòü IV
5. Прочтите выведенное лицензионное соглашение для обновлений безопасности и примите его условия, щелкнув на кнопке Accept (Принять). 6. Обновления будут утверждены, и появится сообщение, показанное на рис. 12.15, которое свидетельствует о завершении этой процедуры.
Ðèñ. 12.15. Завершение утверждения обновлений В зависимости от количества загруженных обновлений для утверждения всех обновлений, возможно, придется выполнить описанные действия несколько раз.
НА ЗАМЕТКУ Для тестирования обновлений удобно сначала загрузить их на клиент с прямым доступом к Web-сайту Windows Update. После того как на тестовом сервере или рабочей станции будет успешно выполнена загрузка и проверена вся функциональность, данное исправление может быть утверждено в SUS для применения на всех остальных клиентах организации.
Àâòîìàòè÷åñêîå êîíôèãóðèðîâàíèå êëèåíòîâ ñ ïîìîùüþ ãðóïïîâûõ ïîëèòèê Как уже упоминалось, клиент автоматического обновления может быть загружен с сайта Microsoft и установлен в управляемых узлах среды либо вручную, либо с помощью автоматизированных средств. Этот клиент входит в состав стандартных пакетов обновлений Service Pack 3 для Windows 2000 и Service Pack 1 для Windows XP. После установки клиента его можно сконфигурировать для указания на сервер SUS, а не на предлагаемый по умолчанию Web-сервер Windows Update. В среде Active Directory конфигурирование всех клиентов может быть упрощено с помощью групповых политик. Контроллеры домена Windows Server 2003 автоматически содержат нужное расширение групповой политики обновления Windows (Windows Update Group Policy), и ее можно определить, выполнив следующие шаги:
Безопасность на серверном уровне Ãëàâà 12
423
1. Откройте оснастку Active Directory Users and Computers (Пользователи и компьютеры Active Directory), выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖActive Directory Users and Computers (Все программыÖАдминистрированиеÖПользователи и компьютеры Active Directory). 2. Щелкните правой кнопкой мыши на организационной единице, к которой нужно применить групповую политику, и выберите в контекстном меню пункт Properties. 3. Перейдите на вкладку Group Policy (Групповая политика). 4. Щелкните на кнопке New (Создать) и введите имя групповой политики. 5. Щелкните на кнопке Edit (Правка), чтобы вызвать редактор объектов групповой политики (Group Policy Object Editor). 6. В окне редактора объектов групповой политики раскройте узел Computer Configuration\Administrative Templates\Windows Components\Windows Update (Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновление Windows), как показано на рис. 12.16.
Ðèñ. 12.16. Конфигурирование параметров групповой политики обновления Windows 7. Дважды щелкните на строке Configure Automatic Updates (Конфигурирование автоматических обновлений). 8. Активизируйте групповую политику и сконфигурируйте нужную последовательность автоматического обновления. Можно выбрать один из трех вариантов — 2, 3 или 4 — которые определяют уровни участия клиента. Чтобы провести простую, не зависящую от клиента установку, выберите вариант 4. 9. Задайте расписание установки обновлений, учитывая, что некоторые обновления требуют выполнения перезагрузки компьютера.
424
Безопасность ×àñòü IV
10. Для определения дополнительных параметров щелкните на кнопке Next Setting (Следующий параметр). 11. Чтобы указать Web-адрес сервера SUS, установите переключатель Enabled (Разрешен). Рекомендуется вводить полностью определенное доменное имя, как на рис. 12.17. Введите оба параметра (обычно это один и тот же сервер) и щелкните на кнопке OK, чтобы сохранить настройки групповой политики.
Ðèñ. 12.17. Указание местоположения сервера SUS с помощью групповой политики 12. Повторите ту же процедуру для всех других организационных единиц (одна и та же групповая политика может использоваться многократно).
НА ЗАМЕТКУ В организациях, не использующих Active Directory и групповые политики, на каждом клиенте придется указывать адрес сервера SUS вручную. Это можно сделать с помощью локальной политики или вручную, изменяя записи системного реестра, как описано в справке SUS.
CОВЕТ Полезным приемом для автоматизации тестирования новых исправлений SUS является развертывание двух серверов SUS и двух наборов групповых политик. Первый сервер SUS работает пилотным сервером SUS, и на нем все обновления утверждаются сразу после их появления. Затем с помощью GPO создаются указания на этот сервер в подмножестве клиентов, на которых исправления устанавливаются немедленно. После проверки исправления на этой пилотной группе можно утвердить исправление на основном сервере SUS и развернуть обновление на машинах остальных пользователей. Эта модель требует дополнительного оборудования, но сглаживает процесс обновления SUS.
Безопасность на серверном уровне Ãëàâà 12
425
Óñòàíîâêà èñïðàâëåíèé áåçîïàñíîñòè ñ ïîìîùüþ SUS В зависимости от настроек, определенных в групповой политике или в системном реестре, управляемые службой SUS клиенты будут в указанное время автоматически загружать и устанавливать обновления. На некоторых компьютерах можно разрешить локальное вмешательство в процесс: задание удобного времени инсталляции и вывод предложения выполнить “просачивание” загрузки. Клиенты, сконфигурированные для использования SUS, не будут получать предложение сконфигурировать свои настройки автоматического обновления и будут отключены для предотвращения каких-либо изменений. Пользователи без локальных административных прав доступа не смогут выполнять какие-либо изменения в своем расписании установки, хотя пользователи с правами локальных администраторов смогут отложить принудительную установку.
НА ЗАМЕТКУ В общем случае управление расписанием загрузок и установок лучше возложить на серверы, и выполнять оба эти процесса, не спрашивая разрешения у клиентов. В зависимости от политической ситуации в организации это может быть как возможно, так и нет.
Ðåçþìå Даже сразу после установки система Windows Server 2003 является самой безопасной на данный момент системой семейства Windows. Повышенное внимание к вопросам безопасности, выразившееся в инициативе Trustworthy Computing, способствует повышению общего уровня безопасности сервера — с помощью отключения по умолчанию ненужных служб и блокирования прав доступа на файловом уровне. В дополнение к стандартным возможностям, дополнительные возможности Windows Server 2003 позволяют администраторам добавлять в серверы несколько уровней безопасности, еще более надежно защищая их от атак и уменьшая их уязвимость. Кроме того, возможности автоматического обновления службой обновления программного обеспечения (Software Update Services) создают для организаций фундамент защиты серверов и рабочих станций от постоянно появляющихся угроз безопасности.
Ïîëåçíûå ñîâåòû •
Физически защищайте серверы, помещая их в помещениях с запирающимися дверями и контролируемым доступом.
•
Обеспечивайте безопасность на нескольких уровнях.
•
Используйте мастер конфигурирования сервера (Configure Your Server — CYS) для активизации ролей сервера и их защиты.
•
При необходимости административного доступа используйте команду Run As (Запуск от имени), а не вход в систему с учетной записью администратора.
•
Выявляйте внутренних (или внешних) злоумышленников прежде, чем им удастся нанести серьезный ущерб, путем создания в сети достоверно выглядящих со-
426
Безопасность ×àñòü IV
вместных сетевых ресурсов, например, “Финансовые соглашения”, “Информация о корневом каталоге” и иже с ними, и аудита обращений к этим папкам. •
Не активизируйте постоянную работу антивирусных сканеров на серверах, которые не являются файловыми серверами. Вместо этого периодически выполняйте сканирование.
•
Планируйте выполнение начальной синхронизации сервера SUS в выходные дни, начав загрузку в пятницу вечером.
•
Тестируйте и утверждайте исправления, загружаемые службой обновления программного обеспечения — либо вручную, либо с помощью пилотного сервера — прежде чем устанавливать их в производственной сети организации.
Áåçîïàñíîñòü íà òðàíñïîðòíîì óðîâíå
 ÝÒÎÉ ÃËÀÂÅ... •
Ââåäåíèå â áåçîïàñíîñòü íà òðàíñïîðòíîì óðîâíå â Windows Server 2003
•
Âèðòóàëüíûå ÷àñòíûå ñåòè
•
Èíôðàñòðóêòóðà îòêðûòûõ êëþ÷åé
•
Ïðîòîêîë çàùèòû äàííûõ â Internet
•
Êîíôèãóðèðîâàíèå ïðîñòîãî ïðîòîêîëà IPSec ìåæäó ñåðâåðàìè â äîìåíå Windows Server 2003
ÃËÀÂÀ
13
428
Безопасность ×àñòü IV
Ââåäåíèå â áåçîïàñíîñòü íà òðàíñïîðòíîì óðîâíå â Windows Server 2003 В прошлом сети представляли собой замкнутые среды, изолированные одна от другой и доступные только во внутренних сегментах. Со временем, когда появилась необходимость обмена информацией между этими сетями, были установлены соединения для передачи данных из одной сети в другую. Однако вначале передача этой информации была незащищенной, и в случае перехвата информация легко могла быть прочитана посторонними. Поэтому необходимость защиты такой информации стала одним из основных приоритетов и жизненно важным компонентом сетевой инфрастуктуры. Со временем была разработана как технология защиты этой информации, так и технология взлома и получения несанкционированного доступа к данным. Несмотря на эту опасность, продуманное проектирование и конфигурирование безопасных транспортных решений с помощью Windows Server 2003 способно существенно повысить безопасность сети. Во многих случаях применение таких решений совершенно обязательно, особенно для данных, которые пересылаются через неконтролируемые сегменты сети наподобие Internet. В этой главе основное внимание уделено существующим механизмам защиты и шифрования информации, пересылаемой между компьютерами сети. Особое внимание уделено новым и усовершенствованным средствам безопасности транспортного уровня в Windows Server 2003. Более подробно рассмотрены и проиллюстрированы возможности IPSec, PKI и VPN. Кроме того, здесь представлены специфические средства — Routing and Remote Access (Маршрутизация и удаленный доступ) и Internet Authentication Server (Сервер аутентификации в Internet).
Íåîáõîäèìîñòü áåçîïàñíîñòè òðàíñïîðòíîãî óðîâíÿ В связи с природой взаимосвязанных сетей вся информация должна пересылаться в формате, доступном для перехвата любым клиентом в каком-либо физическом сегменте сети. Данные должны быть организованы в однотипные структуры, чтобы сервер-адресат мог преобразовать их в соответствующую информацию. Однако эта простота порождает и проблемы безопасности, поскольку перехваченные данные при попадании в чужие руки легко могут быть использованы в неблаговидных целях. Необходимость обеспечения неприменимости информации в случае ее перехвата лежит в основе всех методов шифрования на транспортном уровне. Обе противоборствующие стороны предпринимают значительные усилия: специалисты по безопасности разрабатывают схемы шифрования и маскирования данных, а хакеры и другие специалисты по безопасности разрабатывают способы успешной дешифровки и перехвата данных. К счастью, технология шифрования разработана уже до такой степени, что правильно сконфигурированные среды могут достаточно успешно защитить свои данные при использовании надлежащих средств. Windows Server 2003 предоставляет боль-
Безопасность на транспортном уровне Ãëàâà 13
429
шое количество средств безопасности транспортного уровня, и для надежной защиты важных данных рекомендуется использовать одну или несколько из этих технологий.
Áåçîïàñíîñòü ñ ïîìîùüþ ìíîãîóðîâíåâîé çàùèòû Поскольку даже наиболее защищенные инфраструктуры имеют уязвимые места, рекомендуется применять многоуровневую защиту особо важных сетевых данных. В случае взлома одного уровня защиты взломщику для получения доступа к важным данным придется преодолеть второй или даже третий уровень системы безопасности. Например, сложная, “не поддающаяся взлому” 128-битная схема шифрования оказывается бесполезной, если взломщик просто выведает пароль или PIN-код у законного пользователя с помощью социотехнических приемов. Дополнение системы безопасности вторым или третьим уровнем сделает взлом всех уровней значительно более сложной задачей. Средства безопасности транспортного уровня Windows Server 2003 используют несколько уровней аутентификации, шифрования и авторизации для повышения уровня безопасности сети. Возможности конфигурирования, предоставляемые Windows Server 2003, позволяют установить несколько уровней безопасности транспортного уровня.
НА ЗАМЕТКУ Безопасность с несколькими уровнями защиты — концепция не новая, она заимствована из военной стратегии, которая справедливо утверждает, что несколько линий обороны более эффективны, нежели одна.
Îñíîâû øèôðîâàíèÿ В упрощенной формулировке шифрование (encryption) — это процесс такого искажения осмысленной информации, чтобы она стала бессмысленной для любого, кроме пользователя или компьютера, для которого она предназначена. Если не слишком вникать в нюансы конкретных методов шифрования данных, то важно лишь понять, что правильное шифрование позволяет передавать данные по незащищенным сетям наподобие Internet и преобразовывать их в пригодную для использования форму только в пункте назначения. В случае перехвата пакетов надежно зашифрованной информации они окажутся бесполезными, поскольку информация искажена до неузнаваемости. Все описанные в этой главе механизмы используют ту или иную форму шифрования для защиты содержимого пересылаемых данных.
Âèðòóàëüíûå ÷àñòíûå ñåòè Распространенным методом защиты информации, пересылаемой по незащищенным сетям, является создание виртуальной частной сети (Virtual Private Network — VPN), которая по существу является соединением между двумя частными узлами или сетями, выполняющим защиту и шифрование трафика между двумя сторонами для предотвращения его несанкционированного прослушивания. С точки зрения клиента VPN выглядит вполне обычным соединением между различными сегментами сети — отсюда и термин “виртуальная частная сеть”.
430
Безопасность ×àñòü IV
Пересылаемые по VPN данные инкапсулируются, то есть помещаются в заголовок, который указывает пункт назначения данных. Затем информация в пакете шифруется для защиты его содержимого. После этого зашифрованные пакеты пересылаются по сети серверу назначения с помощью так называемого туннеля VPN.
Òóííåëè VPN Соединение клиентов VPN посредством незащищенной сети называют туннелем VPN. Это название выбрано из-за того, что такое соединение служит “туннелем” под обычным трафиком незащищенной сети. Логически туннели VPN прокладываются “от пункта к пункту”, но могут использоваться и для объединения двух частных сетей в общую сетевую инфраструктуру. Например, зачастую туннель VPN служит виртуальным каналом глобальной сети между двумя физическими узлами в организации при передаче секретной информации по Internet. Туннели VPN широко используются также удаленными пользователями, которые входят в Internet из нескольких мест и устанавливают туннели VPN к централизованному серверу VPN в головном офисе организации. Так что виртуальные частные сети — ценное для организаций средство, и их легко установить с помощью технологий, доступных в Windows Server 2003.
НА ЗАМЕТКУ Туннели VPN могут создаваться добровольно или принудительно. Говоря вкратце, добровольные туннели VPN создаются, когда клиент (как правило, кто-либо в Internet) выдает запрос на создание туннеля. Принудительные туннели VPN автоматически создаются для клиентов, подключающихся из отдельных мест незащищенной сети. В реальных ситуациях принудительные туннели применяются реже, чем добровольные.
Ïðîòîêîëû òóííåëèðîâàíèÿ Протокол туннелирования (tunneling protocol) — это специальная технология, определяющая способ упаковки, передачи и распаковки данных при передаче по VPNсоединению. Существуют различные реализации протоколов туннелирования, которые соответствуют различным уровням эталонной модели, построенной на основе стандартов взаимодействия открытых систем (Open System Interconnection — OSI). Модель OSI состоит из семи уровней, и протоколы туннелирования VPN используют в качестве единицы обмена информацией уровень 2 или уровень 3. Уровень 2, являясь более фундаментальным сетевым уровнем, использует в качестве единицы обмена кадр, а протоколы уровня 3 используют для этого пакет. Наиболее распространенные протоколы VPN уровня 2 — это сквозной протокол туннелирования (Point-to-Point Tunneling Protocol — PPTP) и протокол туннелирования уровня 2 (Layer 2 Tunneling Protocol — L2TP). Оба эти протокола полностью поддерживаются в Windows Server 2003.
Ïðîòîêîëû PPTP è L2TP Оба протокола PPTP и L2TP построены на основе подробно определенного двухточечного протокола (Point-to-Point Protocol — PPP) и поэтому допустимы и широко
Безопасность на транспортном уровне Ãëàâà 13
431
применяются в реализациях VPN. В VPN в средах Windows Server 2003 лучше использовать протокол L2TP, поскольку он объединяет в себе лучшие черты PPTP и технологию переадресации уровня 2 (Layer 2 Forwarding). L2TP допускает упаковку данных в нескольких сетевых протоколах, в том числе IP, и может использоваться для туннелирования данных через Internet. Для экономии пропускной способности сети данные в каждом кадре L2TP могут быть сжаты, а также зашифрованы. Оба протокола — и PPTP, и L2TP — построены на основе набора полезных функций, которые впервые появились в протоколе PPP: аутентификация пользователей, сжатие и шифрование данных и поддержка карт с переменным паролем (token card). Все эти функции, перенесенные в новые реализации, предоставляют обширный набор возможностей VPN.
Ïðîòîêîë áåçîïàñíîñòè L2TP/IPSec В Windows Server 2003 используется дополнительный уровень шифрования и защиты на основе протокола защиты данных в Internet (IP Security — IPSec) — протокола шифрования уровня 3, который в сочетании с протоколом L2TP образует протокол L2TP/IPSec. Протокол IPSec позволяет шифровать заголовок L2TP и заключительную информацию, которая обычно передается открытым текстом. Кроме того, такой подход обеспечивает дополнительное преимущество двойного шифрования полезной информации, добавляя дополнительный уровень безопасности. Протокол L2TP/IPSec обладает рядом существенных преимуществ по сравнению со стандартным протоколом L2TP: •
L2TP/IPSec разрешает аутентификацию данных на уровне пакетов, обеспечивая проверку того, что полезная информация не была изменена во время прохождения по сети, а также обеспечивает конфиденциальность данных, предоставляемую протоколом L2TP.
•
Механизмы двойной аутентификации протокола L2TP/IPSec обусловливают выполнение аутентификации и на уровне компьютера, и на уровне пользователя.
•
Пакеты L2TP, перехваченные во время начальной аутентификации на уровне пользователя, невозможно скопировать для автономной атаки по словарю на ключ L2TP, поскольку протокол IPSec шифрует эту процедуру.
Пакет L2TP/IPSec содержит несколько блоков информации — зашифрованную информацию заголовка и саму полезную информацию — которые располагаются в глубине структуры пакета. Это обеспечивает значительный уровень безопасности самого пакета на транспортном уровне.
Àäìèíèñòðèðîâàíèå âèðòóàëüíûõ ÷àñòíûõ ñåòåé ñ ïîìîùüþ ñåðâåðà ñëóæáû àóòåíòèôèêàöèè Internet Пользователи, которые подключаются к сети по VPN, должны быть аутентифицированы механизмом, хранящим информацию об имени пользователя и пароле в централизованном хранилище. В традиционных решениях VPN используется каталог на сервере удаленной аутентификации пользователя по коммутируемым линиям (Remote
432
Безопасность ×àñòü IV
Authentication Dial-in User Service — RADIUS), который аутентифицирует пользователей на основе их имен пользователей и паролей удаленного доступа. Однако часто эти учетные записи пользователей не совпадали с пользовательскими записями в домене, и администрирование этих обеих сред усложнялось из-за необходимости управления несколькими паролями и учетными записями пользователей. Windows Server 2003 упрощает процесс аутентификации в VPN с помощью службы аутентификации в Internet (Internet Authentication Service — IAS), установленной на сервере Windows Server 2003 и выполняющей RADIUS-аутентификацию пользователей с использованием имен пользователей и паролей из доменов Active Directory. Службу IAS можно установить и сконфигурировать на сервере Windows Server 2003, выполнив перечисленные ниже шаги. 1. Выберите в меню Start (Пуск) пункт Control PanelÖAdd or Remove Programs (Панель управленияÖУстановка и удаление программ). 2. Щелкните на пиктограмме Add/Remove Windows Components (Установка и удаление компонентов Windows). 3. Выберите компонент Networking Services (Сетевые службы), не устанавливая флажок, и щелкните на кнопке Details (Состав). 4. Установите флажок Internet Authentication Service (Служба аутентификации в Internet), как показано на рис. 13.1, и щелкните на кнопке OK.
Ðèñ. 13.1. Установка службы IAS 5. Для запуска установки щелкните на кнопке Next (Далее). 6. В окне завершения установки щелкните на кнопке Finish (Готово). В зависимости от административных полномочий, использованных при инсталляции, после установки IAS может потребоваться ее регистрация в Active Directory, если она будет использоваться для аутентификации пользователей AD при доступе по VPN или по наборному соединению. Для этого необходимо выполнить следующие шаги: 1. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖInternet Authentication Service (Все программыÖАдминистрированиеÖСлужба аутентификации в Internet).
Безопасность на транспортном уровне Ãëàâà 13
433
2. Щелкните правой кнопкой мыши на строке Internet Authentication Service (Local) (Служба аутентификации в Internet (локально)) и выберите в контекстном меню пункт Register Server in Active Directory (Регистрация сервера в Active Directory).
НА ЗАМЕТКУ Чтобы пункт регистрации сервера в Active Directory отображался в меню, требуется иметь принадлежность к данному домену. Если сервер не является членом домена, эта опция будет неактивна.
3. Если служба IAS уже зарегистрирована в Active Directory, появится сообщение об этом. Иначе отобразится диалоговое окно с сообщением об успешной регистрации IAS в Active Directory.
Ñîçäàíèå VPN ñ ïîìîùüþ ñëóæáû ìàðøðóòèçàöèè è óäàëåííîãî äîñòóïà Сервер маршрутизации и удаленного доступа (Routing and Remote Access Server — RRAS), доступный для установки в Windows Server 2003, дополняет серверы функциональностью VPN с помощью аутентификации L2TP/IPSec и PPTP. Серверы RRAS можно устанавливать для обслуживания одного или обоих концов обмена по VPN и для совместной работы со службой IAS для аутентификации пользователей VPN. Служба RRAS дополняет Windows Server 2003 такими важными возможностями, как поддержка балансировки сетевой нагрузки (Network Load Balance — NLB) и повышение производительности. Кроме того, она содержит интегрированный компонент брандмауэра подключений к Internet (Internet Connection Firewall — ICF). На компьютере Windows Server 2003 сервер RRAS можно установить с помощью мастера конфигурирования сервера (Configure Your Server Wizard — CYS), выполнив следующие шаги: 1. Откройте мастер конфигурирования сервера, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖConfigure Your Server Wizard (Все программыÖ АдминистрированиеÖМастер конфигурирования сервера). 2. На экране приветствия мастера щелкните на кнопке Next. 3. В окне Preliminary Steps (Предварительные действия) щелкните на кнопке Next. После этого мастер CYS проверит сетевые настройки сервера. 4. Выберите роль Remote Access/VPN Server (Сервер удаленного доступа/VPN), как показано на рис. 13.2, и щелкните на кнопке Next. 5. На экране Summary (Сводка) щелкните на кнопке Next. После этого мастер установит компонент и автоматически вызовет мастер RRAS Setup Wizard (Мастер установки RRAS). 6. На экране приветствия мастера установки RRAS щелкните на кнопке Next. 7. Следующая страница очень важна, поскольку позволяет определить конкретные возможности RRAS. Сервер может быть установлен для VPN удаленного доступа или для VPN с доступом посредством трансляции сетевых адресов (Network Address Translation — NAT). Кроме того, сервер может быть установ-
434
Безопасность ×àñòü IV
лен в качестве одного конца VPN, соединяющей две частные сети. И, наконец, можно выбрать пользовательскую конфигурацию, как показано на рис. 13.3. В нашем примере выберите вариант Remote Access (Удаленный доступ) и щелкните на кнопке Next. 8. В следующем окне установите флажок VPN и щелкните на кнопке Next.
НА ЗАМЕТКУ Если в создаваемом для VPN сервере не установлено два сетевых адаптера, мастер предложит выбрать пользовательский вариант конфигурации, в котором можно сконфигурировать один сетевой адаптер.
Ðèñ. 13.2. Установка компонента RRAS
Ðèñ. 13.3. Выбор параметров RRAS
Безопасность на транспортном уровне Ãëàâà 13
435
9. В заключительном окне щелкните на кнопке Finish, чтобы завершить конфигурирование RRAS. 10. Заключительное окно будет содержать сообщение о том, что сервер RRAS установлен, и запрос о необходимости запуска службы. Щелкните на кнопке Yes (Да), чтобы запустить службу и завершить процесс установки, а затем на кнопке Finish, чтобы закрыть мастер CYS. Сервер RRAS — основа для реализации описанных в данной главе вариантов VPN, и его можно использовать для обеспечения любых перечисленных здесь вариантов.
Èíôðàñòðóêòóðà îòêðûòûõ êëþ÷åé Термин инфраструктура открытых ключей (Public Key Infrastructure — PKI) употребляется везде и вовсю, но нечасто сопровождается подробным объяснением. Если говорить кратко, инфраструктура открытых ключей — это совокупность цифровых сертификатов, бюро регистрации и центров сертификации, которые проверяют подлинность каждого участника обмена зашифрованными сообщениями. По существу, сама по себе инфраструктура открытых ключей — просто концепция, которая определяет механизмы подтверждения, что пользователь, сообщающийся по сети с другим пользователем или компьютером, является тем, за кого он себя выдает. Реализации PKI широко распространены и становятся исключительно важным компонентом современных реализаций сетей. Как описано в последующих разделах, Windows Server 2003 полностью поддерживает развертывание нескольких конфигураций PKI. Реализации PKI могут быть как простыми, так и сложными, а некоторые применяют массивы смарт-карт и сертификаты для проверки подлинности всех пользователей с высокой степенью достоверности. Поэтому каждая организация должна разобраться в возможностях PKI и выбрать нужную реализацию.
Ñðàâíåíèå øèôðîâàíèÿ ñåêðåòíûì êëþ÷îì è øèôðîâàíèÿ îòêðûòûì êëþ÷îì Технологии шифрования можно разделить на симметричные и асимметричные. Симметричное шифрование требует, чтобы каждая сторона схемы шифрования владела копией секретного ключа (private key), используемого для шифрования и дешифровки информации, пересылаемой между сторонами. Проблема с шифрованием секретным ключом состоит в том, что секретный ключ нужно как-то передать второй стороне, чтобы он не был перехвачен и использован для дешифровки информации. Шифрование открытым ключом (public key), или асимметричное шифрование, использует комбинацию двух ключей, которые математически связаны друг с другом. Первый ключ, являющий секретным ключом, хранится в строгой тайне и используется для дешифровки информации. Второй, открытый ключ может использоваться для шифрования информации. Целостность открытого ключа обеспечивается сертификатами, которые подробно описаны в последующих разделах этой главы. Асимметричный подход к шифрованию гарантирует, что секретный ключ не попадет в чужие руки, и только законный получатель сможет дешифровать данные.
436
Безопасность ×àñòü IV
Ñåðòèôèêàòû Сертификат (certificate) представляет собой цифровой документ, который выдается доверяемым центром и используется им для подтверждения подлинности пользователя. Доверяемые центры сертификации наподобие VeriSign широко используются в Internet, чтобы, например, подтвердить, что программное обеспечение Microsoft действительно разработано компанией Microsoft, а не служит маскировкой какого-либо вируса. Сертификаты применяются для выполнения нескольких функций, которые перечислены ниже. •
Защита электронной почты.
•
Аутентификация в Web.
•
Защита данных в Internet (IPSec).
•
Подписание кода.
•
Создание иерархий сертификации.
Сертификаты подписываются с помощью информации из открытого ключа субъекта и идентификационной информации — имя, адрес электронной почты и тому подобные сведения, — а также цифровой подписи организации, выпустившей сертификат, которая называется центром сертификации (Certificate Authority — CA).
Ñëóæáû ñåðòèôèêàöèè â Windows Server 2003 Windows Server 2003 содержит встроенный центр сертификации, называемый службой сертификации (Certificate Services). Служба сертификации может использоваться для создания сертификатов и последующего управления ими и отвечает за обеспечение их подлинности. Зачастую служба сертификации в Windows Server 2003 используется без особой необходимости проверки сертификатов организации какойлибо независимой стороной. Поэтому часто применяется развертывание самостоятельного CA для шифрования сетевого трафика, если сертификаты требуются только для участников внутри организации. Службу сертификации Server 2003 можно установить в виде центра сертификации одного из следующих типов: •
Головной центр сертификации предприятия. Головной CA предприятия является наиболее доверяемым CA в организации и должен быть установлен раньше всех остальных CA. Все остальные CA являются подчиненными по отношению к головному CA предприятия.
•
Подчиненный центр сертификации предприятия. Подчиненный CA предприятия должен получить сертификат от головного CA предприятия, но после этого может выдавать сертификаты всем пользователям и компьютерам предприятия. Часто CA этого типа используются для снятия части нагрузки с головного CA предприятия.
•
Самостоятельный головной центр сертификации. Самостоятельный головной CA служит вершиной иерархии, не связанной с информацией домена предприятия. В специальных случаях можно создать несколько самостоятельных CA.
Безопасность на транспортном уровне Ãëàâà 13 •
437
Самостоятельный подчиненный центр сертификации. Самостоятельные подчиненные CA получают свои сертификаты от самостоятельного головного CA, и затем могут использоваться для распространения сертификатов пользователям и компьютерам, связанным с этим самостоятельным CA.
Для установки службы сертификации в Windows Server 2003 выполните перечисленные ниже шаги. 1. Выберите в меню Start пункт Control PanelÖAdd or Remove Programs. 2. Щелкните на пиктограмме Add/Remove Windows Components. 3. Установите флажок Certificate Services (Служба сертификации). 4. Откроется окно (рис. 13.4) с предупреждением, что после установки службы сертификации имя компьютера и имя домена не смогут быть изменены. Щелкните на кнопке Yes (Да).
Ðèñ. 13.4. Предупреждение службы CA 5. Щелкните на кнопке Next. 6. Следующий экран, показанный на рис. 13.5, позволяет создать требуемый тип CA. Различные типы CA, которые можно установить, описаны в приведенном выше списке. В нашем примере выберите вариант Enterprise Root CA (Головной CA предприятия) и щелкните на кнопке Next.
Ðèñ. 13.5. Выбор типа устанавливаемого сервера CA
438
Безопасность ×àñòü IV
7. Введите осмысленное название CA — например, Головной CA предприятия CompanyABC. 8. Введите срок действия полномочий центра сертификации и щелкните на кнопке Next. После этого будет создан криптографический ключ. 9. Введите каталог размещения базы данных сертификатов и журналов базы данных. Этот каталог должен быть защищенным во избежание несанкционированной подделки сертификатов. Щелкните на кнопке Next. После этого программа установки установит компоненты CA. 10. Если служба IIS не установлена, появится показанное на рис. 13.6 сообщение о том, что выдача сертификатов для использования в Web будет запрещена до тех пор, пока не будет установлена IIS. Если это окно появилось, щелкните в нем на кнопке Next. 11. По окончании установки щелкните на кнопке Finish.
Ðèñ. 13.6. Предупреждение об отсутствии IIS во время выполнения установки CA
Ñìàðò-êàðòû â èíôðàñòðóêòóðå îòêðûòûõ êëþ÷åé Надежным решением инфраструктуры открытых ключей может быть аутентификация пользователей с помощью смарт-карт. Смарт-карты — это пластиковые карточки со встроенным в них микрочипом. Этот чип позволяет хранить на каждой карточке уникальную информацию. Смарт-карта может содержать информацию входной регистрации пользователя, а также сертификаты, выданные сервером CA. Когда пользователю нужно войти в систему, он вставляет карточку в специальное считывающее устройство или просто проводит по нему карточкой. Устройство считывает сертификат и предлагает пользователю ввести только уникальный PIN-код, присвоенный каждому пользователю. После проверки PIN-кода и сертификата пользователь может войти в домен. Смарт-карты обладают очевидными преимуществами по сравнению со стандартными формами аутентификации. При их использовании невозможно просто похитить или угадать чье-то имя пользователя и пароль, поскольку имя пользователя можно ввести только с помощью уникальной смарт-карты. Если смарт-карта похищена или утеряна, ее можно тут же деактивизировать, а сертификат отозвать. Даже если функционирующая карточка попадет в чужие руки, для доступа к системе нужен еще и PIN-код. Смарт-карты быстро становятся все более распространенным способом сочетания защиты, предоставляемой сертификатами и PKI.
Безопасность на транспортном уровне Ãëàâà 13
439
Øèôðîâàííàÿ ôàéëîâàÿ ñèñòåìà Точно так же, как на транспортном уровне информация может быть зашифрована с помощью сертификатов и инфраструктуры открытых ключей, в Windows Server 2003 можно зашифровать файловую систему NTFS для предотвращения несанкционированного доступа. Шифрованная файловая система (Encrypting File System — EFS) Windows Server 2003 расширяет возможности модели EFS Windows 2000, позволяя хранить наборы шифрования в автономных папках на сервере. Эта модель особенно удобна для пользователей ноутбуков, которые разъезжают с секретной информацией. В случае похищения ноутбука или его жесткого диска информация, хранящаяся в файлах, оказывается бесполезной, поскольку она искажена до неузнаваемости и может быть расшифрована только с помощью соответствующего ключа. Поэтому модель EFS — важная часть в реализациях инфраструктуры открытых ключей.
Èíòåãðàöèÿ PKI ñ çîíàìè Kerberos Компонент Active Directory Windows Server 2003 может использовать инфраструктуру PKI, в которой используются отношения доверия между зонами (realm) Kerberos и Active Directory. Инфраструктура PKI служит механизмом идентификации для запросов на установление безопасных доверительных отношений между различными зонами, которые могут быть созданы в Active Directory.
Ïðîòîêîë çàùèòû äàííûõ â Internet Протокол защиты данных в Internet (IP Security — IPSec), уже упоминавшийся в предшествующих разделах, представляет собой механизм для оперативного шифрования всех пакетов, пересылаемых между компьютерами. IPSec действует на уровне 3 модели OSI и, значит, для передачи всего трафика между членами процесса использует пакеты. Протокол IPSec часто считают одним из лучших способов защиты генерируемого в среде трафика: он удобен для защиты серверов и рабочих станций как в случаях небезопасного доступа к Internet, так и в конфигурациях частных сетей для создания дополнительного уровня безопасности.
Ïðèíöèï ðàáîòû IPSec Основной принцип IPSec таков: весь трафик между клиентами — инициируемый приложениями, операционной системой, службами и прочими элементами — полностью шифруется протоколом IPSec, который затем вставляет в каждый пакет свой заголовок и отправляет пакеты серверу назначения для дешифровки. Поскольку все фрагменты данных зашифрованы, это препятствует электронному прослушиванию сети для получения несанкционированного доступа к данным. Возможно несколько функциональных реализаций IPSec. Некоторые из наиболее перспективных решений встроены непосредственно в сетевые интерфейсные платы (NIC) каждого компьютера, что позволяет выполнять шифрование и дешифровку без какого-либо участия операционной системы. Кроме этих вариантов, Windows Server 2003 по умолчанию содержит надежную реализацию IPSec, которую можно сконфигури-
440
Безопасность ×àñòü IV
ровать для применения аутентификации с помощью сертификатов PKI или встроенной аутентификации Kerberos, предоставляемой Active Directory Windows Server 2003.
Îñíîâíûå âîçìîæíîñòè IPSec IPSec в Windows Server 2003 предоставляет следующие возможности, которые при их сочетании дают наиболее надежные решения шифрования для клиент-серверных систем: •
Конфиденциальность данных. Вся информация, пересылаемая с одного IPSecкомпьютера на другой, полностью шифруется с помощью таких алгоритмов, как 3DES, что эффективно препятствует несанкционированному просмотру секретных данных.
•
Целостность данных. Целостность пакетов IPSec обеспечивается с помощью заголовков ESP, которые позволяют проверить, что информация, содержащаяся внутри пакета IPSec, не была подменена.
•
Возможность предотвращения повторной передачи. IPSec препятствует повторной передаче потоков перехваченных пакетов — то есть атаке имитацией повторной передачи — блокируя получение несанкционированного доступа к системе путем имитации ответа законного пользователя на запросы сервера.
•
Проверка аутентичности каждого пакета. IPSec использует сертификаты или аутентификацию Kerberos для проверки того, что отправителем пакета IPSec действительно является законный пользователь.
•
NAT Traversal. Теперь реализация IPSec в Windows Server 2003 допускает маршрутизацию пакетов IPSec через существующие реализации трансляции сетевых адресов (Network Address Translation — NAT). Подробнее эта концепция будет рассмотрена в последующих разделах.
•
Поддержка 2048-битного ключа Диффи-Хеллмана. Реализация IPSec в Windows Server 2003 поддерживает применение практически недоступных для взлома 2048-битных ключей, что, по сути дела, обеспечивает невозможность взлома ключа IPSec.
NAT Traversal â IPSec Как уже было сказано, теперь IPSec Windows Server 2003 поддерживает концепцию прохождения с трансляцией сетевых адресов (Network Address Translation Traversal — NAT Traversal или NAT-T). Чтобы понять, как работает NAT-T, вначале следует разобраться, для чего необходима сама трансляция сетевых адресов. Трансляция сетевых адресов (Network Address Translation — NAT) была разработана по той простой причине, что в Internet не хватало IP-адресов для всех клиентов. Поэтому были определены частные IP-диапазоны (10.x.x.x, 192.168.x.x и так далее), чтобы всем клиентам в данной организации можно было присваивать уникальный IPадрес в собственном частном адресном пространстве. Эти IP-адреса не предназначены для маршрутизации через пространство общедоступных IP-адресов, и для их преобразования в действующий уникальный общедоступный IP-адрес требовался специальный механизм.
Безопасность на транспортном уровне Ãëàâà 13
441
В качестве этого механизма была разработана технология NAT. Обычно эта функция выполняется в серверах брандмауэров или маршрутизаторах, обеспечивая трансляцию сетевых адресов между частными и общедоступными сетями. Сервер RRAS Windows Server 2003 также предоставляет возможности NAT. Поскольку в структуре пакета IPSec адреса NAT невозможны, раньше серверы NAT просто отсекали трафик IPSec, поскольку не существовало способа физической маршрутизации информации в соответствующий пункт назначения. Это и было основным барьером на пути повсеместного распространения IPSec, поскольку в настоящее время адресация многих клиентов в Internet выполняется посредством NAT. Новая возможность в реализации IPSec в Windows Server 2003 — NAT Traversal — это стандарт Internet, совместно разработанный компаниями Microsoft и Cisco Systems. NAT-T осуществляется посредством определения, требуется ли прохождение сети NAT, и последующей инкапсуляции всего пакета IPSec в пакет UDP с обычным заголовком UDP. NAT беспрепятственно выполняет обработку пакетов UDP, а затем они пересылаются по соответствующему адресу на другой конец NAT. Для успешной работы NAT Traversal требуется, чтобы оба участника IPSecтранзакции поддерживали этот протокол и могли правильно извлекать пакет IPSec из пакета UDP. С появлением последних версий клиента и сервера IPSec NAT Traversal становится реальностью и создает предпосылки значительно более успешного применения технологии IPSec, чем в настоящее время.
НА ЗАМЕТКУ Технология NAT-T была разработана для сохранения существующих технологий NAT без изменений. Однако в некоторых реализациях NAT были предприняты попытки своего преобразования пакетов IPSec без применения NAT-T. Однако при использовании NAT-T, возможно, будет лучше отключить эту функцию, поскольку она может вступить в противоречие с IPSec, так как и NAT-T, и брандмауэр NAT будут пытаться преодолеть барьер NAT.
Êîíôèãóðèðîâàíèå ïðîñòîãî ïðîòîêîëà IPSec ìåæäó ñåðâåðàìè â äîìåíå Windows Server 2003 IPSec встроен в компьютеры Windows Server 2003, а также доступен для клиентов. На самом деле основные возможности IPSec могут быть легко установлены в среде с выполняющейся Active Directory Windows Server 2003, поскольку IPSec вместо сертификатов может использовать возможности аутентификации Kerberos. Установка и конфигурирование IPSec между серверами и рабочими станциями — достаточно простой процесс, и его следует рассматривать в качестве способа дополнительного повышения безопасности в данной среде. Описанная в последующих разделах процедура иллюстрирует создание простой политики IPSec между Web-сервером и клиентом в сети. В этом примере Web-сервер имеет имя SERVER7, а клиент — CLIENT2.
442
Безопасность ×àñòü IV
Ïðîñìîòð ìîíèòîðà áåçîïàñíîñòè IPSec Чтобы просмотреть текущее состояние любых политик IPSec, в том числе и тех, которые будут созданы в этой процедуре, необходимо на сервере SERVER7 открыть оснастку IPSec Security Monitor (Монитор безопасности IPSec) консоли MMC. Эту оснастку можно установить и сконфигурировать, выполнив следующие шаги: 1. Выберите в меню Start пункт Run (Выполнить) и в диалоговом окне Run (Запуск программы) введите команду mmc. Затем щелкните на кнопке OK. 2. В интерфейсе консоли MMC выберите в меню File (Файл) пункт Add/Remove Snap-in (Добавить/удалить оснастку). 3. Для установки оснастки щелкните на кнопке Add (Добавить). 4. Найдите и выберите элемент IP Security Monitor (Монитор безопасности IP), потом щелкните на кнопке Add, а затем — на кнопке Close (Закрыть). 5. Теперь в диалоговом окне, показанном на рис. 13.7, должна отображаться оснастка IP Security Monitor консоли MMC. Щелкните на кнопке OK.
Ðèñ. 13.7. Добавление оснастки IP Security Monitor консоли MMC 6. В интерфейсе MMC раскройте узел Console Root \ IP Security Monitor \ SERVER7 (Корень консоли\Монитор безопасности IP\SERVER7). 7. Щелкните правой кнопкой мыши на строке SERVER7 и выберите в контекстном меню пункт Properties (Свойства). 8. Измените параметр автоматического обновления с 45 секунд на 5 секунд или меньше, после чего щелкните на кнопке OK. Теперь оснасткой IP Security Monitor консоли MMC можно пользоваться для просмотра данных IPSec.
Безопасность на транспортном уровне Ãëàâà 13
443
Îïðåäåëåíèå ïîëèòèêè IPSec íà ñåðâåðå Стандартные политики IPSec активны на сервере Windows Server 2003 и в новых клиентах. Для получения доступа к этим настройкам выполните на сервере SERVER7 описанную ниже процедуру. 1. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖLocal Security Policy (Все программыÖАдминистрированиеÖЛокальная политика безопасности). 2. Найдите узел Security Settings\IP Security Policies on Local Computer (Параметры безопасности\Политики безопасности IP на локальном компьютере). 3. В панели сведений щелкните правой кнопкой мыши на элементе Server (Request Security) (Сервер (Запрос безопасности)) и выберите пункт Assign (Назначить). Для установки различных степеней безопасности IPSec доступны три следующих стандартных политики IPSec: •
Server (Request Security) (Сервер (Запрос безопасности)). При выборе этой опции сервер предлагает, но не требует, передачу информации по протоколу IPSec. Эта опция позволяет серверу обмениваться информацией с клиентами, которые не поддерживают протокол IPSec. Ее рекомендуется применять в организациях, в которых предъявляются менее жесткие требования к безопасности, или в которых реализация IPSec начата, но не завершена. Данная опция может служить временным решением до тех пор, пока все рабочие станции не будут сконфигурированы для применения протокола IPSec. Она предоставляет некоторые повышенные возможности безопасности IPSec, но не требует, чтобы весь обмен данными осуществлялся с применением IPSec.
•
Client (Respond only) (Клиент (Только ответ)). Эта опция позволяет сконфигурировать компьютер для ответа на запросы о передаче данных по протоколу IPSec.
•
Secure Server (Require Security) (Защищенный сервер (Требуется безопасность)). Эта опция обеспечивает наибольшую безопасность. Она требует, чтобы весь сетевой трафик шифровался с помощью IPSec. Эта политика блокирует другие типы служб, которые не поддерживают IPSec, и поэтому ее следует применять только в том случае, если в организации разработан и полностью введен в действие план применения IPSec.
Îïðåäåëåíèå ïîëèòèêè IPSec íà êëèåíòå Клиент CLIENT2 нужно также сконфигурировать со стандартной политикой IPSec, подобно определению политики сервера в предыдущем разделе. Чтобы сконфигурировать клиент на компьютере Windows XP, выполните перечисленные ниже шаги. 1. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖLocal Security Policy (Все программыÖАдминистрированиеÖЛокальная политика безопасности). Для этого на панели задач должен быть доступен пункт Administrative Tools (Администрирование).
444
Безопасность ×àñòü IV
2. Найдите узел Security Settings \ IP Security Policies on Local Computer (Параметры безопасности\Политики безопасности IP на локальном компьютере). 3. Щелкните правой кнопкой мыши на элементе Client (Respond Only) (Клиент (Только ответ)) и выберите пункт Assign (Назначить), как показано на рис. 13.8.
Ðèñ. 13.8. Создание политики клиента IPSec
Ïðîâåðêà ôóíêöèîíèðîâàíèÿ IPSec â ïðîãðàììå ïðîñìîòðà ñîáûòèé После активизации политик IPSec и в клиенте CLIENT2, и на сервере SERVER7 можно выполнять обмен данными по протоколу IPSec. Для проверки обмена нужно выполнить либо опрос сервера с компьютера клиента, либо какие-либо другие сетевые тесты, например, обратиться к Web-странице или общедоступным файлам на сервере SERVER7. Просмотр информации в мониторе безопасности IP (рис. 13.9), который был установлен в среду консоли MMC сервера SERVER7, показывает, что трафик IPSec инициализирован и регистрируется в журнале. В дополнение к использованию монитора безопасности IP для регистрации сведений о трафике IPSec, для просмотра событий IPSec на сервере SERVER7 можно использовать журнал безопасности в программе просмотра событий. Установите фильтр только для событий с идентификатором Event ID 541, который сообщает об успешном обмене данными по протоколу IPSec, как показано на рис. 13.10. Эти стандартные политики IPSec удобны для быстрого установления обмена данными между клиентами в сети, однако область их применения ограничена. Для надежной защиты всей среды с помощью специальных политик IPSec требуется правильное планирование реализации IPSec во всем предприятии.
Безопасность на транспортном уровне Ãëàâà 13
445
Ðèñ. 13.9. Просмотр журнала монитора безопасности IP
Ðèñ. 13.10. Просмотр записи журнала событий IPSec
Ðåçþìå В современных взаимосвязанных сетях безопасность транспортного уровня является важным, если только не одним из главных, фактором обеспечения безопасности в любой организации. Защита коммуникаций между пользователями и компьютерами в сети — очень важное условие, а в некоторых случаях оно требуется законом. Система
446
Безопасность ×àñòü IV
Windows Server 2003 построена на надежном фундаменте системы безопасности Windows 2000 и включает в себя поддержку таких механизмов безопасности транспортного уровня, как VPN, IPSec и инфраструктуры на основе сертификатов PKI. Правильное конфигурирование и применение этих средств может эффективно защитить передачу данных в организации и обеспечить их использование только теми, для кого эти данные предназначены.
Ïîëåçíûå ñîâåòû •
Для защиты сетевой среды используйте одну или несколько доступных технологий безопасности транспортного уровня.
•
Поскольку даже самые надежные инфраструктуры имеют уязвимые места, рекомендуется создать несколько уровней безопасности для особо важных сетевых данных.
•
В Windows Server 2003 совместно с VPN лучше использовать протокол L2TP, поскольку он обеспечивает инкапсуляцию данных нескольких сетевых протоколов.
•
Используйте технологию IPSec для защиты сгенерированного в данной среде трафика и для защиты серверов и рабочих станций как в случаях небезопасного доступа к Internet, так и в конфигурациях частных сетей.
Ïàñïîðòà â Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Ïðåèìóùåñòâà ïðèìåíåíèÿ ïàñïîðòîâ .NET
•
Óñòàíîâêà è êîíôèãóðèðîâàíèå ïàñïîðòîâ .NET
•
Ðàáîòà ñ ó÷åòíûìè çàïèñÿìè .NET Passport
•
Èñïîëüçîâàíèå ïàñïîðòîâ ñ Web-ïðèëîæåíèÿìè
•
Ïàñïîðòà .NET è ìîáèëüíûå óñòðîéñòâà
•
Äîïîëíèòåëüíûå óðîâíè áåçîïàñíîñòè
•
Ïîëèòèêè .NET Passport
•
Äðóãèå ïàñïîðòíûå ñëóæáû
•
Ëèöåíçèðîâàíèå ïàñïîðòîâ
ÃËÀÂÀ
14
448
Безопасность ×àñòü IV
Достаточно посетить лишь несколько Web-сайтов, чтобы обратить внимание на возможность применения паспортов .NET. Паспорта .NET позволяют организациям обслуживать по сети отдельных пользователей, группы и даже целые компании, предоставляя им управляемую событиями информацию или сохраняя другую персонифицированную информацию. После создания пользователем учетной записи паспорта .NET ему достаточно запомнить только имя своего паспорта .NET (например, адрес электронной почты) и пароль, чтобы получить доступ ко многим, в том числе и коммерческим, Web-сайтам, поддерживающим службу .NET Passport. Эта функция предоставляет пользователям возможность выполнения единой регистрации (Single Sign-In — SSI) для получения доступа ко многим Web-сайтам, но ее можно применять также к intranet-сетям организаций, системам Web-почты и тому подобным элементам. Паспорта .NET защищены шифрованием и жесткими политиками конфиденциальности. Поэтому пользователи могут разрешать пересылку части или всей этой информации на определенный Web-сайт. Например, пользователь входит в Web-сайт с использованием своего паспорта .NET, в затем разрешает предоставление дополнительной информации, поскольку этот Web-сайт является сайтом электронной коммерции, которому пользователь доверяет. Опция SSI службы .NET Passport позволяет организациям предоставлять клиентам простой и безопасный способ входа в Web-сайт и выполнения в нем транзакций. Компания Microsoft разработала также .NET Passport for Kids (Детский паспорт .NET), что облегчает соблюдение Web-сайтом стандартов закона о сохранении тайны личности детей при работе в сети (Children’s Online Privacy Protection Act — COPPA). В соответствии с COPPA операторы сетевых служб или Web-сайтов должны получить согласие родителей, прежде чем приступить к сбору, использованию, разглашению или отображению конфиденциальной информации о детях.
Ïðåèìóùåñòâà ïðèìåíåíèÿ ïàñïîðòîâ .NET Применение паспортов на своем сайте или для персональных учетных записей предоставляет множество преимуществ. Паспорт .NET предназначен для использования как клиентами, так и организациями, и удобен, в частности, по следующим причинам: •
Паспорт .NET предоставляет более удобную и оперативную службу аутентификации.
•
Функция единой регистрации SSI избавляет пользователей от необходимости запоминать различные пользовательские имена и пароли для различных посещаемых ими сайтов.
•
Паспорт .NET позволяет пользователям легко подключаться к сайтам с различных устройств, в том числе и с мобильных телефонов и карманных ПК.
•
Паспорт .NET позволяет организациям легко распознавать клиентов и учитывать их персональные предпочтения.
•
Паспорт .NET универсален, что позволяет применять его к различным методам доступа, в том числе в Active Directory и в таких Web-приложениях, как Outlook Web Access (OWA).
Паспорта в Windows Server 2003 Ãëàâà 14 •
449
Те организации, которым требуются более жесткие меры безопасности, могут воспользоваться вторым уровнем защиты (например, наряду с паролем — PINкод — четырехзначный персональный идентификационный номер). В этом случае PIN-код не должен храниться на локальном компьютере или в организации, предоставляющей службу .NET Passport.
Óñòàíîâêà è êîíôèãóðèðîâàíèå ïàñïîðòîâ .NET Служба .NET Passport — одна из многочисленных служб .NET, предоставляемых компанией Microsoft. Как и любую службу, которую нужно добавить в существующую инфраструктуру, ее следует тщательно протестировать в лабораторных условиях, прежде чем внедрять в производственной среде. Поскольку паспорта .NET содержат информацию о пользователях, в целях сохранения секретности и конфиденциальности эта информация должна быть защищена. Поэтому, прежде чем использовать службу .NET Passport, потребуется выполнить ряд предварительных условий Microsoft, обеспечивающих законность паспортов в Internet. Прежде чем реализовать в сайте паспорта .NET, необходимо выполнить следующие действия: •
Создайте учетную запись паспорта на Web-сайте .NET Passport компании Microsoft (http://www.passport.com).
•
Ознакомьтесь и подтвердите свое согласие с политикой конфиденциальности (Privacy Policy) .NET Passport (http://www.passport.net/Consumer/PrivacyPolicy.asp) и положением о политике (Statement of Policy) Microsoft (http://www.microsoft.com/ info.privacy.htm). Если планируется применять службу .NET Passport for Kids (Детский паспорт .NET), важно также ознакомиться и принять положение о конфиденциальности при использовании детских паспортов .NET (.NET Passport Kids Privacy Statement) (http://www.passport.net/Consumer/ KidsPrivacyPolicy.asp?lc=1033).
•
Чтобы приступить к тестированию службы .NET Passport на своем сайте, получите тестовый идентификатор (Preproduction ID, PREP). Как уже говорилось, прежде чем поместить эту службу в промышленную среду, необходимо протестировать ее в лабораторных условиях. При разработке Web-сайта со службой .NET Passport в тестовой среде (и в реальной производственной среде) необходимо представить свою политику обеспечения конфиденциальности. Эта политика должна соответствовать политикам компании Microsoft. Прежде чем сайт начнет использовать .NET Passport, необходимо подписать контракт.
•
•
После того как сайт выпустит свой идентификатор сайта (Site ID), ему высылается ключ шифрования. Этот ключ известен только данному сайту и системе .NET Passport (то есть серверу входной регистрации). Это позволяет выполнять аутентификацию пользователей и, что не менее важно, позволяет сайту получать идентификационную информацию.
450
Безопасность ×àñòü IV
ВНИМАНИЕ! В некоторых, хотя и редких, случаях обновление .NET Passport Development Kit (SDK) версии 2.1 до версии Windows Server 2003 может ухудшить функциональные возможности службы .NET Passport. Для минимизации любых возможных отрицательных последствий модернизации службу IIS следует выполнять в режиме 6.0, а не в режиме совместимости с версией 5.0. При возможности лучше выполнить чистую установку .NET Passport версии Windows Server 2003.
Ïîëó÷åíèå òåñòîâîãî èäåíòèôèêàòîðà PREP ID Тестовый идентификатор позволяет организациям использовать службу .NET Passport на тестовом сайте, прежде чем отправлять ее в эксплуатацию. Без тестового идентификатора сайты не смогли бы проводить аутентификацию посредством паспортов .NET. Этот идентификатор предназначен только для тестирования, а чтобы сайт мог использовать .NET Passport в производственном режиме, требуется реальный идентификатор сайта (Site ID). Для получения тестового идентификатора зайдите на Web-сайт диспетчера служб .NET (.NET Services Manager) компании Microsoft (https:/www.netservicesmanager.com), как показано на рис. 14.1.
Ðèñ. 14.1. Web-сайт диспетчера служб .NET На этом этапе имеется возможность: •
Создавать приложения .NET Passport для среды разработки/тестирования.
•
Загружать информацию о реализации различных служб .NET.
•
Просматривать примеры сайтов.
•
Получать информацию, связанную с бизнесом.
•
Создавать приложения и управлять ими.
Паспорта в Windows Server 2003 Ãëàâà 14
451
Чтобы начать процесс регистрации для получения тестового идентификатора .NET Passport, выполните перечисленные ниже действия. 1. Щелкните на ссылке Create and Manage an Application (Создание и управление приложением). Если у вас нет учетной записи .NET Passport, будет выполнена переадресация либо на страницу входа в сайт, либо на страницу создания новой учетной записи .NET Passport. Информация о создании учетных записей .NET Passport приведена далее в этой главе, в разделе “Работа с учетными записями .NET Passport”. 2. Прочитав условия использования и лицензионное соглашение, щелкните на кнопке Accept Terms (Принять условия). После этого вы попадете на страницу User Information (Информация о пользователе), где нужно будет ввести контактную информацию. Здесь также потребуется выбрать, какие уведомления вы хотите получать. 3. На странице Create and Manage an Application щелкните на кнопке Create Application (Создать приложение). 4. На странице Create Preproduction Application (Создание тестового приложения) введите имя приложения и щелкните на кнопке Submit (Отправить). 5. Щелкните на кнопке Add Service (Добавить службу) и выберите тип паспортной службы (служб) для своего сайта разработки/тестирования. Возможными вариантами являются: .NET Passport (Паспорт .NET), Kids Passport with SSI (Детский паспорт с единой регистрацией) и Microsoft Alerts (Предупреждения Microsoft). Щелкните на кнопке Next (Далее), чтобы перейти к страницам регистрации. 6. В зависимости от выбранного варианта нужно будет заполнить различные регистрационные формы. В нашем примере Web-сайт будет работать с паспортами .NET. Введите соответствующую информацию в полях на странице General .NET Passport Information (Общая информация .NET Passport). Поля, выделенные жирным шрифтом — Web Site Title (Заголовок Web-сайта), Domain Name (Имя домена), Default Return URL (URL-адрес возврата по умолчанию) и Privacy Policy Location (Адрес страницы с текстом политики конфиденциальности) — являются обязательными. Заполнив форму, щелкните на кнопке Next, чтобы можно было приступить к вводу информации о партнерской работе. 7. Введите соответствующую информацию о партнерской работе. Обязательно вводить только логотип партнера. Щелкните на кнопке Next, введите дополнительную информацию, относящуюся к .NET Passport (например, адреса страниц возврата после регистрации), как показано на рис. 14.2, и отключите упоминание об авторских правах. 8. На следующей Web-странице введите информацию .NET Passport SSI. Информация Expire Cookie URL (URL-адрес срока действия cookie-файлов) обязательна. Она определяет адрес страницы, которая будет удалять все cookie-файлы, созданные для сайта службой .NET Passport. 9. В случае выбора варианта Kids Passport, как в данном примере, введите адреса страниц удаления учетных записей и данных, а также тип необходимого согласия родителей (ограниченное или полное).
452
Безопасность ×àñòü IV
10. После этого щелкните на кнопке Submit (Отправить). На следующем экране отобразится информация о службе .NET Passport вашего сайта. Эта страница содержит идентификатор сайта (для тестовой среды), дату последнего изменения, состояние и рейтинг соответствия.
Ðèñ. 14.2. Регистрация службы .NET Passport
Èñïîëüçîâàíèå óòèëèòû àäìèíèñòðèðîâàíèÿ äèñïåò÷åðà ïàñïîðòîâ Для установки и конфигурирования паспортов .NET администраторы должны применять утилиту администрирования диспетчера паспортов (Passport Manager Administration), диалоговое окно показанную на рис. 14.3. Эту утилиту следует запускать после получения тестового идентификатора (PREP ID). В предшествующих версиях .NET Passport утилита администрирования диспетчера паспортов входила в состав комплекта SDK, который включал в себя также несколько программных средств и документов, упрощающих реализацию паспортов .NET. В Windows Server 2003 эта утилита встроена в операционную систему. Чтобы начать использование утилиты администрирования диспетчера паспортов, выполните следующие действия: 1. Запустите утилиту, выбрав в меню Start (Пуск) пункт Run (Выполнить), а затем в диалоговом окне Run (Запуск программ) введите команду MSPPCNFG.EXE. 2. В поле Site ID (Идентификатор сайта) введите полученный тестовый идентификатор. 3. Введите нужную информацию о сайте: Return URL (URL-адрес возврата), Cookie Path (Путь к cookie-файлам) и так далее.
Паспорта в Windows Server 2003 Ãëàâà 14
453
Ðèñ. 14.3. Утилита администрирования диспетчера паспортов Если в организации используется несколько серверов, конфигурацию утилиты администрирования диспетчера паспортов можно сохранить в файле, а затем экспортировать на другой сервер. Чтобы сохранить файл конфигурации паспорта (*.ppi), выберите в меню File (Файл) пункт Save As (Сохранить как).
Ïîëó÷åíèå êëþ÷à øèôðîâàíèÿ Чтобы сайт мог получать и использовать информацию об аутентифицируемом пользователе из системы .NET Passport, вначале необходимо загрузить ключ шифрования. Этот ключ предоставляет сайту полномочия на получение идентификационной информации из системы .NET Passport. Чтобы загрузить ключ шифрования, выполните описанные ниже действия. 1. Зайдите на Web-сайт диспетчера служб .NET (.NET Services Manager) компании Microsoft и зарегистрируйтесь с помощью службы .NET Passport. 2. Перейдите на вкладку Applications (Приложения) и щелкните на ссылке Manage Applications (Управление приложениями). 3. Выберите созданное ранее приложение и щелкните на кнопке Next. 4. Выберите опцию Download a Key (Загрузить ключ) и щелкните на кнопке Request Key (Запросить ключ). После этого из компании Microsoft вы получите электронное письмо со ссылкой, где можно будет получить ключ. 5. На странице Create Your Security Key (Создание ключа безопасности), показанной на рис. 14.4, дважды введите ключ безопасности, состоящий из четырех цифр или букв, и ответьте на три вопроса по вашему выбору. Нужно запомнить эти ответы, которые понадобятся на втором этапе получения ключа. Щелкните на кнопке Continue (Продолжить).
454
Безопасность ×àñòü IV
Ðèñ. 14.4. Получение ключа шифрования 6. Ответьте на три вопроса, на которые вы только что ответили, и щелкните на кнопке Continue. 7. На странице Security Key Sign-in (Подписка на ключ безопасности) введите четырехсимвольный ключ безопасности и щелкните на кнопке Sign In (Подписаться). 8. На странице Download Key (Загрузка ключа) выберите операционную систему и Web-сервер, который вы собираетесь использовать. 9. Щелкните на кнопке Download Key (Загрузить ключ). При появлении запроса о загрузке файла щелкните на кнопке Save (Сохранить). На странице Key Download (Загрузка ключа) приводятся пошаговые инструкции по установке ключа шифрования. Однако для удобства читателей они будут повторены здесь (при этом предполагается, что уже установлен верный тестовый идентификатор или идентификатор сайта, а на Web-сервер загружен ключ шифрования): 1. Выберите в меню Start пункт All ProgramsÖAdministrative Tools (Все программыÖ Администрирование) и откройте оснастку Services (Службы). Затем остановите службу IISAdmin. Это приведет к остановке и всех остальных служб, связанных с IIS. 2. Выберите в меню Start пункт Run (Выполнить) и откройте командное окно, введя команду cmd.exe. Затем войдите в каталог, в который был загружен ключ шифрования. 3. Введите команду partner####_#.exe /addkey, где # — тестовый идентификатор или идентификатор сайта. 4. Введите команду partner####_#.exe /makecurrent /t 0. 5. Перезапустите службу IISAdmin и другие остановленные службы, связанные с IIS (например, службу публикации в World Wide Web (World Wide Web Publishing)).
Паспорта в Windows Server 2003 Ãëàâà 14
455
Ñîçäàíèå ïàñïîðòà .NET äëÿ ïðîèçâîäñòâåííîé ñðåäû После тщательного тестирования службы .NET Passport в лабораторной среде необходимо отправить запрос на получение соглашения от .NET Services. Это соглашение необходимо подписать до ввода .NET Passport в промышленную эксплуатацию. Запрос можно сделать, отправив письмо по адресу [email protected]. Во избежание возможной задержки в работе лучше запросить это соглашение заблаговременно. Прежде чем получить промышленный идентификатор сайта и ключ шифрования, необходимо вместе с критерием соответствия отправить приложение .NET Passport, созданное на Web-сайте диспетчера служб .NET компании Microsoft. Учтите, что при этом нельзя использовать тестовый идентификатор и ключ шифрования, используемые в среде разработки/тестирования. Чтобы отправить критерий соответствия, выполните перечисленные ниже действия. 1. Зайдите на Web-сайт Microsoft диспетчера служб .NET и зарегистрируйтесь с помощью .NET Passport. 2. Перейдите на вкладку Applications и щелкните на кнопке Manage Applications. 3. Выберите созданное вами приложение и щелкните на кнопке Next. 4. Щелкните на кнопке Submit Compliance (Отправить соответствие), чтобы запустить приложение в производственном окружении. 5. Просмотрите информацию на Web-странице и щелкните на кнопке Go to Manage Agreements (Перейти к управлению соглашениями). 6. На этом этапе вы можете либо запросить соглашение о службах Microsoft (Microsoft Services Agreement), либо запросить ассоциацию соглашений (Agreement Association). Первый вариант предназначен для организаций, которые еще не подписали соглашение о службах Microsoft. Однако после подписания этого соглашения вы можете выбрать вариант запроса ассоциации соглашений (Agreement Association), чтобы затем отправить свое приложение на анализ соответствия.
Ðàáîòà ñ ó÷åòíûìè çàïèñÿìè .NET Passport Учетные записи .NET Passport позволяют пользователям свести к минимуму количество идентификаторов учетных записей и паролей, которые нужно запоминать. Так, .NET Passport for Kids (Детский паспорт .NET) — функция службы .NET Passport SSI, которая позволяет родителям контролировать сбор, использование и публикацию в Internet информации профиля их детей. Если Web-сайт организации уже располагает механизмом аутентификации, следует подумать о том, нужно ли преобразовывать все существующие учетные записи, или же паспорта .NET должны сосуществовать с текущей системой аутентификации. Недостаточно тщательное планирование и проектирование этих вопросов может существенно затруднить работу пользователей или клиентов.
456
Безопасность ×àñòü IV
Ïðåîáðàçîâàíèå ó÷åòíûõ çàïèñåé Если на данном сайте в качестве основного механизма авторизации должны использоваться паспорта .NET, то все учетные записи потребуется преобразовать в учетные записи этой службы. Все пользователи входят в сайт, как обычно, а затем они должны зарегистрироваться в службе .NET Passport и связать с ней свою текущую информацию. После этого во всех случаях пользователям нужно будет использовать только учетные записи .NET Passport.
Ñîâìåñòíîå èñïîëüçîâàíèå ó÷åòíûõ çàïèñåé ñàéòà è ïàñïîðòîâ .NET На некоторых сайтах может потребоваться продолжать работу с текущей учетной информацией, в то время как новые пользователи или клиенты должны использовать учетные записи .NET Passport. Еще один вариант — предоставление пользователям возможности либо использовать паспорт .NET, либо создать стандартную учетную запись.
НА ЗАМЕТКУ Если в сайтах используется два механизма аутентификации и, следовательно, два различных каталога информации, трудоемкость их администрирования и обслуживания может существенно возрасти.
Но ввод паспортов .NET для пользователей можно выполнять и постепенно. Такой подход предполагает сосуществование обоих видов учетных записей, позволяя постепенно перейти на применение паспортов .NET.
Ñîçäàíèå ó÷åòíûõ çàïèñåé ïàñïîðòîâ Пользователи могут создать учетную запись .NET Passport одним из четырех методов: •
Зарегистрировавшись на странице регистрации (http://www.passport.com), как показано на рис. 14.5.
•
Зарегистрировавшись на совместном сайте, который автоматически переадресует пользователей на страницу регистрации .NET Passport компании Microsoft (либо одного из ее партнеров).
•
Зарегистрировавшись для получения учетной записи электронной почты на сайте MSN Hotmail (http://www.hotmail.com) или с помощью службы MSN Internet Access ISP, которая автоматически регистрирует пользователей в службе .NET Passport SSI.
•
Зарегистрировавшись с помощью мастера регистрации .NET Passport (.NET Passport Registration Wizard) системы Microsoft Windows XP.
.NET
Passport
НА ЗАМЕТКУ Для регистрации в службе .NET Passport не обязательно вводить действующий адрес электронной почты. Пользователи могут ввести любой адрес электронной почты в форме некто@домен.com. Кроме того, пароль должен содержать не менее шести символов.
Паспорта в Windows Server 2003 Ãëàâà 14
457
Ðèñ. 14.5. Страница регистрации .NET Passport При создании паспорта .NET обязательно заполнение только двух полей: адрес электронной почты и пароль. Однако на партнерских сайтах может потребоваться заполнение дополнительных полей, например: •
Требования к доступности
•
Страна/регион
•
Дата рождения
•
Имя и фамилия
•
Пол
•
Почтовый код
•
Область
•
Часовой пояс
•
Род занятий
Èñïîëüçîâàíèå ïàñïîðòîâ ñ Web-ïðèëîæåíèÿìè Паспорта .NET предназначены не только для выполнения аутентификации на Webсайтах. Поскольку эта служба — неотъемлемая часть Windows .NET и операционной системы Windows Server 2003, то одно из ее назначений — интеграция с другими компьютерами, устройствами и службами для расширения возможностей, предоставляемых пользователям. Эта интеграция позволяет службе .NET Passport успешно взаимодействовать с другими Web-службами и приложениями. Примером интеграции службы .NET Passport с Web-службами и приложениями может служить использование .NET Passport совместно со службой Outlook Web Access
458
Безопасность ×àñòü IV
(OWA). Служба OWA — одна из функций Microsoft Exchange, которая действует в качестве виртуального сервера HTTP, предоставляя через Web расширенные возможности почтового клиента Outlook. Поскольку служба OWA построена на основе IIS, простая замена механизма аутентификации на паспорта .NET позволяет вместо базовой аутентификации пользоваться службой .NET Passport.
Ïàñïîðòà .NET è ìîáèëüíûå óñòðîéñòâà Служба .NET Passport поддерживает операционную систему Windows Pocket PC 2002 Phone Edition (или более поздние версии) и сотовые телефоны, использующие Microsoft Mobile Explorer (MME) с поддержкой форматов HTML, i-mode, протокола беспроводного доступа (Wireless Access Protocol — WAP) или языка разметки для карманных устройств (Handheld Device Markup Language — HDML). Некоторые возможности не поддерживаются в связи с размером или разрешением экрана и механизмами ввода. Мобильные устройства обладают доступом к следующим приложениям: •
Регистрация.
•
SSI.
•
.NET Passport for Kids (за исключением процесса выражения согласия).
•
Отмена регистрации.
Äîïîëíèòåëüíûå óðîâíè áåçîïàñíîñòè Для еще более надежной защиты учетных записей в некоторых сайтах могут потребоваться дополнительные меры безопасности. Служба .NET Passport может использоваться совместно с протоколом безопасных сокетов (Secure Socket Layer — SSL), который шифрует Web-трафик между клиентом и сайтом. Это препятствует перехвату и дешифровке хакером трафика между пользователем и сайтом. Еще один возможный механизм безопасности — требование ввода пользователями отдельной информации, подтверждающей их личность, перед регистрацией с использованием адресов электронной почты и паролей. Этот дополнительный механизм безопасности служит ключом безопасности, аналогичным PIN-коду, который применяется в банкоматах. Когда пользователь предпринимает попытку входа на сайт-партнер .NET Passport, который требует ввод ключа безопасности, он будет переадресован на страницу регистрации .NET Passport. Пользователю потребуется ввести четырехсимвольный ключ безопасности, а затем ответить по выбору на не менее чем три вопроса. Эти вопросы, называемые секретными, помогут подтвердить личность пользователя, если он забудет секретный ключ. Секретный ключ не может быть установлен для автоматического входа в сайт и не может храниться на компьютере пользователя.
Àóòåíòèôèêàöèÿ ñ ïîìîùüþ ïàñïîðòà .NET Аутентификация с помощью паспорта .NET начинается, когда пользователь запрашивает или перенаправляется на страницу регистрации службы .NET Passport.
Паспорта в Windows Server 2003 Ãëàâà 14
459
Адрес электронной почты и пароль пользователя сравниваются с записью, хранящейся в базе данных .NET Passport. После аутентификации пользователя загружаются его идентификатор .NET Passport PUID и информация профиля .NET Passport. Идентификатор .NET Passport PUID и профиль используются для создания следующих cookie-файлов .NET Passport: •
Cookie-файл билета. Содержит PUID и метку времени.
•
Cookie-файл профиля. Содержит информацию о профиле .NET Passport.
•
Cookie-файл партнерских сайтов. Содержит список сайтов, в которые пользователь может входить с помощью паспорта .NET.
Как было сказано в разделе “Установка и конфигурирование паспортов .NET”, прежде чем сайт сможет получать идентификационную информацию пользователей .NET Passport, он должен зарегистрироваться, принять политику конфиденциальности Microsoft и выполнить ряд других действий. Важно отметить, что адрес электронной почты и пароль партнерскому сайту не передаются. Сайт получает идентификационную информацию пользователя из системы .NET Passport, используя ключ шифрования, предоставленный Microsoft. Ключ шифрования применяется также для шифрования cookie-файлов билета и профиля, а затем информация возвращается по URL-адресу возврата, указанному в запросе на аутентификацию. Затем браузер Internet Explorer (IE) на машине клиента создает три cookie-файла .NET Passport. На этом этапе браузер переадресует пользователя к партнерскому сайту, которому отправляются cookie-файлы билета и профиля. Утилита администрирования диспетчера паспортов (Passport Manager Administration) партнерского сайта обрабатывает информацию cookie-файлов, в результате чего сайт получает возможность сохранить или обновить информацию о пользователе.
Cookie-ôàéëû .NET Passport Каждый раз, когда пользователь выходит из сайта или закрывает браузер, система .NET Passport запускает сценарий удаления всех трех временных cookie-файлов с партнерского сайта. Это устраняет возможность использования cookie-файлов другими пользователями и нарушения безопасности. Если пользователь не выходит из сайта и не закрывает браузер, срок действия cookie-файлов .NET Passport заканчивается по истечении заданного периода времени, установленного системой .NET Passport или партнерским сайтом. Хотя система .NET Passport выполняет аутентификацию пользователей, партнерские сайты могут использовать зашифрованные данные билета и профиля .NET Passport для генерации в своем домене собственных cookie-файлов данного пользователя. Эти вновь созданные cookie-файлы помещаются на компьютер пользователя и могут использоваться только на конкретном партнерском сайте. Партнерские сайты могут использовать эту возможность для персональной настройки профиля пользователя при посещении сайтов. Например, профиль и предпочтения пользователя могут быть сохранены на его компьютере, чтобы при следующем подключении к партнерскому сайту его содержимое учитывало предпочтения данного пользователя.
460
Безопасность ×àñòü IV
Çàùèòà îáìåíà äàííûìè Как уже упоминалось, при подключении пользователя к странице регистрации .NET Passport может быть создан безопасный канал. Если соединение устанавливается с помощью SSL, пользователь может безопасно выполнить регистрацию. Служба .NET Passport поддерживает SSL как версии Windows Server 2003, так и версии SSL независимых центром сертификации. Версия SSL из состава Windows Server 2003 работает эффективнее и быстрее, чем предыдущие версии SSL. Однако протокол SSL значительно загружает процессор и может снизить производительность интенсивно работающих Web-сайтов. Поэтому в таких ситуациях удобно применять высокопроизводительные сетевые интерфейсные платы (Network Interface Card — NIC), которые также способны освободить процессор (процессоры) системы от обработки протокола SSL. Это может существенно улучшить время отклика и производительность Web-сайта. Пользователи могут даже не знать о применении SSL для создания безопасного канала связи, шифрующего трафик между их компьютерами и партнерскими Webсайтами. Реализация SSL прозрачна для пользователей и не влияет на способ их входа в сайт.
Ïîëèòèêè .NET Passport Служба .NET Passport серьезно переработана, особенно в плане обеспечения секретности, конфиденциальности и безопасности. Для обеспечения каждого из названных аспектов используется множество мер защиты. Рассмотренные до сих пор средства имеют в основном технический характер, но компания Microsoft приняла на себя также обязанность по проверке наличия достаточных мер и политик обеспечения безопасности. Microsoft проводит множество политик, которые должны быть приняты, прежде чем сможет быть реализована служба .NET Passport: •
.NET Passport Privacy Statement (Положение о конфиденциальности .NET Passport). Для ознакомления с этой политикой Microsoft по защите персональной информации при использовании Web-сайта .NET Passport и службы .NET Passport на партнерских сайтах обратитесь на Web-страницу http://www.passport.net/Consumer/PrivacyPolicy.asp
•
Microsoft Statement of Policy (Положение о политике Microsoft). Этот набор политик содержится на Web-странице http://www.microsoft.com/info/privacy.htm. В нем описана политика конфиденциальности компании Microsoft в плане сбора, использования, управления, хранения, доступа и защиты личной информации.
•
.NET Passport Kids Privacy Statement (Положение о конфиденциальности при использовании детских паспортов .NET). Это положение, хранящееся по адресу http://www.passport.net/Consumer/KidsPrivacyPolicy.asp?lc=1033, описывает политики службы .NET Passport и взаимосвязь со службой .NET Passport for Kids (Детский паспорт .NET). В нем описан процесс получения согласия родителей и способы его применения для защиты прав детей.
Паспорта в Windows Server 2003 Ãëàâà 14
461
Ìåòîäèêè ïðåäîñòàâëåíèÿ ÷åñòíîé èíôîðìàöèè Компания Microsoft построила свои политики .NET Passport на основе методики предоставления честной информации (Fair Information Practices — FIP), признанной рядом промышленных и правительственных организаций, в том числе Союзом по защите конфиденциальности при работе в сети (Online Privacy Alliance), Федеральной торговой комиссией США (U.S. Federal Trade Commission), Главным директоратом Европейского Союза (European Union Directorate General) и множеством региональных и международных групп по защите прав личности. В основе структуры этих политик лежат понятия осведомленности, согласия, доступа, безопасности, мер и средств. Иначе говоря, не только политики .NET Passport, но и корпоративная политика Microsoft направлена на обеспечение максимальной безопасности, конфиденциальности и контроля со стороны пользователя за личной информацией.
Äðóãèå ïàñïîðòíûå ñëóæáû В этой главе были названы три службы .NET Passport, но основное внимание было уделено службе .NET Passport SSI. В последующих разделах мы рассмотрим остальные две службы.
.NET Passport for Kids Служба .NET Passport for Kids (Детский паспорт .NET) является расширением службы .NET Passport SSI и соответствует стандартам COPPA и требованиям по защите прав детей. В соответствии с ее требованиями партнерские сайты должны получить согласие родителей, прежде чем приступить к сбору, использованию, оглашению или отображению сведений о детях. Эта служба избавляет детей в возрасте до 13 лет от сбора обычной личной информации, обычно выполняемого Web-сайтами. Пользуясь службой .NET Passport for Kids, родители могут также управлять уровнями согласия, которые применяются сайтами, поддерживающими детские паспорта .NET. Возможные уровни согласия родителей приведены в табл. 14.1.
Òàáëèöà 14.1. Óðîâíè ñîãëàñèÿ ñëóæáû .NET Passport for Kids Уровень согласия
Описание
Deny (Отказ)
Сайт или служба не имеет права собирать личную идентифицируемую информацию о ребенке. Недостаток установки этой опции — невозможность использования детьми некоторых сайтов.
Limited (Ограниченный)
Сайт или служба имеет право собирать, хранить и использовать информацию, полученную от ребенка. Однако эта информация не подлежит оглашению.
Full (Полный)
Сайт или служба имеет право собирать, хранить и использовать информацию, полученную от ребенка, и может сообщать эту информацию третьей стороне (отдельному лицу или компании).
462
Безопасность ×àñòü IV
Служба .NET Passport for Kids проверяет профиль (поля даты рождения и страны проживания) для определения того, защищены ли права данного ребенка стандартами COPPA. Если да, то служба проверяет профиль для определения уровня предоставленного согласия. Исходя из этой информации, ребенку либо разрешается использовать данный партнерский сайт, либо выводится сообщение о необходимости получения родительского согласия.
Ëèöåíçèðîâàíèå ïàñïîðòîâ Конечным пользователям служба .NET Passport предоставляется бесплатно. Однако организации, которые желают включить в свой Web-сайт функции и службы .NET Passport, должны подписать трехлетнее соглашение о неэксклюзивном обслуживании. Это соглашение об обслуживании гарантирует принятие организацией определенных норм в отношении сохранения конфиденциальности и сохранение общей целостности службы. Хотя тестирование реализации .NET Passport не обязательно, оно настоятельно рекомендуется. Для тестирования организацией службы .NET Passport подписание соглашения о службе .NET не требуется.
НА ЗАМЕТКУ Чтобы запросить соглашение о службе .NET Passport, отправьте почтовое сообщение по адресу [email protected] или посетите Web-страницу http://www.microsoft.com/licensing/. При этом нужно будет предоставить контактную информацию своей организации.
Все подробности о стоимости лицензии, необходимые инструкции и прочая необходимая для сайта информация предоставляется в почтовом сообщении, которое компания Microsoft присылает после получения запроса.
Ðåçþìå Службы .NET Passport предоставляют удобный, простой и безопасный способ объединения имен пользователей и паролей. Хотя первоначальная версия службы .NET Passport охватывала только сайты электронной коммерции и отдельных пользователей, Windows Server 2003 предоставляет возможность установки каналов связи .NET Passport типа “клиент-сеть”. Система .NET Passport предоставляет централизованный механизм хранения и отслеживания профилей, который может быть использован для единого доступа к нескольким сетевым службам. Пользователям больше не нужно заходить на свой Web-сервер электронной почты, затем на сервер корпоративной сети, а затем, отдельно, в свою локальную или глобальную сеть. Паспорта .NET упрощают входную аутентификацию и предоставляют организациям возможность синхронизировать доступ пользователя к нескольким сетевым ресурсам из одной регистрационной учетной записи.
Паспорта в Windows Server 2003 Ãëàâà 14
463
Ïîëåçíûå ñîâåòû •
Применяйте паспорта Windows Server 2003, чтобы избавить пользователей от необходимости запоминать различные пользовательские имена и пароли для различных посещаемых ими сайтов, в том числе и вашего.
•
Используйте службу .NET Passport для персональной настройки профиля клиента.
•
Реализуйте службу .NET Passport для таких Web-приложений, как Outlook Web Access (OWA).
•
Если в вашей организации требуется ужесточить меры безопасности, используйте второй уровень безопасности (например, четырехзначный PIN-код в дополнение к паролю).
•
Ознакомьтесь и примите политику о конфиденциальности .NET Passport (.NET Passport Privacy Policy), доступную по адресу http://www.passport.net/Consumer/PrivacyPolicy.asp и положение о политике Microsoft (Microsoft Statement of Policy), находящееся по адресу http://www.microsoft.com/info/privacy.htm.
•
Если вы планируете использовать службу .NET Passport for Kids (Детский паспорт .NET), обязательно ознакомьтесь и примите условия положения о конфиденциальности в случае применения детских паспортов .NET (.NET Passport Kids Privacy Statement): http://www.passport.net/Consumer/KidsPrivacyPolicy.asp?lc=1033
•
По возможности всегда внедряйте службу паспортов Windows Server 2003 заново, а не выполняйте модернизацию предыдущих версий .NET Passport. Преобразуйте существующие учетные записи в паспорта Windows Server 2003.
•
Для обеспечения дополнительной безопасности используйте совместно с паспортами .NET протокол SSL.
Ïîëèòèêè è ñðåäñòâà áåçîïàñíîñòè
 ÝÒÎÉ ÃËÀÂÅ... •
Ïîëèòèêè áåçîïàñíîñòè
•
Èñïîëüçîâàíèå èíñòðóìåíòàëüíîé ïàíåëè ïîëèòèê áåçîïàñíîñòè
ÃËÀÂÀ
15
466
Безопасность ×àñòü IV
Механизмы обеспечения безопасности рассмотрены во многих разделах этой книги, но для успешной защиты организации обеспечение безопасности должно начинаться на самом верхнем уровне и пронизывать ее сверху донизу. Руководство организации должно на высшем уровне определить необходимые политики безопасности, тип защищаемой информации и требуемый уровень защиты. Сотрудники, особенно IT-персонал, должны быть осведомлены о действующих в организации политиках безопасности и подчиняться их требованиям, а к нарушителям должны применяться меры административного воздействия. Применение политик безопасности и средств их обеспечения — первый шаг по защите организации. Эти элементы служат основой обеспечения требуемого для работы уровня безопасности. Без них какие-то области могут быть защищены, а другие остаться без внимания. Это неизбежно подвергнет организацию риску появления брешей в безопасности, через которые внешние и внутренние пользователи смогут осуществить взлом. В этой главе описаны политики, которые наиболее часто используются организациями для создания структуры производственной безопасности. Затем будет рассмотрено применение технологий обеспечения безопасности Windows Server 2003 в общей структуре системы безопасности. А в конце главы рассмотрен набор средств реализации политик безопасности, используемый в среде Windows Server 2003.
Ïîëèòèêè áåçîïàñíîñòè В различных организациях применяются различные политики безопасности, которые могут зависеть от действующих законов и положений, а также от меры ответственности, принятой в рамках отрасли или конкретной организации. Например, в США компании, связанные со здравоохранением, в целях выполнения требований акта о переносимости и подотчетности данных медицинского страхования (Health Insurance Portability and Accountability Act — HIPAA) проводят более жесткие политики конфиденциальности медицинской информации, а финансовые организации должны обеспечивать соответствие акту Грэмма-Лича-Блайли (Gramm Leach Bliley Act — GLBA).
НА ЗАМЕТКУ Более подробную информацию об актах HIPAA и GLBA можно найти соответственно на сайтах http://www.cms.hhs.gov/hipaa/ и http://www.senate.gov/~banking/conf/.
Политики безопасности включают в себя стандарты, руководящие указания, процедуры и другие механизмы. Эти элементы могут быть организованы в зависимости от их применения в организации. Независимо от применяемых политик безопасности они должны быть тщательно документированы, проанализированы, продуманы и опробованы на практике.
Îáó÷åíèå ñîòðóäíèêîâ îðãàíèçàöèè Чтобы соблюдать действующие политики безопасности, пользователи должны знать, что представляют собой эти политики, последствия их нарушения (например, получение предупреждения, за которым следует увольнение), а самое главное — влияние нарушений на организацию в целом, на подразделение и на отдельного сотрудника.
Политики и средства безопасности Ãëàâà 15
467
Обучение пользователей проводимым организацией политикам безопасности может принимать множество форм, в том числе: •
Ознакомление новых сотрудников.
•
Справочник по мерам безопасности.
•
Тренинги.
•
Бюллетени в общедоступных папках Exchange Server.
При обучении пользователей следует учитывать два важных момента: во-первых, простое ознакомление с информацией недостаточно эффективно для обучения пользователей, и, во-вторых, обучение политикам безопасности должно быть постоянным. То есть необходимо применять различные формы обучения и делать это регулярно.
Ðåàëèçàöèÿ ïîëèòèê Хотя реализация — не самый приятный аспект политик безопасности, она необходима. Если не претворять политики безопасности в жизнь и не применять соответствующие административные меры, политики безопасности становятся бездействующими. Реализация должна быть ориентирована на политику, а не на отдельных пользователей. Например, применение серьезных мер административного воздействия, таких как увольнение за разглашение секретной информации о новом продукте или услуге, к разработчику, а не к руководителю, может иметь самые плачевные последствия для политики безопасности и для организации.
Ðàçðàáîòêà ïîëèòèê áåçîïàñíîñòè íà óðîâíå ïðåäïðèÿòèÿ Цель разработки политик на уровне предприятия — выполнение требований безопасности во всей организации, а не в отдельной системе или группе систем. Многие из этих политик безопасности относятся к работникам, их обучению и внедрению политик безопасности.
Îáÿçàòåëüñòâà ñîòðóäíèêîâ Существует бесчисленное множество документальных обязательств безопасности организации и соответствующих им политик. Вот некоторые из этих обязательств, которые должны быть подписаны при приеме на работу или в обязательном порядке уже работающими сотрудниками: •
Подписка о неразглашении секретной информации.
•
Средства идентификации (такие как идентификационные карточки, пропуска и пользовательские имена и пароли).
•
Положение о лицензировании программного обеспечения (например, в отношении копирования программного обеспечения компании или самостоятельной установки программного обеспечения в сети).
468
Безопасность ×àñòü IV
После создания в организации обязательств политики безопасности на уровне сотрудников желательно, чтобы эти документы были просмотрены юрисконсультом. Это способствует правильной формулировке документов.
Îáÿçàòåëüñòâà IT-ïåðñîíàëà Кроме обязательств для всех сотрудников, IT-персонал должен подписывать обязательства, предназначенные для защиты сетевой среды. Это могут быть: •
Политики и высокоуровневые процедуры сообщений об инцидентах.
•
Соглашения о конфиденциальности, относящиеся к способу управления или функционирования систем.
•
Дополнительные соглашения по целостности данных или в отношении этических норм использования системы, разглашения секретной или конфиденциальной информации и тому подобные.
Ôèçè÷åñêèé äîñòóï Понятие физического доступа относится к тому, как организация физически защищена от вторжения. Механизмы запирания (как внешние, так и внутренние), средства видеонаблюдения, средства управления доступом на предприятие (электронные устройства или устройства считывания смарт-карт) и ограждения периметра предприятия (ограды и ворота) — все это примеры возможных средств защиты организации. Простое документирование того, что выполнено, а что не выполнено, по сути, служит внутренним аудитом безопасности. Зачастую аудит приводит к укреплению политик и практики обеспечения безопасности.
НА ЗАМЕТКУ Внутренние контрольные проверки всех областей сети способствуют определению и укреплению политики и практики обеспечения безопасности. Однако для обеспечения максимальной безопасности к выполнению аудита инфраструктуры периодически следует привлекать независимые фирмы или экспертов по безопасности.
Ïîëèòèêè áåçîïàñíîñòè ñåòåâîé èíôðàñòðóêòóðû Политики безопасности сетевой инфраструктуры направлены на создание конкретных и зачастую подробных указаний и правил поддержания оптимальной и безопасной работы сетевой среды. Необходимо разработать конкретные политики в отношении сетевого доступа, брандмауэров и требуемой фильтрации, ограничений доступа к конкретным адресам или по времени, а также по множеству других вопросов.
НА ЗАМЕТКУ В дополнение к выполнению практических советов и рекомендаций по безопасности, приведенных в этой главе, рекомендуется также применять рекомендованные практические советы, собранные Национальным институтом стандартов и технологий США (National Institute of Standards and Technologies — NIST) и Национальным агентством безопасности (National Security Agency — NSA). Оба агентства предоставляют стандарты и рекомендации по конфигурации строгой безопасности, которые можно загрузить с их Web-сайтов (http://www.nist.gov и http://www.nsa.gov, соответственно).
Политики и средства безопасности Ãëàâà 15
469
Ñåòåâîé äîñòóï Среды и локальных, и глобальных сетей требуют наличия политик безопасности, определяющих способы и время доступа к сети. Как правило, среды локальных и глобальных сетей защищены брандмауэрами или другими устройствами защиты, однако применение ограничений способов и времени доступа пользователей к сети еще больше укрепляет безопасность. Если в политике безопасности сетевого доступа утверждается, что для получения удаленного доступа пользователи должны использовать соединения виртуальной частной сети (Virtual Private Network — VPN) или терминальные службы (Terminal Services), а не коммутируемый доступ, то возможности потенциального взломщика существенно уменьшаются. Могут быть определены дополнительные политики, ограничивающие способы установления соединений с помощью виртуальных частных сетей или терминальных служб и определяющие требования к конкретным конфигурациям (например, каждая VPN должна использовать протоколы L2TP и IPSec). Рекомендуется также разработать политики аудита сетевого доступа для отслеживания состояния среды. Просмотр журналов аудита по заранее определенному графику может выявить возможные попытки вторжения и взломы системы безопасности.
Áðàíäìàóýðû Часто брандмауэры считают контрольно-пропускными пунктами между организацией и Internet. Хотя это и верно, брандмауэры могут также разделять и защищать внутренние области сети организации. Существует множество различных типов брандмауэров с различными возможностями. Однако для сопоставимости конфигураций применяемые в организации типы брандмауэров должны быть совместимыми. То есть лучше использовать одну марку брандмауэра во всей организации, чем несколько типов в разных местах. Это помогает уменьшить сложность и гарантирует, что вся организация следует одной и той же политике. С другой стороны, требования безопасности могут быть достаточно жесткими, чтобы позволить иметь два или более типов брандмауэров. Например, для существенного снижения вероятности вторжения могут потребоваться два отдельных брандмауэра для защиты границы с Internet. Хотя два брандмауэра и увеличивают сложность среды, для них меньше вероятность, что они содержат одинаковые уязвимости. При использовании в организации более одного брандмауэра столь же важно, чтобы все конфигурации всех брандмауэров были аналогичными, а лучше полностью идентичными. По возможности везде должны применяться одни и те же протоколы или правила использования портов. Например, политика безопасности, в соответствии с которой NetBIOS должна действовать только до брандмауэра, может предотвратить проникновение хакера в сеть через порт NetBIOS. Политика безопасности может препятствовать любым другим брандмауэрам в сети открывать порты 137, 138 и 139.
Ñèñòåìû îáíàðóæåíèÿ âòîðæåíèé Системы обнаружения вторжений (Intrusion Detection Systems — IDS) отслеживают сетевой трафик и сравнивают полученные на основе его анализа данные с базой данных признаков известных атак. С помощью этого IDS может определить наличие возможных атак.
470
Безопасность ×àñòü IV
Часто связанные с IDS политики включают в себя графики обновления версий и процедуры, которые должны выполняться в подозрительной ситуации. Например, если IDS обнаруживает в сетевом трафике признаки возможной атаки, должны быть извещены сотрудники IT-отдела, а затем выполнены определенные процедуры, такие как попытка определения источника атаки или изоляция системы от Internet. Применяемые политики способствуют предотвращению взлома сетевой среды.
Îãðàíè÷åíèÿ â îòíîøåíèè àäðåñîâ В дополнение к некоторым уже упомянутым политикам безопасности в некоторых сетевых средах применяются политики безопасности, в соответствии с которыми доступ к определенным областям сети могут получать только определенные IP-адреса. Часто эти ограничения применяют для минимизации риска, связанного с портами или линиями связи между буферной зоной и внутренней сетью. Например, непосредственно сообщаться с Сервером 2 через порт 1433 может только Сервер 1 из буферной зоны. Однако в некоторых организациях применяется еще более строгое удаленное администрирование конкретных IP-адресов внутренней сети.
Îïðåäåëåíèå ïîëèòèê áåçîïàñíîñòè íà ñèñòåìíîì óðîâíå Политики безопасности на системном уровне служат основой для спецификаций системы. Эта основа применяется к отдельным системам, а не к организации или отдельным вопросам. Эти политики безопасности более подробны, нежели политики организации или политики по отдельным вопросам. Они призваны защищать систему от умышленных и непреднамеренных атак на всех системных уровнях (то есть на уровне аутентификации, уровне проверки полномочий, уровне приложений и так далее).
Àóòåíòèôèêàöèÿ Политика безопасности аутентификации должна определять способы идентификации пользователей. Она служит также основным механизмом аутентификации. После идентификации пользователя или системы должна быть выполнена аутентификация в среде Windows Server 2003. Аутентификация (authentication) — это процесс, в ходе которого система или пользователь проверяют подлинность друг друга. То есть пользователи доказывают, что они действительно те, за кого себя выдают. Это аналогично представлению кредитной карточки кассиру, после чего кассир просит предъявить паспорт или другой документ с фотографией. Windows Server 2003 предоставляет несколько различных механизмов и протоколов аутентификации: • Kerberos. • Паспорта .NET. • Дайджесты. • Протокол защищенных сокетов (Secure Socket Layer — SSL). • HTTP. • S/MIME.
Политики и средства безопасности Ãëàâà 15
471
Выбор этих протоколов должен осуществляться исходя из требуемых функций. Например, для аутентификации в Active Directory в среде локальной сети, видимо, лучше использовать Kerberos. Политики безопасности, относящиеся к аутентификации, должны определять: •
Механизмы аутентификации, требуемые для выполнения определенных задач. Например, прежде чем будет установлено SSL-соединение, весь трафик к Webсайту разработки должен использовать аутентификацию с помощью сертификатов.
•
Количество факторов аутентификации (то есть число процессов аутентификации), необходимое для получения доступа к конкретной системе или группе систем.
Àâòîðèçàöèÿ После аутентификации пользователя при каждом его обращении к файлу, папке, общему ресурсу, принтеру и тому подобному Windows Server 2003 проверяет наличие необходимых прав доступа к данному ресурсу. Например, для получения доступа к множеству различных ресурсов или объектов пользователь может использовать билет сеанса Kerberos. Если пользователь обладает необходимыми правами, он может обращаться к данному ресурсу и использовать его. Этот процесс называется авторизацией (authorization). Для определения того, имеет ли пользователь должные права доступа к ресурсам, при авторизации используются методы управления доступом. Этими методами управления доступом служат списки контроля доступа (Access Control List — ACL) и роли. Одним из основных способов управления доступом является файловая система NTFS (New Technology File System — Файловая система новой технологии). С ее помощью можно назначать права доступа и таким образом управлять санкционированным и несанкционированным доступом. Она включает в себя также шифрованную файловую систему (Encrypting File System — EFS), которую можно использовать для дальнейшего повышения безопасности путем шифрования секретной и конфиденциальной информации. Ниже представлен ряд рекомендаций по применению файловой системы NTFS, которые могут быть задействованы и в политиках безопасности. •
Удалите из прав доступа группу Everyone (Все пользователи).
•
Конфигурируйте контроль доступа для групп, а не отдельных пользователей.
•
Используйте принцип минимальных полномочий, позволяющий доступ пользователям только к той информации, которая им действительно необходима.
•
Обеспечьте, чтобы администраторы имели полный контроль над всеми файлами, папками и общими ресурсами, если только в организации специально не оговорен иной подход.
•
Предоставляйте право управления ресурсами только администраторам.
Áàçîâûå èíñòàëëÿöèè При создании в организациях серверов с нуля их конфигурации обычно не совпадают. То есть некоторые серверы печати и файловые серверы могут содержать служ-
472
Безопасность ×àñòü IV
бы IIS, удаленный рабочий стол администратора, различные полномочия NTFS и так далее, а на других серверах эти службы будут отсутствовать. С точки зрения администрирования, сопровождения, устранения неполадок или безопасности подобные конфигурации могут превратиться в настоящий кошмар. Администраторам необходимо рассмотреть каждый сервер индивидуально и выявить отдельные, несовпадающие конфигурации. Политики безопасности базовой инсталляции и документация по созданию сервера облегчают создание стандартной основы создания конкретного типа сервера и применяемого типа безопасности. Они могут содержать пошаговые инструкции по созданию различных типов серверов без ущерба для безопасности. В этом случае все администраторы располагают общей основой или базой знаний о параметрах конфигурации, в том числе и о конфигурации безопасности, что может сэкономить время при администрировании, сопровождении и устранении неполадок.
Ïîëèòèêè óðîâíÿ ïðèëîæåíèé Основная причина разработки политик безопасности уровня приложений состоит в том, что любой вызванное приложение или код может выявить или использовать бреши в безопасности. Например, в результате нажатия определенной последовательности клавиш приложение работы с кадрами может неумышленно предоставить доступ к секретной информации. Вот рекомендации по проверке и документированию политик безопасности уровня приложений: •
Установите политику программных ограничений Windows Server 2003. Эта служба предоставляет прозрачные для пользователя, управляемые политикой средства регулирования поведения неизвестных или не вызывающих доверия приложений.
•
Поддерживайте только проверенные и необходимые для производственной деятельности приложения.
•
Для повышения устойчивости к заражению вирусами регулярно обновляйте файлы определений антивирусных программ.
•
Применяйте принцип минимальных полномочий для определения данных, к которым может иметь доступ приложение.
•
Используйте объекты групповой политики (Group Policy Objects — GPO) для блокирования рабочего стола, чтобы пользователи не могли иметь полный доступ к системе. Например, отключите команду Run (Выполнить) или запретите использование командного окна.
•
Тщательно тестируйте индивидуальные обновления и пакеты обновлений для Windows Server 2003 (особенно относящиеся к безопасности) в лабораторной среде, прежде чем внедрять их в производственном окружении.
•
Тестируйте и анализируйте обновления и исправления приложений, чтобы выяснить их влияние на безопасность и надежность приложения.
Организации могут воспользоваться многими другими возможными политиками безопасности уровня приложений. Тип проводимой политики безопасности будет за-
Политики и средства безопасности Ãëàâà 15
473
висеть от производственных требований, но в любом случае тщательный анализ и документирование этих политик безопасности может положительно сказаться на сетевой среде, повышая безопасность приложений.
Ïîëèòèêè áåçîïàñíîñòè ðàáî÷èõ ñòîëîâ Политики безопасности рабочих столов могут отличаться как в различных организациях, так и в одной организации. В основном управление политиками безопасности конкретных рабочих столов осуществляется с помощью управления и блокировки компьютеров клиентов посредством GPO. Важно также, чтобы четко определенные политики безопасности были зафиксированы в упоминавшихся ранее в этой главе обязательствах, подписываемых сотрудниками. Связанные с рабочими столами политики безопасности, осуществляемые с помощью GPO или других средств, должны соответствовать формальным, письменно изложенным политикам безопасности, определенным в организации. Дополнительная информация по объектам GPO и возможностям их применения к сетевым клиентам содержится в главе 29. Варианты применения политик безопасности рабочих столов могут зависеть от обязанностей и ролей пользователей в организации. Например, для операторов ввода данных может требоваться более строгое управление рабочими столами, чем для инженерного персонала. Ниже описаны некоторые возможные политики безопасности рабочих столов. •
Ограничение количества приложений, которые может запускать пользователь.
•
Запрещение пользователям использовать ресурсы организации для игр или даже устанавливать любое программное обеспечение.
•
Удаление имени пользователя, который последним входил в клиентский компьютер. Это препятствует раскрытию имен и паролей других пользователей.
•
Требование периодического изменения пользователями своих пользовательских имен и паролей. Можно также ужесточить правила относительно хронологии паролей, их длины и стойкости. Кроме того, пользователи не должны хранить эту информацию на наклейках, прикрепленных к компьютерам.
•
Требование хранения документов на файловых серверах, чтобы можно было ежедневно выполнять их резервное копирование. Заботу об этом можно снять, используя перенаправление папок.
Èñïîëüçîâàíèå èíñòðóìåíòàëüíîé ïàíåëè ïîëèòèê áåçîïàñíîñòè Политики безопасности, многие из которых были упомянуты в предшествующих разделах, должны периодически пересматриваться и отслеживаться для проверки их выполнения, а также для выявления попыток получения несанкционированного доступа к системе. В Windows Server 2003 имеется множество различных средств для мониторинга и защиты сетевой среды.
474
Безопасность ×àñòü IV
Öåíòðû ñåðòèôèêàöèè Центр сертификации (Certificate Authority — CA) — это основной компонент инфраструктуры открытых ключей (Public Key Infrastructure — PKI). PKI проверяет подлинность отправителя и получателя, используя секретный и открытый ключи, а не традиционные пользовательские учетные записи. Эта система используется для гарантирования, что отправители и получатели в действительности являются теми, за кого себя выдают. Верификация позволяет шифровать данные, передаваемые между отправителями и получателями. Центр сертификации хранит секретные и открытые ключи и отвечает за выпуск и подписание сертификатов. Эти сертификаты представляют собой соглашение с цифровой подписью, которое связывает значение открытого ключа с отдельным секретным ключом. Как правило, сертификаты содержат имя пользователя или службы, срок действия сертификата, идентификатор центра сертификации, значение открытого ключа и цифровую подпись. Для установки службы сертификатов Windows Server 2003 выполните следующие действия: 1. Выберите в меню Start (Пуск) пункт Control Panel (Панель управления). Затем щелкните на пиктограмме Add or Remove Programs (Установка и удаление программ). 2. Щелкните на пиктограмме Add/Remove Windows Components (Установка и удаление компонентов Windows), чтобы открыть окно мастера Windows Components Wizard (Мастер компонентов Windows). 3. Установите флажок Certificate Service (Служба сертификатов). В появившемся окне предупреждения щелкните на кнопке Yes (Да). Затем щелкните на кнопке Next (Далее). 4. Выберите тип устанавливаемого CA. Возможны следующие варианты: •
Enterprise Root CA (Головной CA предприятия). Этот центр сертификации требует наличия Active Directory и является самым верхним уровнем иерархии службы сертификатов. Он может выпускать и подписывать свои собственные сертификаты.
•
Enterprise Subordinate CA (Подчиненный CA предприятия). Этот центр сертификации подчиняется головному CA предприятия. Он требует наличия Active Directory и может получать сертификаты от головного CA предприятия.
•
Standalone Root CA (Самостоятельный головной CA). Этот центр сертификации является самым верхним уровнем иерархии службы сертификатов и может выпускать и подписывать свои собственные сертификаты. Самостоятельные CA не требуют наличия Active Directory.
•
Standalone Subordinate CA (Самостоятельный подчиненный CA). Аналогично подчиненному CA предприятия этот центр сертификации подчинен самостоятельному головному CA.
5. Установив флажок Use custom settings to generate the key pair and CA certificate (Применять специальные настройки для генерации пары ключей и сертифика-
Политики и средства безопасности Ãëàâà 15
475
та CA) и щелкнув на кнопке Next, можно выбрать поставщика криптографической службы (Cryptographic Service Provider — CSP), алгоритм хеширования и конфигурацию пары ключей, как показано на рис. 15.1.
Ðèñ. 15.1. Настройка центра сертификации 6. Для определения CA введите подходящее осмысленное название. Здесь можно также задать срок действия CA (по умолчанию пять лет). Щелкните на кнопке Next. 7. Проверьте расположение базы данных сертификатов, журналов и общих папок. Щелкните на кнопке Next. 8. Для завершения создания CA щелкните на кнопке Finish (Готово).
НА ЗАМЕТКУ Windows Server 2003 содержит утилиту командной строки certutil.exe, которая может предоставить значительный объем информации о CA и сертификатах. Компания Microsoft называет эту утилиту мощным инструментом разрешения проблем, и это действительно так. Она предоставляет множество возможностей, в том числе проверку сертификатов и служб, отображение информации о конфигурации службы сертификатов, переназначение секретных ключей соответствующим сертификатов, публикацию списка отзыва сертификатов и собственно отзыв сертификатов. Однако, как легко убедиться, это средство очень полезно и для внедрения политик безопасности.
Ñðåäñòâà ìîíèòîðèíãà Безусловно, защита сетевой среды с помощью различных политик и механизмов безопасности — объективная необходимость. Важную роль во внедрении и обнаружении нарушений политик безопасности играет мониторинг. Например, можно реализовать все политики и механизмы безопасности, но степень их эффективности без наблюдения определить невозможно.
476
Безопасность ×àñòü IV
Утилита просмотра событий (Event Viewer) — одно из наиболее используемых в среде Windows Server 2003 средств мониторинга. Она регистрирует такие события аудита, как вход с использованием учетной записи, управление учетными записями, обращение к каталогу, обращение к объекту, изменение политики и многие другие. По умолчанию начальные параметры аудита установлены для регистрации событий успешного входа учетных записей. Кроме того, для журнала аудита выделяется 128 Мб дисковой памяти, после заполнения которой выполняется перезапись событий в журнале.
НА ЗАМЕТКУ Можно отслеживать новые типы событий входа в систему, в том числе кэшированные входы и удаленные интерактивные входы (с помощью терминальных служб).
В целях обеспечения безопасности также обычно просматривают журналы приложений. В основном журналы заполняются службами и приложениями, и зачастую степень их подробности можно настраивать для занесения информации в диапазоне от самой общей до максимально подробной. Степень подробности и параметры настройки могут быть различными. При их настройке следует учитывать необходимый объем дисковой памяти и способ просмотра этой информации.
CОВЕТ Для наблюдения и управления сетевой средой Windows Server 2003 настоятельно рекомендуется применять диспетчер операций Microsoft (Microsoft Operation Manager — MOM). Он может собрать в одно место информацию обо всех событиях, связанных с безопасностью, и предоставляет удобный централизованный способ просмотра информации безопасности нескольких систем на базе Windows Server 2003.
Ñðåäñòâà òåñòèðîâàíèÿ â ïðåäåëüíûõ ðåæèìàõ Независимыми поставщиками разработано множество средств тестирования систем безопасности в предельных режимах. Многие из них предоставляют весьма специфичные возможности, например, сканирование портов, взлом паролей, выявление переполнения буферов и тому подобное. Например, программа LC4, предшествующие версии которой назывались LOphtCrack, может быть использована для аудита паролей и выявления слабых паролей, но она не предназначена для обнаружения других уязвимых мест. При выборе средств обеспечения безопасности от независимых разработчиков следует тщательно выбрать область их применения и только затем приступать к тестированию в предельных режимах.
Îñíàñòêà Security Configuration and Analysis Интегрированное в Windows Server 2003 средство анализа и настройки безопасности (Security Configuration and Analysis) используется для сравнения текущей конфигурации безопасности с базой данных. Эта база данных использует один или несколько заранее определенных шаблонов безопасности. При использовании более одного шаблона безопасности параметры всех шаблонов объединяются, что может привести к комбинированию конфигураций безопасности. В случае возникновения конфликта
Политики и средства безопасности Ãëàâà 15
477
между базой данных и последним примененным шаблоном безопасности, приоритет отдается последнему примененному шаблону.
НА ЗАМЕТКУ Оснастка Security Configuration and Analysis отображает индикаторы сравнения каждой из конфигураций безопасности с базой данных анализа. Например, красная метка X свидетельствует о несоответствии значений базы данных и текущей конфигурации.
Чтобы начать использовать оснастку Security Configuration and Analysis, выполните следующие действия: 1. Выберите в меню Start пункт Run (Выполнить) и введите команду MMC. Затем щелкните на кнопке OK. 2. Выберите в меню File пункт Add/Remove Snap-In (Добавить/Удалить оснастку). 3. Щелкните на кнопке Add (Добавить) и выберите в списке доступных вариантов оснастку Security Configuration and Analysis (Анализ и настройка безопасности). На странице Add Standalone Snap-In (Добавить изолированную оснастку) щелкните на кнопке Add. 4. Вернитесь в консоль управления Microsoft, щелкнув на кнопке Close (Закрыть), а затем на кнопке OK. 5. Щелкните на записи Security Configuration and Analysis в левой панели. При первом использовании этой оснастки появятся инструкции по открытию существующей базы данных анализа и настройке безопасности или созданию новой базы. 6. Если нужно создать новую базу данных, щелкните правой кнопкой мыши на записи Security Configuration and Analysis в левой панели и выберите в контекстном меню пункт Open Database (Открыть базу данных). 7. Перейдите в каталог, в котором должна быть сохранена база данных, а затем введите ее имя файла. 8. Чтобы открыть новую базу данных, щелкните на кнопке Open (Открыть). 9. В диалоговом окне Import Template (Импорт шаблона) выберите требуемый шаблон безопасности и щелкните на кнопке Open. Для целей данного примера выберите шаблон setup security.inf. 10. Выберите в меню Action (Действие) пункт Analyze Computer Now (Анализ компьютера). 11. В окне Perform Analysis (Анализ) укажите путь и имя файла журнала, который нужно использовать. Щелкните на кнопке OK. 12. После завершения анализа системы оснасткой Security Configuration and Analysis путем сравнения системы с базой данных можно будет просмотреть конфигурации безопасности, как показано на рис. 15.2. На этом этапе можно либо выборочно сконфигурировать параметры безопасности, либо выбрать в меню Action пункт Configure Computer Now (Настройка компьютера), чтобы установить все параметры безопасности.
478
Безопасность ×àñòü IV
Ðèñ. 15.2. Определение конфигураций безопасности с помощью оснастки Security Configuration and Analysis Оснастка Security Configuration and Analysis — прекрасное средство стандартизации безопасности Windows Server 2003 во всей сети. Она также очень полезна для обеспечения правильной настройки безопасности. Для поддержания политик безопасности в рабочем состоянии это средство следует использовать не реже раза в квартал и обязательно во вновь созданных системах.
Èñïîëüçîâàíèå àíàëèçàòîðà ýòàëîííîé áåçîïàñíîñòè Microsoft Анализатор эталонной безопасности Microsoft (Microsoft Baseline Security Analyzer — MBSA) представляет собой средство, идентифицирующее распространенные ошибки в конфигурациях безопасности и пропущенные обновления с помощью локальных или удаленных просмотров Windows-систем. MBSA сканирует отдельную Windows-систему или группу Windows-систем и получает оценку безопасности, а также список рекомендуемых корригирующих действий. Кроме того, с помощью средства MBSA администраторы могут сканировать различные функциональные роли, такие как Microsoft SQL Server или системы Exchange, либо анализировать на предмет наличия уязвимостей сетевой сервер на базе Windows, чтобы помочь поддерживать своевременное применение исправлений в системах, связанных с безопасностью. Для запуска MBSA выполните перечисленные ниже шаги. 1. Загрузите последний XML-файл по безопасности для работы с MBSA. Этот файл содержит список текущих служебных пакетов и обновлений, которые должны быть применены к системе. 2. Примените стандартные настройки и просканируйте сервер (серверы).
Политики и средства безопасности Ãëàâà 15
479
Èñïîëüçîâàíèå ìàñòåðà êîíôèãóðàöèè áåçîïàñíîñòè Мастер конфигурации безопасности (Security Configuration Wizard — SCW) — это средство, входящее в пакет обновлений Windows Server 2003 Service Pack 1, которое может существенно повысить безопасность компьютера или группы компьютеров. Как должно быть понятно из названия, SCW представляет собой мастер, предназначенный для определения функций, необходимых серверу. Затем все другие функции, которые не требуются серверу или от сервера, можно отключить. Это сужает возможную область атаки на компьютер, ограничивая функциональность только теми функциями, которые действительно требуются и необходимы. SCW просматривает конфигурацию компьютера, в том числе и следующие ее элементы: •
Службы. SCW ограничивает количество используемых служб.
•
Фильтрация пакетов. SCW может конфигурировать некоторые порты и протоколы.
•
Аудит. Аудит может быть сконфигурирован на основе роли компьютера и требований организации к безопасности.
•
IIS. SCW может защитить IIS, в том числе Web Extensions и старые виртуальные каталоги.
•
Роли и задачи сервера. Роль (файловый сервер, сервер базы данных, сервер сообщений, Web-сервер, клиент и так далее), конкретные задачи (резервное копирование, индексирование содержимого и прочие) и расположение в среде — все эти характеристики компьютера являются критическими компонентами в любом изолированном процессе или процедуре. Некоторые из оцениваемых ролей и задач показаны на рисунках 15.3 и 15.4. Оцениваются также службы приложений для программных продуктов Exchange Server 2003, SQL Server 2000, ISA Server, SharePoint Portal Server 2003 и Operations Manager (Диспетчер операций).
•
IPSec. С помощью SCW можно корректно сконфигурировать IPSec.
•
Параметры системного реестра. После тщательного анализа SCW может модифицировать уровень совместимости LanMan, подписи безопасности SMB, NoLMHash и параметры целостности сервера LDAP на основе низкоуровневых требований к совместимости компьютера.
ВНИМАНИЕ! SCW является очень гибким и мощным инструментом анализа и настройки безопасности. Поэтому важно следить за тем, кто и как использует этот инструмент. Не менее важно тестирование возможных конфигураций в отдельной лабораторной среде до их внедрения. Без надлежащего тестирования работа среды может ухудшиться или совсем прекратиться.
480
Безопасность ×àñòü IV
Ðèñ. 15.3. Анализ ролей компьютера
Ðèñ. 15.4. Анализ конкретных задач SCW используется как вспомогательное средство при создании специальных политик, связанных с безопасностью, и при анализе компьютеров на совместимость с этими политиками. Во многих случаях SCW может рассматриваться в качестве замены других инструментов Microsoft для работы с безопасностью, которые уже упоминались в данной главе. Например, SCW может взять существующие шаблоны безопасности, созданные с помощью оснастки Security Configuration and Analysis, и расширить их ограничения, чтобы удовлетворить требованиям политики безопасности организации. Кроме того, SCW может анализировать компьютеры на необходимость проведения любых обновлений безопасности, интегрировать их с Group Policy и обеспечить доступ к репозиторию базы знаний, как показано на рис. 15.5.
Политики и средства безопасности Ãëàâà 15
481
Ðèñ. 15.5. Просмотр базы знаний SCW
Èñïîëüçîâàíèå ñëóæáû óïðàâëåíèÿ ïðàâàìè äîñòóïà Windows Служба управления правами доступа Windows (Rights Management Services — RMS) является новой беспрецедентной возможностью, позволяющей пользователям более безопасно создавать информацию и управлять ею. Она предоставляет создателю конкретной информации контроль над следующими аспектами: •
Что можно делать с информацией.
•
Кто может выполнять действия или задания с этой информацией, например, кто может просматривать или печатать документ, или допускает ли сообщение возможность переадресации.
•
Время жизни информации, то есть время, в течение которого информация может просматриваться или использоваться.
Служба RMS предназначена для дополнения других средств безопасности в организации и совместной работы с ними. Механизмы безопасности, политики, практические действия и технологии должны не конфликтовать друг с другом и обеспечивать наиболее эффективную защиту информации и собственности, но в то же время они по возможности не должны мешать конечному пользователю. Следовательно, RMS не ограничена конкретной сетью или Web-сайтом. Ее границы выходят за границы транспортного уровня. RMS еще более уточняет аспекты безопасности для браузеров и приложений наподобие Microsoft Office 2003, которые работают с WRM с помощью шифрования, сертификатов на основе XrML (Extensible rights Markup Language — расширяемый язык разметки прав доступа) и аутентификации. Администраторы безопасности могут создать элементы, доверяемые RMS, с пользователями, группами, компьютерами и при-
482
Безопасность ×àñòü IV
ложениями, которые затем применяются для назначения прав доступа к информации. Свойства безопасности хранятся в лицензии публикации, которая шифруется вместе с информацией. При обращении к информации RMS проверяет полномочия и использование прав доступа.
Ðåçþìå Политики безопасности превращают сетевую среду Windows Server 2003 в более управляемую и защищенную среду. В целом они образуют основу системы безопасности, которую легче реализовать. Поскольку в основу политик безопасности положены скорее производственные требования, а не технические соображения, вся организация должна подчиняться этим политикам. Рассмотренные в этой главе средства работы с политиками безопасности помогают реализовать политики безопасности и поддерживать безопасность среды.
Ïîëåçíûå ñîâåòû •
Руководство организации должно определить необходимые политики безопасности, тип защищаемой информации и требуемый уровень защиты.
•
Регулярно проводите ознакомление всех сотрудников с политиками безопасности организации и последствиями их нарушения.
•
При разработке политик безопасности, имеющих отношение к здравоохранению, ознакомьтесь с актом о переносимости и подотчетности данных медицинского страхования (Health Insurance Portability and Accountability Act — HIPAA), который доступен по адресу http://www.hipaa.org/.
•
При разработке политик безопасности для финансовых организаций ознакомьтесь с актом Грэмма-Лича-Блайли (Gramm Leach Bliley Act — GLBA) по адресу http://www.senate.gov/~banking/conf/.
•
Для повышения эффективности политик безопасности добивайтесь их практического внедрения.
•
Периодически выполняйте аудит безопасности для определения и совершенствования политик безопасности и их практического применения.
•
Для выполнения аудита инфраструктуры своей организации привлекайте специальные фирмы или экспертов по безопасности.
•
Создавайте политики безопасности системного уровня, которые будут служить отправной точкой при создании спецификаций системы.
•
Определите основной механизм аутентификации и способы идентификации пользователей.
•
Определите, какие механизмы аутентификации требуются для выполнения определенных задач.
•
Всегда, когда возможно, используйте файловую систему NTFS.
•
Удаляйте из прав доступа группу Everyone (Все пользователи).
Политики и средства безопасности Ãëàâà 15
483
•
При настройке контроля доступа используйте группы, а не отдельных пользователей.
•
Применяйте принцип минимальных полномочий, чтобы пользователи имели доступ только к той информации, которая им действительно необходима.
•
Предоставляйте администраторам полный контроль над всеми файлами, папками и общими ресурсами, если только в организации специально не оговорен иной подход.
•
Разрешайте управление ресурсами только администраторам.
•
Установите политики ограничения программного обеспечения Windows Server 2003. Эта служба предоставляет прозрачные, управляемые политиками средства регулирования поведения неизвестных или не вызывающих доверия приложений.
•
Поддерживайте только проверенные и действительно необходимые для производства приложения.
•
Для повышения устойчивости к заражению вирусами регулярно обновляйте файлы определений антивирусных программ.
•
При определении данных, к которым может обращаться приложение, используйте принцип минимальных полномочий.
•
Используйте объекты групповых политик (GPO) для блокирования полного доступа пользователей к системе. Например, отключите команду Run (Выполнить) или запретите использование командного окна.
•
Тщательно тестируйте пакеты обновлений и исправления Windows Server 2003 (особенно связанные с безопасностью) в лабораторной среде, прежде чем запускать их в промышленную эксплуатацию.
•
Тестируйте и анализируйте обновления и исправления для определения их возможного влияния на безопасность и надежность приложений.
•
Ограничивайте количество приложений, к которым имеет доступ пользователь.
•
Удаляйте имя последнего пользователя, который последним входил в клиентский компьютер. Это препятствует раскрытию имен и паролей других пользователей.
•
Требуйте от пользователей периодической смены пароля.
•
Подумайте над ужесточением требований к хронологии паролей, их длине и стойкости.
•
Требуйте хранения документов на файловых серверах, чтобы можно было ежедневно выполнять их резервное копирование.
•
Вместо выполнения резервного копирования документов можно использовать перенаправление папок.
•
Для сравнения текущей настройки безопасности с заранее определенными требованиями безопасности используйте оснастку Security Configuration and Analysis.
Ìèãðàöèÿ íà Windows Server 2003
 ÝÒÎÉ ×ÀÑÒÈ... 16. Ìèãðàöèÿ ñ Windows NT4 íà Windows Server 2003 17. Ìèãðàöèÿ ñ Windows 2000 íà Windows Server 2003 18. Òåñòèðîâàíèå ñîâìåñòèìîñòè ñ Windows Server 2003
×ÀÑÒÜ
V
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
Ìèãðàöèÿ ñ Windows NT4 íà Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Ñïîñîáû ìèãðàöèè íà Windows Server 2003
•
Ïîäãîòîâêà äîìåíîâ Windows NT4 äëÿ ìèãðàöèè â Windows Server 2003
•
Âûïîëíåíèå ìîäåðíèçàöèè íà ìåñòå
•
Ìèãðàöèÿ ñóùåñòâóþùèõ äîìåíîâ Windows NT4 â íîâûé ëåñ Windows Server 2003
•
Îáúåäèíåíèå äîìåíîâ Windows NT4
•
Èñïîëüçîâàíèå ñðåäñòâà ìèãðàöèè Active Directory êîìïàíèè Microsoft
ÃËÀÂÀ
16
487
488
Миграция на Windows Server 2003 ×àñòü V
При подготовке и во время выполнения миграции на Windows Server 2003 непосредственно с Windows NT4 необходимо учитывать множество факторов. В данной главе подробно описаны задачи и рассмотрены различные варианты выполнения такой миграции. Прежде чем приступить к выполнению миграции, убедитесь, что определены и документально описаны все подготовительные действия наподобие проектирования службы Active Directory и предварительных требований, которые описаны в этой главе в разделе “Подготовка доменов Windows NT4 для миграции в Windows Server 2003”. Это необходимо для определения способа миграции, который наиболее соответствуют потребностям миграции конкретной организации.
Ñïîñîáû ìèãðàöèè íà Windows Server 2003 Перед выполнением миграции прежде всего потребуется определить ее тип, который наиболее соответствует предъявляемым к миграции требованиям и структуре Active Directory. В этой главе описаны три способа миграции. Каждый из способов, представленных в следующем перечне, обладает уникальными характеристиками и требует выполнения различных задач. Поэтому каждый способ миграции требует подробного планирования, создания сценариев и тестирования, прежде чем можно будет приступить к реальному выполнению каких-либо процедур миграции. •
Первый вариант выполнения миграции — модернизация на месте (inplace). Этот способ миграции представляет собой непосредственную модернизацию операционной системы сервера Windows и домена NT4 до Windows Server 2003 и Active Directory.
•
Второй вариант — миграция объектов NT4 из существующего домена NT4 в совершенно новый лес Windows Server 2003 и Active Directory.
•
Третий вариант — объединение нескольких существующих доменов Windows NT4 в конфигурацию единого домена Active Directory.
Каждый способ миграции доменов имеет свои характеристики и возможности. Прежде чем приступить к миграции, проанализируйте все возможные способы и выполните все задачи по подготовке среды Windows NT4 для миграции в Active Directory. Начните с определения конкретных критериев миграции: сроки завершения миграции и конечная структура Active Directory. Уяснение этих ключевых аспектов облегчит выбор способа миграции, наиболее подходящего для вашей организации.
Îïðåäåëåíèå íàèëó÷øåãî ñïîñîáà ìèãðàöèè äëÿ äàííîé îðãàíèçàöèè С каждым способом миграции связаны различные задачи и методы подготовки и выполнения миграции. На выбор способа миграции влияют также основные производственные и технические факторы. Все эти способы и связанные с ними преимущества описаны в последующих разделах.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
489
Ïðîâåäåíèå ìîäåðíèçàöèè íà ìåñòå Модернизация на месте очень эффективна для организаций, которым нужно сохранить существующие модели одного или нескольких доменов Windows NT4. Применение этого метода позволяет эффективно выполнить миграцию существующего домена или доменов в Windows Server 2003 и Active Directory с помощью модернизации с NT4 до Windows Server 2003 и доменов Active Directory. Поскольку при этом выполняется модернизация операционной системы сервера, то после ее выполнения сохраняются все системные настройки каждого сервера, такие как доверительные отношения сервера и учетные записи служб. Наиболее веские причины применения этого метода следующие: после того, как операционная система сервера модернизирована до Windows Server 2003, мастер установки Active Directory также выполнит модернизацию и миграцию в Active Directory всех существующих настроек безопасности домена Windows NT4 — пользователей доменов, групп доменов и прав доступа. Эта модель считается простейшей, поскольку для выполнения миграции не требуется применение каких-либо дополнительных средств или программного обеспечения сторонних разработчиков. Кроме того, после выполнения миграции на месте не нужно изменять настройки используемых в организации настольных и портативных компьютеров, поскольку они остаются в том же домене Windows, в котором они и были в среде NT4. Это весьма существенно для тех организаций, где требуется выполнить миграцию, но нежелательно перенастраивать каждый отдельный компьютер по завершении процесса. При правильном планировании и тестировании некоторые организации могут выполнить модернизацию с Windows NT4 до Windows Server 2003 за ночь с пятницы на субботу, не создавая при этом существенных помех для работы пользователей или сети.
НА ЗАМЕТКУ Метод миграции с Windows NT4 на Windows 2003 путем модернизации на месте зарекомендовал себя как лучший метод миграции с NT4 в большинстве случаев. Поскольку модернизация на месте сохраняет учетные записи пользователей и компьютеров, настройки безопасности, профили пользователей и другую важную сетевую информацию, то этот метод миграции практически (или совсем) не влияет на пользователей и, следовательно, является самым чистым методом миграции.
Ïåðåìåùåíèå ñóùåñòâóþùåãî äîìåíà Windows NT4 â íîâûé ëåñ Windows Server 2003 По мере роста организаций или изменения производственных потребностей во многих компаниях приходится искать эффективный метод изменения существующей модели доменов Windows NT4. Миграция существующего домена Windows NT4 в новый лес Windows Server 2003 позволяет администраторам проектировать и устанавливать новый лес Active Directory Windows Server 2003 без прерывания работы существующей сети Windows NT4. При использовании средства миграции Active Directory (Active Directory Migration Tool — ADMT) для переноса настроек безопасности и ресурсов домена Windows NT4 в Active Directory существующие настройки безопасности Windows NT4 можно перенести в организационные единицы и дочерние домены в заново созданном лесу Active Directory, как показано на рис. 16.1.
490
Миграция на Windows Server 2003 ×àñòü V Ïîëüçîâàòåëè
Ãðóïïû
companyabc.com Êîìïüþòåðû
NTDOMAIN1
Ïîëüçîâàòåëè
Ïîëüçîâàòåëè Ãðóïïû
Ïîëüçîâàòåëè Ãðóïïû
Êîìïüþòåðû Êîìïüþòåðû
NTDOMAIN2
Êîìïüþòåðû
Домен Active Directory
Ðèñ. 16.1. Миграция существующих доменов в новый лес Windows Server 2003 С помощью расширенных возможностей Windows Server 2003 структура Active Directory может быть интегрирована с доменами Windows NT4, используя доверительные отношения и права доступа доменов. Поэтому данный вариант очень эффективен для больших организаций и позволяет администраторам постепенно выполнить миграцию настроек безопасности, не нарушая связи с теми же общими сетевыми ресурсами. Это означает, что пользователи домена Windows NT4 имеют доступ к тем же ресурсам, что и пользователи, перенесенные в Active Directory без нарушения выполнения повседневных задач. Этот способ миграции также позволяет администраторам продолжать организацию и структурирование нового домена, разрешив после миграции перемещение объектов между доменами и организационными единицами Active Directory. Все эти задачи можно выполнить с сохранением взаимосвязи между Windows NT4 и Windows Server 2003, что еще больше повышает возможности построения новой доменной модели без необходимости создания новых учетных записей пользователей и компьютеров или новых сетевых ресурсов.
ßâëÿåòñÿ ëè íîâûé ëåñ áîëåå ÷èñòûì, ÷åì ëåñ, ìîäåðíèçîâàííûé íà ìåñòå? Одной из причин, по которой организации затрачивают большие усилия на создание совершенно нового леса Active Directory (вместо модернизации на месте существующего домена Windows NT4), является мнение, что созданный заново лес будет более чистым, чем модернизированный на месте. Хотя в новый лес Active Directory не мигрирует ни один старый объект, имеются способы очистки модернизированного на месте домена так, чтобы он был таким же чистым, как и лес, созданный заново. Большим преимуществом выполнения модернизации на месте является минимизация необходимости ручного создания в новом лесу всех объектов пользователей и компьютеров, а также упрощение процесса проверки, что профили пользователей, фавориты, настройки безопасности и другие уникальные настройки скопированы в новый лес.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
491
Процесс очистки модернизированного на месте домена сводится к простому удалению всех неиспользуемых мигрированных объектов. Затем администратор создает заново сервер глобального каталога и переносит в него роли FSMO. На новый сервер будут перенесены только существующие объекты, а старые объекты останутся на прежнем. В результате будет создан новый сервер глобального каталога, не содержащий старых объектов, и настолько же чистый, как и сервер глобального каталога, созданный с нуля и содержащий объекты, добавленные к серверу вручную. Другим аргументом против проведения модернизации на месте является имя результирующего леса. Многие администраторы почему-то считают, что при проведении модернизации на месте они будут привязаны к имени леса, совпадающему с именем существующего домена Windows NT4. Если модернизация на месте проводится на первичном контроллере домена, то у администратора запрашивается полностью определенное DNS-имя нового леса. Организация, имеющая домен Windows NT4 с именем CompanyX, может провести модернизацию в лес Active Directory Windows 2003 с совершенно другим именем, например, companyabc.com. Старое имя CompanyX является именем NetBIOS, а леса в Active Directory используют DNS-имена. Организациям потребуется решить, действительно ли преимущества создания нового леса перевешивают гораздо большие затраты, усилия, время и отказ в обслуживании пользователей, необходимые для создания нового леса. Большинство аргументов против обновления на месте оказываются заблуждениями по поводу того, что может и что не может быть сделано во время процесса модернизации, и в результате организации получают больший выбор для миграции своих сетей.
Îáúåäèíåíèå íåñêîëüêèõ äîìåíîâ Windows NT4 â äîìåí Active Directory Третий способ позволяет организациям выполнить миграцию на Windows Server 2003 и Active Directory, используя все функциональные и интеграционные возможности первого и второго метода миграции. При объединении доменов организация может выполнить модернизацию на месте, поддерживая при этом отдельные существующие домены Windows NT4. Затем в новый домен или домены леса можно включить другие существующие домены NT. Для более точного администрирования домены можно даже переносить и объединять в организационные единицы. Когда миграция принципов безопасности выполняется с помощью средства миграции Active Directory, этот метод позволяет организациям выполнять объединение и миграцию дополнительных доменов постепенно, сохраняя существующую инфраструктуру отдельных доменов. Данный метод эффективен для тех организаций, которые приобрели другие компании и их сети, и которым нужно сохранить свою существующую модель доменов. По сути дела, при объединении доменов выполняется модернизация домена или доменов в рамках существующей доменной модели. По завершении модернизации можно приступить к объединению и реструктурированию доменов, перенося настройки безопасности в новые организационные единицы при размещении корня леса или дочерних доменов в новом лесу Active Directory. Затем можно также объединить дополнительные домены учетных записей и ресурсов в рамках заново структурированного леса Active Directory.
492
Миграция на Windows Server 2003 ×àñòü V
Ïîäãîòîâêà äîìåíîâ Windows NT4 äëÿ ìèãðàöèè â Windows Server 2003 После определения требований и способа миграции в Windows Server 2003 и Active Directory необходимо подготовить к выполнению миграции существующую сетевую инфраструктуру и домены Windows NT4. Независимо от того, создается ли новый домен Active Directory Windows Server 2003 или выполнятся модернизация операционных систем и доменов существующих серверов Windows NT4 до Windows Server 2003 — прежде чем приступить к выполнению миграции, потребуется предпринять несколько шагов по подготовке программного и аппаратного обеспечения. Это поможет избежать проблем в таких областях, как выполнение требований Windows Server 2003 к оборудованию, обеспечение аппаратной и программной совместимости Windows Server 2003 и планирование конфигурации оборудования для оптимизации производительности сервера. В следующем разделе рассмотрены эти вопросы и указаны доступные средства, которые облегчают подготовку аппаратного и программного обеспечения сервера для успешного миграции на Windows Server 2003.
Ñîâìåñòèìîñòü àïïàðàòíîãî è ïðîãðàììíîãî îáåñïå÷åíèÿ Прежде чем выполнять миграцию серверов в Windows Server 2003, необходимо убедиться в совместимости аппаратного обеспечения сервера и приложений Windows NT4 с операционными системами семейства Windows Server 2003. Для проверки совместимости каждого сервера воспользуйтесь утилитой проверки совместимости (Compatibility Check) Microsoft, которая имеется на установочном компакт-диске Windows Server 2003.
НА ЗАМЕТКУ Со списком аппаратного и программного обеспечения, совместимого с операционными системами семейства Windows Server 2003, можно ознакомиться на Web-сайте Microsoft. Информация по совместимости находится по адресу http://www.microsoft.com/hcl.
Утилиту проверки совместимости можно запустить с установочного компакт-диска Windows Server 2003. Для ее запуска не обязательно начинать установку или модернизацию операционной системы сервера. Для запуска утилиты проверки совместимости можно выбрать один из двух методов. Можно воспользоваться функцией автозапуска существующей серверной системы и открыть окно установки Windows Server 2003. Если серверная система не поддерживает функцию автозапуска, или эта функция отключена, утилиту можно запустить из командной строки или из окна Run (Выполнить) рабочего стола Windows. Чтобы запустить утилиту проверки совместимости из командной строки, введите команду d:\i386\winnt32\checkupgradeonly, где d: представляет буквенное обозначение привода компакт-дисков. Каждый из методов позволяет запустить утилиту проверки совместимости Windows Server 2003. Обязательно запустите ее перед модернизацией или установкой Windows
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
493
Server 2003 и Active Directory. Для обеспечения правильности функционирования системы после выполнения миграции замените любое несовместимое оборудование и выполните необходимую модернизацию программного обеспечения.
Àíàëèç òðåáîâàíèé àïïàðàòíîìó è ïðîãðàììíîìó îáåñïå÷åíèþ Один из наиболее важных шагов перед выполнением миграции — проверка соответствия оборудования существующих серверов и их операционных систем минимальным требованиям для установки продуктов семейства Windows Server 2003. Обеспечение соответствия оборудования сервера этим требованиям и планирование увеличения таких аппаратных ресурсов сервера, как объем оперативной памяти, может обеспечить по завершении миграции приемлемую производительность сервера. В последующих разделах приведены минимальные и рекомендованные требования к аппаратному и программному обеспечению для проведения модернизации или “чистой” установки продуктов семейства Windows Server 2003.
Òðåáîâàíèÿ ê îïåðàöèîííîé ñèñòåìå Большинство сетей Windows NT4 содержит несколько версий операционной системы Windows NT4. Каждый тип операционной системы должен удовлетворять минимальным требованиям, необходимым для модернизации или миграции на операционные системы семейства Windows Server 2003. Приемлемыми серверными операционными системами являются: •
Windows NT 4.0 с Service Pack 5 или выше.
•
Windows NT 4.0 Terminal Server Edition с Service Pack 5 или выше.
•
Windows NT 4.0 Enterprise Edition с Service Pack 5 или выше.
Òðåáîâàíèÿ ê îáîðóäîâàíèþ ñåðâåðà Прежде чем устанавливать Windows Server 2003, необходимо убедиться, что оборудование существующих серверов удовлетворяет минимальным требованиям для установки серверных операционных систем семейства Windows Server 2003. При определении конфигураций оборудования серверов и планировании их модернизации необходимо учитывать также роли серверов. Для достижения оптимальной производительности каждый сервер должен располагать достаточными аппаратными ресурсами с учетом его роли: •
Для систем с процессорами x86. Windows Server 2003 поддерживает процессоры Intel Pentium и Celeron, AMD K6, Athlon и Duron с тактовой частотой 133 МГц и выше. Для наилучшей производительности Microsoft рекомендует тактовую частоту не менее 550 МГц. Для установки Windows Server 2003 требуется ОЗУ объемом не менее 128 Мб. Реальные требования к объему оперативной памяти необходимо определять с учетом роли каждого сервера. Microsoft рекомендует использовать ОЗУ объемом 256 Мб.
•
Для систем с процессорами Itanium. Минимальная рекомендуемая тактовая частота процессора — 733 МГц, минимальный рекомендуемый объем ОЗУ — 1 Гб.
494
Миграция на Windows Server 2003 ×àñòü V
Ïåðåìåùåíèå òîìîâ, çåðêàëüíûõ òîìîâ è ïîëîñîâûõ äèñêîâûõ íàáîðîâ Windows NT4 Часто, если установка серверов Windows NT4 выполнялась без использования отказоустойчивого оборудования, то для создания набора томов, зеркальных наборов, полосовых дисковых наборов и полосовых дисковых наборов с контролем четности использовался диспетчер дисков (Disk Manager) Windows NT4. Поскольку операционная система Windows Server 2003 не поддерживает конфигурации диспетчера дисков Windows NT4, перед выполнением модернизации на месте до Windows Server 2003 необходимо изменить программно-управляемые дисковые конфигурации. Прежде чем приступить к модернизации любых серверов Windows NT4, выполните процедуры, описанные в последующих разделах.
Çåðêàëüíûå òîìà Если Windows NT4 использовалась для создания зеркальных наборов, то перед модернизацией Windows Server 2003 потребуется разбить зеркальные наборы Windows NT4.
НА ЗАМЕТКУ Разбиение зеркальных наборов не приводит к потере данных, но перед выполнением любых процессов обслуживания или реконфигурации дисков рекомендуется выполнить резервное копирование сервера.
Íàáîðû òîìîâ, ïîëîñîâûå äèñêîâûå íàáîðû è ïîëîñîâûå äèñêîâûå íàáîðû ñ êîíòðîëåì ÷åòíîñòè Если модернизируемый сервер был сконфигурирован с применением наборов томов, полосовых дисковых наборов и полосовых дисковых наборов с контролем четности Windows NT4, то до выполнения модернизации на месте необходимо удалить эти наборы и создать новые отказоустойчивые дисковые конфигурации.
ВНИМАНИЕ! Удаление наборов томов, полосовых дисковых наборов и полосовых дисковых наборов с контролем четности приводит к удалению с тома всех данных. Поэтому перед удалением любого тома или полосового дискового набора обязательно нужно выполнить резервное копирование всех данных сервера.
Поскольку модернизация на месте наборов томов, полосовых дисковых наборов и полосовых дисковых наборов с контролем четности с Windows NT4 до Windows Server 2003 требует реконфигурации оборудования сервера, рекомендуется создать совершено новый первичный контроллер домена (Primary Domain Controller — PDC) Windows NT4 и выполнить для новой системы модернизацию на месте. Добавление в сеть нового контроллера домена, в котором отсутствуют неподдерживаемые тома и полосовые дисковые наборы, позволяет выполнить модернизацию на месте этой новой системы, не отключая старую систему. После повышения новой системы до первичного контроллера домена Windows NT4 старый сервер станет резервным контроллером домена (Backup Domain Controller — BDC), и вся информация, хранящаяся в старой системе, останется невредимой.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
495
Óñòàíîâêà è íàñòðîéêà ñëóæá äëÿ ñîâìåñòèìîñòè ñ Windows Server 2003 Любая миграция сетевых служб всегда была для администраторов одной из самых сложных задач. При выполнении модернизации на месте контроллера домена Windows NT4 все сетевые службы также модернизируются до Active Directory, и Windows Server 2003 устраняет необходимость установки новых сетевых служб для сохранения сетевых соединений во время миграции. Однако независимо от выбранного метода миграции перед ее выполнением необходимо учесть следующие сетевые службы: протокол динамического конфигурирования хостов (Dynamic Host Configuration Protocol — DHCP), служба Internet-имен Windows (Windows Internet Naming Service — WINS) и служба доменных имен (Domain Name System — DNS). При этом для предотвращения прерывания миграции из-за сбоя в соединениях типа “сервер-сервер” и “клиент-сервер” необходимо уделить первоочередное внимание планированию, созданию сценария миграции и планированию перемещения или установки служб. При миграции на Windows Server 2003 и Active Directory для поддержки совместного существования доменов необходимо использовать такие сетевые службы, как DNS и DHCP. Поэтому обязательно включите в план миграцию этих сетевых служб и постарайтесь избежать прерываний в процессе, перенеся самые важные сетевые службы на первых этапах миграции.
Ïîäãîòîâêà áàçû äàííûõ SAM îïåðàöèîííîé ñèñòåìû NT 4.0 Чтобы подготовить базу данных SAM (Security Account Manager — администратор учетных данных в системе безопасности) Windows NT4 к миграции на Windows Server 2003, выполнить следующие два шага: 1. Прежде чем выполнять модернизацию домена или настроек безопасности Windows NT4 до Windows Server 2003 и Active Directory, удалите неиспользуемые настройки безопасности. Рекомендуется удалить из базы данных SAM Windows NT4 все ненужные учетные записи пользователей, групп и компьютеров. Это позволит сосредоточить внимание на миграции реально используемых учетных записей. 2. Решите проблему использования любых повторяющихся или идентичных имен учетных записей, возникающих при объединении доменов. Проверьте каждый домен Windows NT4 на предмет наличия идентичных или повторяющихся имен учетных записей, групп и ресурсов. Осведомленность об этих потенциальных конфликтах имен поможет сконфигурировать средство миграции Active Directory для успешного их разрешения во время миграции настроек безопасности Windows NT4 в Windows Server 2003 и Active Directory. После удаления ненужных учетных записей Windows NT4 и просмотра всех существующих доменов рекомендуется реплицировать очищенную базу данных SAM на все контролеры домена Windows NT. Для репликации первичного контроллера домена и базы данных SAM на все резервные контроллеры домена используйте консоль диспетчера серверов (Server Manager) из набора средств администрирования Windows NT.
496
Миграция на Windows Server 2003 ×àñòü V
Âûïîëíåíèå ìîäåðíèçàöèè íà ìåñòå В этом разделе описаны действия по непосредственной миграции домена Windows NT4 в Windows Server 2003 и Active Directory. В разделе будут освещены три вопроса: •
Модернизация первичных контроллеров доменов. При выполнении модернизации на месте первым из серверов в домене Windows NT4 необходимо модернизировать первичный контроллер домена. При модернизации первичного контроллера домена все настройки безопасности домена Windows NT — пользовательские учетные записи, группы домена, права доступа и сетевые службы — также модернизируются до Windows Server 2003 и Active Directory.
НА ЗАМЕТКУ Прежде чем приступать к модернизации домена, целесообразно синхронизировать первичный и резервные контроллеры домена. После того как база данных SAM скопирована во все резервные контроллеры домена, удалите из домена один из резервных контроллеров на случай возможного отката к Windows NT. Этот резервный контроллер домена будет содержать копию базы данных SAM домена, и для восстановления исходного домена и базы данных SAM Windows NT4 его можно повысить до первичного контроллера домена.
•
Модернизация резервных контроллеров домена. После модернизации первичного контроллера домена следует модернизировать оставшиеся резервные контроллеры домена. Процесс миграции не требует модернизации резервных контроллеров доменов Windows NT4. Система, которая станет резервным контроллером домена, должна быть установлена заново, а затем с помощью команды DCPROMO повышена до контроллера домена Windows Server 2003.
•
Модернизация рядовых серверов домена. Любой из рядовых серверов домена может быть модернизирован в любое удобное время. Как и в случае контроллеров доменов, миграция каждого рядового сервера должна выполняться с учетом важности его сетевой роли. При выполнении модернизации на месте до Windows Server 2003 и Active Directory необходимо установить службу DNS Microsoft. В свойствах TCP/IP каждого сервера потребуется указать TCP/IP-адрес DNSсервера, интегрированного в Active Directory.
Ìîäåðíèçàöèÿ ïåðâè÷íîãî êîíòðîëëåðà äîìåíà Windows NT4 Чтобы начать модернизацию на месте, выполните перечисленные ниже действия. 1. Вставьте установочный компакт-диск Windows Server 2003 в привод первичного контроллера домена. Если функция автозапуска сервера включена, откроется окно мастера установки Windows Server 2003 (Windows Server 2003 Setup Wizard). Если на сервере эта функция отключена, мастер установки Windows Server 2003 можно запустить, выполнив программу Setup.exe с компакт-диска Windows Server 2003.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
497
2. На странице Welcome to Windows Server 2003 Family (Вас приветствует семейство Windows Server 2003) выберите вариант Install Windows Server 2003 (Установить Windows Server 2003), чтобы начать модернизацию первичного контроллера домена до Windows Server 2003 и Active Directory. В результате будет запущен мастер установки Windows (Windows Setup Wizard), помогающий выполнить процесс установки. 3. На странице Welcome to Windows Setup (Вас приветствует программа установки Windows) выберите требуемый тип установки. В данном случае выберите вариант Upgrade (Recommended) (Модернизация (рекомендуется)). После этого начнется модернизация операционной системы сервера Windows NT4 до Windows Server 2003 и Active Directory. Щелкните на кнопке Next (Далее). 4. Прочтите все лицензионное соглашение Microsoft, приведенное на странице Licensing Agreement (Лицензионное соглашение). На этой странице нужно обязательно выбрать одну из опций. После прочтения лицензионного соглашения выберите опцию I Accept This Agreement (Я принимаю это соглашение) и щелкните на кнопке Next. 5. Копия Windows Server 2003 должна иметь лицензионный ключ, поставляемый с компакт-диском программного обеспечения Windows Server 2003. Введите 25символьный код продукта и щелкните на кнопке Next. 6. Чтобы убедиться в безошибочном проведении модернизации, просмотрите отчет Report System Compatibility (Отчет о совместимости системы), щелкнув на кнопке Details (Сведения). Затем щелкните на кнопке Next. Теперь мастер установки Windows Server 2003 начнет процесс установки, копируя необходимые файлы на жесткий диск компьютера. За процессом модернизации можно следить с помощью индикатора хода работ в левом нижнем углу окна. По завершении копирования файлов мастер автоматически перезапустит сервер.
Ìîäåðíèçàöèÿ äî Active Directory После того как мастер установки Windows Server 2003 модернизирует операционную систему до Windows Server 2003, система автоматически перезапустится и будет запущен мастер установки Active Directory (Active Directory Installation Wizard), окно которого показано на рис. 16.2. Для установки службы Active Directory выполните следующие действия: 1. На экране приветствия щелкните на кнопке Next. В результате существующие домен Windows NT4 и настройки безопасности домена будут модернизированы до Active Directory.
НА ЗАМЕТКУ Выбор этой опции сохранит существующий домен NT4 и выполнит модернизацию всех настроек безопасности домена непосредственно до настроек Active Directory. Все пользовательские учетные записи, группы домена и учетные записи компьютеров будут автоматически перенесены в новый домен Active Directory.
2. Просмотрите информацию в окне Operating System Compatibility (Совместимость операционной системы). В случае согласия щелкните на кнопке Next.
498
Миграция на Windows Server 2003 ×àñòü V
Ðèñ. 16.2. Мастер установки Active Directory 3. На странице Create New Domain (Создание нового домена) выберите вариант создания нового домена в лесу, а затем щелкните на кнопке Next. Как уже было сказано, для продолжения установки Active Directory необходимо, чтобы уже была установлена система доменных имен. Поскольку в данном случае выполняется модернизация существующего домена NT, можно считать, что служба DNS Microsoft в данной сети еще не установлена. 4. Если в сети имеется DNS-сервер, совместимый с Windows Server 2003 и Active Directory, выберите вариант Yes, I Will Configure the DNS Client (Да, я выполню конфигурирование клиента DNS). 5. Если в сети нет DNS-серверов, и данный сервер должен стать первым DNSсервером в новом домене Active Directory, выберите вариант No, Just Install and Configure DNS on This Computer (Нет, только установить и сконфигурировать DNS на этом компьютере). Затем щелкните на кнопке Next. 6. На странице New Domain (Создание домена) введите DNS-имя домена. Это имя должно совпадать с именем, выбранным в главе 5 в виде полностью определенного DNS-имени Active Directory. Щелкните на кнопке Next. Продолжение этого процесса описано в следующем разделе. 7. По завершении установки Active Directory откройте оснастку Active Directory Users and Computers (Пользователи и компьютеры Active Directory) консоли MMC и убедитесь в правильности модернизации всех настроек безопасности.
Íàñòðîéêà óðîâíåé ôóíêöèîíèðîâàíèÿ ëåñà Уровни функционирования леса определяют степень интеграции контроллеров доменов Windows NT4 и Windows 2000 в среды Windows Server 2003. Выбор той или иной опции зависит от того, планируется ли в новом домене установка дополнительных контроллеров домена Windows NT4 или Windows 2000. Вариант Windows Server 2003 Interim Forest (Промежуточный лес Windows Server 2003) используется для повышения возможностей взаимодействия с контроллером домена Windows NT4, а вариант Windows 2000 Domain (Домен Windows 2000) позволяет добавить контроллеры доменов Windows 2000 в будущем.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
499
В данном случае будем считать, что серверы Windows 2000 не будут устанавливаться в новый домен Windows Server 2003. Теперь продолжим процедуру установки с того места, где она была прервана в предыдущем разделе: 8. Выберите вариант Windows Server 2003 и щелкните на кнопке Next. 9. На странице Database and Log Folders (Папки базы данных и журналов) можно выбрать пути к каталогам файлов базы данных Active Directory и ее журналов. Если только в системе специально не требуется поместить базу данных Active Directory и файлы журналов в другой каталог, оставьте путь, предложенный по умолчанию, и щелкните на кнопке Next. Модернизируемый сервер должен иметь достаточный объем свободной дисковой памяти для размещения баз данных Active Directory. 10. Если конфигурация сервера не требует перемещения папки SYSVOL, оставьте путь, предложенный по умолчанию, и щелкните на кнопке Next. Папка SYSVOL служит для хранения копий общедоступных файлов домена. Эти файлы реплицируются и используются для хранения информации домена на всех контроллерах домена Active Directory. 11. На странице Permissions (Права доступа) выберите вариант Permissions Compatible Only with Windows 2000 or Windows Server 2003 Operating Systems (Права доступа, совместимые только с операционными системами Windows 2000 и Windows Server 2003) и щелкните на кнопке Next. Этот вариант нужен потому, что миграция проводится с помощью модернизации с Windows NT4. Поэтому Active Directory не нужно конфигурировать с правами доступа, которые совместимы с доменами Windows NT. Дальнейшие шаги по модернизации на месте до Windows Server 2003 описаны в следующем разделе.
Ïðèìåíåíèå áåçîïàñíîñòè ê ðåæèìó âîññòàíîâëåíèÿ ñëóæáû êàòàëîãîâ Следующие шаги продолжают процесс, описанный в предыдущем разделе: 12. Примените безопасность к режиму Directory Services Restore Mode (Режим восстановления службы каталогов), присвоив пароль учетной записи Directory Services Restore Mode. Этот пароль должен быть сохранен в надежном месте на случай возникновения необходимости восстановления сервера. При задании имени учетной записи и пароля следует учитывать, что каждый сервер Windows Server 2003 имеет в Active Directory собственную уникальную учетную запись Directory Services Restore Mode. Эта учетная запись не связана с учетной записью Domain Administrator (Администратор домена) или какой-либо другой учетной записью Enterprise Administrator (Администратор предприятия) в Active Directory. Введите имя учетной записи и пароль, а затем щелкните на кнопке Next. 13. Прежде чем завершить установку, с помощью линейки прокрутки просмотрите сведения о конфигурации сервера, приведенные на заключительной странице. Убедитесь в правильности всех настроек. Если нужно внести какие-либо изменения, то для изменения конфигурации сервера щелкните на кнопке Back
500
Миграция на Windows Server 2003 ×àñòü V
(Назад). Если сведения, приведенные на заключительной странице, верны, щелкните на кнопке Next.
ВНИМАНИЕ! После щелчка на кнопке Next начинается процесс установки Active Directory и Microsoft DNS, после чего любые изменения станут невозможными.
Прежде чем щелкнуть на кнопке Finish (Готово) и завершить модернизацию, просмотрите информацию мастера установки Windows Server 2003. На основе этой информации можно выяснить, возникли ли какие-либо проблемы во время установки.
НА ЗАМЕТКУ После завершения любых обновлений рекомендуется просматривать журналы событий сервера и системные журналы. Просмотрите все журналы, чтобы убедиться в отсутствии ошибок и предупреждений, которые могут отрицательно сказаться на стабильности модернизируемого сервера и привести к сложностям при аутентификации домена. Просмотрите также окно оснастки Active Directory Users and Computers консоли MMC, чтобы убедиться в успешной миграции всех настроек безопасности в Windows Server 2003 и Active Directory.
Ìèãðàöèÿ ðåçåðâíûõ êîíòðîëëåðîâ è ðÿäîâûõ ñåðâåðîâ äîìåíà После завершения модернизация первичного контроллера домена необходимо модернизировать до Windows Server 2003 и Active Directory остальные имеющиеся в сети резервные контроллеры и рядовые серверы домена.
НА ЗАМЕТКУ Прежде чем начинать процесс, просмотрите журналы приложений и системные журналы резервных контроллеров и рядовых серверов домена, дабы убедиться в отсутствии проблем, которые могут повлиять на миграцию.
При выполнении модернизации резервных контроллеров и рядовых серверов домена Windows NT4 мастер установки Active Directory предоставляет возможность изменить тип членства в домене или роли сервера. Например, существующий резервный контроллер домена NT можно мигрировать в Windows Server 2003 и Active Directory в качестве рядового сервера или контроллера домена. Это же справедливо и для рядовых серверов домена Windows NT4. Приступая к этому этапу модернизации, важно определить, какие серверы нужно модернизировать в первую очередь. Сценарий миграции должен определять порядок миграции всех резервных контроллеров и рядовых серверов домена, а также их роли после выполнения модернизации. Как правило, в первую очередь необходимо выполнять модернизацию резервных контроллеров домена, на которых размещены сетевые службы DHCP и WINS. При миграции жизненно важных сетевых служб необходимо минимизировать время неработоспособности сети и перебоев в межсерверных коммуникациях.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
501
Íà÷àëî ìîäåðíèçàöèè êîíòðîëëåðà äîìåíà èëè ðÿäîâîãî ñåðâåðà Этот этап начинается с помещения установочного компакт-диска Windows Server 2003 в привод резервного контроллера домена. Если на сервере активизирована функция автозапуска, откроется окно программы установки Windows Server 2003. В данной процедуре предполагается, что модернизация выполняется на рядовом сервере домена. Если функция автозапуска отключена, мастер установки Windows Server 2003 можно запустить, запустив программу Setup.exe с компакт-диска Windows Server 2003. Затем выполните перечисленные ниже шаги. 1. На странице Welcome to Windows Server 2003 Family (Вас приветствует семейство Windows Server 2003) выберите вариант Install Windows Server 2003 (Установить Windows Server 2003). В результате будет запущен мастер установки Windows (Windows Setup Wizard), предназначенный для облегчения процесса установки. 2. На странице Welcome to Windows Setup (Добро пожаловать в программу установки Windows) выберите тип установки. В данном случае выберите вариант Upgrade (Recommended) (Модернизация (рекомендуется)). В результате начнется процесс модернизации операционной системы Windows NT4 до Windows Server 2003. Щелкните на кнопке Next (Далее). 3. На странице Licensing Agreement (Лицензионное соглашение) с помощью линейки прокрутки прочтите лицензионное соглашение Microsoft. На этой странице обязательно нужно выбрать одну из опций. Чтобы продолжить установку, выберите опцию I Accept This License Agreement (Я принимаю это лицензионное соглашение), а затем щелкните на кнопке Next. 4. Каждая копия Windows Server 2003 поставляется со своим 25-символьным лицензионным ключом. Введите 25-символьный код продукта и щелкните на кнопке Next. Мастер установки начнет процесс модернизации операционной системы Windows NT4 до Windows Server 2003 с копирования необходимых файлов на жесткий диск сервера. За протеканием процесса модернизации можно следить по индикатору прогресса в левом нижнем углу экрана. По завершении копирования файлов будет выполнен автоматический перезапуск сервера.
Ìîäåðíèçàöèÿ ðåçåðâíîãî êîíòðîëëåðà äîìåíà Windows NT4 äî êîíòðîëëåðà äîìåíà Windows Server 2003 Установка Microsoft Active Directory на резервном контроллере домена или рядовом сервере Windows NT4 отличается от модернизации первичного контроллера домена. Для установки Active Directory на резервных контроллерах домена и рядовых серверах нужно лишь задать роли, которые каждый из серверов будет выполнять после завершения модернизации.
502
Миграция на Windows Server 2003 ×àñòü V
После того как мастер установки сервера завершит модернизацию операционной системы до Windows Server 2003, будет выполнен автоматический перезапуск системы и запуск мастера установки Active Directory (Active Directory Installation Wizard). Чтобы продолжить процесс модернизации, выполните следующие действия: 1. На экране приветствия щелкните на кнопке Next, чтобы начать установку Active Directory. 2. В качестве роли сервера выберите Member Server (Рядовой сервер), как показано на рис. 16.3, а затем щелкните на кнопке Next. Мастер установки Active Directory установит контроллер домена или рядовой сервер в новый домен Active Directory.
Ðèñ. 16.3. Страница конфигурирования роли сервера 3. На странице свойств Network Connections (Сетевые подключения) Windows Server 2003 добавьте TCP/IP-адрес DNS-сервера Active Directory. После добавления адреса DNS-сервера щелкните на кнопке Next. В данном случае предполагается, что до выполнения модернизации на месте первичного контроллера домена организации адрес DNS-сервера указан не был. Если модернизируемый резервный контроллер домена не был сконфигурирован с TCP/IP-адресом DNS-сервера нового домена, откроется страница Configure Domain Name Service Client (Конфигурирование клиента службы доменных имен). 4. На странице Network Credentials (Сетевые полномочия) введите имя и пароль учетной записи Domain Administrator (Администратор домена) с правами на включение в домен новых учетных записей компьютеров. 5. На странице Administrator Password (Пароль администратора) новому серверу Active Directory можно назначить новый пароль локального администратора. Введите новый пароль и щелкните на кнопке Next. 6. С помощью линейки прокрутки просмотрите итоговую информацию о конфигурации сервера и убедитесь в правильности всех выбранных параметров. Щелкните на кнопке Finish, чтобы закрыть мастер установки Active Directory и завершить модернизацию на месте.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
503
7. После включения сервера в домен Active Directory перезапустите сервер, чтобы завершить модернизацию на месте и применить изменения к новому рядовому серверу Active Directory. С помощью утилиты Event Viewer (Программа просмотра событий) просмотрите журналы приложений и системные журналы, чтобы убедиться в отсутствии ошибок во время процесса модернизации. Прежде чем приступить к модернизации любых дополнительных серверов домена, устраните все выявленные проблемы, влияющие на работоспособность сервера и сетевых соединений.
Ìèãðàöèÿ ñóùåñòâóþùèõ äîìåíîâ Windows NT4 â íîâûé ëåñ Windows Server 2003 Второй вариант миграции позволяет организациям перенести объекты — пользователей, компьютеры, группы и так далее — из существующего домена или доменов Windows NT4 в заново созданный лес Active Directory. После установки и конфигурирования нового домена Active Directory Windows Server 2003 с правами доступа операционных систем, предшествующих Windows 2000, и создания в доменах доверительных отношений, позволяющих интегрировать домены Windows NT4 с доменами Active Directory, можно воспользоваться средством миграции Active Directory (Active Directory Migration Tool) для полного переноса настроек безопасности Windows NT4 в домены и организационные единицы Active Directory. Используя для обеспечения сосуществования ресурсов Windows Server 2003 и Windows NT4 доверительные отношения доменов, организации могут переносить настройки безопасности постепенно, поддерживая при этом общедоступные ресурсы, расположенные в каждом домене. При использовании средства миграции Active Directory для реструктурирования доменов все настройки безопасности NT4 копируются или клонируются из домена Windows NT4 и помещаются в Active Directory. После клонирования настроек безопасности NT4 исходный домен остается на месте, причем полностью работоспособным, что позволяет при необходимости легко выполнить откат к ранее использовавшемуся домену.
Óñòàíîâêà è êîíôèãóðèðîâàíèå íîâîãî ëåñà è äîìåíà Windows Server 2003 Установка нового домена требует установки нового контроллера домена и службы Microsoft Active Directory. По завершении установки новой системы Windows Server 2003 можно начать установку Active Directory с помощью команды DCPROMO. Чтобы запустить мастер установки Active Directory (Active Directory Installation Wizard), выполните следующие действия: 1. Выберите в меню Start (Пуск) пункт Run (Выполнить), а затем введите команду DCPROMO. После этого откроется окно приветствия мастера установки Active Directory (Active Directory Installation Wizard), который поможет установить но-
504
Миграция на Windows Server 2003 ×àñòü V
вый лес Windows Server 2003. Просмотрите информацию на экране Operating System Compatibility (Совместимость операционной системы) и, если согласны с ней, щелкните на кнопке Next (Далее).
НА ЗАМЕТКУ Миграция в заново созданный лес позволяет организациям модернизировать аппаратное обеспечение домена и установить операционную систему Windows Server 2003 на оборудование совершенно нового сервера. Прежде чем приступить к установке Windows Server 2003 и Active Directory, запустите утилиту проверки совместимости (Compatibility Check), чтобы ознакомиться с требованиями к оборудованию сервера. Затем, прежде чем приступить к переносу настроек безопасности Windows NT4, проверьте структуру Active Directory и выполните установку и конфигурирование всего оборудования и объектов домена.
С помощью мастера установки Active Directory можно установить первый контроллер домена в новый лес Active Directory. После завершения установки первого контроллера домена его можно также использовать для установки дополнительных контролеров домена и дочерних доменов. 2. На экране приветствия щелкните на кнопке Next, чтобы начать установку нового домена Active Directory. Поскольку мы устанавливаем новый домен и первый сервер в домене, на странице Domain Controller Type (Тип контроллера домена) выберите вариант Domain Controller for a New Domain (Контроллер домена для нового домена). В результате будет создан новый лес Active Directory, а в новом домене сконфигурирован первый контроллер домена. 3. Чтобы создать новый лес доменов, на странице Create New Domain (Создание нового домена) выберите вариант Domain in a New Forest (Домен в новом лесу) и щелкните на кнопке Next. 4. На странице Install and Configure DNS (Установка и настройка DNS) можно выбрать способ установки DNS в новом домене Active Directory. Эту страницу можно использовать для установки DNS на сервере или же модернизации для использования другого DNS-сервера в сети. Поскольку данный контроллер домена — первый в новом лесу, выберите вариант No, Just Install and configure the DNS Server on This Computer (Нет, только установить и сконфигурировать DNS-сервер на этом компьютере). В результате на новом контроллере домена будет установлена служба Microsoft DNS, а свойства TCP/IP сервера будут изменены так, чтобы для разрешения имен использовалась новая установка DNS. 5. Введите полностью определенное DNS-имя нового домена Active Directory. Это DNS-имя отличается от имени существующего имени домена Windows NT и должно быть уникальным среди всех доменных имен данной сети. Щелкните на кнопке Next. 6. Введите информацию об имени NetBIOS, а затем щелкните на кнопке Next. Имя домена NetBIOS — это имя, которое домены Windows NT4 должны использовать при идентификации нового домена Active Directory. Обычно оно совпадает с именем нового домена. 7. В зависимости от конфигурации сервера выберите место хранения баз данных Active Directory.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
505
НА ЗАМЕТКУ При определении местоположения баз данных Active Directory убедитесь, что в плане конфигурирования оборудования сервера учтены требования восстанавливаемости данных и производительности. Для повышения производительности следует устанавливать базы данных Active Directory на диске, отличном от используемого операционной системой и файлом подкачки сервера. Для выбора дисков баз данных Active Directory используйте кнопку Browse (Обзор). Для обеспечения лучшей восстанавливаемости данных используйте для баз данных Active Directory такие средства отказоустойчивости, как RAID-массивы или зеркальные диски.
8. Для выбора местоположения папки SYSVOL используйте кнопку Browse или каталог, предложенный по умолчанию, и щелкните на кнопке Next. Папка SYSVOL содержит файлы данных нового домена Active Directory. Эта информация реплицируется на все контроллеры домена и может храниться только на NTFS-томах. Структура сервера должна учитывать размещение папки SYSVOL контроллера домена. При конфигурировании прав доступа Active Directory функциональность леса необходимо сконфигурировать с учетом совместимости с другими операционными системами семейства Windows Server. 9. Если установка нового домена будет содержать только контроллеры доменов Windows Server 2003, выберите права доступа, совместимые с операционными системами Windows 2000 или Windows Server 2003. Эта возможность доступна только при добавлении в домен новых контроллеров домена. Это не влияет на обратную совместимость при миграции в Active Directory существующих доменов Windows NT4. Для данного примера выберите вариант Permissions Compatible Only with Windows 2000 or Windows Server 2003 Operating Systems (Права доступа, совместимые только с операционными системами Windows 2000 или Windows Server 2003) и щелкните на кнопке Next. 10. Присвойте имя пользователя и пароль учетной записи Directory Services Restore Mode (Режим восстановления службы каталогов). Пароль Directory Services Restore Mode используется для восстановления сервера в случае его сбоя и должен храниться в надежном месте. При задании имени учетной записи и пароля имейте в виду, что в домене каждый сервер Windows Server 2003 с Active Directory обладает собственной уникальной учетной записью Directory Services Restore Mode. Она никак не связана с учетной записью Domain Administrator (Администратор домена) или с какими-либо другими учетными записями Enterprise Administrator (Администратор предприятия) в Active Directory. Введите пароль Directory Services Restore Password (Пароль восстановления службы каталогов) и щелкните на кнопке Next. 11. Просмотрите сведения о конфигурации сервера и щелкните на кнопке Finish. Это действие завершит установку Active Directory. Перезапустите контроллер домена, выбрав опцию Restart Now (Перезапустить сейчас). После этого войдите в систему и, прежде чем продолжить работу, просмотрите журналы приложений и системных событий, дабы убедиться в отсутствии ошибки и проблем, которые могли возникнуть во время установки.
506
Миграция на Windows Server 2003 ×àñòü V
Прежде чем приступить к миграции настроек безопасности Windows NT4 в Active Directory, установите и сконфигурируйте все необходимые дополнительные контроллеры домена и настройте их безопасность, а также создайте все организационные единицы.
Êîíôèãóðèðîâàíèå äîâåðèòåëüíûõ îòíîøåíèé ìåæäó äîìåíàìè Windows NT4 è Windows Server 2003 При миграции существующих доменов NT4 в новый корень леса Active Directory или дочерний домен необходимо создать отношения доверия между существующими доменами Windows NT4. Существующие домены Windows NT4 называются исходными доменами (source domains), а вновь созданные домены Active Directory Windows Server 2003 — целевыми доменами (target domains). Начните с конфигурирования доверительных отношений в целевом домене. В контроллере домена Windows Server 2003 откройте меню Administrator Tools (Администрирование) и запустите диспетчер Active Directory Domains and Trust Manager (Диспетчер доменов и доверительных отношений Active Directory). С помощью меню Action (Действие) откройте диалоговое окно свойств нужного домена Active Directory и перейдите на вкладку Trust (Доверие). Доверительные отношения Windows Server 2003 и Active Directory создаются с помощью мастера создания доверительных отношений (New Trust Wizard). Для запуска этого мастера, который поможет создать доверительные отношения домена, выберите опцию New Trust (Создать доверительное отношение). На экране приветствия мастера щелкните на кнопке Next. На странице Trust Name (Имя доверительного отношения) введите имя исходного домена Windows NT4, с которым необходимо установить доверительное отношение. В этой конфигурации можно использовать как NetBIOS-имя, так и полностью определенное DNS-имя исходного домена. Теперь Active Directory сможет установить связь с исходным доменом Windows NT4. Щелкните на кнопке Next.
НА ЗАМЕТКУ При конфигурировании доверительных отношений каждый домен должен иметь возможность разрешать имя домена адресом TCP/IP контроллера домена. Установите на целевом контроллере домена службу Internet-имен Windows (Windows Internet Naming Service — WINS) и сконфигурируйте свойства TCP/IP целевого и исходного контроллеров домена так, чтобы они могли использовать только что установленную службу WINS. Чтобы можно было установить доверительное отношение между Active Directory и Windows NT4, лес Windows Server 2003 должен работать в режиме Native (Собственный). В случае возникновения каких-либо проблем при установлении доверительного отношения повысьте функциональные уровни леса, используя страницу свойств домена Active Directory.
Выберите нужный тип доверительного отношения. На странице Direction of Trust (Направление доверительного отношения) выберите опцию Two-Way (Двунаправленное), что при миграции обеспечит связь и доступ к ресурсам как в целевом, так и исходном домене. Затем щелкните на кнопке Next.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
507
Чтобы сконфигурировать свойства исходящего доверительного отношения, выберите опцию Domain-wide Authentication (Аутентификация во всем домене). Это обеспечит применение настроек безопасности Windows NT4 ко всем ресурсам в целевом домене Active Directory. Windows Server 2003 автоматически аутентифицирует существующие настройки безопасности NT4 внутри целевого домена. В результате учетные записи Administrator (Администратор) получат доступ к каждому домену и членам групп доменов, что понадобится при установке средства миграции Active Directory и миграции настроек безопасности. Щелкните на кнопке Next. Пароль доверительных отношений отличается от пароля администратора домена. Он уникален для создаваемых доверительных отношений и будет использоваться для аутентификации доверительных отношений и исходным, и целевым доменом. В конфигурациях доверительных отношений в целевом домене Windows NT4 и исходном домене Windows Server 2003 должен использоваться один и тот же пароль доверительных отношений. Введите пароль для доверительного отношения и щелкните на кнопке Next. Просмотрите параметры создаваемой конфигурации доверительного отношения. Щелкните на кнопке Back, чтобы изменить какие-либо параметры, или на кнопке Next, чтобы завершить создание доверительного отношения и просмотреть изменения в конфигурации, внесенные мастером создания доверительного отношения. Щелкните на кнопке Next. Появится диалоговое окно с запросом подтверждения параметров исходящего доверительного отношения. Доверительное отношение домена нельзя подтвердить до тех пор, пока не будет успешно создано доверительное отношение в исходном домене Windows NT4. Прежде чем продолжить, создайте и установите отношение доверия в первичном контроллере исходного домена Windows NT4. На странице Confirm Outgoing Trust (Подтвердите исходящее доверительное отношение) выберите опцию No, Do Not Confirm The Outgoing Trust (Нет, не подтверждаю исходящее доверительное отношение) и щелкните на кнопке Next. На странице Confirm Incoming Trust (Подтвердите входящее доверительное отношение) выберите опцию No, Do Not Confirm The Incoming Trust (Нет, не подтверждаю входящее доверительное отношение). Щелкните на кнопке Next, чтобы завершить конфигурирование доверительного отношения. Просмотрите конфигурацию доверительного отношения и щелкните на кнопке Finish, чтобы закрыть мастер создания доверительного отношения. Чтобы успешно установить доверительное отношение в исходном домене Windows NT, вначале потребуется сконфигурировать доверяемый домен. Чтобы добавить целевой домен в число доверяемых доменов Windows NT, откройте диспетчер пользователей для доменов (User Manager for Domains) на первичном контроллере домена Windows NT4. Выберите в меню Policies (Политики) пункт Trust Relationships (Отношения доверия), чтобы открыть страницу Trust Relationships (Отношения доверия) Windows NT4. В разделе Trusted Domains (Доверяемые домены) щелкните на кнопке Add (Добавить). Введите имя целевого домена и пароль, который будет использоваться обоими доменами для аутентификации доверительного отношения. Как уже было сказано, этот пароль уникален в конфигурации доверительных отношений и должен отличаться от пароля учетной записи Domain Administrator (Администратор домена). Он будет использоваться только для аутентификации доверительного отношения между исходным и целевым доменом.
508
Миграция на Windows Server 2003 ×àñòü V
После успешной установки доверяемого домена щелкните на кнопке Add в разделе Trusting Domains (Доверяющие домены). Введите имя целевого домена и пароль, использованный для установки доверительного отношения. В результате целевой домен будет добавлен в число доверяющих доменов Windows NT4, и конфигурирование доверительного отношения Windows NT4 будет завершено. Щелкните на кнопке Close (Закрыть), чтобы закрыть страницу Trust Relationships (Отношения доверия). После успешного создания доверительного отношения между исходным и целевым доменом мастер создания доверительного отношения может подтвердить и исходящее, и входящее доверительные отношения. Для проверки доверительного отношения нужно использовать имя и пароль учетной записи Administrator (Администратор) исходного домена и протестировать входящее и исходящее подключения доверительного отношения домена. Щелкните на кнопке OK для закрытия диалогового окна.
Ìèãðàöèÿ äîìåíîâ ó÷åòíûõ çàïèñåé è ðåñóðñîâ â Windows Server 2003 è Active Directory Использование возможности миграции доменов учетных записей и ресурсов в Windows Server 2003 и Active Directory позволяет реструктурировать существующие учетные записи и ресурсы Windows NT4 во вновь созданные домены и организационные единицы Active Directory Windows Server 2003. Прежде чем приступить к миграции в Windows Server 2003, еще раз просмотрите решения по созданию Active Directory, принятые в главе 5. Эти решения, такие как конфигурация организационных единиц и определения групп, образуют основу структуры Active Directory. Создание организационных единиц и групп с помощью оснастки Active Directory Users and Computers (Пользователи и компьютеры Active Directory) консоли MMC должно выполняться с учетом этой структуры. Миграция доменов учетных записей и ресурсов в организационные единицы Active Directory способствует повышению безопасности и упрощает делегирование полномочий внутри дерева доменов Active Directory. По завершении конфигурирования структуры организационных единиц домена Active Directory можно приступать к миграции ресурсов и настроек безопасности домена с помощью средства миграции Active Directory (Active Directory Migration Tool), схематически показанной на рис. 16.4. Процесс миграции подробно описан в конце этой главы, в разделе “Использование средства миграции Active Directory компании Microsoft”.
Èñïîëüçîâàíèå ìèãðàöèè íàñòðîåê áåçîïàñíîñòè При создании принципов безопасности в домене Windows NT4 каждому отдельному объекту присваивается уникальный идентификатор безопасности (Security Identifier — SID). Идентификатор безопасности каждой настройки безопасности уникален и содержит информацию о принадлежности данной настройки безопасности к группе и домену.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
509
Ïîëüçîâàòåëè Îðãàíèçàöèîííûå åäèíèöû Ãðóïïû Ïîëüçîâàòåëè
NTDOMAIN Ãðóïïû
Ó÷åòíàÿ çàïèñü êîìïüþòåðà
Ïîëüçîâàòåëè
Äîìåí Active Directory
NTDOMAIN Ó÷åòíàÿ çàïèñü êîìïüþòåðà
NTDOMAIN
Îðãàíèçàöèîííûå åäèíèöû
Äî÷åðíèé äîìåí
Ðèñ. 16.4. Миграция организационных единиц и дочерних доменов При миграции этих принципов безопасности в Windows Server 2003 и Active Directory каждой настройке безопасности присваивается новый SID, содержащий информацию о принадлежности к новой группе и домену. Поскольку новый SID не содержит информации о принадлежности настройки безопасности к предыдущему домену, то при обращении пользователей или групп к ресурсам (например, файлам) старого домена Windows NT4 может оказаться, что у них больше нет прав доступа к определенным ресурсам. Во избежание возникновения этих проблем во время и после миграции используйте средство миграции Active Directory компании Microsoft для переноса хронологии SID настроек безопасности. Хронология SID — это запись о принадлежности конкретной настройки безопасности к предыдущим группам и доменам Windows NT4. Средство миграции Active Directory может выполнить перенос хронологии SID настроек безопасности каждого объекта и предотвратить возникновение проблем с правами доступа в процессе переноса.
Îáúåäèíåíèå äîìåíîâ Windows NT4 Раньше, когда организации приобретали новые компании, дополнительные домены Windows NT4 часто добавлялись в их существующую среду с помощью отношений доверия Windows NT4. Это вело к усложнению управления доменами, доверительными отношениями и ресурсами доменов. Объединение доменов Windows NT4 в домен Windows Server 2003 и Active Directory позволяет организациям сохранить исходную структуру или имена доменов Windows NT4. Дополнительные доменные структуры могут быть также объединены в организационные единицы в лесу Active Directory.
510
Миграция на Windows Server 2003 ×àñòü V
С помощью модернизации доменов и миграции дополнительных доменов в организационные единицы администраторы могут еще больше повысить безопасность и управляемость объектов Active Directory.
НА ЗАМЕТКУ Прежде чем приступить к процессу объединения доменов, убедитесь в выполнении всех подготовительных процедур, а также в том, что сценарий переноса подготовлен и протестирован в изолированной лабораторной среде. При использовании этого способа миграции выполняется копирование или клонирование всех настроек безопасности Windows NT, а не их изменение в исходных доменах Windows NT.
При одновременном использовании модернизации на месте и средства миграции Active Directory домены Windows NT4 можно объединить в домены Active Directory и организационные единицы в отдельных доменах, как показано на рис. 16.5.
Ðèñ. 16.5. Объединение доменов в организационные единицы Эта возможность позволяет администраторам уменьшить размеры любой существующей модели Windows NT4 при одновременном расширении административных возможностей за счет применения организационных единиц Active Directory для сохранения старых доменов Windows NT4.
Ìîäåðíèçàöèÿ ñóùåñòâóþùåãî äîìåíà Windows NT4 äî êîðíåâîãî äîìåíà íîâîãî ëåñà Active Directory Процесс объединения доменов начинается с выбора и модернизации существующего домена или нескольких доменов Windows NT4 до леса Active Directory. В зависимости от выбранной структуры Active Directory модернизируемый домен может стать первым доменом в новом лесу или дочерним доменом корневого домена нового леса Active Directory.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
511
Независимо от того, выполняется ли модернизация одного или нескольких доменов, процесс начинается с выполнения модернизации на месте домена Windows NT4, который станет корневым доменом леса Active Directory или дочерним доменом корня нового леса Active Directory. Для этого необходимо выполнить те же процедуры, которые описаны ранее в этой главе, в разделе “Выполнение модернизации на месте”.
Ðåñòðóêòóðèðîâàíèå ñóùåñòâóþùèõ äîìåíîâ ó÷åòíûõ çàïèñåé è ðåñóðñîâ â äîìåíû Active Directory Основная цель использования процесса миграции доменов с помощью их объединения — предоставление администраторам возможности объединять домены Windows NT4 в новые домены и организационные единицы Active Directory. После создания леса Active Directory в его организационные единицы можно перенести любые дополнительные домены Windows NT4. Поскольку исходные домены модернизируются, то все отношения доверия сохраняются, и новый лес Active Directory готов к миграции настроек безопасности из Windows NT4. Прежде чем начать этот процесс, выполните все необходимые задачи по реструктуризации модернизированной доменной структуры и создайте все необходимые дополнительные организационные единицы. Для объединения доменов Windows NT в организационные единицы и дочерние домены Active Directory используйте процедуры, описанные в следующем разделе “Использование средства миграции Active Directory компании Microsoft”.
Èñïîëüçîâàíèå ñðåäñòâà ìèãðàöèè Active Directory êîìïàíèè Microsoft Средство переноса Active Directory (Active Directory Migration Tool — ADMT) — это мощная утилита, поставляемая с операционной системой Windows Server 2003. ADMT позволяет переносить настройки безопасности доменов Windows NT4 непосредственно в Windows Server 2003 и Active Directory. Она предоставляет ряд мастеров для выполнения следующих задач: •
Тестирование сценариев миграции для выявления потенциальных проблем до выполнения реального переноса.
•
Миграция пользователей для переноса учетных записей пользователей из домена в домен или из леса в лес.
•
Миграция профилей пользователей для переноса информации профиля пользователя из исходной учетной записи пользователя в целевую.
•
Миграция групп для переноса информации о группах и членстве в них между исходными и целевыми доменами или лесами.
•
Миграция учетных записей компьютеров для переноса учетных записей компьютеров из одного домена или леса в другой.
512
Миграция на Windows Server 2003 ×àñòü V
•
Миграция учетных записей служб для переноса учетных записей служб из одной системы или домена в другой.
•
Миграция доверительных отношений домена для переноса доверительных отношений одного домена в другой.
•
Миграция паролей для перемещения паролей при переносе учетной записи пользователя из одного домена или леса в другой.
После переноса в Active Directory настроек безопасности ADMT администраторам могут выполнять также миграции объектов Active Directory между лесами. Объекты можно перемещать между доменами Active Directory и дочерними доменами, а также между организационными единицами в новом лесу Active Directory.
Óñòàíîâêà ñðåäñòâà ìèãðàöèè Active Directory Прежде чем устанавливать средство миграции Active Directory, убедитесь, что сеть удовлетворяет перечисленным ниже требованиям. •
Между доменами Windows NT4 и Active Directory установлены доверительные отношения.
•
Учетная запись Active Directory Administrator (Администратор Active Directory) входит в группу Domain Administrators (Администраторы домена) Windows NT4.
•
Учетная запись Administrator (Администратор) Windows NT4 входит в группу Local Administrators (Локальные администраторы) Windows Server 2003.
Средство миграции Active Directory можно установить с компакт-диска операционной системы Windows Server 2003. С помощью проводника Windows откройте каталог I386 установочного компакт-диска. Запустите пакет ADMIGRATION.MSI, находящийся в папке ADMT, чтобы запустить мастер установки средства миграции Active Directory (Active Directory Migration Tool Installation Wizard). На экране приветствия щелкните на кнопке Next. Примите условия лицензионного соглашения конечного пользователя (End User License Agreement) и щелкните на кнопке Next, чтобы начать установку ADMT. Примите предложенную по умолчанию папку установки, щелкнув на кнопке Next. Выполните установку и щелкните на кнопке Finish, чтобы закрыть мастер установки средства миграции Active Directory.
НА ЗАМЕТКУ Утилиту ADMT рекомендуется устанавливать на контроллере домена, расположенном в целевом домене. Во время инсталляции ADMT мастер установки вносит дополнительные изменения в конфигурацию каждого переносимого домена. Дополнительные процедуры и предварительные условия установки ADMT приведены в файле README.DOC в каталоге установки ADMT.
Ìèãðàöèÿ ó÷åòíûõ çàïèñåé è ãðóïï äîìåíà â Active Directory Использование средства миграции Active Directory для миграции учетных записей и групп в Active Directory требует настройки нескольких параметров. Ниже описаны
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
513
шаги процесса клонирования учетных записей пользователей, учетных записей служб и групп домена Windows NT в среду Active Directory: 1. Чтобы запустить средство миграции Active Directory, запустите ADMT из группы программ на контроллере домена Active Directory. Для этого выберите в меню Start пункт Administration ToolsÖActive Directory Migration Tool (АдминистрированиеÖСредство переноса Active Directory). 2. Выберите в меню Action пункт ADMT User Account Migration Wizard (Мастер миграции учетной записи пользователя ADMT), а затем щелкните на кнопке Next. Мастер миграции начнет миграцию пользователей в Active Directory.
НА ЗАМЕТКУ Прежде чем приступить к реальной миграции учетных записей пользователей, рекомендуется выполнить ее тестирование в лабораторных условиях. Не приступайте к миграции пользователей в Active Directory, если вы не готовы к этому.
3. Чтобы начать миграцию учетных записей пользователей, выберите опцию Migrate Now (Выполнить миграцию сейчас) и щелкните на кнопке Next. 4. На странице Domain Selection (Выбор домена) можно выбрать исходный и целевой домены миграции. Для выбора доменов используйте выпадающий список, а затем щелкните на кнопке Next.
НА ЗАМЕТКУ Если целевой домен работает не в режиме Native (Собственный), появится сообщение об ошибке. Эту ошибку следует немедленно исправить, иначе продолжение процесса окажется невозможным.
5. Щелкнув на кнопке Add (Добавить), выберите учетную запись или записи пользователей, подлежащие миграции. Имена можно ввести вручную или выбрать несколько пользователей, щелкнув на кнопке Advanced (Дополнительно) и выполнив поиск пользователей. По завершении выбора щелкните на кнопке OK, чтобы закрыть окно Advanced Select Users (Расширенный выбор пользователей) и вернуться к странице User Selection (Выбор пользователей). Убедитесь в правильности выбора всех пользователей и щелкните на кнопке Next. 6. На странице Organizational Unit Selection (Выбор организационной единицы) определите местоположение целевой OU, в которую будут клонированы учетные записи пользователей. В этой организационной единице будет храниться учетная запись пользователя для данной миграции. Для поиска нужной организационной единицы в целевом домене щелкните на кнопке Browse (Обзор). Щелкните на кнопке OK, чтобы закрыть окно Browse the Container (Обзор контейнера) и возвратиться на страницу Organizational Unit Selection. Затем щелкните на кнопке Next. 7. Чтобы разрешить миграцию паролей пользователей из исходного домена NT, необходимо установить сервер экспорта паролей ADMT. Если ни один сервер паролей не установлен, прочтите дополнительную информацию по переносу паролей в справке ADMT.
514
Миграция на Windows Server 2003 ×àñòü V
8. Выберите конкретные параметры каждой переносимой учетной записи. Можно выбрать следующие варианты состояния целевой учетной записи (Target Account State): • Enable Target Account (Активизировать целевую учетную запись). Дает возможность пользователям входить в домен Active Directory немедленно после переноса их учетных записей. • Disable Target Account (Деактивизировать целевую учетную запись). Отключает только что созданную учетную запись, не позволяя никаким пользователям входить в новый домен Active Directory. • Target Same As Source (Состояние целевой учетной записи совпадает с исходной). Сравнивает и устанавливает состояние новой учетной записи в то состояние, каком она находится в исходном домене. • Enable Source Account (Активизировать исходную учетную запись). Активирует исходную учетную запись по завершении процесса миграции. • Disable Source Account (Деактивизировать исходную учетную запись). Позволяет администраторам деактивизировать перенесенную учетную запись в исходном домене после ее клонирования в Active Directory. Эту опцию можно использовать также для ограничения срока (в днях) активности учетной записи после выполнения миграции. • Days Until Server Accounts Expires (Срок действия учетных записей сервера (в днях)). Эту опцию используют для предотвращения доступа пользователей в исходный домен после переноса учетной записи. По истечении назначенного срока ни одна учетная запись не сможет получить доступ к исходному домену. 9. Для данной миграции выберите опцию Disable Source Account. В результате все перенесенные учетные записи в исходном домене будут деактивизированы. 10. Чтобы перенести хронологию SID для переносимой учетной записи, выберите опцию Migrate Users SID to Target Domain (Перенести SID пользователей в целевой домен). В результате атрибуты SID учетной записи будут перенесены из исходного домена в новый целевой домен. Прежде чем утилита ADMT сможет продолжить миграцию пользователей, необходимо внести изменения в конфигурацию. После появления диалогового окна с сообщением об ошибке следуйте инструкциям по установке, приведенным в последующих разделах, чтобы выполнить дополнительные процедуры в исходном и целевом доменах. Для миграции хронологии SID необходимо включить аудит в исходном и целевом доменах. Если аудит не включен, откроется диалоговое окно с сообщением об ошибке аудита в исходном и целевом доменах. 11. Чтобы активизировать аудит в исходном и целевом доменах и продолжить миграцию, щелкните на кнопке Yes (Да). 12. Если нужно перенести хронологию SID пользователя, в исходном домене должна существовать локальная группа NTDomain. Если эта группа еще не создана, ее можно создать с помощью мастера миграции, щелкнув на кнопке Yes в открывшемся диалоговом окне с сообщением об ошибке.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
515
13. Щелкните на кнопке Yes, чтобы добавить в системный реестр исходного домена запись TcpipClientSupport. 14. После внесения изменений в системный реестр щелкните на кнопке Yes, чтобы перезагрузить первичный контроллер исходного домена. Щелкните на кнопке OK и дождитесь окончания перезагрузки PDC домена Windows NT. 15. Если при миграции требуется сохранить хронологию SID пользователя, то нужно ввести имя пользователя и пароль учетной записи с правами Administrator (Администратор) в исходном домене. Введите имя и пароль администратора исходного домена, а также имя исходного домена Windows NT. Используя параметры пользователя, описанные в табл. 16.1, можно выбрать и настроить атрибуты пользователя каждой переносимой пользовательской учетной записи.
НА ЗАМЕТКУ Для определения параметров, которые нужно использовать при переносе, просмотрите параметры ADMT. До выполнения реального переноса рекомендуется выполнить тестирование параметров переноса.
Òàáëèöà 16.1. Ïàðàìåòðû ïîëüçîâàòåëÿ Параметры ADMT
Описание
Translate Roaming Profiles (Преобразовывать перемещаемые профили)
Используйте данный параметр, если в исходном домене Windows NT4 выбранные учетные записи пользователей сконфигурированы с использованием перемещаемых профилей. Эта опция копирует перемещаемый профиль выбранной учетной записи пользователя в целевой домен и связывает этот профиль с созданной в целевом домене учетной записью.
Update User Rights (Обновить права пользователей)
Если план миграции требует сосуществования различных систем, и пользователи Active Directory будут продолжать обращаться к ресурсам в исходном домене, выберите опцию Update User Rights. Она копирует права исходного пользователя в новую учетную запись, созданную в целевом домене, тем самым сохраняя возможность доступа к ресурсам в исходном домене Windows NT4.
Migrate Associated User Groups (Выполнить миграцию связанных групп пользователей)
Эффективный способ миграции пользователей — использование групп. При выборе этой опции ADMT создает группы, связанные с переносимыми учетными записями пользователей и сохраняет членство в группах в целевом домене.
Update Previously Migrated Objects (Обновить ранее перенесенные объекты)
Часто при постепенной миграции на момент переноса учетных записей группы уже перенесены. Данная опция связывает учетную запись с группой, даже если группа уже была перенесена. Обратите внимание, что эту опцию можно выбрать, только если выбрана опция Migrate Associated User Groups. Для настройки способа отображения пользователей после их миграции в целевой домен и Active Directory используйте опцию Select How All Migrated Accounts Should Be Named (Выбрать способ именования всех перенесенных учетных записей).
516
Миграция на Windows Server 2003 ×àñòü V Окончание табл. 16.1
Параметры ADMT
Описание
Do Not Rename Accounts (Не переименовывать учетные записи)
Средство миграции Active Directory переносит учетные записи пользователей, используя ту же самую информацию, что и в исходном домене. Данную опцию можно использовать при отсутствии объектов пользователей, имена которых конфликтуют с переносимыми учетными записями. Не применяйте эту опцию для разрешения конфликтов имен учетных записей, возникающих во время миграции. Для идентификации учетных записей после их переноса в целевой домен можно использовать суффиксы и префиксы. Для разрешения конфликта имен на более поздних этапах переноса используется дополнительная опция. Страница Naming Conflicts (Конфликты именования) в ADMT отображает список имен, конфликтующих между переносимыми учетными записями пользователей и учетными записями пользователей, уже существующими в целевом домене.
Rename with Prefix (Переименовать, добавляя префикс)
Используйте эту опцию для добавления префикса к переносимым именам пользователей. Она может использоваться для предотвращения конфликтов повторения имен в целевом домене и часто применяется при присоединении доменов учетных записей в существующий лес Active Directory.
Rename with Suffix (Переименовать, добавляя суффикс)
Эта опция добавляет к переносимым учетным записям пользователей указанный суффикс. Как и опцию Rename with Prefix, данную опцию следует использовать, если целевой домен содержит учетные записи, которые могут конфликтовать с именами переносимых учетных записей.
16. Просмотрите опции, выбранные на странице User Options (Параметры пользователя), и убедитесь в правильности их выбора. Щелкните на кнопке Next. 17. На странице Naming Conflicts (Конфликты именования) выберите действие, которое должна выполнять утилита ADMT для разрешения конфликтов в случае совпадения имен учетных записей в целевом домене и переносимых из исходного домена.
Ðàçðåøåíèå êîíôëèêòîâ èìåíîâàíèÿ При существовании совпадающих имен учетных записей в целевом и исходном домене применение опции Ignore Conflicting Accounts and Don’t Migrate (Игнорировать конфликтующие учетные записи и не переносить их) оставляет учетные записи в целевом домене без изменений и не позволяет выполнить перенос конфликтующих учетных записей из исходного домена в целевой. При замене существующих учетных записей каждая конфликтующая учетная запись пользователя в целевом домене будет наследовать права доступа и свойства конфликтующего имени учетной записи в исходном домене. То есть при этом переносимые имена будут заменять совпадающие учетные записи в Active Directory, и к ним будут применены любые изменения SID, проведенные для исходного домена учетных записей.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
517
В случае выбора замены существующих учетных записей потребуется решить, нужно ли сохранять права пользователей для конфликтующей учетной записи. Эта опции гарантирует, что конфликтующие учетные записи в целевом домене не будут иметь больше прав, чем учетные записи, переносимые из исходного домена. При выборе опции Replace Conflicting Accounts (Заменять конфликтующие учетные записи) становится доступной опция Remove Existing Members of Groups Being Replaced (Удалять существующие члены заменяемых групп). Эта опция сравнивает состав групп и обеспечивает идентичность состава перенесенных групп в целевом домене и групп исходного домена. Аналогично опциям Prefix и Suffix на странице User Options, следует использовать опцию Rename Conflicting Accounts (Переименовывать конфликтующие учетные записи) для добавления префикса или суффикса к именам переносимых учетных записей, которые конфликтуют с учетными записями в целевом домене. Добавление префикса к именам конфликтующих учетных записей облегчит выявление учетных записей, которые нуждаются в исправлениях после их миграции. Прежде чем продолжить, убедитесь в правильности выбора всех опций. Затем щелкните на кнопке Next. С помощью линейки прокрутки просмотрите описания задач, которые будут выполнены мастером миграции. Проверьте правильность выбора всех опций. Щелкните на кнопке Finish, чтобы закрыть мастер и завершить миграцию. В окне Migration Progress (Выполнение миграции) отображаются результаты миграции пользователей. Для просмотра журнала миграции и выявления ошибок щелкните на кнопке View Log (Просмотр журнала). Просмотрев журнал, щелкните на кнопке Close (Закрыть), чтобы завершить работу мастера переноса учетных записей пользователей.
Ïåðåíîñ ãðóïï NT4 â Active Directory В этом разделе описаны варианты слияния или миграции групп Windows NT4 в Windows Server 2003 и Active Directory. В нем описаны также возможности, доступные при выполнении этой задачи с помощью утилиты ADMT, и выполняемые при этом действия. Прежде чем выполнять реальный перенос настроек безопасности домена NT, рекомендуется всегда тестировать процедуру миграции и просматривать ее результаты. Миграцию можно протестировать, выбрав вариант Test the Migration Setting and Migrate Later (Тестировать параметры миграции и выполнить миграцию позднее) на странице Test or Make Changes (Тестирование или внесение изменений) мастера миграции групп (Group Migration Wizard). Чтобы вначале протестировать миграцию групп, а затем действительно выполнить миграцию, запустите с помощью меню Action мастер миграции учетных записей групп. Чтобы выполнить реальную миграцию учетных записей группы, выполните перечисленные ниже действия. 1. Из меню Action запустите мастер миграции учетных записей групп (Group Account Migration Wizard), чтобы начать реальную миграцию групп Windows NT4. 2. На экране приветствия щелкните на кнопке Next. На странице Test or Make Changes (Тестирование или внесение изменений) выберите вариант Migrate Now и щелкните на кнопке Next.
518
Миграция на Windows Server 2003 ×àñòü V
3. На странице Domain Selection (Выбор домена) выберите в выпадающем списке исходный и целевой домены миграции. Затем щелкните на кнопке Next. 4. На странице Group Selection (Выбор групп) введите имя или имена групп в исходном домене, которые нужно перенести. Для ввода имени группы используйте кнопку Add (Добавить), а для его проверки — кнопку Check Name (Проверить имя). Щелкните на кнопке OK, чтобы добавить группу на страницу Group Selection, а затем щелкните на кнопке Next. 5. На странице Organizational Unit Selection (Выбор организационной единицы) выберите целевую OU, в которую будет перенесена группа. Для просмотра дерева Active Directory и выбора целевого домена и организационной единицы для размещения перенесенной группы щелкните на кнопке Browse (Обзор). Щелкните на кнопке OK для завершения выбора, а затем на кнопке Next. 6. При миграции групп Windows NT4 можно также перенести такие параметры, как права пользователей и членство в группах. Просмотрите опции миграции групп на странице Group Options (Параметры групп), описанные в следующем перечне, и выберите те, которые наиболее подходят для конкретной ситуации: •
Update User Right (Обновить права пользователей). Эта опция копирует права доступа группы NT4 из исходного домена в новую группу в целевом домене.
•
Copy Group Membership (Копировать членство в группе). Эта опция важна для тех организаций, в которых миграцию групп в Windows Server 2003 необходимо выполнять по одной. Она позволяет утилите ADMT копировать учетные записи исходного домена Windows NT, которые входят в переносимые группы. В этом случае каждая учетная запись копируется в целевой домен и связывается с соответствующей группой. При выборе опции Update Previously Migrated Objects (Обновлять ранее перенесенные объекты) все существующие учетные записи в целевом домене будут обновляться информацией о принадлежности к соответствующей группе.
•
Fix Group Membership (Исправлять информацию о членстве в группах). Если члены переносимой группы существуют в исходном домене, эта опция будет добавлять перенесенные учетные записи пользователей в перенесенную группу, чтобы они стали членами группы в целевом домене.
•
Migrate Group SID to Target Domain (Переносить SID группы в целевой домен). Если стратегия миграции требует наличия доступа к ресурсам в целевом домене, выберите эту опцию. Она добавляет хронологию SID к клонированным учетным записям пользователей и групп после их переноса в целевой домен.
•
Do Not Rename Accounts (Не переименовывать учетные записи). Утилита ADNT переносит группы с тем же именем, что и в исходном домене. Используйте данную опцию при существовании групп с таким же именем, которые могут конфликтовать с переносимыми группами Windows NT4. При выборе этой опции группы объединяются внутри целевого домена.
•
Rename with Prefix (Переименовывать с применением префикса). Используйте эту опцию для добавления префикса к именам переносимых групп. Эта
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
519
опция может использоваться для предотвращения конфликтов имен групп в целевом домене. •
Rename with Suffix (Переименовывать с применением суффикса). Используйте эту опцию для добавления указанного суффикса к именам переносимых групп. Подобно опции Rename with Prefix, эту опцию следует использовать, если целевой домен содержит имена групп, которые могут конфликтовать с именами переносимых групп.
7. Просмотрите выбранные опции и убедитесь в правильности их выбора. Щелкните на кнопке Next. 8. Если утилита ADMT еще не была аутентифицирована в исходном домене, откроется диалоговое окно входа в систему. 9. На странице Naming Conflicts (Конфликты именования) сконфигурируйте действия, которые должна выполнять ADMT для разрешения конфликтов имен групп и членства в группах. Прежде чем продолжить миграцию, просмотрите каждую из следующих опций: •
Ignore Conflicting Accounts and Don’t Migrate (Игнорировать конфликтующие учетные записи и не переносить их). Эта опция оставляет учетные записи в целевом домене без изменений и не переносит группы, уже существующие в целевом домене.
•
Replace Conflicting Accounts (Заменять конфликтующие учетные записи). При выборе этой опции каждая конфликтующая учетная запись в целевом домене наследует права доступа и свойства учетной записи, переносимой из исходного домена.
•
Remove Existing User Rights (Удалять существующие права пользователей). В случае замены существующих учетных записей необходимо решить, нужно ли сохранять права пользователей для конфликтующих учетных записей. Выбор данной опции гарантирует, что конфликтующие учетные записи в целевом домене не будут обладать большими правами пользователей, чем переносимые учетные записи.
•
Remove Existing Members of Groups Being Replaced (Удалять существующие члены из заменяемых групп). При выборе этой опции утилита ADMT будет сравнивать группы и обеспечивать идентичность состава переносимых групп с составом групп в исходном домене. Чтобы эта опция была доступна, необходимо выбрать опцию Replace Conflicting Accounts.
•
Move Replaced Accounts to Specified Target Organizational Unit (Перемещать замененные учетные записи в указанную целевую организационную единицу). Эта опция удаляет из целевого домена все существующие записи, которые совпадают с переносимыми учетными записями.
•
Rename Conflicting Accounts by Adding the Following (Переименовывать конфликтующие записи, добавляя к ним следующее). Аналогично опциям добавления префикса и суффикса, эту опцию можно использовать для предотвращения конфликтов с учетными записями, существующими в целевом домене. Она позволяет добавить префикс или суффикс, который должна ис-
520
Миграция на Windows Server 2003 ×àñòü V пользовать утилита ADMT при возникновении конфликтов имен групп. После установки всех опций щелкните на кнопке Next.
10. С помощью линейки прокрутки просмотрите описания задач, которые будут выполнены мастером миграции. Убедитесь в правильности выбора всех опций, а затем щелкните на кнопке Finish. Окно Migration Progress позволяет наблюдать за результатами миграции групп. Можно также щелкнуть на кнопке View Log (Просмотр журнала), чтобы просмотреть подробные сведения о миграции и убедиться в отсутствии ошибок. Закройте журнал миграции и щелкните на кнопке Close (Закрыть), чтобы завершить работу мастера миграции учетных записей групп.
Ìèãðàöèÿ ó÷åòíûõ çàïèñåé êîìïüþòåðîâ â Active Directory Чтобы пользователи могли аутентифицироваться в новом домене Active Directory Windows Server 2003, необходимо выполнить миграцию учетных записей компьютеров — так же, как и в случае миграции пользователей и групп. Процедура применения мастера миграции компьютеров (Computer Migration Wizard) для тестирования и миграции учетных записей компьютеров описана ниже.
НА ЗАМЕТКУ При переносе учетных записей компьютеров с помощью мастера миграции компьютеров утилиты ADMT утилита установит агент в каждой системе переносимого исходного домена. Этот агент перезапустит систему после того, как мастер миграции присоединит учетную запись компьютера в целевой домен.
1. Чтобы начать миграцию учетных записей компьютеров в Active Directory, выберите в меню Action утилиты ADMT пункт Computer Migration Wizard (Мастер миграции компьютеров). На экране приветствия мастера миграции компьютеров (Computer Migration Wizard) щелкните на кнопке Next. 2. На странице Test or Make Changes (Тестирование или внесение изменений) выберите вариант Migrate Now (Перенести) и щелкните на кнопке Next. 3. На странице Domain Selection (Выбор доменов) выберите из выпадающего списка исходный и целевой домены для миграции учетных записей компьютеров. После выбора доменов щелкните на кнопке Next. 4. На странице Computer Selection (Выбор компьютеров) введите имя или имена учетных записей переносимых компьютеров в исходном домене. Для ввода и проверки имен учетных записей переносимых компьютеров щелкните на кнопке Add (Добавить). Затем щелкните на кнопке Next. 5. На странице Organizational Unit Selection (Выбор организационной единицы) выберите целевую организационную единицу, в которую будут перенесены учетные записи компьютеров. Щелкните на кнопке Browse (Обзор), чтобы просмотреть дерево Active Directory и выбрать целевой домен и организационную единицу, в которую будут перенесены учетные записи компьютеров. Затем щелкните на кнопке Next.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
521
6. На странице Translate Objects (Трансляция объектов) выберите из следующего списка опции, определяющие переносимые контексты безопасности компьютеров: •
Files and Folders (Файлы и папки). Эта опция позволяет после миграции учетных записей компьютеров преобразовать в Active Directory все права доступа файлов и папок локального компьютера. Если переносимый компьютер содержит файлы, доступ к которым осуществляется посредством прав доступа Windows NT, выберите эту опцию, чтобы преобразовать в Active Directory локальные настройки безопасности файлов.
•
Local Groups (Локальные группы). Утилита ADMT позволяет также переносить локальные настройки безопасности, и при выборе этой опции утилита переносит в Active Directory локальные группы компьютера.
•
Printers (Принтеры). Если на переносимом компьютере установлены принтеры совместного использования, эта опция преобразует в Active Directory все локальные права доступа к ресурсам принтера из локальных прав доступа Windows.
•
Registry (Реестр). Эта опция переносит в Active Directory всю информацию безопасности из системного реестра переносимого локального компьютера.
•
Shares (Общие ресурсы). При выборе этой опции будут перенесены в Active Directory все сконфигурированные общие ресурсы и их права доступа.
•
User Profiles (Профили пользователей). Эта опция переносит все настройки безопасности профилей пользователей, хранящихся на локальном компьютере.
•
User Rights (Права пользователей). Эта опция преобразует права локальных пользователей в права Active Directory.
НА ЗАМЕТКУ В зависимости от выбранных опций безопасности могут отображаться дополнительные страницы. Прежде чем продолжить процесс миграции, выберите нужные опции и проверьте правильность их выбора.
7. Для данного примера миграции компьютера выберите опцию User Profiles, чтобы преобразовать настройки безопасности профилей пользователей на переносимых компьютерах. Затем щелкните на кнопке Next. 8. В окне Security Translation Options (Опции преобразования безопасности) определите параметры безопасности для переносимых учетных записей компьютеров, выбрав одну из следующих опций: •
Replace (Заменить). Эта опция заменяет всю информацию SID учетной записи новой информацией из целевого домена. Она присваивает учетной записи компьютера в целевом домене те же полномочия и права доступа к ресурсам, с которыми учетная запись была сконфигурирована в исходном домене.
•
Add (Добавить). Эта опция объединяет информацию SID учетной записи компьютера в целевом домене со всеми ACL в исходном домене, тем самым предоставляя учетной записи компьютера доступ к ресурсам в домене Windows NT.
522 •
Миграция на Windows Server 2003 ×àñòü V Remove (Удалить). Эта опция удаляет всю информацию SID учетной записи компьютера из всех ACL в исходном домене. Она не позволяет учетной записи компьютера получать после миграции доступ к ресурсам в домене Windows NT4.
9. Проверьте действие или действия, которые были выбраны на странице Security Translation, а затем щелкните на кнопке Next. 10. На странице Computer Options (Параметры компьютера) укажите время перезапуска компьютера после его миграции, а также префикс и суффикс, которые должны добавляться к имени переносимого компьютера. Щелкните на кнопке Next. 11. На странице Naming Conflicts (Конфликты именования) определите действия, которые должна выполнять утилита ADMT для разрешения конфликтов учетных записей компьютеров и принадлежности к группам в целевом домене. Прежде чем продолжить процесс переноса, рассмотрите каждую из следующих опций: •
Ignore Conflicting Accounts and Don’t Migrate (Игнорировать конфликтующие учетные записи и не выполнять миграцию). Эта опция оставляет учетные записи компьютеров в целевом домене без изменений и не переносит учетные записи, которые уже существуют в целевом домене.
•
Replace Conflicting Accounts (Заменять конфликтующие учетные записи). При замене существующих учетных записей компьютеров каждая конфликтующая учетная запись в целевом домене будет наследовать права доступа и свойства учетной записи компьютера, переносимой из исходного домена.
•
Remove Existing User Rights (Удалять существующие права пользователей). Если выбрана опция замены существующих учетных записей, необходимо решить, нужно ли сохранять права пользователей для конфликтующих учетных записей. Выбор этой опции обеспечивает, что конфликтующие учетные записи в целевом домене не будут обладать большими правами пользователей, чем учетные записи компьютеров, переносимые из исходного домена.
•
Remove Existing Members of Groups Being Replaced (Удалять существующие члены замещаемых групп). При выборе этой опции утилита ADMT будет сравнивать состав групп и обеспечивать идентичность состава переносимых групп компьютеров с составом групп в исходном домене.
•
Move Replaced Accounts to Specified Target Organizational Unit (Перемещать замененные учетные записи в указанную целевую организационную единицу). При выборе этой опции все существующие учетные записи компьютеров будут заменяться учетными записями, переносимыми в целевую организационную единицу.
Для предотвращения конфликтов с существующими учетными записями компьютеров в целевом домене можно использовать опции Rename with Prefix (Переименовывать, добавляя префикс) и Rename with Suffix (Переименовывать, добавляя суффикс). Можно добавить префикс или суффикс, который утилита ADMT должна использовать при возникновении конфликтов имен компьютеров.
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
523
Для проверки правильности выбора опций миграции просмотрите информацию, приведенную на странице Task Description (Описание задач). Для просмотра всех выбранных опций воспользуйтесь линейкой прокрутки. Щелкнув на кнопке Back, можно внести изменения в выбранные опции. Чтобы использовать указанные параметры настройки и продолжить выполнение выбранных задач, щелкните на кнопке Finish.
Ìèãðàöèÿ ó÷åòíûõ çàïèñåé ñëóæá â Active Directory Если нужно выполнить модернизацию на месте и обеспечить поддержку приложений, требующих использования учетных записей — таких как Microsoft Exchange и другие программные продукты сторонних разработчиков — мастер миграции учетных записей служб (Service Account Migration Wizard) утилиты ADMT может облегчить процесс переноса этой информации учетных записей в Active Directory. 1. Из консоли ADMT запустите мастер миграции учетных записей служб (Service Account Migration Wizard), выбрав в меню Action пункт Service Account Migration Wizard (Мастер миграции учетных записей служб). 2. Выберите исходный домен, в котором расположены учетные записи служб, и целевой домен, в который их нужно перенести. Затем щелкните на кнопке Next. 3. Страница Update Service Account Information (Обновить информацию учетных записей служб) будет содержать собранную информацию об учетных записях служб исходного домена. Если мастер миграции учетных записей служб используется впервые, выберите вариант Yes, Update the Information (Да, обновить информацию). В этом случае опция No, Use Previously Collected Information (Нет, использовать ранее собранную информацию) недоступна. Эта опция позволяет выполнить миграцию учетных записей служб без сбора информации об учетных записях при каждом запуске мастера. 4. На странице Service Account Selection (Выбор учетных записей служб) введите компьютер, на котором должны храниться перенесенные учетные записи служб. Для ввода и проверки имен учетных записей компьютеров, на которых будут храниться переносимые учетные записи служб, щелкните на кнопке Add (Добавить). Затем щелкните на кнопке OK. 5. Откроется окно Active Directory Migration Tool Monitor (Монитор средства миграции Active Directory). Оно позволяет следить за состоянием установки агента ADMT на выбранных компьютерах. 6. На странице Service Account Information (Сведения об учетных записях служб) просмотрите информацию об учетных записях служб, выбранных для миграции. Для выбора или отмены выбора учетных записей служб для миграции используйте кнопку Skip/Include (Пропустить/Включить). Для обновления записи управления службой можно выбрать опцию Update CSM Now (Обновить центральный сервисный модуль). После выбора нужных учетных записей щелкните на кнопке Next. 7. На странице с итоговой информацией мастера миграции учетных записей служб можно проконтролировать действия и результаты переноса. Воспользуй-
524
Миграция на Windows Server 2003 ×àñòü V
тесь линейкой прокрутки для просмотра задач, выполняемых в ходе переноса учетных записей служб. Щелкните на кнопке Finish, чтобы закрыть мастер миграции учетных записей служб. Средство миграции Active Directory можно использовать для миграции в Active Directory дополнительных ресурсов домена Windows NT4. Прежде чем продолжить выполнение любого из этих типов миграции, всегда просматривайте результаты каждой миграции и тестируйте права доступа и выполняемые функции.
Ðåçþìå При миграции с Windows NT4 непосредственно на Windows Server 2003 во время ее подготовки и выполнения следует учитывать множество факторов. В этой главе рассмотрены три основных метода выполнения миграции, а также средства, поставляемые компанией Microsoft для облегчения выполнения миграции. Модернизация на месте — самый простой метод миграции, который сохраняет настройки безопасности и параметры конфигурации, позволяя минимизировать время неготовности сети. Однако для некоторых организаций, которые стремятся начать с совершенно новой структуры, больше подходит второй способ, заключающийся в миграции объектов Windows NT4 — учетных записей пользователей, учетных записей компьютеров и тому подобного — в новый лес Active Directory. Третий метод — объединение нескольких существующих доменов Windows NT4 в конфигурацию единого домена Active Directory. Этот метод объединения часто используется организациями, которым требуется минимизировать число используемых ими доменов. Все три метода пригодны в различных ситуациях миграции. Организация, которой нужно выполнить миграцию, может выбрать тот из вариантов, который ей больше подходит.
Ïîëåçíûå ñîâåòû •
Прежде чем приступать к миграции серверов на Windows Server 2003, необходимо определить совместимость аппаратного и программного обеспечения серверов и приложений Windows NT4 с операционными системами семейства Windows Server 2003.
•
Для проверки совместимости приложений используйте утилиту проверки совместимости Microsoft (Microsoft Compatibility Check Tool), доступную на установочном компакт-диске Windows Server 2003.
•
Если сервер, предназначенный для модернизации, сконфигурирован с использованием наборов томов, полосовых дисковых наборов или полосовых дисковых наборов с контролем четности, то прежде чем выполнять модернизацию на месте, удалите эти наборы и создайте новые отказоустойчивые дисковые конфигурации.
•
Прежде чем начать модернизацию домена на месте, рекомендуется синхронизировать первичный контроллер и резервные контроллеры домена.
•
Отдавайте предпочтение модернизации на месте с Windows NT4 до Windows 2003 вместо создания нового леса и перемещения объектов для минимизации
Миграция с Windows NT4 на Windows Server 2003 Ãëàâà 16
525
времени, усилий, затрат и отказа в обслуживании пользователей, сопутствующих процессу миграции в новый лес. •
По завершении любой модернизации просмотрите журналы событий и системные журналы сервера.
•
Для проверки успешности переноса всех настроек безопасности в Windows Server 2003 и Active Directory просмотрите окно оснастки Active Directory Users and Computers.
•
Прежде чем выполнять перенос резервных контроллеров домена, просмотрите журналы приложений резервных контроллеров домена и рядовых серверов, а также системные журналы для выявления проблем, которые могут повлиять на выполнение миграции.
•
При конфигурировании расположения базы данных Active Directory убедитесь, что план конфигурирования оборудования сервера учитывает вопросы восстановления и производительности.
•
Для обеспечения наибольшей производительности базы данных службу Active Directory следует устанавливать на диск, отличный от используемого операционной системой и файлом подкачки.
•
Для обеспечения наилучшей восстанавливаемости баз данных Active Directory следует использовать такие средства отказоустойчивости, как RAID-массивы или зеркальные диски.
•
При возникновении проблем во время создании доверительных отношений повысьте функциональные уровни леса, используя диалоговое окно свойств домена Active Directory.
•
Установите утилиту ADMT на контроллере домена, расположенном в целевом домене.
•
Тестируйте все сценарии переноса, прежде чем выполнять реальную миграцию учетных записей пользователей.
•
Для разрешения конфликтов именования между переносимыми учетными записями и учетными записями, существующими в целевом домене, используйте страницу Naming Conflicts утилиты ADMT.
•
Чтобы выбрать параметры, наиболее подходящие для конкретной миграции, просмотрите опции миграции групп на странице Group Options.
Ìèãðàöèÿ ñ Windows 2000 íà Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Îáçîð ìèãðàöèè íà Windows Server 2003
•
Íà÷àëî ïðîöåññà ìèãðàöèè
•
Ìîäåðíèçàöèÿ îòäåëüíîãî ðÿäîâîãî ñåðâåðà
•
Ìîäåðíèçàöèÿ ëåñà Active Directory Windows 2000
•
Ìîäåðíèçàöèÿ îòäåëüíûõ ëåñîâ Active Directory äî åäèíîãî ëåñà ñ ïîìîùüþ ïåðåàäðåñàöèè äîìåíîâ ñìåøàííîãî ðåæèìà
•
Îáúåäèíåíèå è ìèãðàöèÿ äîìåíîâ ñ ïîìîùüþ ñðåäñòâà ìèãðàöèè Active Directory âåðñèè 2.0
•
Îáúåäèíåíèå äîìåíîâ Windows 2000 â äîìåí Windows Server 2003 ñ ïîìîùüþ óòèëèòû ADMT 2.0
ÃËÀÂÀ
17
528
Миграция на Windows Server 2003 ×àñòü V
Îáçîð ìèãðàöèè íà Windows Server 2003 Во многих отношениях миграция с Windows 2000 на Windows Server 2003 больше похожа на модернизацию с помощью пакета обновлений, чем на сценарий крупной миграции. Различия между этими двумя операционными системами носят скорее эволюционный, а не революционный характер — поэтому в процессе миграции нужно учитывать меньше конструктивных факторов, чем при модернизации с операционной системы Windows NT 4.0. Но все-таки при миграции на Windows Server 2003 можно заметить несколько явных усовершенствований — и при одновременной модернизации всех серверов, и при медленном поэтапном подходе. Такие усовершенствования Active Directory, как возможность переименования доменов и увеличение масштабируемости, стимулируют миграцию из среды Active Directory Windows 2000. Аналогичным стимулом являются и усовершенствования, внесенные в отдельные серверы: терминальные службы, усовершенствования в файловых серверах и серверах печати, средство автоматического восстановления сервера и многие другие. В этой главе основное внимание уделено планированию, стратегии и логике выполнения перехода от Windows 2000 к Windows Server 2003. В главе описаны также такие специализированные процедуры, как применение переадресация доменов смешанного режима (Mixed-Mode Domain Redirect) и миграция с помощью средства миграции Active Directory (Active Directory Migration Tool — ADMT), а также пошаговые инструкции по выполнению этих процессов.
Íà÷àëî ïðîöåññà ìèãðàöèè Каждая процедура миграции должна учитывать причины миграции, требуемые для этого шаги, меры по предотвращению отказов и другие важные факторы, которые могут влиять на процесс миграции. После решения этих вопросов можно приступать к самой миграции.
Îïðåäåëåíèå çàäà÷ ïåðåõîäà При модернизации технологии обычно придерживаются одной из двух взаимоисключающих точек зрения. Первая выражается фразой “Если все работает — не лезь”. Понятно, что если организация располагает работоспособной, простой в использовании и хорошо спроектированной инфраструктурой Windows 2000, то вставка компактдиска Windows Server 2003 и выполнение модернизации может выглядеть не столь уж привлекательно. Вторая точка зрения формулируется примерно так: “Кто не модернизирует свои технологии, тот губит их”. Выбор одной из этих точек зрения зависит от факторов, которые побуждают организацию к выполнению модернизации. Если у организации имеются важные производственные потребности, которые можно удовлетворить с помощью модернизации, то такую модернизацию стоит провести. Однако если серьезной необходимости нет, то, возможно, лучше дождаться следующей версии Windows или очередного пакета обновлений для Windows Server 2003.
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
529
Îïðåäåëåíèå ýòàïîâ ïðîåêòà ìèãðàöèè После того как решение о модернизации принято, необходимо подробно определить ресурсы, график, объем и задачи проекта. Любое планирование миграции требует создания либо быстрого чернового, либо профессионально разработанного плана проекта. План миграции помогает руководству проекта своевременно выполнять запланированные задачи и правильно распределять ресурсы. Ниже кратко описаны стандартные этапы проекта миграции: •
Обследование. Первым этапом проектирования должно быть обследование, то есть выяснение объективных фактов. На этом этапе основное внимание уделяется анализу текущей среды и документированию результатов анализа. В ходе его выполнения необходимо создать диаграммы существующей сети, расположения серверов, магистралей глобальной сети, взаимосвязей серверных приложений и всех других сетевых компонентов.
•
Проектирование. Этот этап очевиден. Все основные компоненты плана самой миграции должны быть документированы, а основные данные, полученные на этапе обследования, должны использоваться для создания документов проектирования и миграции. Обычно на этом этапе создается черновик самого плана проекта. Поскольку Windows Server 2003 не очень отличается от Windows 2000, значительное изменение существующей среды Active Directory не требуется. Однако необходимо решить ряд других вопросов: размещение серверов, применение новых возможностей и изменения в моделях репликации Active Directory.
•
Создание прототипа. В основном этап создания прототипа требует выполнения лабораторных работ по тестированию проектных решений, принятых на этапе проектирования. Идеальный прототип должен включать в себя имитацию промышленной среды, в которой планируется миграция с Windows 2000 на Windows Server 2003. Применительно к Active Directory это означает создание производственного контроллера домена (DC) с последующей его изоляцией в лабораторной среде и повышением до сервера мастера операций (OM). Затем можно выполнить миграцию Active Directory без влияния на промышленную среду. На этом этапе могут также быть определены и созданы пошаговые процедуры выполнения перехода.
•
Опытный этап. Опытный (пилотный) этап, то есть этап практической проверки концепций, включает в себя промышленное тестирование шагов миграции в ограниченных масштабах. Например, перед миграцией на Windows Server 2003 всех важных сетевых серверов можно выполнить модернизацию сервера, не критичного для работы системы. При медленной поэтапной миграции опытный этап постепенно переходит в этап внедрения, поскольку модернизация будет выполняться постепенно, сервер за сервером.
•
Этап внедрения. Этап внедрения проекта представляет собой полномасштабную модернизацию функциональных возможностей сети или модернизацию операционной системы. Как уже отмечалось, этот процесс может выполняться быстро или медленно, в зависимости от потребностей организации. Следовательно, на этапе проектирования важно принять решения по срокам выполнения перехода и учесть их в плане проекта.
530 •
Миграция на Windows Server 2003 ×àñòü V
Обучение. Изучение всех нюансов новых возможностей, вносимых в производственную среду Windows Server 2003, очень важно для осознания повышения производительности и снижения трудоемкости администрирования, которые может обеспечить новая операционная система (ОС). Следовательно, для полного выполнения задач проекта миграции в него важно включить этап обучения.
Более подробная информации об этапах плана проекта миграции на Windows Server 2003 приведена в главе 2.
Ñðàâíåíèå ìîäåðíèçàöèè íà ìåñòå ñ ìèãðàöèåé íà íîâîå îáîðóäîâàíèå Поскольку принципиальные различия между Windows 2000 и Windows Server 2003 незначительны, одним из вариантов перехода является простая модернизация существующей инфраструктуры Windows 2000. Этот тип стратегии миграции может оказаться более или менее подходящим, в зависимости от оборудования, используемого в настоящий момент в сети Windows 2000. Однако часто более перспективным представляется ввод в существующую промышленную среду новых систем и вывод из нее используемых в данное время серверов. Обычно эта технология меньше влияет на существующую среду и, кроме того, обеспечивает более легкий откат в случае неудачи. Основным фактором выбора стратегии миграции является состояние используемой аппаратной среды. Если среда Windows 2000 работает на пределе возможностей оборудования, то, вероятно, лучше ввести в нее новые серверы и вывести старые серверы Windows 2000. Однако если оборудование, используемое в сети Windows 2000, достаточно современно и надежно и может успешно работать на протяжении еще двух-трех лет, то, возможно, проще будет выполнить модернизацию на месте установленных в среде систем. В большинстве случаев применяются оба метода миграции. Устаревшее оборудование заменяется новым, работающим под управлением Windows Server 2003, а более новые системы Windows 2000 просто модернизируются до Windows Server 2003. Следовательно, важными фазами процесса перехода являются анализ всех систем, для которых требуется миграция, и определение того, какие из них лучше модернизировать, а какие — вывести из эксплуатации.
Ñòðàòåãèè ìèãðàöèè: “áîëüøîé âçðûâ” è ìåäëåííûé ïåðåõîä Как и при внедрении большинства технологий, существует два подхода к развертыванию систем: быстрый подход типа “большого взрыва” и поэтапный, медленный подход. “Большой взрыв” предполагает быструю, часто в течение выходных, замену всей инфраструктуры Windows 2000 новой средой Windows Server 2003; а поэтапный подход предполагает медленную, сервер за сервером, замену систем Windows 2000. Каждый подход имеет свои достоинства и недостатки, и прежде чем принять окончательное решение, следует учесть основные особенности Windows Server 2003. Лишь немногие компоненты Windows Server 2003 требуют изменения используемых элементов структуры Windows 2000. Поскольку основные аргументы в пользу “большо-
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
531
го взрыва” так или иначе связаны с нежелательностью длительного параллельного использования двух конфликтующих систем, сходство Windows 2000 и Windows Server 2003 делает многие из этих аргументов несущественными. Поэтому скорее всего многие организации, желая облегчить переход к Windows Server 2003, выберут поэтапную миграцию путем модернизации. Поскольку серверы Windows Server 2003 могут успешно работать в среде Windows 2000 и наоборот, этот вариант легко реализуем.
Âàðèàíòû ìèãðàöèè Как уже было сказано, Windows Server 2003 и Windows 2000 успешно “сотрудничают”, из чего следует дополнительное преимущество — большее количество различных способов миграции. В отличие от миграции с NT 4.0 или сред, отличных от Windows, процедура миграции между этими двумя с системами не является жесткой и допускает успешное применение различных подходов для достижения конечного результата.
Ìîäåðíèçàöèÿ îòäåëüíîãî ðÿäîâîãî ñåðâåðà Наиболее простой метод миграции — непосредственная модернизация системы Windows 2000 до Windows Server 2003. В ходе модернизации все настройки отдельного сервера просто преобразуются в настройки Windows Server 2003. Если сервер Windows 2000 поддерживает службы WINS, DNS и DHCP, то в процессе модернизации наряду с базовой операционной системой будут модернизированы и все компоненты WINS, DNS и DHCP. Это обстоятельство делает данный тип миграции весьма привлекательным, и он может оказаться очень эффективным при условии выполнении всех необходимых условий, описанных в последующих разделах. Часто модернизация отдельного сервера может быть самостоятельным проектом. Зачастую обособленные рядовые серверы выполняют в сети роль “рабочих лошадок”, нагруженных множеством различных приложений и важных утилит. Выполнение модернизации этих серверов не представляло бы сложности, если бы они использовались только для работы с файлами или печатью, а все их оборудование было бы современным. Поскольку это не всегда так, важно точно определить особенности каждого сервера, предназначенного для миграции.
Ïðîâåðêà ñîâìåñòèìîñòè îáîðóäîâàíèÿ Важно протестировать аппаратную совместимость всех серверов, которые будут модернизированы непосредственно до Windows Server 2003. Весьма нежелательно в разгар процесса установки обнаружить проблемы совместимости между компонентами старой системы и драйверами, необходимыми для Windows Server 2003. Поэтому оборудование сервера следует проверить на совместимость с Windows Server 2003 на Web-сайте изготовителя или в списке совместимого оборудования (Hardware Compatibility List — HCL) компании Microsoft, который в настоящее время находится по адресу http://www.microsoft.com/whdc/hcl. Компания Microsoft рекомендует минимальные уровни оборудования, на которых должны работать системы Windows Server 2003, но настоятельно рекомендуется уста-
532
Миграция на Windows Server 2003 ×àñòü V
навливать их на гораздо более производительных конфигурациях, поскольку эти рекомендации не учитывают дополнительную нагрузку каких-либо приложений, задачи контроллера домена и тому подобное. Компания Microsoft рекомендует для установки Windows Server 2003 следующий уровень оборудования: •
Процессор Intel Pentium III с тактовой частотой 550 МГц или аналогичный.
•
ОЗУ объемом 256 Мб.
•
1,5 Гб свободной дисковой памяти.
Но должно быть понятно, что почти всегда для создания надежной вычислительной среды рекомендуется использовать оборудование, уровень которого превышает указанный здесь.
НА ЗАМЕТКУ Одно из наиболее важных свойств ответственных серверов — их резервирование, или избыточность (redundancy). Например, простым, но эффективным способом повышения резервирования среды является установка операционной системы на зеркальный дисковый массив.
Ïðîâåðêà ãîòîâíîñòè ïðèëîæåíèé Ничто не сказывается на процессе миграции столь пагубно, как обнаружение того, что важное промышленное приложение не будет работать в новой среде. Поэтому очень важно составить список всех приложений сервера, которые потребуются в новой среде. Приложения, которые не будут использоваться или будут заменены в Windows Server 2003, могут быть удалены из системы и не приниматься в расчет. Аналогично, те приложения, которые проверены на совместимость с Windows Server 2003, могут быть спокойно включены в процесс модернизации. Для всех других приложений, которые необходимы, но могут быть несовместимыми, придется либо делегировать выполнение их функций другому серверу Windows 2000, либо отложить модернизацию данного сервера. Кроме приложений, важно учитывать также версию модернизируемой операционной системы. Сервер Windows 2000 может быть модернизирован либо до Windows Server 2003 Standard Server, либо до Windows Server 2003 Enterprise Server. Однако система Windows 2000 Advanced Server может быть модернизирована только до Windows Server 2003 Enterprise Server. И, наконец, система Windows 2000 Datacenter Server может быть модернизирована только до Windows Server 2003 Datacenter Server.
Ðåçåðâíîå êîïèðîâàíèå è îðãàíèçàöèÿ ïðîöåññà âîññòàíîâëåíèÿ Важно, чтобы миграция не принесла среде больше вреда, чем пользы. Поэтому вполне очевидно, что важным условием быстрого восстановления в случае неудачной модернизации является наличие надежной системы резервного копирования. Часто, особенно при проведении модернизации на месте, резервная копия всей системы является единственным способом выполнения восстановления. Следовательно, очень важно подробно определить процедуру отката на случай возникновения каких-либо проблем.
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
533
Ìîäåðíèçàöèÿ îáîñîáëåííîãî ñåðâåðà После тщательной проверки всех характеристик совместимости приложений и оборудования можно приступить к модернизации обособленного сервера. Для этого потребуется выполнить следующие действия: 1. Вставьте компакт-диск Windows Server 2003 в привод модернизируемого сервера. 2. Должно автоматически открыться окно приветствия. Если оно не откроется, выберите в меню Start (Пуск) пункт Run (Выполнить) и введите команду d:\Setup, где d: — буквенное обозначение привода чтения компакт-дисков. 3. Выберите вариант Install Windows Server 2003 (Enterprise Edition) (Установить Windows Server 2003 (Enterprise Edition)). 4. В выпадающем списке выберите вариант Upgrade (Модернизировать), как показано на рис. 17.1, а затем щелкните на кнопке Next (Далее).
Ðèñ. 17.1. Начало модернизации сервера до Windows Server 2003 5. На экране с лицензионным соглашением выберите опцию I Accept This Agreement (Я принимаю это соглашение) и щелкните на кнопке Next. 6. В следующем окне нужно ввести 25-символьный ключ продукта. Его можно найти на коробке компакт-диска или в лицензионной документации Microsoft. Введите ключ продукта и щелкните на кнопке Next. 7. Следующее окно позволяет выполнить загрузку обновленных файлов Windows Server 2003. Они могут быть загружены в процессе модернизации или установлены позднее. В данном примере выберите вариант No, Skip This Step and Continue Installing Windows (Нет, пропустить этот шаг и продолжить установку Windows). Затем щелкните на кнопке Next. 8. Следующее окно очень важно. Оно показывает, какие системные компоненты не совместимы с Windows Server 2003. В нем также указывается, например, что в ходе установки будет отключена служба IIS, как показано на рис. 17.2. IIS отключается по соображениям безопасности, хотя в новой ОС ее можно снова ак-
534
Миграция на Windows Server 2003 ×àñòü V
тивизировать. После просмотра представленной информации щелкните на кнопке Next.
Ðèñ. 17.2. Просмотр отчета о совместимости системы 9. После этого, продолжая процесс модернизации, система скопирует файлы и выполнит перезагрузку. После копирования всех файлов система будет модернизирована до полностью функциональной версии Windows Server 2003.
НА ЗАМЕТКУ По умолчанию в Windows Server 2003 отключаются многие ранее активные компоненты, такие как IIS. Поэтому по завершении модернизации необходимо выполнить проверку всех служб и активизировать нужные отключенные компоненты.
Ìîäåðíèçàöèÿ ëåñà Active Directory Windows 2000 Во многих случаях мигрируемая среда Windows 2000 содержит один или несколько доменов и лесов Active Directory. Поскольку Active Directory — один из наиболее важных компонентов сети Microsoft, эта область требует особого внимания при выполнении миграции. Кроме того, многие усовершенствования, внесенные в Windows Server 2003, непосредственно связаны с Active Directory, что делает миграцию этого компонента среды еще более желательной. Решение по модернизации Active Directory должно учитывать в первую очередь эти важные усовершенствования. Если одно или несколько из этих усовершенствований оправдывают модернизацию, следует всерьез подумать о ее выполнении. Ниже описаны некоторые из множества усовершенствований, внесенных в Active Directory в Windows Server 2003: •
Возможность переименования доменов. Active Directory Windows Server 2003 поддерживает изменение NetBIOS-имени или LDAP/DNS-имени домена Active
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
535
Directory. Для этого можно использовать средство переименования Active Directory, но только в тех доменах, которые полностью модернизированы до контроллеров доменов Windows Server 2003. •
Транзитивные доверительные отношения между лесами. Теперь Windows Server 2003 поддерживает реализацию транзитивных доверительных отношений, которые можно устанавливать между отдельными лесами Active Directory. Windows 2000 поддерживала только явные доверительные отношения между лесами, и структура доверительных отношений не допускала передачи прав доступа между отдельными доменами в лесу. В Windows Server 2003 это ограничение снято.
•
Универсальное кэширование групп. Одним из главных структурных ограничений Active Directory была необходимость установки очень “болтливых” серверов глобального каталога в каждом сайте, установленном в топологии репликации. В противном случае возрастал риск существенного замедления входа клиента в систему и запросов к каталогу. Windows Server 2003 позволяет контроллерам удаленного домена кэшировать информацию о членстве пользователей в универсальных группах, чтобы каждый запрос на вход в систему не требовал использования локального сервера глобального каталога.
•
Усовершенствования генератора межсайтовой топологии (Inter-Site Topology Generator — ISTG). В Windows Server 2003 генератор ISTG усовершенствован и поддерживает конфигурации с очень большим количеством сайтов. Кроме того, применение более эффективного алгоритма ISTG значительно уменьшает время, необходимое для определения топологии сайта.
•
Усовершенствования репликации многозначных атрибутов. Если в Windows 2000 количество членов универсальной группы изменялось с 5000 на 5001 пользователя, то вся информация о членстве в группе должна была заново реплицироваться по всему лесу. Windows Server 2003 решает эту проблему и допускает инкрементную репликацию изменений информации о членстве в группах.
•
Обнаружение зависших объектов (“зомби”). Контроллеры доменов, которые не работали в течение периода времени, превышающего время жизни (Time to Live — TTL) удаленных объектов, в принципе могли “оживлять” эти объекты, возвращая их к жизни в форме “зомби”, или зависших объектов. Windows Server 2003 правильно идентифицирует этих зомби и предотвращает их репликацию в другие контроллеры доменов.
•
Интегрированные в Active Directory зоны DNS в разделе приложений. В Windows Server 2003 репликация зон DNS усовершенствована посредством хранения AD-интегрированных зон в разделе приложений леса. Это ограничивает необходимость их репликации во все контроллеры доменов и уменьшает сетевой трафик.
НА ЗАМЕТКУ Более подробная информация об усовершенствованиях, внесенных в Active Directory, и о способах их применения для определения необходимости выполнения модернизации в конкретной организации содержится в главах 4, 5, 6 и 7.
536
Миграция на Windows Server 2003 ×àñòü V
Ìèãðàöèÿ êîíòðîëëåðîâ äîìåíîâ После того как принято решение о миграции в среду Active Directory, рекомендуется составить план модернизации всех контроллеров доменов среды до Windows Server 2003. В отличие от рядовых серверов, все преимущества усовершенствований Active Directory в Windows Server 2003 не проявляются полностью до тех пор, пока вся среда не станет функционировать как Windows Server 2003, а все контроллеры доменов не будут модернизированы. Конечно, можно сохранить и смешанную среду контроллеров доменов Windows 2000/Windows Server 2003. Однако настоятельно рекомендуется модернизировать все контроллеры доменов до Windows 2000 Service Pack 2 или выше, поскольку задача выполнения репликации между контроллерами доменов впервые была решена этим пакетом обновлений. Аналогично логике, описанной в разделе “Модернизация обособленного сервера”, существует два подхода к миграции контроллеров доменов. Контроллеры доменов могут быть либо непосредственно модернизированы до Windows Server 2003, либо заменены новыми контроллерами доменов Windows Server 2003. Решение о модернизации существующего сервера в значительной степени зависит от его аппаратного обеспечения. Основное правило можно сформулировать так: если оборудование в состоянии поддерживать Windows Server 2003 в настоящее время и на протяжении последующих двух-трех лет, можно выполнить непосредственную модернизацию сервера. Иначе для выполнения миграции лучше использовать новое оборудование.
НА ЗАМЕТКУ Как видно на рис. 17.3, в тех случаях, когда часть оборудования является современным, а часть — устаревшим и требующим замены, можно применять (и довольно часто применяется) комбинированный подход. В любом случае успешному выполнению миграции способствует наличие правильно составленного плана проекта.
Êîíòðîëëåð äîìåíà Win 2000 Óñòàðåâøåå îáîðóäîâàíèå
X
(Äåìîíòèðîâàí)
Êîíòðîëëåð äîìåíà Êîíòðîëëåð Win 2000 äîìåíà Ñîâðåìåííîå Win 2003 îáîðóäîâàíèå (Ìîäåðíèçèðîâàí)
Íîâûå êîíòðîëëåðû äîìåíîâ Win 2003
Ðèñ. 17.3. Комбинированный процесс модернизации
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
537
Ìîäåðíèçàöèÿ ñõåìû Active Directory ñ ïîìîùüþ óòèëèòû adprep Включение контроллеров доменов Windows Server 2003 в Active Directory Windows 2000 требует для поддержки дополнительных возможностей обновления основного компонента базы данных Active Directory — схемы. Кроме того, чтобы подготовить лес к включению в него серверов Windows Server 2003, необходимо внести еще несколько изменений в настройки безопасности. Компакт-диск Windows Server 2003 содержит утилиту командной строки adprep, которая расширяет схему, включая в нее необходимые расширения и выполняя требуемые изменения в безопасности. Прежде чем можно будет добавить первый контроллер домена Windows Server 2003, необходимо запустить утилиту adprep с аргументами forestprep и domainprep. По умолчанию схема Active Directory в Windows 2000 содержит 1006 атрибутов (рис. 17.4). После выполнения команды adprep forestprep схема будет расширена дополнительными атрибутами, которые поддерживают возможности Windows Server 2003.
Ðèñ. 17.4. Окно утилиты ADSI Edit перед выполнением процедуры forestprep Утилиту adprep необходимо запустить с компакт-диска Windows Server 2003 или из того каталога, в который она была скопирована из папки \i386. Операцию adprep forestprep можно запустить на сервере, содержащем роль мастера операций (Operations Master — OM) мастера схемы, выполнив перечисленные ниже шаги. 1. На контроллере домена Schema Master (Мастер схемы) выберите в меню Start пункт Run, а затем введите cmd и нажмите клавишу <Enter>, чтобы открыть командное окно. 2. Вставьте компакт-диск Windows Server 2003 в соответствующий привод. 3. Введите команду D:\i386\adprep /forestprep, где D: — привод для чтения компакт-дисков, и нажмите <Enter>.
538
Миграция на Windows Server 2003 ×àñòü V
4. Убедившись, что все контроллеры доменов в лесу Active Directory работают под Windows 2000 Service Pack 2 или выше, введите в командной строке команду C и нажмите <Enter>. 5. Процедура forestprep расширит схему AD Windows 2000, как показано на рис. 17.5. После расширения схемы она реплицируется во все контроллеры доменов в лесу. После этого закройте командное окно.
Ðèñ. 17.5. Запуск процедуры adprep forestprep Как видно из низкоуровневого представления схемы каталога на рис. 17.6, во время выполнения процедуры forestprep схема Active Directory расширяется на 256 объектов, и теперь содержит 1262 объекта. После выполнения этого шага необходимо выполнить процедуру domainprep.
Ðèñ. 17.6. Окно утилиты ADSI Edit после выполнения процедуры forestprep
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
539
Операцию adprep domainprep необходимо запустить по одному разу для каждого домена в лесу. Физически она должна вызываться на том сервере, который содержит роль мастера операций (Operation Master — OM). Для ее выполнения необходимо выполнить следующие шаги: 1. На контроллере домена Operation Master (Мастер операций) откройте командное окно. Для этого выберите в меню Start пункт Run, а затем введите команду cmd и нажмите клавишу <Enter>. 2. Вставьте компакт-диск Windows Server 2003 в соответствующий привод. 3. В командной строке введите команду D:\i386\adprep/domainprep, где D: — буквенное обозначение привода для чтения компакт-дисков, и нажмите <Enter>. 4. Введите команду exit, чтобы закрыть командное окно. После выполнения операций forestprep и domainprep лес Active Directory будет готов к включению в него или модернизации контроллеров доменов до Windows Server 2003. Схема будет расширена на 256 атрибутов и будет включать в себя поддержку разделов приложений. После этого можно начать процесс модернизации контроллеров доменов до Windows Server 2003.
НА ЗАМЕТКУ Процедура adprep не оказывает влияния на какие-либо ранее внесенные в схему Windows 2000 расширения, например, выполненные Exchange 2000/2003. Она просто добавляет дополнительные атрибуты, не изменяя уже существующие.
Ìîäåðíèçàöèÿ ñóùåñòâóþùèõ êîíòðîëëåðîâ äîìåíîâ Процесс модернизации всего оборудования или некоторой его части до Windows Server 2003 прост. Однако, как и при модернизации обособленного сервера, необходимо убедиться в совместимости с Windows Server 2003 оборудования и всех дополнительных программных компонентов. После выполнения этого условия можно приступить к самой миграции. Процедура модернизации контроллера домена до Windows Server 2003 практически идентична процедуре, описанной в предыдущем разделе “Модернизация отдельного рядового сервера”. Нужно просто вставить компакт-диск и запустить процесс модернизации, и примерно через час или немногим более компьютер будет модернизирован и начнет работать в качестве контролера домена Windows Server 2003.
Çàìåíà ñóùåñòâóþùèõ êîíòðîëëåðîâ äîìåíîâ Если нужно перенести в новую среду Active Directory функции конкретного контроллера домена, но при этом планируется использовать новое оборудование, то прежде чем удалить из среды старые серверы, в нее необходимо включить новые контроллеры доменов. Процесс установки нового сервера аналогичен процессу, используемому в Windows 2000, а повысить статус сервера до контроллера домена можно с помощью утилиты DCPromo.
540
Миграция на Windows Server 2003 ×àñòü V
Однако в Windows Server 2003 имеется усовершенствованный мастер конфигурирования сервера (Configure Your Server Wizard), который позволяет администратору назначить серверу несколько ролей. Такой подход наиболее разумен, и ниже описаны шаги по установке нового контроллера домена в домене Active Directory Windows 2000. 1. Откройте мастер конфигурирования сервера, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖConfigure Your Server Wizard (Все программыÖ АдминистрированиеÖМастер конфигурирования сервера). 2. На странице приветствия, показанной на рис. 17.7, щелкните на кнопке Next.
Ðèñ. 17.7. Мастер конфигурирования сервера 3. Проверьте выполнение подготовительных действий и щелкните на кнопке Next. 4. Выберите из списка вариант Domain Controller (Контроллер домена) и щелкните на кнопке Next. 5. На странице Summary (Сводка) проверьте правильность выбора параметров и щелкните на кнопке Next. 6. После вызова мастера установки Active Directory (AD Installation Wizard) щелкните на кнопке Next. 7. На странице Operating System Compatibility (Совместимость операционной системы) щелкните на кнопке Next, чтобы убедиться в отсутствии поддержки старых версий программного обеспечения Microsoft, такого как Windows 95. 8. Выберите вариант Additional Domain Controller for an Existing Domain (Дополнительный контроллер домена для существующего домена) и щелкните на кнопке Next. 9. Введите пароль учетной записи Administrator (Администратор) в домене Active Directory и щелкните на кнопке Next. 10. В диалоговом окне введите имя целевого домена Active Directory и щелкните на кнопке Next.
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
541
11. Введите местоположения базы данных и журналов Active Directory (наивысшая производительность достигается тогда, когда они хранятся на отдельных томах) и щелкните на кнопке Next. 12. Введите местоположение папки SYSVOL и щелкните на кнопке Next. 13. Ведите пароль для режима восстановления служб каталога (Directory Services Restore Mode), который можно использовать при восстановлении каталога, а затем щелкните на кнопке Next. 14. Проверьте правильность выбора задач и щелкните на кнопке Next. После этого сервер свяжется с другим контроллером данного домена и выполнит репликацию информации домена, как показано на рис. 17.8.
Ðèñ. 17.8. Конфигурирование Active Directory 15. По завершении процесса щелкните на кнопке Finish (Готово). 16. В ответ на запрос щелкните на кнопке Restart Now (Перезапустить сейчас), чтобы выполнить перезагрузку контроллера домена и установить его в новой роли в Active Directory.
Ïåðåäà÷à ðîëåé ìàñòåðà îïåðàöèé Active Directory поддерживает модель репликации с несколькими хозяевами, в которой любой сервер может взять на себя управление функционированием каталога, и каждый контроллер домена содержит доступную для чтения/записи копию объектов каталога. Однако из этого правила существует несколько важных исключений, когда определенные функции леса должны управляться единым контроллером домена. Эти исключения называют ролями мастера операций (Operation Master — OM) или перемещаемыми ролями с одним мастером (Flexible Single Master Operation — FSMO). Существует пять ролей OM: •
Мастер схемы.
•
Мастер именования доменов.
•
Мастер RID.
•
Эмулятор первичного контроллера домена.
•
Мастер инфраструктуры.
542
Миграция на Windows Server 2003 ×àñòü V
Если сервер или серверы, выполняющие роль OM, не модернизируются до Windows Server 2003, а удаляются из системы, то эти роли нужно передать другому серверу. Лучшее средство выполнения такой передачи — использование утилиты командной строки ntdsutil. Чтобы передать все роли OM одному контроллеру домена Windows Server 2003 с помощью утилиты ntdsutil, выполните описанные ниже шаги. 1. Откройте командное окно, выбрав в меню Start пункт Run, введите команду cmd и нажмите клавишу <Enter>. 2. Введите команду ntdsutil и нажмите <Enter>. 3. Введите команду roles и нажмите <Enter>. 4. Введите команду connections и нажмите <Enter>. 5. Введите команду connect to server <Имя_сервера>, где <Имя_сервера> — имя целевого контроллера домена Windows Server 2003, который будет содержать роли OM, и нажмите <Enter>. 6. Введите команду quit и нажмите <Enter>. 7. Введите команду transfer schema master, как показано на рис. 17.9, и нажмите <Enter>.
Ðèñ. 17.9. Перенос ролей OM с помощью утилиты ntdsutil 8. В ответ на запрос о подтверждении изменения OM щелкните на кнопке Yes (Да). 9. Введите команду transfer domain naming master и нажмите <Enter>. 10. В ответ на запрос о подтверждении изменения OM щелкните на кнопке Yes. 11. Введите команду transfer pdc и нажмите <Enter>. 12. В ответ на запрос о подтверждении изменения OM щелкните на кнопке OK. 13. Введите команду transfer rid master и нажмите <Enter>. 14. В ответ на запрос о подтверждении изменения OM щелкните на кнопке OK. 15. Введите команду transfer infrastructure master и нажмите <Enter>. 16. В ответ на запрос о подтверждении изменения OM щелкните на кнопке OK. 17. Введите команду exit, чтобы закрыть командное окно.
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
543
Óäàëåíèå ñóùåñòâóþùèõ êîíòðîëëåðîâ äîìåíîâ Windows 2000 После того как вся инфраструктура контроллеров доменов Windows 2000 заменена эквивалентной структурой Windows Server 2003 и роли OM перенесены в новую среду, можно приступать к процессу понижения и удаления всех контроллеров доменов нижнего уровня. Наиболее простой и эффективный способ удаления контроллеров доменов — это их понижение посредством стандартного процесса понижения ранга Windows 2000 с помощью утилиты dcpromo. После выполнения этой утилиты контроллер домена становится рядовым сервером домена, и его можно безопасно отключить от сети.
Óäàëåíèå “ïðèçðà÷íûõ” êîíòðîëëåðîâ äîìåíîâ Windows 2000 Как это часто случается в среде Active Directory, контроллеры доменов могут быть удалены из леса без их предварительного понижения. Это может произойти из-за отказа сервера или возникновения каких-либо проблем в процессе администрирования. Но перед модернизацией до Windows Server 2003 эти серверы должны быть удалены из каталога. Простое удаление объекта в оснастке Active Directory Sites and Services (Сайты и службы Active Directory) не годится. Вместо этого для удаления этих серверов необходимо использовать низкоуровневое средство работы с каталогами ADSI Edit. Ниже описана процедура применения утилиты ADSI Edit для удаления этих “призрачных” контроллеров доменов. 1. Установите программу ADSI Edit из пакета Support Tools (Средства поддержки), находящегося на компакт-диске Windows Server 2003, и откройте ее. 2. Найдите запись Configuration\CN=Configuration\CN=Sites\CN=<Имя_сайта>\ CN=Servers\CN=<Имя_сервера>, где <Имя_сайта> и <Имя_сервера> соответствуют расположению призрачного контроллера домена. 3. Щелкните правой кнопкой мыши на записи CN=NTDS Settings и выберите в контекстном меню пункт Delete (Удалить), как показано на рис. 17.10. 4. В ответ на запрос о подтверждении удаления объекта щелкните на кнопке Yes. 5. Закройте программу ADSI Edit. Теперь, после удаления записи NTDS Settings (Параметры NTDS), сервер можно удалить из оснастки Active Directory Sites and Services.
Ìîäåðíèçàöèÿ ôóíêöèîíàëüíûõ óðîâíåé äîìåíà è ëåñà Среда Windows Server 2003 не сразу начинает функционировать на собственном уровне, даже после миграции всех контроллеров доменов. На самом деле новая установка Windows Server 2003 поддерживает контроллеры доменов Windows NT 4.0, Windows 2000 и Windows Server 2003, а прежде чем можно будет воспользоваться преимуществами модернизации, функциональный уровень леса и доменов необходимо модернизировать до уровня Windows Server 2003.
544
Миграция на Windows Server 2003 ×àñòü V
Ðèñ. 17.10. Удаление “призрачных” контроллеров доменов Windows Server 2003 поддерживает четыре функциональных уровня, которые позволяют Active Directory включать в себя при проведении модернизации контроллеры нижнего уровня: •
Смешанный функциональный уровень доменов Windows 2000. Когда Windows Server 2003 устанавливается в лес Active Directory Windows 2000, который работает в смешанном режиме, то это означает, что контроллеры доменов Windows Server 2003 могут через лес обмениваться информацией с контроллерами доменов Windows NT и Windows 2000. Однако этот функциональный уровень наиболее ограничен, поскольку при нем домен не может содержать такие возможности, как универсальные группы, вложенные группы и повышенный уровень безопасности. Как правило, этот уровень используется в качестве временного перед проведением последующей модернизации.
•
Собственный функциональный уровень Windows 2000. Если Windows Server 2003 установлена в среду Active Directory Windows 2000, работающую в собственном режиме Windows 2000, то она работает на функциональном уровне Windows 2000. В этой среде могут существовать только контроллеры доменов Windows 2000 и Windows Server 2003.
•
Промежуточный уровень. Промежуточный режим Windows Server 2003 позволяет Active Directory Windows Server 2003 взаимодействовать с доменом, образованным только контроллерами домена Windows NT 4.0. Хотя вначале это не очень понятно, промежуточный функциональный уровень Windows Server 2003 служит определенной цели. В тех средах, в которых требуется выполнить модернизацию непосредственно с NT 4.0 до Active Directory Windows Server 2003, этот режим позволяет Windows Server 2003 управлять большими группами эффективнее, чем в среде Active Directory Windows 2000. После удаления или модернизации всех контроллеров доменов NT их функциональные уровни можно повысить.
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17 •
545
Функциональный уровень Windows Server 2003. Это наиболее функциональный уровень, являющийся конечной целью всех реализаций Active Directory Windows Server 2003.
После модернизации или замены всех контроллеров доменов на Windows Server 2003 функциональные уровни доменов, а затем и леса можно повысить с помощью следующей процедуры: 1. Убедитесь, что все контроллеры доменов в лесу модернизированы до Windows Server 2003. 2. Откройте из меню Administrative Tools (Администрирование) оснастку Active Directory Domains and Trusts (Домены и доверительные отношения Active Directory) консоли MMC. 3. На левой панели щелкните правой кнопкой мыши на записи Active Directory Domains and Trusts и выберите в контекстном меню пункт Raise Domain Functional Level (Повысить функциональный уровень домена). 4. В списке Select an Available Domain Functional Level (Выберите доступный функциональный уровень домена) выберите Windows Server 2003, а затем щелкните на кнопке Raise (Повысить). 5. Для завершения выполнения задачи щелкните на кнопке OK, и еще раз на OK. 6. Повторите шаги 1–5 для всех доменов леса. 7. Выполните эти же шаги для корня леса, но на 3 шаге необходимо выбрать команду Raise Forest Functional Level (Повысить функциональный уровень леса) и следовать выводимым указаниям (рис. 17.11).
НА ЗАМЕТКУ Решение о повышении функциональных уровней леса или домена является окончательным. Прежде чем выполнять эту процедуру, убедитесь, что нигде в лесу не нужно добавлять контроллеры доменов Windows 2000. Когда лес работает на функциональном уровне Windows Server 2003, это предполагает также невозможность добавления каких-либо поддоменов Active Directory Windows 2000.
Ðèñ. 17.11. Повышение функционального уровня леса
546
Миграция на Windows Server 2003 ×àñòü V
После повышения функциональных уровней всех доменов и леса среда Active Directory полностью модернизирована и доступна для всех усовершенствований Active Directory, присущих Windows Server 2003. Характеристики этого уровня делают среду пригодной для использования таких возможностей, как деактивизация схемы, переименование доменов, переименование контроллеров доменов и установка доверительных отношения между лесами.
Ïåðåìåùåíèå AD-èíòåãðèðîâàííûõ çîí DNS â ðàçäåëû ïðèëîæåíèé Заключительный шаг модернизации до Active Directory Windows Server 2003 — перемещение всех AD-интегрированных зон DNS в только что созданные разделы приложений, которые Windows Server 2003 использует для хранения информации DNS. Для этого потребуется выполнить перечисленные ниже шаги. 1. Откройте оснастку DNS консоли MMC, выбрав в меню Start пункт All ProgramsÖ Administrative ToolsÖDNS (Все программыÖАдминистрированиеÖ DNS). 2. Найдите запись DNS\<Имя_сервера>\Forward <Имя_сервера>\ Зоны прямого поиска).
Lookup
Zones (DNS\
3. Щелкните правой кнопкой мыши на зоне, которую нужно переместить, и выберите в контекстном меню пункт Properties (Свойства). 4. Щелкните на кнопке Change (Изменить) справа от описания репликации. 5. В зависимости от нужного уровня репликации выберите вариант To All DNS Servers in Active Directory Forest (На все DNS-серверы в лесу Active Directory) или To All DNS Servers in the Active Directory Domain (На все DNS-серверы в домене Active Directory), как показано на рис. 17.12. Затем щелкните на кнопке Finish. 6. Повторите этот процесс для всех других AD-интегрированных зон.
Ðèñ. 17.12. Перемещение AD-интегрированных зон
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
547
Ìîäåðíèçàöèÿ îòäåëüíûõ ëåñîâ Active Directory äî åäèíîãî ëåñà ñ ïîìîùüþ ïåðåàäðåñàöèè äîìåíîâ ñìåøàííîãî ðåæèìà Домены Active Directory, которые работают в смешанном режиме Windows 2000, могут быть объединены в отдельный лес без применения средств миграции доменов или перезагрузки рабочих станций. Однако для этого нужно выполнить еще не знакомый нам процесс, называемый “переадресаций доменов смешанного режима” (MixedMode Domain Redirect). Переадресация доменов смешанного режима полезна в тех ситуациях, когда филиалы организации разворачивают собственные отдельные леса Active Directory, а затем возникает необходимость объединить эти отдельные леса в единый общий лес. Этот процесс полезен также при приобретении и слиянии корпораций, когда внезапно возникает необходимость слияния отдельных лесов в единый унифицированный каталог.
Ïðåäâàðèòåëüíûå óñëîâèÿ è îãðàíè÷åíèÿ íà ïðîöåäóðó ïåðåàäðåñàöèè äîìåíîâ ñìåøàííîãî ðåæèìà Первое предварительное условие выполнения переадресации доменов смешанного режима — необходимость работы всех доменов в лесу Active Directory в смешанном режиме Windows 2000. Если организации требуется выполнить слияние, но в ней уже осуществлен переход к собственному режиму Windows 2000, придется использовать другие процедуры — средство переноса Active Directory (Active Directory Migration Tool) версии 2.0 или синхронизацию каталогов. Большой недостаток и ограничение этого подхода состоит в том, что клиенты Windows 2000/XP/2003 могут уже воспринимать домен как домен Active Directory, изза чего по завершении операции они должны повторно присоединяться к домену. К сожалению, не существует никакого иного способа решения этой проблемы, кроме соответствующей настройки клиентских компьютеров после того, как они обнаружат, что их домен NT превратился в домен Active Directory. По завершении операции надо будет выявить эти компьютеры и включить их в новую доменную структуру. Хотя к клиентам Windows NT 4.0 это не относится. Кроме того, выполнение этой процедуры требует выполнения нескольких перезагрузок существующих серверов контроллеров доменов, и, следовательно, ее лучше выполнять в выходные или праздничные дни.
Ïðîöåäóðà ïåðåàäðåñàöèè äîìåíîâ ñìåøàííîãî ðåæèìà Концепция, на которой основана переадресация доменов смешанного режима, проста: существующий домен Active Directory понижается до домена Windows NT 4.0, а
548
Миграция на Windows Server 2003 ×àñòü V
затем снова модернизируется до домена Active Directory в другой среде, как показано на рис. 17.13. companyxyz.com
companyabc.com
Ïîíèæåíèå
COMPANYXYZ (Äîìåí NetBIOS)
Ïåðåàäðåñàöèÿ
companyxyz.companyabc.com
Ðèñ. 17.13. Процедура переадресации доменов смешанного режима Примеры на диаграммах и последующих разделах описывают вымышленную ситуацию. Однако ее можно изменить применительно к любой среде, которая удовлетворяет ранее описанным предварительным условиям. В этом сценарии компания CompanyABC приобрела компанию CompanyXYZ, в результате чего возникла необходимость объединить лес Windows 2000 компании CompanyXYZ с лесом Windows Server 2003 компании CompanyABC. Поскольку домен CompanyXYZ работает в смешанном режиме Windows 2000, было решено, что наиболее рациональным подходом будет использование процедуры переадресации доменов смешанного режима, при котором не нужно изменять никакие настройки компьютеров клиентов.
Óñòàíîâêà âðåìåííîãî êîíòðîëëåðà äîìåíà Windows 2000 Первый шаг процесса переадресации домена смешанного режима — определение двух временных серверов, которые потребуются во время миграции. Эти серверы могут быть не очень производительными, так как они нужны только в качестве временного хранилища информации домена. Первый временный сервер должен быть установлен в качестве контроллера домена Windows 2000 в текущем домене Active Directory. После загрузки сервера (Windows 2000 или Advanced Server) можно выполнить команду dcpromo и превратить его в контроллер текущего домена с помощью стандартной процедуры модернизации контроллера домена Windows 2000. Кроме того, этот контроллер домена должен быть сделан сервером глобального каталога. В нашем сценарии слияния временный сервер SFDCTEMP01 создается с системой Windows 2000 и пакетом обновлений Service Pack 3 и добавляется в домен Windows 2000 companyxyz.com, где он становится контроллером домена, как показано на рис. 17.14. На рисунке также показаны контроллеры текущего домена — SFDC01, SFDC02, LADC01 и SDDC01. Эти четыре контроллера домена будут мигрированы в новую среду.
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
549
companyxyz.com
SFDCTEMP01
SFDC01
SFDC02
LADC01
SDDC01
Ðèñ. 17.14. Установка временного контроллера домена
Ïåðåäà÷à ðîëåé ìàñòåðà îïåðàöèé è ïîíèæåíèå ñóùåñòâóþùèõ êîíòðîëëåðîâ äîìåíà После введения в среду нового сервера необходимо передать пять ролей OM с существующих серверов на временный сервер. Это можно сделать с помощью утилиты ntdsutil. Действия по передаче ролей OM уже описаны в разделе “Передача ролей мастера операций” ранее в этой главе. В примере слияния роли OM мастера схемы и мастера именования домена были переданы из SFDC01 в SFDCTEMP01, а роли OM эмулятора PDC, мастера RID и мастера инфраструктуры были переданы из SFDC02 в SFDCTEMP01.
Ïîíèæåíèå ïðîìûøëåííûõ êîíòðîëëåðîâ äîìåíà Поскольку старый лес Active Directory будет удален, то на оставшихся серверах контроллеров домена необходимо запустить утилиту dcpromo и снять с них обязанности контроллеров домена. Это преобразует их в рядовые серверы домена, и единственным действующим контроллером домена останется временный сервер, построенный в предыдущем разделе. На рис. 17.15 показано, что ранг серверов SFDC01, SFDC02, LADC01 и SDDC01 понижается до рядовых серверов, и контроллером домена остается только временный сервер SFDCTEMP01.
Ñîçäàíèå âðåìåííîãî êîíòðîëëåðà äîìåíà NT 4.0 Для выполнения описываемой процедуры требуется создание контроллера домена NT. Он нужен в качестве резервного контроллера домена (BDC) NT. Поскольку в системе не осталось контроллеров доменов NT, учетную запись контроллера домена необходимо создать в первом установленном временном контроллере домена. Это можно сделать, запустив из командной строки следующую команду: netdom add SFDCTEMP02 /domain:companyxyz.com /DC
550
Миграция на Windows Server 2003 ×àñòü V companyxyz.com
SFDCTEMP01
SFDC01
SFDC02
LADC01
SDDC01
Ðèñ. 17.15. Понижение промышленных контроллеров домена Важно отметить, что если функции первичного контроллера домена выполняет контроллер домена Windows 2000, то даже хотя домен работает в смешанном режиме, учетная запись должна быть создана заблаговременно — в противном случае BDC нельзя будет добавить в домен. Когда учетная запись создана заблаговременно, в переносимом домене нужно создать второй временный контроллер домена Windows NT 4.0 и сконфигурировать его в качестве BDC. Поскольку домен по-прежнему работает в смешанном режиме Windows 2000, то он продолжает поддерживать резервные контроллеры домена NT. В рассматриваемом примере слияния второй временный котроллер домена SFDCTEMP02 был установлен после того, как учетная запись компьютера была создана на сервере SFDCTEMP01 с помощью только что описанной процедуры с применением программы netdom. Все существующие учетные записи компьютеров и пользователей копируются в базу SAM на сервере SFDCTEMP02.
Óäàëåíèå ñóùåñòâóþùåãî ëåñà Теперь существующий лес Windows 2000 можно безбоязненно удалить, просто отключив временный контроллер домена Windows 2000. Поскольку этот компьютер управляет ролями мастера операций, то это приводит к прекращению работы Active Directory. Дополнительное преимущество этого подхода — возможность восстановления старого домена при возникновении каких-либо проблем при миграции, что можно выполнить, просто снова включив первый временный сервер. Как видно на рис. 17.16, отключение сервера SFDCTEMP01 ведет к удалению домена Active Directory companyxyz.com. Однако домен NetBIOS COMPANYXYZ продолжает существовать в базе данных SAM резервного контроллера домена NT SFDCTEMP02.
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17 companyxyz.com
companyxyz
X
SFDCTEMP02
SFDCTEMP01
551
Домен NetBIOS
Ðèñ. 17.16. Удаление старого леса
Ïîâûøåíèå âòîðîãî âðåìåííîãî ñåðâåðà äî ïåðâè÷íîãî êîíòðîëåðà äîìåíà NT Теперь установленный BDC NT необходимо превратить в PDC, что, по существу, восстанавливает старую структуру домена NT NetBIOS. Это позволяет также выполнить модернизацию домена в существующей структуре Active Directory. В нашем примере резервный контроллер домена NT SFDCTEMP02 повышается до первичного контроллера домена NT COMPANYXYZ, что подготавливает его к интеграции с доменом Windows Server 2003 companyabc.com.
Ïîâûøåíèå ïåðâè÷íîãî êîíòðîëëåðà äîìåíà NT äî Windows Server 2003 è åãî èíòåãðàöèÿ ñ öåëåâûì ëåñîì Теперь можно повысить ранг PDC NT до Active Directory Windows Server 2003. Эта процедура модернизирует все учетные записи компьютеров и пользователей до учетных записей Active Directory без необходимости изменения каких-либо клиентских настроек. В рассматриваемом примере слияния в привод для чтения компакт-дисков сервера SDFDCTEMP02 вставляется компакт-диск Windows Server 2003 и выполняется процедура непосредственной модернизации до Windows Server 2003. В ходе модернизации мастер Active Directory позволяет присоединить домен к существующей структуре Active Directory. В данном случае домен CompanyXYZ добавляется в качестве поддомена в домен companyabc.com, по сути дела превращая его в домен companyxyz.companyabc.com, как показано на рис. 17.17.
Âîññòàíîâëåíèå ïåðâîíà÷àëüíûõ êîíòðîëëåðîâ äîìåíà è ïåðåäà÷à ðîëåé ìàñòåðà îïåðàöèé Еще одна полезная особенность этого подхода состоит в возможности восстановления первоначальных функций всех ранее использовавшихся серверов контроллеров домена без перезагрузки операционной системы. На серверах можно снова запустить процесс DCPromo и добавить их в новый лес в качестве контроллеров домена. Кроме того, на исходные серверы можно также возвратить и роли мастера операций. В данном примере все первоначальные контроллеры домена, которые теперь являются рядовыми серверами домена, снова повышаются с помощью DCPromo до кон-
552
Миграция на Windows Server 2003 ×àñòü V
троллеров домена. Серверы SFDC01, SFDC02, LADC01 и SDDC01 опять становятся контроллерами домена, и им возвращаются надлежащие роли хозяев операций (см. рис. 17.17).
COMPANYXYZ
companyabc.com
SFDCTEMP02
Ïåðåàäðåñàöèÿ ñ ïîìîùüþ DCPromo
Äîìåí NetBIOS
SFDCTEMP02 companyxyz.companyabc.com
Ðèñ. 17.17. Переадресация домена CompanyXYZ в лес CompanyABC
Óäàëåíèå âðåìåííîãî êîíòðîëëåðà äîìåíà Последний шаг в процедуре переадресации домена смешанного режима — удаление из домена повышенного резервного контроллера домена NT. Эту задачу проще всего выполнить с помощью DCPromo, понизив ранг сервера, а затем отключив его. Затем оба временных сервера могут быть освобождены от своих обязанностей и использованы в других целях. Сервер SCDCTEMP02 в домене CompanyXYZ понижается с помощью DCPromo, а затем отключается. Вся эта процедура избавляет компанию от необходимости изменять регистрационные имена клиентов, настройки пользователей или оборудование сервера и позволяет воссоздать существовавший домен Windows 2000 внутри совершенно иного леса Active Directory Windows Server 2003.
Îáúåäèíåíèå è ìèãðàöèÿ äîìåíîâ ñ ïîìîùüþ ñðåäñòâà ìèãðàöèè Active Directory âåðñèè 2.0 Во время разработки Windows Server 2003 было усовершенствовано средства миграции Active Directory (Active Directory Migration Tool — ADMT) — полнофункциональной утилиты миграции доменов, находящейся на компакт-диске Windows Server 2003. Новая версия ADMT 2.0 позволяет объединять, сворачивать или реструктурировать пользователей, компьютеры и группы в доменах Active Directory и NT в соответствии с конкретными потребностями организаций. По отношению к миграции с Windows 2000 утилита ADMT 2.0 позволяет реструктурировать существующие среды доме-
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
553
нов в новые среды Active Directory Windows Server 2003, сохраняя при этом настройки безопасности, пароли пользователей и другие параметры.
Ôóíêöèè ADMT 2.0 Утилита ADMT — эффективное средство миграции пользователей, групп и компьютеров из одного домена в другой. Она достаточно надежна для миграции полномочий безопасности и параметров почтового домена Exchange. Кроме того, она поддерживает процедуру отката в случае возникновения при миграции каких-либо проблем. ADMT содержит следующие компоненты и функции: •
Мастера миграции ADMT. В состав ADMT входит ряд мастеров, каждый из которых предназначен для миграции конкретных компонентов. Для переноса доверительных отношений и учетных записей пользователей, групп, компьютеров, служб можно использовать различные мастера.
•
Минимальное влияние на клиентов. ADMT автоматически устанавливает на исходных клиентских компьютерах нужные службы, устраняя необходимость ручной установки нужных для миграции программы. Кроме того, после завершения миграции эти службы автоматически удаляются.
•
Перенос истории SID и настроек безопасности. С помощью миграции атрибутов истории SID в новый домен пользователи получают возможность сохранять сетевой доступ к общим файлам, приложениям и другим защищенным сетевым службам. Это позволяет сохранить разветвленную структуру безопасности исходного домена.
•
Возможность тестирования миграции и выполнения отката. Очень полезная особенность ADMT 2.0 — возможность запуска сценария, имитирующего работу каждого из мастеров миграции. Это помогает выявить все проблемы до реального выполнения миграции. Кроме того, существует возможность отмены последней выполненной миграции пользователя, компьютера или группы, то есть выполнения отката в случае возникновения проблем в процессе выполнения миграции.
Îáúåäèíåíèå äîìåíîâ Windows 2000 â äîìåí Windows Server 2003 ñ ïîìîùüþ óòèëèòû ADMT 2.0 Установка ADMT 2.0 не представляет сложности, но чтобы правильно ее использовать, нужно хорошо знать возможности различных ее мастеров. Кроме того, при миграции из одного домена в другой необходимо использовать наиболее подходящий для этого процесс. В примере, приведенном в последующих разделах, описан наиболее распространенный случай использования утилиты ADMT: миграция пользователей, групп и компьютеров в другой домен, расположенный в другом лесу. Описанная процедура ни в коей мере не является единственной, и для достижения нужных результатов можно использовать множество других технологий миграции. Поэтому важно согласовать возможности ADMT с конкретными потребностями организации в миграции.
554
Миграция на Windows Server 2003 ×àñòü V
Èñïîëüçîâàíèå ADMT â ëàáîðàòîðíîé ñðåäå Утилита ADMT 2.0 предоставляет поистине беспрецедентные возможности отката. Можно не только предварительно протестировать действия, которые будут выполнены каждым мастером, но и в случае возникновения каких-либо проблем выполнить откат последней выполненной мастером транзакции. Кроме того, во избежание возможных проблем настоятельно рекомендуется предварительно смоделировать систему в лабораторной среде и протестировать в ней процесс миграции. Наиболее эффективную лабораторную среду можно получить, создав новые контроллеры доменов в исходном и целевом доменах, а затем физически выделив их в лабораторную сеть, в которой они не могут взаимодействовать с промышленной средой. Затем для каждого домена с помощью утилиты ntdsutil можно определить роли мастеров операций (Operations Manager — OM), в результате чего будут созданы точные копии всех учетных записей пользователей, групп и компьютеров, которые можно будет протестировать с помощью утилиты ADMT.
Ïðîöåäóðà óñòàíîâêè ADMT 2.0 Компонент ADMT должен быть установлен на контроллере целевого домена, в который будут перенесены учетные записи. Для этого необходимо выполнить следующие шаги: 1. Вставьте компакт-диск Windows Server 2003 в привод контроллера целевого домена. 2. Выберите в меню Start пункт Run. Затем введите команду d:\i386\admt\admigration.msi где d: — буквенное обозначение привода для чтения компакт-дисков, и нажмите клавишу <Enter>. 3. На экране приветствия, показанном на рис. 17.18, щелкните на кнопке Next.
Ðèñ. 17.18. Установка утилиты ADMT
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
555
4. Примите условия лицензионного соглашения конечного пользователя (End User License Agreement — EULA) и щелкните на кнопке Next. 5. Примите предложенный по умолчанию путь установки и щелкните на кнопке Next. 6. На следующем экране щелкните на кнопке Next, когда будете готовы к началу установки. 7. По завершении установки щелкните на кнопке Finish, чтобы закрыть мастер.
Ïðåäâàðèòåëüíûå óñëîâèÿ ìèãðàöèè äîìåíà ñ ïîìîùüþ ADMT Как уже было сказано, наиболее важное предварительное условие для миграции с помощью ADMT — ее проверка в лабораторной среде. Тестирование максимально возможного числа аспектов миграции может облегчить определение необходимых процедур и выявление возможных проблем, прежде чем они возникнут в промышленной среде. Учитывая сказанное, для правильного функционирования утилиты ADMT потребуется выполнить несколько функциональных предварительных условий. Многие из этих требований связаны с миграцией паролей и объектов безопасности, и их выполнение критично для работы утилиты.
Ñîçäàíèå äâóõñòîðîííèõ äîâåðèòåëüíûõ îòíîøåíèé ìåæäó èñõîäíûì è öåëåâûì äîìåíàìè Исходный и целевой домены должны иметь возможность сообщаться друг с другом и совместно использовать общие полномочия безопасности. Значит, перед запуском ADMT важно установить доверительные отношения между этими доменами.
Íàçíà÷åíèå ñîîòâåòñòâóþùèõ ïðàâ äîñòóïà â èñõîäíîì äîìåíå è íà ðàáî÷èõ ñòàíöèÿõ èñõîäíîãî äîìåíà Учетная запись, которой будет запущена утилита ADMT в целевом домене, должна быть включена в группу Builtin\Administrators (Встроенные\Администраторы) в исходном домене. Кроме того, для правильной работы служб миграции компьютеров этот пользователь должен входить в состав локальной группы Administrators (Администраторы) каждой рабочей станции. Внесение изменений в группу домена выполняется легко, но изменения в большой группе рабочих станций придется выполнить с помощью сценария или вручную до выполнения миграции.
Ñîçäàíèå öåëåâîé ñòðóêòóðû îðãàíèçàöèîííûõ ïîäðàçäåëåíèé Процесс миграции с помощью ADMT требует определения места назначения пользовательских учетных записей из исходного домена на нескольких этапах миграции. Создание организационных единиц (Organizational Unit — OU) для учетных записей исходного домена может упростить и логически организовать новые объекты. После
556
Миграция на Windows Server 2003 ×àñòü V
миграции эти объекты могут быть перемещены в другие OU, а данную OU при необходимости можно свернуть.
Èçìåíåíèå ñòàíäàðòíîé ïîëèòèêè öåëåâîãî äîìåíà В отличие от предыдущих версий операционных систем Windows, Windows Server 2003 не поддерживает аутентификацию анонимных пользователей из группы Everyone (Все пользователи). Это было сделано в целях повышения безопасности. Однако чтобы утилита ADMT могла выполнить миграцию учетных записей, эта функция должна быть включена. По завершении процесса можно восстановить стандартные уровни политик безопасности. Чтобы изменить политики, выполните описанные ниже шаги. 1. Откройте политику безопасности домена, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖDomain Security Policy (Все программыÖАдминистрированиеÖПолитика безопасности домена). 2. Найдите узел Security Settings \ Local Policies \ Security Options (Параметры безопасности\Локальные политики\Параметры безопасности). 3. Дважды щелкните на строке Network Access: Let Everyone Permissions Apply to Anonymous Users (Сетевой доступ: разрешить применение прав доступа всех пользователей к анонимным пользователям). 4. Установите флажок Define This Policy Setting (Определить этот параметр безопасности) и переключатель Enabled (Включен), как показано на рис. 17.19. Для завершения процедуры щелкните на кнопке OK.
Ðèñ. 17.19. Изменение политики безопасности домена 5. Повторите описанную процедуру для оснастки Domain Controller Security Policy (Политика безопасности контроллера домена).
Ýêñïîðò êëþ÷à ïàðîëåé На сервере в исходном домене необходимо установить 128-битный ключ шифрования паролей, полученный из целевого домена. Этот ключ позволяет выполнить миграцию паролей и истории SID из одного домена в другой. Для создания этого ключа необходимо в командном окне контроллера целевого домена, в котором установлена утилита ADMT, выполнить следующие действия:
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
557
1. Вставьте в дисковод дискету, на которой будет храниться ключ. (Ключ можно сохранить и в сети, но по соображениям безопасности лучше использовать дискету). 2. Войдите в каталог ADMT, введя команду cd C:\program files\active directory migration tool и нажав клавишу <Enter>, где C: — буквенное обозначение диска операционной системы. 3. Введите команду admt key <Имя_исходного_домена> a: <пароль>, где <Имя_исходного_домена> — NetBIOS-имя исходного домена, a: — диск записи ключа, а <пароль> — пароль, используемый для защиты ключа. Пример выполнения этой команды показан на рис. 17.20. Затем нажмите <Enter>.
Ðèñ. 17.20. Экспорт ключа пароля 4. После успешного создания ключа извлеките дискету и поместите ее в надежное место.
Óñòàíîâêà DLL-áèáëèîòåêè ìèãðàöèè ïàðîëåé â èñõîäíîì äîìåíå На контроллере исходного домена необходимо установить специальную DLL миграции паролей. Этот компьютер станет сервером экспорта паролей (Password Export Server) для исходного домена. Для установки потребуется выполнить следующую процедуру: 1. Вставьте в дисковод сервера дискету с экспортированным из целевого домена ключом. 2. Вставьте компакт-диск Windows Server 2003 в привод контроллера исходного домена, в системный реестр которого нужно внести изменения. 3. Запустите утилиту миграции паролей, выбрав в меню Start пункт Run и введя команду d:\i386\ADMT\Pwdmig\Pwdmig.exe, где d: — буквенное обозначение привода для чтения компакт-дисков. 4. На экране приветствия мастера щелкните на кнопке Next. 5. Введите путь ключа, который был создан в целевом домене. Как правило, это гибкий диск A: (см. рис. 17.21). Щелкните на кнопке Next.
558
Миграция на Windows Server 2003 ×àñòü V
Ðèñ. 17.21. Установка DLL-библиотеки миграции паролей 6. Дважды введите пароль, который был определен в целевом домене, и щелкните на кнопке Next. 7. На странице проверки данных щелкните на кнопке Next. 8. По завершении установки щелкните на кнопке Finish. 9. Теперь систему нужно перезапустить, поэтому при появлении соответствующего запроса щелкните на кнопке Yes. После перезапуска вступят в действие нужные настройки, и данный сервер станет сервером экспорта паролей.
Îïðåäåëåíèå ñîîòâåòñòâóþùèõ ðàçðåøåíèé ñèñòåìíîãî ðååñòðà â èñõîäíîì äîìåíå Установка нужных компонентов создает специальные ключи системного реестра, но по соображениям безопасности оставляет их по умолчанию отключенными. Для экспорта паролей из сервера экспорта паролей необходимо активизировать специальный ключ системного реестра. Вот процедура выполнения этой функции с помощью редактора реестра: 1. Откройте редактор реестра на контроллере исходного домена, выбрав в меню Start пункт Run и набрав Regedit. 2. Перейдите к записи реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 3. Дважды щелкните на значении AllowPasswordExport типа DWORD. 4. Измените шестнадцатеричное значение с 0 на 1. 5. Щелкните на кнопке OK и закройте редактор реестра. 6. Перезагрузите компьютер, чтобы изменения системного реестра вступили в силу. Теперь все предварительные условия для миграции с помощью ADMT выполнены, а исходный и целевой домены подготовлены к миграции.
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
559
Ìèãðàöèÿ ãðóïï В большинстве случаев в новый домен необходимо вначале перенести группы. Если первыми перенести пользователей, то информация об их принадлежности к группам не будет перенесена. Однако если на момент миграции пользователей группы уже существуют, пользователи будут автоматически помещены в структуру групп. Для миграции групп с помощью утилиты ADMT 2.0 воспользуйтесь мастером миграции учетных записей групп (Group Account Migration Wizard): 1. Откройте оснастку ADMT консоли MMC, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖActive Directory Migration Tool (Все программыÖ АдминистрированиеÖСредство миграции Active Directory). 2. Щелкните правой кнопкой мыши на записи Active Directory Migration Tool в левой панели и выберите в контекстном меню пункт Group Account Migration Wizard (Мастер миграции учетных записей групп). 3. Щелкните на кнопке Next. 4. В следующем окне, показанном на рис. 17.22, можно выбрать тестирование миграции. Как уже было сказано, прежде чем действительно выполнять миграцию в промышленной среде, ее нужно тщательно проверить. Но в данном случае мы просто выполним миграцию. Поэтому выберите вариант Migrate Now (Перенести сейчас) и щелкните на кнопке Next.
Ðèñ. 17.22. Выбор миграции в окне мастера миграции учетных записей групп 5. Выберите исходный и целевой домены и щелкните на кнопке Next. 6. В следующем окне можно выбрать учетные записи групп в исходном домене. Выберите все нужные группы, используя кнопку Add (Добавить) и вручную выбирая объекты. Когда все необходимые группы будут выбраны, щелкните на кнопке Next.
560
Миграция на Windows Server 2003 ×àñòü V
7. Щелкнув на кнопке Browse (Обзор), выберите созданную на предшествующих шагах OU, в которую нужно перенести учетные записи из исходного домена. Щелкните на кнопке Next. 8. В следующем окне можно выбрать параметры, определяющие характер переносимых групп. Для получения дополнительной информации о каждом из параметров щелкните на кнопке Help (Справка). В данном примере выберите параметры, показанные на рис. 17.23. После этого щелкните на кнопке Next.
Ðèñ. 17.23. Определение параметров группы 9. Если в исходном домене аудит отключен, появится диалоговое окно с сообщением об ошибке, показанное на рис. 17.24. Оно позволяет включить аудит, что необходимо для миграции истории SID. Щелкните на кнопке Yes.
Ðèñ. 17.24. Включение аудита 10. Еще одно сообщение об ошибке может открыться, если аудит не активизирован в целевом домене. Он требуется для миграции истории SID и может быть отключен после выполнения миграции. Чтобы активизировать аудит, щелкните на кнопке Yes. 11. Для миграции истории SID в исходном домене должна существовать локальная группа SOURCEDOMAIN$$$. Поэтому, если она не была заранее создана, на этом шаге появится предложение создать эту группу, как показано на рис. 17.25. Щелкните на кнопке Yes.
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
561
Ðèñ. 17.25. Создание локальной группы 12. Может появиться еще одно предложение — создать ключ TcpipClientSupport в системном реестре исходного домена. Этот ключ также нужен для миграции истории SID. Щелкните на кнопке Yes. 13. В случае создания ключа системного реестра появится дополнительный запрос о необходимости перезагрузки первичного контроллера исходного домена. В большинстве случаев она нужна, поэтому щелкните на кнопке Yes. 14. Следующее сообщение, показанное на рис. 17.26, служит исключительно для возобновления процесса после перезагрузки первичного контроллера исходного домена. Дождитесь повторного подключения первичного контроллера домена к системе, а затем щелкните на кнопке OK.
Ðèñ. 17.26. Ожидание перезагрузки первичного контроллера исходного домена 15. В следующем окне можно исключить из миграции определенные атрибуты уровня каталога. Если нужно исключить какие-либо атрибуты, их можно указать в этом окне. В данном случае никакие атрибуты исключать не нужно, поэтому просто щелкните на кнопке Next. 16. В следующем окне введите учетную запись пользователя с соответствующими административными правами в исходном домене. Затем щелкните на кнопке Next. 17. Во время миграции доменов часто возникают конфликты именования. Кроме того, в новой среде могут применяться другие соглашения по именованию. В следующем окне, показанном на рис. 17.27, можно устранить эти несоответствия. В данном примере ко всем конфликтующим именам учетных записей будет добавлен префикс XYZ-. После определения этих параметров щелкните на кнопке Next. 18. Контрольное окно — последнее окно мастера, открывающееся перед выполнением каких-либо изменений. Повторяем еще раз, что перед реальным выполнением процедуры ее необходимо тщательно протестировать, поскольку с этого момента все изменения будут записаны в целевую среду Active Directory Windows Server 2003. Когда будете готовы к выполнению миграции, щелкните на кнопке Finish.
562
Миграция на Windows Server 2003 ×àñòü V
Ðèñ. 17.27. Разрешение конфликтов именования 19. После этого начнется процесс миграции групп. Изменение частоты обновления (Refresh rate), как показано на рис. 17.28, позволяет ускорить анализ текущего процесса. После завершения миграции можно просмотреть журнал, щелкнув на кнопке View Log (Просмотр журнала). Затем щелкните на кнопке Close (Закрыть), чтобы завершить процедуру.
Ðèñ. 17.28. Изменение скорости отображения процесса миграции учетных записей групп
Ìèãðàöèÿ ó÷åòíûõ çàïèñåé ïîëüçîâàòåëåé Учетные записи пользователей образуют основу объектов домена и относятся к наиболее важным компонентам. Наибольшим недостатком утилиты ADMT 1.0 была ее неспособность выполнять миграцию паролей объектов пользователей, что существенно ограничивало ее применение. Однако ADMT 2.0 прекрасно справляется с зада-
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
563
чей миграции пользователей, их паролей и связанной с ними безопасности. Для миграции пользователей необходимо выполнить описанные ниже шаги. 1. Откройте оснастку ADMT консоли MMC, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖ Active Directory Migration Tool (Все программыÖАдминистрированиеÖСредство миграции Active Directory). 2. Щелкните правой кнопкой мыши на записи Active Directory Migration Tool в левой панели и выберите в контекстном меню пункт User Account Migration Wizard (Мастер миграции учетных записей пользователей), как показано на рис. 17.29. 3. На экране приветствия мастера щелкните на кнопке Ðèñ. 17.29. Запуск мастера миграции учетных Next. записей пользователей 4. Следующее окно позволяет протестировать миграцию перед ее действительным выполнением. Как уже говорилось, рекомендуется выполнить это тестирование. Однако в данном случае нам необходимо выполнить перенос, поэтому выберите вариант Migrate Now, а затем щелкните на кнопке Next. 5. В следующем окне выберите исходный и целевой домены и щелкните на кнопке Next. 6. Следующее окно позволяет выбрать переносимые учетные записи пользователей. Просто щелкните на кнопке Add и выберите учетные записи пользователей, которые нужно перенести. После выбора всех нужных учетных записей щелкните на кнопке Next. 7. В следующем диалоговом окне, показанном на рис. 17.30, можно выбрать целевую организационную единицу для всех созданных пользователей. Щелкните на кнопке Browse и выберите нужную OU, а затем щелкните на кнопке Next.
Ðèñ. 17.30. Выбор целевой организационной единицы
564
Миграция на Windows Server 2003 ×àñòü V
8. Новые возможности ADMT 2.0 по миграции паролей реализованы в следующем окне. Выберите вариант Migrate Passwords (Перенести пароли), а затем выберите в исходном домене сервер, на котором была установлена DLL-библиотека переноса паролей (см. раздел “Установка DLL-библиотеки миграции паролей в исходном домене”). Щелкните на кнопке Next.
НА ЗАМЕТКУ В зависимости от того, запускались ли уже другие мастера, на этом этапе могут потребоваться дополнительные действия, которые выполняются только один раз и предназначены для установки нужных параметров системного реестра, перезагрузки контроллеров домена и создания специальных групп. Эти действия и диалоговые окна описаны в шагах 9–14 предыдущего раздела “Миграция групп”.
9. Следующее окно связано с параметрами безопасности, относящимися к перенесенным пользователям. Для получения дополнительной информации по каждой опции щелкните на кнопке Help (Справка). В данном примере выберите параметры так, как показано на рис. 17.31. Затем щелкните на кнопке Next.
Ðèñ. 17.31. Установка параметров переноса учетных записей 10. Введите имя пользователя, пароль и домен учетной записи, обладающей в исходном домене правами Domain Admin (Администратор домена). Затем щелкните на кнопке Next. 11. Следующее окно содержит несколько параметров миграции. Как и ранее, для получения информации об этих возможностях можно щелкнуть на кнопке Help. Для данного примера выберите параметры в соответствии с рис. 17.32. Затем щелкните на кнопке Next. 12. Следующее окно предназначено для определения исключений. В нем необходимо указать все свойства объекта пользователя, которые не нужно переносить. В данном случае таких свойств нет, поэтому просто щелкните на кнопке Next.
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
565
Ðèñ. 17.32. Установка параметров пользователя для работы с мастером миграции учетных записей пользователей 13. При миграции пользователей часто возникают конфликты именования. В следующем окне мастера, показанном на рис. 17.33, задайте процедуру обработки повторяющихся учетных записей. Выберите нужные параметры обработки повторяющихся учетных записей и щелкните на кнопке Next.
Ðèñ. 17.33. Задание параметров разрешения конфликтов именования 14. Следующее контрольное окно представляет итоговую информацию о предстоящей процедуре. Это последнее окно перед записью изменений в целевой домен. Проверьте правильность всех параметров и щелкните на кнопке Next. 15. Окно состояния Migration Progress (Выполнение миграции) отображает протекание процесса миграции с указанием количества успешно и неудачно созданных учетных записей. По завершении процесса убедитесь в правильности вы-
566
Миграция на Windows Server 2003 ×àñòü V
полнения процедуры, щелкнув на кнопке View Log (Просмотр журнала) и просмотрев журнал. Пример файла журнала, созданного при миграции пользователей, приведен на рис. 17.34. По завершении проверки щелкните на кнопке Close (Закрыть).
Ðèñ. 17.34. Пример журнала миграции пользователей
Ìèãðàöèÿ ó÷åòíûõ çàïèñåé êîìïüþòåðîâ Еще один важный набор объектов, подлежащих миграции, сопряжен с наибольшими сложностями. Объекты компьютеров нужно не только перенести в Active Directory, но и модернизировать на самих рабочих станциях, чтобы пользователи имели возможность входить в систему со своих консолей. Утилита ADMT автоматически устанавливает агенты для всех перенесенных учетных записей компьютеров и перезагружает их, после чего они работают уже в новых доменных структурах. Для миграции учетных записей компьютеров необходимо выполнить перечисленные ниже шаги. 1. Откройте оснастку ADMT консоли MMC, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖActive Directory Migration Tool (Все программыÖ АдминистрированиеÖСредство миграции Active Directory). 2. Щелкните правой кнопкой мыши на записи Active Directory Migration Tool в левой панели и выберите в контекстном меню пункт Computer Migration Wizard (Мастер миграции компьютеров). 3. На экране приветствия мастера щелкните на кнопке Next. 4. Как и при использовании предшествующих мастеров, на этом этапе предоставляется возможность тестирования миграции. Перед выполнением миграции учетных записей компьютеров в реальной среде настоятельно рекомендуется протестировать этот процесс. В данном случае нам нужно выполнить полную миграцию, поэтому выберите вариант Migrate Now, после чего щелкните на кнопке Next.
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
567
5. На следующем экране введите имена исходного и целевого доменов и щелкните на кнопке Next. 6. На следующем экране, пользуясь кнопкой Add (Добавить) и отмечая нужные учетные записи, выберите переносимые учетные записи компьютеров. Затем щелкните на кнопке Next. 7. Выберите организационную единицу, в которую будут перенесены учетные записи компьютеров, и щелкните на кнопке Next. 8. Следующий экран позволяет указать параметры переносимых локальных клиентов. Для получения подробного описания каждого параметра щелкните на кнопке Help (Справка). В данном примере выберите все элементы, как показано на рис. 17.35. Затем щелкните на кнопке Next.
Ðèñ. 17.35. Указание преобразуемых объектов 9. На следующем экране необходимо указать, нужно ли замещать, удалять или добавлять существующие настройки безопасности. В данном примере выберите вариант замены. Затем щелкните на кнопке Next. 10. Появится предупреждение о том, что преобразование прав пользователей выполняется только в режиме Add (Добавление). Щелкните на кнопке Next. 11. Следующий экран очень важен. Он позволяет администраторам указать время ожидания компьютера (в минутах), прежде чем он выполнит свой перезапуск. Кроме того, здесь можно определить соглашение об именовании для компьютеров, как показано на рис. 17.36. После выбора нужных параметров щелкните на кнопке Next. 12. Как и при использовании предшествующих мастеров, на следующем экране можно указать исключения для некоторых атрибутов. Выберите необходимые исключения и щелкните на кнопке Next. 13. Следующий экран служит для разрешения конфликтов именования. Если требуется использовать конкретные соглашения по именованию или определенные параметры разрешения конфликтов, укажите их на этом экране. Затем щелкните на кнопке Next.
568
Миграция на Windows Server 2003 ×àñòü V
Ðèñ. 17.36. Выбор параметров компьютеров 14. На экране Completion (Завершение) отображается сводка всех предстоящих изменений. Просмотрите этот список и, если все в порядке, щелкните на кнопке Finish. Все клиенты будут модернизированы, а затем перезагружены. 15. По завершении процесса миграции можно просмотреть журнал, щелкнув на кнопке View Log. После проверки всех параметров щелкните на кнопке Close. 16. Затем агенты клиентов распространяются на все перенесенные клиенты. Каждый агент устанавливается автоматически и действует в течение периода времени, установленного во время конфигурирования мастера миграции компьютеров. На этом этапе на каждой рабочей станции появляется диалоговое окно, изображенное на рис. 17.37. 17. Чтобы завершить работу мастера, щелкните в окне оснастки на кнопке Close.
Ðèñ. 17.37. Уведомление пользователей об автоматической остановке рабочей станции
Миграция с Windows 2000 на Windows Server 2003 Ãëàâà 17
569
Ìèãðàöèÿ äðóãèõ ôóíêöèé äîìåíà Кроме мастеров миграции групп, пользователей и компьютеров доступны еще несколько мастеров для миграции отдельных компонентов, важных для работы домена. В основе работы этих мастеров лежат те же принципы, которые были описаны в предыдущих разделах, и их применение не представляет сложности. Ниже приведен перечень дополнительных мастеров, включенных в состав ADMT 2.0: •
Мастер преобразования безопасности (Security Translation Wizard).
•
Мастер отчетов (Reporting Wizard).
•
Мастер миграции учетных записей служб (Service Account Migration Wizard).
•
Мастер миграции каталога Exchange (Exchange Directory Migration Wizard).
•
Мастер повторения попытки выполнения задания (Retry Task Wizard).
•
Мастер миграции доверительных отношений (Trust Migration Wizard).
•
Мастер отображения и слияния групп (Group Mapping and Merging Wizard).
С помощью ADMT 2.0 можно перенести практически все функции, которые необходимо заменить при миграции из одного домена в другой. Эта утилита — еще одно ценное средство, которое могут выбрать администраторы при миграции и реструктурирования сред Active Directory.
Ðåçþìå Хотя в рамках генеалогического древа операционных систем Windows 2000 очень близка к Windows Server 2003, существует ряд веских причин для модернизации некоторых, если не всех, ее сетевых компонентов до Windows Server 2003. Эволюционный характер Windows Server 2003 значительно упрощает выполнение этой процедуры, поскольку модернизация не требует существенных изменений в структуре Active Directory или операционной системы. Кроме того, такие дополнительные процедуры и программные средства, как переадресация доменов смешанного режима и утилита ADMT 2.0, предоставляют организациям широкие возможности перехода на Windows Server 2003 и позволяют глубже осознать преимущества миграции.
Ïîëåçíûå ñîâåòû •
Обеспечьте выполнение после модернизации аудита всех служб, чтобы можно было снова включить службу IIS на тех серверах, где она нужна.
•
Поскольку этапы создания прототипов проекта имеют большое значение для тестирования проектных решений в отношении миграции или внедрения, создайте производственный контроллер домена, а затем изолируйте его для выполнения лабораторного тестирования.
•
Проверьте аппаратную совместимость всех серверов, которые будут непосредственно модернизированы до Windows Server 2003, с помощью опубликованного списка совместимого оборудования (Hardware Compatibility List) компании Microsoft.
570
Миграция на Windows Server 2003 ×àñòü V
•
Поскольку решение о повышении функциональных уровней леса или домена окончательно, то перед выполнением этой процедуры убедитесь, что нигде в лесу не придется добавлять контроллеры домена Windows 2000.
•
Если сервер или серверы, выполняющие роли мастеров операций, не модернизируются до Windows Server 2003, а будут удалены из сети, передайте эти роли другому серверу.
•
При использовании ADMT начните миграцию в новый домен с групп — для сохранения членства пользователей в группах.
Òåñòèðîâàíèå ñîâìåñòèìîñòè ñ Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Âàæíîñòü òåñòèðîâàíèÿ íà ñîâìåñòèìîñòü
•
Ïîäãîòîâêà ê òåñòèðîâàíèþ ñîâìåñòèìîñòè
•
Îáñëåäîâàíèå ïðîäóêòîâ è ïðèëîæåíèé
•
Ïðîâåðêà ñîâìåñòèìîñòè ó ïîñòàâùèêîâ
•
Ëàáîðàòîðíîå òåñòèðîâàíèå ñóùåñòâóþùèõ ïðèëîæåíèé
•
Äîêóìåíòèðîâàíèå ðåçóëüòàòîâ òåñòèðîâàíèÿ ñîâìåñòèìîñòè
•
Îïðåäåëåíèå íåîáõîäèìîñòè ýòàïà ïðîòîòèïèðîâàíèÿ
ÃËÀÂÀ
18
572
Миграция на Windows Server 2003 ×àñòü V
К этому моменту в книге уже представлены и достаточно глубоко рассмотрены новые возможности Windows Server 2003, а также основные соображения по разработке и процессов миграции. Целью данной главы являются исследования процессов тестирования реальных приложений, которые зависят от инфраструктуры Windows Server. В данной главе описываются шаги, необходимые для сбора информации до начала процесса тестирования, реальное тестирование приложений, документирование результатов, а также способы определения необходимости более обширного процесса тестирования прототипа. Выполнение этого процесса абсолютно необходимо, чтобы успешно выполнить проект и избежать недовольства всех пользователей. Процесс тестирования приложений задуман как быстрый способ проверки совместимости и функциональности предполагаемого конечного результата модернизации. В настоящее время многие компании пытаются определить “правильный размер” своих сетевых сред и, возможно, применяют модернизацию в качестве средства реального уменьшения количества серверов, выполняющих сетевые процессы обработки файлов и печати. В конце этого процесса те же самые задачи выполняются меньшим количеством серверов, и могут появиться новые функции, которые значительно усложнят конфигурирование отдельных серверов, что еще более повышает важность тщательного тестирования критических сетевых приложений на сервере. Например, Windows Server 2003 управляет подключениями пользователей и функциями серверных приложений, а также предоставляет улучшенные возможности по обеспечению отказоустойчивости, предлагая некоторым организациям заменить их существующие серверы Windows NT4 или Windows 2000 на Windows Server 2003. Следовательно, еще более возрастает важность тестирования этой конфигурации, чтобы гарантировать, что производительность соответствует ожиданиям пользователей, и что присутствуют все обычные возможности, применяемые работниками для обмена опытом и сотрудничества. Результатом процесса тестирования совместимости приложений является проверка целей проекта или обнаружение тех целей, которые нужно изменить из-за несовместимости или нестабильности приложений. Если одно из основных приложений просто ненадежно работает в Windows Server 2003, то, возможно, необходимо оставить в качестве части сетевой среды Windows NT4 Server или Windows 2000 Server, что совершенно изменит ее структуру. Как уже было сказано в части II данной книги “Active Directory в Windows Server 2003”, в конечной конфигурации могут быть объединены многие различные комбинации конфигураций Windows-серверов, поэтому вероятность того, что проблемные приложения все же смогут работать в новой среде, довольно велика.
Âàæíîñòü òåñòèðîâàíèÿ íà ñîâìåñòèìîñòü Процесс, представленный в данной главе, является важным шагом проверки структуры по конечному состоянию миграции или модернизации. Размер организации и размах модернизации являются важными факторами, которые необходимо рассматривать при определении уровня необходимого тестирования и необходимости проведения полного прототипирования.
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
573
Различия между этапом прототипа и этапом тестирования приложений могут быть существенными или незначительными, в зависимости от сути модернизации. Этап прототипа реплицирует конечное состояние наиболее полным образом, при этом часто применяя для тестирования то же самое оборудование, которое будет использоваться в производственной эксплуатации.
ВНИМАНИЕ! Тестирование приложений можно выполнять на другом оборудовании с конфигурациями, отличными от конечного состояния, но при этом следует помнить, что чем больше отличий между тестируемой средой и реальной модернизируемой средой, тем больше вероятность получения неожиданных результатов. На самом деле этап тестирования приложения можно выполнить и без полного этапа разработки прототипа, но не следует выполнять этап прототипирования без процесса тщательного тестирования приложений.
Большинство сетевых пользователей не знают или не хотят знать, какой сервер, сколько серверов и какие задачи выполняются для каждого приложения, но они будут недовольны, если после миграции на Windows Server 2003 какое-либо приложение перестанет работать. Если в организации уже внедрена служба Active Directory и работают серверы Windows 2000, то в этом случае вероятность несовместимости приложений меньше, чем при переходе организации с более старой операционной системы, например, с NT4 Server, или с другой операционной системы наподобие Novell NetWare. Переход с Windows 2000 вполне может использовать существующее серверное оборудование и выполнить модернизацию на месте, или в случае перехода с Windows NT4, может потребоваться установка совершенно нового серверного оборудования и новых возможностей обеспечения отказоустойчивости сервера, что еще более изменит производственную среду. В этом случае полный этап прототипирования может оказаться и ненужным, однако тестирование приложений все равно потребуется выполнить.
Ïîäãîòîâêà ê òåñòèðîâàíèþ ñîâìåñòèìîñòè Хотя объем необходимой подготовки зависит от множества факторов, определенные шаги должны быть выполнены в любой организации — необходимо определить объем тестирования (что входит в него и что не входит), четко сформулировать цели процесса тестирования и спланировать весь процесс. Существенным преимуществом следования методологии поэтапного проектирования, представленной в главе 2, является наличие обсуждения планирования и формулировки желаемых результатов в документах по разработке, проектированию и миграции. Зачастую компании нанимают экспертов по миграции, что позволяет им избежать классических ошибок в процессе миграции. По окончанию этого процесса планирования становится четко понятно, зачем нужен этот проект, каким подразделениям какие возможности нужны и какой бюджет доступен для выполнения этой работы. Кроме того, определяется график выполнения и основные его этапы. Если поэтапное обследование и процесс проектирования не выполнялись, эта информация все равно должна быть собрана, чтобы удостовериться, что процесс тестирования соответствует целям заказчиков, и что нужные приложения действительно протестированы и верифицированы соответствующими специалистами.
574
Миграция на Windows Server 2003 ×àñòü V
Îïðåäåëåíèå îáúåìà òåñòèðîâàíèÿ ïðèëîæåíèé На этой стадии процесса необходимо составить список, в котором должно быть четко указано, какую версию Windows Server 2003 предполагается использовать, какие версии серверного программного обеспечения будут использованы, какие дополнительные возможности требуются и какие сторонние приложения необходимы. Как уже упоминалось, Windows Server 2003 поставляется в версиях Web, Standard, Enterprise и Datacenter. Небольшие компании могут выбрать использование версий Standard, а большим организациям для их серверных систем может потребоваться версия Enterprise — для большей масштабируемости и отказоустойчивости. Главное, что необходимо обсудить на этом этапе — допустимо ли в окончательном решении использование нескольких версий операционных систем Windows Server. Некоторые организации хотят иметь возможность стандартизации оборудования и вспомогательных услуг, и им нужна лишь одна сетевая операционная система.
НА ЗАМЕТКУ Хотя лицензия редакции Windows Server 2003 Standard значительно дешевле, чем лицензия редакции Enterprise, цена не должна стать главной причиной выбора той или иной версии. Переход с редакции Standard на Enterprise не сводится к простому изменению ключа лицензирования программы. Для этого нужно либо создать совершенно новый сервер с Windows 2003 Enterprise Edition и перенести на него все приложения, либо провести полную модернизацию до Enterprise Edition с существующей лицензии Standard Edition. Организация должна серьезно обдумать, нужны ли ей возможности Enterprise Edition, прежде чем приобретать и устанавливать редакцию Standard, а впоследствии пытаться модернизировать ее.
Необходимо также определить все сторонние приложения. Чаще всего встречаются следующие приложения: программные модули или агенты резервного копирования на ленту, антивирусные программы, программы отправки и приема факсов и продукты интеграции голосовой почты. Дополнительные подключаемые сторонние продукты могут быть следующими: •
Администрирование.
•
Противодействие спаму.
•
Резервное копирование и хранение информации.
•
Управление взаимодействием с заказчиками (Customer Relationship Management — CRM).
•
Просмотр журналов.
•
Миграция.
•
Печать отчетов.
•
Безопасность и шифрование.
Необходимо также составить список нужного оборудования, чтобы гарантировать его наличие тогда, когда оно потребуется. В идеальном случае оборудование, необходимое для модернизации, заказывается для процесса тестирования приложений, но если это невозможно, следует найти оборудование со спецификациями, похожими на
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
575
серверы, которые будут использованы в окончательном варианте. Хотя скорость работы процессора и объем оперативной памяти вряд ли повлияют на корректное функционирование приложения на серверной платформе, некоторые аппаратные устройства должны иметь максимально схожие характеристики. Например, ленточные устройства должны обладать теми же возможностями, что и нужные для производственной среды, так как это один из наиболее критичных компонентов. Если в производственной среде будет использоваться автозагрузка, то она должна быть доступна и во время процесса тестирования приложений. Если требуется работа с факсами из почтового ящика Outlook, то необходимо выделить то же самое оборудование отправки и приема факсов. Некоторые приложения требуют наличия клиентов во время процесса тестирования, поэтому должна быть доступна хотя бы одна система класса рабочей станции. Также может понадобиться связь с Internet для тестирования функций средств удаленного доступа и антивирусных программ. Пример списка требований для определения общего объема этапа тестирования приложений приведен в табл. 18.1.
Òàáëèöà 18.1. Ñïèñîê îáîðóäîâàíèÿ, íåîáõîäèìîãî äëÿ òåñòèðîâàíèÿ ïðèëîæåíèé Сервер №1
Подробности (в том числе номера версий)
Требуемые характеристики сервера: Процессор ОЗУ Конфигурация жесткого диска Другие Сетевая операционная система и пакеты обновлений: Версия программы и агенты резервного копирования на ленту: Необходимые дополнительные сторонние приложения:
Необходимое дополнительное оборудование: Устройство SAN Ленточный привод Источник бесперебойного питания Коммутатор/концентратор Другие Нужен ли доступ в Internet?
Да/Нет
576
Миграция на Windows Server 2003 ×àñòü V
Если было выполнено предварительное планирование, то этот процесс не должен занять много времени. Если этап планирования был пропущен, то потребуется что-то вроде мозговой атаки, чтобы гарантировать, что в этот объем входят все основные ингредиенты, необходимые для тестирования приложений. Цели процесса тестирования приложений также влияют на объем этого процесса, что будет рассмотрено в следующем разделе.
Îïðåäåëåíèå öåëåé òåñòèðîâàíèÿ ñîâìåñòèìîñòè Как и в случае предыдущего шага определения объема процесса тестирования, определение целей может оказаться очень быстрым процессом, а может потребовать и длительных обсуждений с заказчиками проекта. Одним удобным способом определения целей проекта является использование их в качестве списка задач, необходимых для успешного выполнения тестирования. Каким условиям должна удовлетворять организация для уверенного перехода к следующему шагу в миграции Windows? Следующим шагом может быть более подробный этап тестирования прототипа. Для небольших организаций это может быть опытным внедрением, когда новая сетевая среда предлагается отдельной группе хорошо подготовленных пользователей. Эти цели отличны от производственных целей, которые могут стоять перед компанией, например, более надежная сетевая инфраструктура или повышенная безопасность. Этим целям может быть посвящен более подробный этап прототипирования, в то время как тестирование приложений все-таки сконцентрировано на функционировании конкретных комбинаций операционной системы и встроенных или подключенных приложений. Для упорядочения целей процесса удобно разбить их на основные области, как описано в последующих разделах.
Âðåìÿ, îòâåäåííîå íà òåñòèðîâàíèå Эта цель может быть сформулирована предложением “Тестирование должно быть завершено за X дней/недель”. Если времени на тестирование очень мало, то, соответственно, уменьшается время, доступное для каждого приложения, и количество конечных пользователей, которых можно задействовать для тестирования. В этом случае также уменьшается объем документации. Не забудьте включить в график время на обследование совместимости приложений с помощью их поставщиков. В этом процессе может оказаться полезным небольшой план проекта для проверки предположений и защиты графика у заказчиков.
Îöåíêà ïðîäîëæèòåëüíîñòè ïðîöåññà òåñòèðîâàíèÿ ïðèëîæåíèé Хорошее правило — отвести на базовое тестирование по четыре часа на каждое приложение, и восемь часов — на более тщательный процесс тестирования. В этом случае остается время на первоначальные консультации с поставщиками, конфигурирование операционной системы Windows 2003 и тестирование приложений. Конечно, общее необходимое время будет варьироваться в зависимости от типов тестируемых приложений.
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
577
Например, система Windows Server 2003 с программой резервного копирования на ленту и бухгалтерской программой потребует приблизительно один-два дня на тестирование совместимости основных функций и, возможно, неделю на более тщательное тестирование. Обратите внимание, что если для тестирования доступно более одного ресурса, то эти конфигурации можно тестировать параллельно, сократив длительность процесса, но не трудоемкость. Всегда лучше выделить на этап тестирования немного больше времени. Это время можно потратить на более подробное тестирование, обучение пользователей или документирование. В идеале эта цель должна включать время на предвиденные обстоятельства. Персонал, выделенный для тестирования, может заболеть, либо будут обнаружены проблемы, требующие дополнительного тестирования приложений. Поставщики могут не предоставить пробные версии программ так быстро, как хотелось бы, либо может задержаться выход новых версий программ или даже оборудования. Во многих компаниях, которые хотят унифицировать используемые серверы, часто выделяется лабораторное оборудование, применяемое для процесса тестирования. Используются различные версии операционной системы Windows, а также различные версии различных прикладных программ.
Áþäæåò òåñòèðîâàíèÿ Эта цель может быть сформулирована предложением “Тестирование должно уложиться в сумму $X”. Конечно, тестирование может и вовсе не финансироваться, но лучше узнать это как можно раньше. Нехватка средств означает невозможность закупки нового оборудования, необходимость использования пробных копий программного обеспечения (как от Microsoft, так и от сторонних приложений) и невозможность привлечения сторонних специалистов. Если бюджет доступен или известен до производственной модернизации, то для этого этапа необходимо заказать часть производственного оборудования. Тестирование на именно том оборудовании, которое будет использовано при реальной модернизации, а не на каком-то ненужном сервере, даст более ценные результаты.
Èñïîëüçóåìûé ïåðñîíàë Эту цель можно сформулировать предложением “Тестирование будет проведено своими силами и/или привлеченными консультантами”. Зачастую внутренние сетевые администраторы слишком заняты повседневными задачами или устранением возникающих аварийных ситуаций (что как раз может оказаться главной причиной модернизации), и они не смогут посвятить процессу тестирования 100% своего времени. Если в процессе тестирования предполагается привлечение внешней консалтинговой фирмы, специализирующейся на Windows Server 2003, то это может быть хорошим моментом для создания и определения внутреннего бюджета, выделенного на процесс тестирования. Это сократит время на переговоры с участвующими в тендере фирмами.
578
Миграция на Windows Server 2003 ×àñòü V
Îáúåì òåñòèðîâàíèÿ Объем тестирования совместимости может быть сформулирован предложением “Каждое приложение будет протестировано на базовую, среднюю или полную совместимость и набор возможностей”. Эта цель может быть сформулирована для различных типов приложений, когда некоторые критические приложения требуют тщательного тестирования, а не очень важным приложениям достаточно проведения базового тестирования. Сжатый график и ограниченный бюджет не позволяют провести тщательное тестирование, так что в этом случае наиболее вероятной целью будет базовая совместимость.
Îïðåäåëåíèå ðàçëè÷íûõ óðîâíåé òåñòèðîâàíèÿ ñîâìåñòèìîñòè Термин базовое тестирование совместимости, применяемый в данной главе, означает, что критические приложения тестируются только чтобы проверить, загружаются ли они без ошибок и правильно ли выполняют свои основные функции при работе под управлением Windows Server 2003. Зачастую базовое тестирование проводится для проверки работоспособности приложения, что экономит много времени или денег на оборудование и работу персонала, и еще немного — на документирование и обучение. Обратите внимание, что этот уровень тестирования снижает, но не устраняет риски, связанные с производственной эксплуатацией. Тестирование среднего уровня определяется как процесс, при котором Windows Server 2003 конфигурируется со всеми приложениями, которые будут присутствовать в конечной реализации, чтобы тестовая конфигурация максимально соответствовала производственной конфигурации для уменьшения вероятности неожиданного поведения во время внедрения. Этот уровень тестирования требует большей подготовки для понимания деталей конфигурации и большего привлечения тестирующего персонала, а также конечных пользователей. Во время этого процесса необходимо обучение и подготовка документации для фиксации конфигураций серверов и деталей процесса тестирования. Хотя этот уровень тестирования значительно уменьшает вероятность возникновения проблем во время производственной миграции или модернизации, в нем не охватывается процесс миграции или переноса данных между серверами и обучение персонала этому процессу; так что некоторая неопределенность все же присутствует. Полное тестирование добавляет в этот процесс дополнительное обучение персонала и возможное обучение конечных пользователей, и должно включать тестирование реального процесса миграции. Полное обучение требует большего объема документирования для фиксации процессов, необходимых для создания серверов образов и выполнения процедур миграции. Полное тестирование — это то, что обычно определяется как этап прототипа.
Òðåáîâàíèÿ ê îáó÷åíèþ âî âðåìÿ òåñòèðîâàíèÿ Эта цель может быть сформулирована предложением “IT-персонал компании будет (не будет) проходить обучение во время процесса тестирования приложений”. Хотя выполняющий тестирование IT-персонал многому научится при выполнении процесса тестирования, в организации может потребоваться дополнительное обуче-
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
579
ние этих работников, особенно если тестируются новые возможности и приложения. Если привлекаются внешние консультанты, то важно, чтобы в процесс тестирования были вовлечены и работники организации — для целей обучения и проверки. Этап тестирования приложений может быть очень удобной возможностью для обучения персонала службы поддержки или руководителей отделов новым возможностям, которые вскоре станут доступными, так что они смогут оказать поддержку всем пользователям и сформировать ожидание нового проекта.
Òðåáóåìàÿ äîêóìåíòàöèÿ Эта цель может быть сформулирована предложением “Документирование процесса и его результатов проводиться будет/не будет”. И вновь, на ответ на этот вопрос влияет бюджет и график тестирования. Многие организации требуют письменного отчета по всем процедурам тестирования, особенно если инфраструктура Windows может повлиять на само производство. Для других организаций сетевая среда не так критична, поэтому документирование требуется в меньшем объеме или вовсе не требуется. Этап тестирования приложений, если позволяет время, является удобной возможностью для документирования шагов, необходимых для установки или модернизации приложений, и этот уровень инструкций может существенно облегчить производственное внедрение модернизированных сетевых компонентов.
Ñòåïåíü ïðèâëå÷åíèÿ ïîëüçîâàòåëåé Эта цель может быть сформулирована предложением “Конечные пользователи будут/не будут вовлечены в процесс тестирования”. Если имеются приложения наподобие управления взаимодействием с заказчиками (Customer Relationship Management — CRM), документооборота, подключаемых модулей голосовой почты или пейджинга или связи с карманными ПК и мобильными устройствами, то следует выполнить более высокий уровень тестирования пользователями (по крайней мере, ответственными пользователями и руководителями).
Ñóäüáà ëàáîðàòîðíîãî îáîðóäîâàíèÿ Эта цель может быть сформулирована предложением “Лабораторное оборудование, используемое для тестирования приложений, будет/не будет оставаться на месте после завершения тестирования”. Существует множество причин, по которым организация может принять решение оставить лабораторное оборудование после того, как оно выполнит свое основное предназначение. Если исправление или модернизация Windows Server 2003 или стороннего приложения интегрируется с Windows Server 2003, то рекомендуется протестировать его в непроизводственной среде. Даже невинно выглядящие исправления антивирусных продуктов могут привести к невозможности работы производственного сервера. Другие обновления могут потребовать тестирования пользователями, чтобы проверить, нужно ли внедрять их на производственных серверах.
580
Миграция на Windows Server 2003 ×àñòü V
Äîêóìåíòèðîâàíèå ïëàíà òåñòèðîâàíèÿ ñîâìåñòèìîñòè Информацию, обсуждаемую и собираемую во время предыдущих шагов, необходимо собрать и распространить всем заинтересованным лицам, чтобы все члены команды работали на одну и ту же цель. Эти компоненты являются областью и целями процесса тестирования приложений и должны включать в себя график, бюджет, объем тестирования (базовое, среднее или полное), требования к обучению, требования к документации и судьбу тестового оборудования. Этот шаг еще более важен, если не было завершено формальное исследование и этап проектирования. Потратив время на документирование этих ограничений, вы получите более структурированный процесс тестирования и меньшую вероятность, что пропущен какой-либо важный шаг или тестирование застрянет на одном их приложений. Работники, выполняющие тестирование, должны иметь список пунктов точного процесса тестирования и не должны тратить несоответствующее количество времени на одно приложение или “проявить инициативу” и опробовать продукты, не входящие в объем работы. После завершения тестирования заказчики должны четко сформулировать, чего они хотят в отношении документации, чтобы эффективно представить и просмотреть результаты тестирования. Этот итоговый документ должен быть предоставлен заказчикам проекта для просмотра и утверждения. После этого организация будет готова к выполнению обследования и процесса тестирования на совместимость с Windows Server 2003.
Îáñëåäîâàíèå ïðîäóêòîâ è ïðèëîæåíèé Следующим шагом процесса тестирования совместимости является начало реального обследования тестируемых продуктов и приложений. Имея документально сформулированные цели и результаты, ожидаемые от необходимого процесса тестирования совместимости, организация может приступить к сбору информации.
Èíâåíòàðèçàöèÿ ñåòåâûõ ñèñòåì Первым шагом процесса сбора информации является инвентаризация сетевых систем, которые будут входить в среду Windows Server 2003. В число этих систем входят контроллеры доменов, серверы приложений, шлюзовые системы и вспомогательные серверы.
НА ЗАМЕТКУ При определении систем, входящих в среду Windows Server 2003, необходимо создать отдельные списки, в которых будет указано, является ли сервер контроллером домена или рядовым сервером среды, либо обособленным сервером, не взаимодействующим напрямую с доменом. Обычно обособленные серверы, не интегрированные в домен, не требуют обязательного параллельного обновления до Windows Server 2003. Поскольку система работает обособленно, то, как правило, она сможет продолжать работать и далее, и ее можно исключить из объема тестирования и миграции во время первоначального этапа миграции. Исключение этого сервера может также существенно уменьшить объем проекта, ограничив количество серверов, включаемых в процесс тестирования и миграции.
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
581
Для систем, входящих в сетевой домен, необходимо идентифицировать устройства, на которых выполняются сетевые операционные системы. Пример инвентаризационной ведомости системных устройств приведен в табл. 18.2.
Òàáëèöà 18.2. Èíâåíòàðèçàöèîííàÿ òàáëèöà ñèñòåìíûõ óñòðîéñòâ Название сервера
Член домена (да/нет)
Контроллер домена (да/нет)
Основные функции
Операционная система
Сервер A
да
да
DC, DNS, DHCP
Windows 2000 SP3 Windows 2000 SP3
Сервер B
да
нет
Exchange Server
Сервер C
да
нет
Файловый сервер и сервер печати Windows NT4
Сервер D
нет
нет
Web-сервер
Windows 2000 SP3
Èíâåíòàðèçàöèÿ ïðèëîæåíèé íà ñóùåñòâóþùèõ ñåðâåðàõ Теперь, после составления списка серверных систем сети, следующим шагом является инвентаризация приложений, выполняющихся в этих системах. Необходимо тщательно определить все приложения, выполняющиеся в системах, в том числе программы работы с лентами, антивирусные программы и утилиты мониторинга и управления сетью. Основные приложения, требующие модернизации, обычно очевидны, как и стандартные службы, подобные резервному копированию данных и антивирусным программам. Но в большинстве организаций необходимо выявить дополнительные приложения, спрятанные в сети. Если используется сервер управления системами (Systems Management Server — SMS) или другое средство управления сетью с возможностями инвентаризации, то с его помощью также можно предоставить эту базовую информацию.
НА ЗАМЕТКУ Другим способом проверки, что перед миграцией протестированы все приложения, является простая просьба всем руководителям групп предоставить список приложений, важных для их работы и работы их сотрудников. Здесь применяется точка зрения не со стороны серверов и приложений, а используется то, что говорят руководители и сотрудники организации о программах, нужных для выполнения их служебных обязанностей. Из этих списков можно собрать общий список.
Ðàçëè÷èÿ ìåæäó ïðèëîæåíèÿìè è ñëóæáàìè Windows Это разграничение необходимо, поскольку оно относится к производственной среде Windows Server 2003. Приложения — это программы, выполняющиеся под Windows Server 2003, например, инструментальные приложения или служебные программы пользователей, а службы — это программы, интегрированные в операционную систему, например, SQL, Exchange, антивирусные приложения и тому подобные. Как уже
582
Миграция на Windows Server 2003 ×àñòü V
упоминалось, в среде .NET приложения создаются для работы на платформе Windows, поэтому чем более тесно внедрено старое приложение в сетевую операционную систему (ОС), тем выше вероятность возникновения проблем. Также полезно разделить приложения и службы от Microsoft и других поставщиков. Приложения Microsoft, которые необходимо перенести в новую среду Windows Server 2003, скорее всего, были тщательно протестированы в Microsoft, и при этом должны были быть обнаружены возможные несовместимости. Обширная информация доступна на странице Microsoft TechNet или на странице продукта в рамках Webсайта Microsoft. С другой стороны, для приложений и служб, разработанных не в Microsoft, могут пройти недели после выпуска продукта до появления информации о возможных проблемах несовместимости с операционной системой Microsoft. Это относится и к пакетам обновлений и обновлениям продуктов, когда сообщения о проблемах могут появиться спустя недели или месяцы после выпуска обновления. Более того, многие организации, создающие собственные приложения, могут обнаружить, что информации о совместимости с Windows Server 2003 почти нет, поэтому им для проверки совместимости может потребоваться более сложное лабораторное тестирование.
Ñîñòàâëåíèå èíâåíòàðèçàöèîííûõ âåäîìîñòåé äëÿ êàæäîãî ïðèëîæåíèÿ В организации должны быть созданы инвентаризационные ведомости для каждого проверяемого приложения. Составление инвентаризационной ведомости для каждого приложения может занять десятки, если не сотни, листов бумаги. Однако каждое приложение требует тщательной проверки совместимости, поэтому собранная информация будет полезной. Примерная инвентаризационная ведомость продукта может содержать следующие категории: •
Название поставщика.
•
Название продукта.
•
Номер версии.
•
Приложение или служба?
•
Критическое?
•
Совместимо с Windows Server 2003 (да/нет)?
•
Необходимые требования для совместимости, сформулированные поставщиком.
•
Решение о миграции (обновление, модернизация, замена, продолжение работы под управлением существующей ОС, прекращение использования, продолжение работы без поддержки поставщика).
Кроме того, сюда могут быть включены пункты с информацией о том, какие офисы или отделы используют приложение, скольким пользователям оно нужно и так далее. Все замечания от поставщика, например, белые списки для миграции, советы и приемы для шагов миграции, утилиты модернизации и любые другие документы должны быть напечатаны, загружены и подшиты в папку. Хотя сегодня поставщик
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
583
может на своем Web-сайте заявлять о совместимости его продукта, ко времени проведения модернизации может оказаться, что поставщик изменил свое мнение. Любая сопутствующая информация, которая приводит к решению проводить миграцию, может также пригодиться в будущем.
Ðàññòàíîâêà ïðèîðèòåòîâ â ñïèñêå После завершения составления и пересмотра списка у вас будет конкретная информация, отображающая общее мнение о критичности и некритичности используемых приложений. Не нужно одинаково относиться ко всем приложениям и утилитам, так как простая утилита, которая не будет работать и не считается критическим приложением, может быть легко модернизирована или заменена позднее и не должна задерживать миграцию. Однако проблемы с критическими для производства приложениями должны быть подробно рассмотрены, поскольку они могут повлиять на весь процесс модернизации. Помните, что некоторые вспомогательные приложения могут оказаться критичными для любой сетевой среды. Это программы резервного копирования на ленту (с соответствующими агентами) и антивирусные программы. В организациях, выполняющих управление сетью и системами, также важны средства и агенты управления.
Ïðîâåðêà ñîâìåñòèìîñòè ó ïîñòàâùèêîâ Вооружившись полным списком приложений, совместимость которых нужно протестировать, команда тестирования приложений может приступить к работе на телефонах и Web-сайтах поставщиков для получения информации о совместимости. Для тестировщиков некоторых программ необходим больший объем обследования, так как поставщики часто запаздывают с публичными объявлениями о совместимости с новыми продуктами. Опыт показывает, что простое использование средств поиска на сайте поставщика может оказаться бесполезным процессом. Поэтому реальный контакт с лицом, заинтересованным в предоставлении последней и наиболее важной информации (например, с представителем компании по сбыту), может сэкономить немало времени. Каждый поставщик склонен пользоваться своей терминологией при обсуждении совместимости с Windows Server 2003 (особенно когда она протестирована не на 100%); действенным способом определения уровня совместимости является разграничение следующих четырех областей: •
Совместимо.
•
Совместимо с исправлениями или обновлениями.
•
Не совместимо (нужен переход на новую версию).
•
Не совместимо и не существует совместимой версии (необходим новый продукт).
По возможности следует собрать информацию об особенностях тестового оборудования, например, о версии и уровне пакетов обновлений операционной системы Windows, в которой было протестировано приложение, а также о протестированных
584
Миграция на Windows Server 2003 ×àñòü V
аппаратных устройствах (если это важно, например, ленточные приводы, конкретные карманные ПК и так далее).
Ïðîòîêîëû îáñëåäîâàíèÿ ñîâìåñòèìîñòè ïðèëîæåíèé Для организационных целей для каждого приложения необходимо создать протокол, в который будет заноситься информация, полученная от поставщиков. Примерная инвентаризационная ведомость продукта может содержать следующие категории: •
Название поставщика.
•
Название продукта и номер версии.
•
Контактное лицо поставщика и контактная информация.
•
Уровень критичности: критическое приложение, почти критическое, желательно иметь.
•
Совместимость с Windows Server 2003: да/нет/не сказали.
•
Сформулированные поставщиком требования для проведения перехода или обеспечения совместимости приложения.
•
Рекомендуемые действия: нет, исправление/обновление, переход на новую версию, замена новым продуктом, прекращение использование продукта, использование продукта без поддержки поставщика.
•
Совместимость с операционными системами: Windows Server 2003, Windows 2000 Server, Windows NT Server, другие.
•
Примечания (случайно услышано, использованные URL-адреса, копии печатных заявлений о совместимости или документы, предоставленные поставщиками).
Расширять ли примечания за пределы разговоров с поставщиками и материалов, распечатанных с Web-сайтов и хранимых в папке с инвентаризационными ведомостями — дело вкуса. Помните, что URL-адреса часто меняются, поэтому, когда информация найдена, ее лучше распечатать. В тех случаях, когда требуется модернизация продуктов, может быть записана информация о номерах частей, стоимости и другая относящаяся к делу информация.
Øåñòü ñîñòîÿíèé ñîâìåñòèìîñòè По существу имеется шесть возможных вариантов совместимости, которые можно сформулировать на основе данных поставщиков и которые необходимо проверить во время процесса тестирования. Эти уровни совместимости примерно соответствуют уровням риска появления неожиданного поведения и проблем во время процесса перехода: 1. Используемая в настоящее время версия приложения совместима с Windows Server 2003. 2. Используемая в настоящее время версия приложения совместима с Windows Server 2003 после проведения небольшого обновления или исправления.
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
585
3. Используемое в настоящее время приложение совместимо с Windows Server 2003 после перехода на новую версию приложения. 4. Используемое в настоящее время приложение не совместимо с Windows Server 2003 и не допускает модернизацию, но его можно продолжать выполнять на старой версии Windows Server (или другой сетевой операционной системы) в модернизированной сетевой среде Windows Server 2003. 5. Используемое в настоящее время приложение не совместимо с Windows Server 2003 и будет свернуто после завершения модернизации. 6. Используемое в настоящее время приложение не совместимо с Windows Server 2003 по заявлению поставщика, либо информация о совместимости недоступна, но, похоже, работает под управлением Windows Server 2003, поэтому будет функционировать только в новой операционной системе. Каждое из этих состояний будет подробно рассмотрено в последующих разделах.
Èñïîëüçîâàíèå ïðèëîæåíèé, ñîâìåñòèìûõ ñ Windows Server 2003 Хотя большинство приложений требует какой-либо модернизации, поставщик может просто заявить, что используемая версия будет правильно работать с Windows Server 2003 и предоставить документацию по поддержке или указать URL-адрес с более подробной информацией на эту тему. Такое может скорее произойти с приложениями, не интегрируемыми, а лишь взаимодействующими с отдельными компонентами Windows Server, и которые могут быть даже установлены на отдельных серверах. Дело организации — решить, необходимо ли тестирование для проверки заявления поставщика о совместимости. Если рассматриваемое приложение критично для целостности или безопасности операционной системы Windows 2003 или предоставляет пользователям возможности, повышающие эффективность их деловой активности и транзакций, то тестирование определенно рекомендуется. Для модернизаций в условиях небольшого доступного времени и ограниченного бюджета на тестирование (базовое тестирование, определенное раннее в данной главе) эти приложения можно переместить в конец списка приоритетов и тестировать только после завершения тестирования приложений, требующих обновления или модернизации. Явным преимуществом приложений, проверенных поставщиком на совместимость с Windows Server 2003, является то, что администраторы уже знают, как устанавливать и сопровождать продукт и как он взаимодействует с Windows Server 2003 и службой поддержки; конечным пользователям не нужно проходить тренинги или обучение, связанное с новыми версиями продуктов.
НА ЗАМЕТКУ Как уже упоминалось, нужно четко выяснить, какая сетевая ОС и какая конкретная версия операционной системы Windows использовалась в процессе тестирования, поскольку вроде бы несущественные изменения наподобие исправлений безопасности для ОС могут существенно повлиять на производительность продукта в модернизированной среде. Программы резервного копирования на ленты известны своей крайней чувствительностью к небольшим изменениям версий Windows, и может показаться, что резервное копирование на ленту выполняется, хотя это и не так. Если в процессе задействованы такие устройства, как текстовые пейджеры или карманные ПК, то по возможности следует проверить конкретные протестированные опе-
586
Миграция на Windows Server 2003 ×àñòü V
рационные системы и детали моделей оборудования, чтобы удостовериться, что в тестирование поставщика были включены модели, используемые в организации. Если в одной системе Windows Server 2003 устанавливаются несколько приложений, могут возникнуть непредвиденные конфликты. Следовательно, для критических приложений Windows Server 2003 тестирование все же рекомендуется — даже для приложений, для которых поставщик заявляет полную совместимость с Windows Server 2003.
Íåîáõîäèìîñòü ïðîâåäåíèÿ íåáîëüøèõ îáíîâëåíèé è èñïðàâëåíèé äëÿ ñîâìåñòèìîñòè При модернизации с Windows 2000 многим приложениям просто нужны относительно небольшие обновления или исправления для обеспечения совместимости с Windows Server 2003. Это менее вероятно в случае перехода с Windows NT4 или с полностью отличающейся операционной системы, такой как Novell Netware или Linux. Во время процесса тестирования обновления и исправления обычно легко и быстро устанавливаются, доступны через Internet и зачастую бесплатны. Необходимо обязательно прочитать все примечания или файлы readme, поставляемые с обновлением, так как для обеспечения их работоспособности могут понадобиться некоторые настройки в конфигурации Windows Server 2003. Эти обновления и исправления часто изменяются и обновляются после их выпуска, поэтому стоит периодически проверять доступность новых пересмотренных версий. Подобные обновления обычно не влияют на основные возможности и функции продуктов, хотя они могут привносить и некоторые новые черты; поэтому для них требуется лишь небольшое обучение или изменение в поддержке, поскольку персонал службы помощи и поддержки уже знает, как сопровождать эти продукты.
Ïðèëîæåíèÿ, òðåáóþùèå èçìåíåíèÿ âåðñèè äëÿ ñîâìåñòèìîñòè В других случаях, особенно при миграции с Windows NT4 или другой сетевой операционной системы, требуется стратегия полной миграции, а это обычно более сложный процесс, чем загрузка исправления или установка небольшого обновления продукта. Этот процесс зависит от продукта; в некоторых случаях возможна модернизация на месте, когда программа не находится на самом сервере Windows Server 2003, а в других случаях требуется новая инсталляция. Количество времени, необходимое для установки и тестирования этих модернизаций, больше, а график обучения плотнее, кроме того, увеличивается вероятность возникновения технических сложностей и проблем. Следовательно, необходимо выделить дополнительное время на тестирование процесса установки новых продуктов, конфигурирование их на оптимальное сочетание с Windows и тонкую настройку для повышения производительности. Здесь уже важны обучение IT-персонала и персонала справочной службы из-за возможности появления существенных отличий между новой и старой версиями. Не стоит считать, что сохранится совместимость со всеми аппаратными устройствами — самим сервером, устройствами резервного копирования на ленту или устройствами SAN.
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
587
Если требуется новая версия продукта, то, скорее всего, придется заплатить за модернизацию, что поднимает вопрос бюджета. Некоторые поставщики могут предоставлять пробные копии своих продуктов со сроком действия 30–120 дней.
Ðàáîòà ñ íåñîâìåñòèìûìè ïðèëîæåíèÿìè, êîòîðûå îñòàþòñÿ “êàê åñòü” Как уже упоминалось в данной главе, Windows Server 2003 может сосуществовать с предыдущими версиями операционной системы Windows, поэтому миграция на Windows Server 2003 не требует модернизации каждого сервера. Например, в больших организациях небольшие офисы могут какое-то время продолжать работать с Windows 2000, если для этого есть резонные производственные причины или возникают вопросы стоимости модернизации дорогих приложений. Если написаны специальные сценарии или приложения, которые интегрируют и добавляют нужную функциональность в Windows NT4 или Windows 2000, то, возможно, более разумным будет не трогать эти серверы. Хотя это может показаться возможностью не выполнять тестирование, поскольку конфигурации серверов не меняются, все равно нужно протестировать сочетаемость с новыми конфигурациями Windows Server 2003, дабы проверить стабильность совместной работы серверов. И опять-таки, в этой ситуации само приложение не модернизируется, не модифицируется и не изменяется, поэтому обучение администраторов или конечных пользователей не потребуется.
Íåñîâìåñòèìûå ïðèëîæåíèÿ, êîòîðûå íå áóäóò èñïîëüçîâàòüñÿ Организация может решить, что поскольку какое-либо приложение несовместимо с Windows Server 2003 и его модернизация невозможна или слишком дорогостоящая, то с ним можно просто прекратить работать. В Windows Server 2003 имеется множество новых возможностей, рассматриваемых во всей этой книге, которые могут сделать ненужными некоторые утилиты и средства управления. Например, после внедрения кластеризации может оказаться ненужным модуль аварийного восстановления для программы резервного копирования на ленту. Во время процесса тестирования необходимо тщательно фиксировать отличия, которые могут заметить администраторы, персонал службы помощи и конечные пользователи при повседневной работе с сетевой системой. Если какие-то возможности пропадут, то может оказаться очень полезным исследование оценки влияния этого факта. Многие пользователи поднимают шум, если пропадает какая-либо возможность, даже если она редко используется, но этих жалоб можно избежать, если проинформировать их заранее.
Îôèöèàëüíî íåñîâìåñòèìûå ïðèëîæåíèÿ, êîòîðûå, ïîõîæå, ðàáîòàþò íîðìàëüíî Последняя категория относится к ситуациям, когда никакой информации о совместимости не найдено. Некоторые поставщики предпочитают не предоставлять никакой информации и не опубликовывать заявлений о совместимости с Windows
588
Миграция на Windows Server 2003 ×àñòü V
Server 2003. Это ставит организацию в трудное положение, поскольку для принятия решения она должна полагаться на результаты внутреннего тестирования. Даже если приложение вроде бы работает правильно, может быть принять решение о постепенном сворачивании или выводе из эксплуатации продукта, если сбой в его работе может нанести ущерб производству. Если приложение выполняет важную функцию, то, возможно стоит найти или создать его замену, или, по крайней мере, выделить время для этого процесса позднее. Если организация решает продолжить работу с приложением, его можно оставить вместе со старой версией Windows или перенести в новую среду Windows Server 2003. В любом случае необходимо предупредить административный персонал, персонал службы помощи и конечных пользователей, что это приложение официально не поддерживается или официально несовместимо и может выполняться с ошибками.
Ñîçäàíèå ìàòðèöû ðåøåíèé ìîäåðíèçàöèè Хотя каждое приложение имеет свою собственную инвентаризационную ведомость, полезно создать краткий итоговый документ, описывающий конечные результаты процесса обследования поставщиков и изменения проекта модернизации сети. В табл. 18.3 показан примерный формат матрицы решений модернизации.
Òàáëèöà 18.3. Ìàòðèöà ðåøåíèé ìîäåðíèçàöèè
Название продукта
Уровень совместимости с Windows 2003: 1) Совместим как есть 2) Необходимы исправления 3) Необходима модернизация 4) Не совместим
Решение: (–) Без изменений (И) Исправление (М) Модернизация (З) Замена
№ п/п
Поставщик
1
Veritas
BackUp Exec
v.x
2
М
2
Veritas
Open File Agent
v.x
3
М
3
TrendMicro
InterScan
v.x
3
М
4
Microsoft
Exchange
2003
1
–
Версия
Как и в случае всех документов, влияющих на объем и конечное состояние сетевой инфраструктуры, нужно, чтобы этот документ был просмотрен и утвержден заказчиками проекта. Этот документ можно расширить, указав в нем, какие приложения на каком сетевом сервере должны быть установлены, если в окончательной конфигурации будет несколько серверов Windows Server 2003. Тогда этот документ может служить списком пунктов, выполняемых во время реального процесса тестирования.
Îöåíêà âëèÿíèÿ ðåçóëüòàòîâ ñîâìåñòèìîñòè íà ïëàí òåñòèðîâàíèÿ ñîâìåñòèìîñòè После сбора всех данных о совместимости, недостаточной совместимости или недостаточной информации необходимо пересмотреть план тестирования совместимо-
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
589
сти и решить, нужны ли в нем изменения. Как уже было сказано в данной главе, компонентами плана тестирования совместимости являются объем процесса тестирования приложений и цели этого процесса (график, бюджет, степень тестирования, требования к обучению и документации и судьба лабораторного оборудования). Некоторые из этих целей теперь могут оказаться более труднодостижимыми и потребовать дополнительных средств, времени и персонала. Если необходимо заменить важные сетевые приложения их новыми версиями или решениями от другого поставщика, то может потребоваться дополнительное время на тестирование и обучение. Может также потребоваться засучить рукава некоторым важным конечным пользователям и выполнить ручное тестирование для проверки, что новые продукты соответствуют их ожиданиям. Это может оказаться тем моментом в процессе тестирования приложений, когда принимается решение о необходимости более полного этапа тестирования прототипа и о необходимости расширения лабораторного оборудования для более близкого или точного соответствия конечному состоянию миграции.
Ëàáîðàòîðíîå òåñòèðîâàíèå ñóùåñòâóþùèõ ïðèëîæåíèé После завершения подготовки и обследования и надлежащей проверки плана тестирования совместимости можно приступить к собственно тестированию. К этому времени процесс тестирования должен проходить довольно гладко, так как он уже достаточно долго обсуждался, и должно быть понятно, каковы цели тестирования и какие приложения будут протестированы. Уже должно быть выполнено тщательное обследование поставщиков, и сейчас остается лишь создать тестовый сервер (серверы) и документировать результаты. В процессе тестирования могут быть получены неожиданные результаты, поскольку конкретная комбинация аппаратного и программного обеспечения может повлиять на производительность основных приложений; но уж лучше пусть это случится в непроизводственной среде, в которой отказы не повлияют на возможность организации выполнять ее функции. Во время процесса тестирования приобретается важный опыт установки и модернизации, что будет полезно при производственном внедрении. Команда миграции ознакомится — а может, и станет экспертами — с процессом установки и миграции приложений, когда до этого дойдет дело, и с большей вероятностью избежит ошибок конфигурации и сможет разрешить технические вопросы.
Âûäåëåíèå è êîíôèãóðèðîâàíèå îáîðóäîâàíèÿ В идеале должны быть доступны средства на покупку такого же серверного оборудования и соответствующих периферийных устройств (например, ленточных приводов, источников бесперебойного питания (ИБП), карманных ПК, текстовых пейджеров), которые будут использованы в производственной миграции. Это лучше, чем применение серверного компьютера, который валяется в запаснике с незапамятных
590
Миграция на Windows Server 2003 ×àñòü V
времен, и который будет работать не так, как оборудование, используемое в окончательном варианте. На самом деле использование старого оборудования может привести к большему объему работы и добавить больше неизвестных параметров в и без того сложный процесс. Если процесс тестирования в точности отражает производственную среду, то его можно рассматривать как этап прототипирования, который обычно имеет больший объем, чем тестирование на совместимость и требует для своего завершения дополнительного аппаратного и программного обеспечения и времени. Этап прототипирования рекомендуется для более сложных сетей, в которых процесс модернизации сопряжен с большим риском, и для которого доступны средства, время и персонал. Не забудьте выделить демонстрационную рабочую станцию для каждой настольной операционной системы, которая поддерживается организацией, и пример системы удаленного доступа, например, типичный ноутбук или карманный ПК, который используется агентами по продажам или командируемым персоналам.
Âûäåëåíèå è êîíôèãóðèðîâàíèå Windows Server 2003 К этому моменту все программное обеспечение заказано, выделено, загружено и подготовлено к легкому доступу — наряду со всеми заметками по процедурам инсталляции, загруженными на этапе обследования. Если после обследования совместимости с помощью поставщиков прошло значительное время, то стоит проверить, не выпущены ли какие-либо новые исправления. Матрица решений модернизации, рассмотренная ранее в этой главе, является отличным списком выполнения, который нужно иметь в руках во время этого процесса, чтобы гарантированно не пропустить ничего, что может повлечь задержки во время процесса тестирования. При конфигурировании серверов с соответствующими операционными системами к ним должны быть применены стандарты компании на конфигурации, если они есть. В эти стандарты могут входить уровень резервирования жестких дисков, разделение файлов приложений и файлов данных, соглашения об именовании, роли серверов, утвержденные и протестированные пакеты безопасности и конфигурации безопасности. Далее, система Windows Server 2003 должна быть также сконфигурирована в соответствии со стандартами компании, а затем — важные вспомогательные программы, защищающие целостность данных и операционной системы, обычно это программы резервного копирования, антивирусные программы и утилиты и приложения управления. После завершения этого базового конфигурирования лучше выполнить полное резервное копирование системы или воспользоваться приложением, подобным Ghost, чтобы подготовить снимок конфигурации сервера на тот случай, если при последующем тестировании возникнут проблемы и потребуется откат состояния.
Çàãðóçêà îñòàëüíûõ ïðèëîæåíèé После конфигурирования Windows Server 2003, то есть базовой операционной системы и необходимых утилит, можно начать тестирование добавочных приложений. Эти приложения улучшают функционирование Windows и позволяют пользователям более эффективно выполнять свою работу и более эффективно управлять производ-
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
591
ством. Удобно предоставить календарь или график конечным пользователям, вовлеченным на этом этапе в процесс тестирования, чтобы они знали, когда понадобится их помощь. Существует настолько много различных комбинаций приложений, которые могут быть установлены и протестированы на этом этапе, что эти различные варианты невозможно рассмотреть в данной главе. Общей рекомендацией является первоочередное тестирование наиболее важных приложений и приложений, о совместимости которых еще ничего не известно. При максимально раннем задействовании приложений, которые с большой вероятностью могут породить проблемы, персонал тестирования будет еще выглядеть свежо, и можно будет спокойно договориться с заказчиками, пока будет достаточно времени на исправление в процессе тестирования. Рекомендуется тщательное тестирование конечными пользователями, а также включение в этот процесс персонала службы помощи. Заметки, сделанные во время процесса тестирования, пригодятся при создании руководств по конфигурированию или в процессе миграции для производственного внедрения.
НА ЗАМЕТКУ Помимо основных функций, ввода данных и доступа к данным приложений, нужно выполнить некоторые дополнительные проверки, что приложения, успешно установленные в тестовой среде, могут печатать на различных стандартных принтерах, формировать стандартные отчеты, экспортировать и импортировать данные и обмениваться информацией с другими системами или устройствами. Тестирование должны проводить конечные пользователи приложений и административный IT-персонал, выполняющий сопровождение, поддержку и управление приложением. В процессе тестирования необходимо вести записи полученных результатов, поскольку они окажутся весьма полезными во время производственной миграции.
Ñðåäñòâî òåñòèðîâàíèÿ ñîâìåñòèìîñòè ïðèëîæåíèé Microsoft предлагает средство, называемое инструментальным набором совместимости приложений (Application Compatibility Toolkit — ACT), которое представляет собой набор документов и средств, помогающих выявить проблемы с совместимостью для приложений, установленных на серверах Windows 2000 или 2003. Инструментальный набор совместимости приложений очень удобен для определения, имеет ли рассматриваемое приложение очевидные проблемы или возможные бреши в безопасности — особенно приложение, для которого недоступна информация от поставщика, или приложение, разработанное под заказ. Этот уровень тестирования попадает в категорию среднего или полного уровня тестирования, которые были упомянуты ранее в данной главе; это ценно для организаций с более сложными сетевыми средами Windows, для которых требуется максимальная стабильность. В данном наборе имеется три компонента: анализатор совместимости приложений Microsoft, верификатор приложений Windows и администратор совместимости. Анализатор совместимости приложений (Application Compatibility Analyzer), показанный на рис. 18.1, инвентаризует все приложения, выполняющиеся на сервере, и выводит оперативный отчет с перекрестными ссылками с помощью базы данных, используемой Microsoft для генерации оценочных отчетов.
592
Миграция на Windows Server 2003 ×àñòü V
Ðèñ. 18.1. Анализатор совместимости приложений Microsoft Для разработки приложений верификатор приложений Windows (Windows Applications Verifier) проводит тестирование возможных ошибок совместимости, вызванных обычными ошибками программирования, проверяет приложение на наличие проблем с памятью, определяет соответствие приложения требованиям программ логотипа “Certified for Windows Server 2003” (“Сертифицировано для Windows Server 2003”) и производит поиск в приложении возможных проблем с безопасностью. На момент написания этих строк это приложение доступно для загрузки по адресу http://www.microsoft.com/downloads (воспользуйтесь для поиска ключевой фразой “application compatibility toolkit”).
Òåñòèðîâàíèå ïðîöåññà ìèãðàöèè è ìîäåðíèçàöèè В данном разделе описывается следующий логический шаг процесса тестирования. После проверки стабильности окончательной конфигурация, составленная на этапе планирования процесса, и уточнения, какие приложения и утилиты на какие серверы должны быть инсталлированы, можно приступить к тестированию самого процесса модернизации. Как описано в главах 16 и 17, Windows Server 2003 поставляется с несколькими встроенными утилитами и средствами тестирования и облегчения миграции.
Äîêóìåíòèðîâàíèå ðåçóëüòàòîâ òåñòèðîâàíèÿ ñîâìåñòèìîñòè Во время процесса тестирования совместимости могут быть составлены различные документы. Важно понять ожидания заказчиков и знать, какие документы будут использоваться. Например, на основе собранной информации может понадобиться составить более подробную финансовую информацию, либо список решений о переходе
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
593
или отказе от перехода. Следовательно, может понадобиться надлежащее оформление сводки усовершенствований, предлагаемых Windows Server 2003 в областях надежности, видимой пользователям производительности и улучшенных и добавленных возможностей. Как минимум, необходимо создать сводный отчет по процессу тестирования и включить в план производственной модернизации или миграции окончательные рекомендации по приложениям, которые затем потребуется представить заказчикам. Эти документы могут быть простыми, подобными матрице решений по модернизации, которая рассматривалась ранее в данной главе, либо они могут быть более подробными и включать подробные примечания по конкретным выполненным процедурам тестирования. Можно опубликовать примечания с итогами результатов тестирования конечными пользователями, проверки приложений и описание результатов — как положительных, так и отрицательных. Если оборудование, применяемое для тестирования, идентично оборудованию, которое будет использоваться в производственной модернизации, можно составить документы по конфигурации сервера с подробным списком аппаратной и программной конфигурации: это гарантирует, что серверы, созданные в производственной среде, будут иметь ту же самую основную конфигурацию, которая была протестирована в лабораторных условиях. Может быть составлен более подробный документ по созданию, с описанием точных шагов, которые должен выполнить технический персонал по созданию системы Windows Server 2003 — в тех случаях, когда за короткий период времени необходимо создать много сетевых серверов. В документацию можно включить уровень трудоемкости или количество времени, необходимые для реального выполнения модернизации или миграции пробного подкаталога, и эта информация может весьма пригодиться при планировании общего времени, необходимого для выполнения модернизации или миграции.
Îïðåäåëåíèå íåîáõîäèìîñòè ýòàïà ïðîòîòèïèðîâàíèÿ В данной главе уже несколько раз упоминался вопрос, необходим ли более полный этап прототипирования, или достаточно будет более ограниченного этапа тестирования совместимости приложений. Существенная разница между этими понятиями состоит в том, что этап прототипирования максимально точно повторяет реальное конечное состояние модернизации, от оборудования сервера до периферийных устройств и программ, так что возможно тестирование всего процесса модернизации с целью уменьшения вероятности появления сюрпризов во время производственной модернизации. Этап тестирования приложений может быть не таким обширным, включать только один сервер и быть предназначенным для проверки, что нужные приложения будут надежно работать в данной конфигурации Windows Server 2003. Тестирование совместимости может занять всего лишь неделю — от определения целей до обследования и самого тестирования. Этап прототипирования выполняется гораздо дольше, поскольку требует выполнения дополнительных шагов. Ниже приводится список пунктов, помогающих организации принять решение.
594
Миграция на Windows Server 2003 ×àñòü V
•
Доступны ли достаточные финансовые средства для подмножества реального оборудования, которое будет использоваться при модернизации?
•
Доступно ли достаточное время для конфигурирования прототипного оборудования и тестирования программного обеспечения?
•
Доступен ли внутренний персонал на период времени, необходимый для завершения тестирования прототипа? Имеются ли средства на оплату внешних консультантов для завершения работы?
•
Является ли сетевая среда Windows критичной для возможности выполнения организацией своих ежедневных действий и получения прибыли, и повлечет ли прерывание работы Windows неприемлемые для компании затраты?
•
Необходимо ли тестировать и документировать реальный процесс миграции для обеспечения успешности модернизации?
•
Необходимо ли обучение персонала по процессу модернизации (сборка серверов, конфигурирование сетевой операционной системы и связанных с ней приложений)?
Если ответы на более чем половину этих вопросов будут утвердительными, то, скорее всего, этап прототипирования необходим.
Ðåçþìå Тестирование совместимости с Windows Server 2003 необходимо выполнять перед любой модернизацией или миграцией. Этот процесс может быть завершен очень быстро для небольших сетей (базовое тестирование) либо для больших сетей с достаточно простыми сетевыми средами. Первыми шагами является определение объема и целей проекта, чтобы привлечь руководство к определению факторов успешного выполнения проекта. Затем необходимо выполнить внутреннее обследование и выявить приложения, зависящие от сетевой работы. В их число входит не только Windows Server, но и программы резервного копирования на ленту, антивирусные программы, средства управления и мониторинга сети, подключаемые модули и создаваемые инвентаризационные ведомости, содержащие сводку этой информации. Необходимо также по каждому приложению принять решение о том, является ли оно критичным, близким к критичному или просто желательным. Затем потребуется выполнить обследование с помощью поставщиков продуктов, составить протоколы для фиксации этой информации, и отнести приложение к одному из шести состояний совместимости. Далее выполняется собственно тестирование — в лабораторной среде, изолированной от производственной сети, приложения загружаются и тестируются как администраторами, так и конечными пользователями или персоналом службы помощи. Затем результаты документируются и формируются окончательное решение, продолжать ли процесс дальше. Данный процесс облегчает производственную модернизацию или миграцию и уменьшает вероятность возникновения технических проблем, которые могут нанести ущерб или существенно ограничить возможности компании выполнять ее функции. Проблемы распознаются и решаются заранее, а персонал, выполняющий эту работу, знакомится со всеми задействованными продуктами и процессами.
Тестирование совместимости с Windows Server 2003 Ãëàâà 18
595
Ïîëåçíûå ñîâåòû •
Выделите время на определение целей проекта (что получит организация в результате модернизации?), а также объема проекта (что входит и что не входит в проект?).
•
Разберитесь во всех приложениях, взаимодействующих с Windows Server 2003, и определите, являются ли они критичными, почти критичными или просто желательными.
•
Документируйте процесс обследования каждого приложения; эта информация очень пригодится, если во время процесса тестирования возникнут проблемы.
•
Создайте лабораторную среду, максимально похожую на окончательное состояние модернизации. Это уменьшит количество неизвестных параметров, которые могут привести к проблемам в самое неподходящее время.
•
Приложение должно быть протестировано на совместимость как типичными конечными пользователями приложения, так и администраторами приложения, которые осуществляют сопровождение, поддержку и управление приложением.
Àäìèíèñòðèðîâàíèå è óïðàâëåíèå Windows Server 2003
 ÝÒÎÉ ×ÀÑÒÈ... 19. Àäìèíèñòðèðîâàíèå ïîëüçîâàòåëåé, ãðóïï è ñàéòîâ â Windows Server 2003 20. Ñèñòåìíûé ðååñòð Windows Server 2003 21. Ãðóïïîâûå ïîëèòèêè Windows Server 2003 22. Ïðàêòèêà óïðàâëåíèÿ è îáñëóæèâàíèÿ Windows Server 2003 23. Àâòîìàòèçàöèÿ çàäà÷ ñ ïîìîùüþ ñöåíàðèåâ Windows Server 2003 24. Äîêóìåíòèðîâàíèå ñðåäû Windows Server 2003 25. Èíòåãðàöèÿ äèñïåò÷åðà îïåðàöèé Microsoft ñ Windows Server 2003
×ÀÑÒÜ
VI
Администрирование пользователей, групп и сайтов… Ãëàâà 19
Àäìèíèñòðèðîâàíèå ïîëüçîâàòåëåé, ãðóïï è ñàéòîâ â Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Îïðåäåëåíèå ìîäåëè àäìèíèñòðèðîâàíèÿ
•
Çíàêîìñòâî ñ àäìèíèñòðèðîâàíèåì ñàéòîâ Active Directory
•
Êîíôèãóðèðîâàíèå ñàéòîâ
•
Çíàêîìñòâî ñ ãðóïïàìè Active Directory Windows Server 2003
•
Ñîçäàíèå ãðóïï
•
Óïðàâëåíèå àäìèíèñòðèðîâàíèåì ïîëüçîâàòåëåé
•
Ïðîôèëè ïîëüçîâàòåëåé
•
Óïðàâëåíèå ïîëüçîâàòåëÿìè ñ ïîìîùüþ ëîêàëüíûõ ïîëèòèê áåçîïàñíîñòè è ãðóïïîâûõ ïîëèòèê
ÃËÀÂÀ
19
599
600
Администрирование и управление Windows Server 2003 ×àñòü VI
Для администрирования инфраструктуры Windows Server 2003 администраторы могут освоить лишь несколько простых задач, а затем применять их на различных уровнях к различным объектам. Все управление средой состоит из административных задач, касающихся почти все аспектов сети: администрирование пользователей, администрирование серверов и рабочих станций и администрирование сети. Например, в течение одного дня администратор может проверить успешность выполнения резервного копирования сервера, изменить пароль пользователя, добавить или удалить пользователей из существующих групп и настроить аппаратуру локальной или глобальной сети. Хотя каждая из этих задач может быть по своей природе очень простой или сложной, администраторы должны, по крайней мере, знать структуру своей части всей сети предприятия и понимать принципы взаимодействия и взаимозависимости различных компонентов, образующих сеть. Эта глава посвящена обычным задачам администрирования пользователей и групп Active Directory (AD) Windows Server 2003 и описывает управление сайтами Active Directory для оптимизации доступа пользователей и производительности репликаций.
Îïðåäåëåíèå ìîäåëè àäìèíèñòðèðîâàíèÿ Прежде чем начать эффективно управлять компьютерной и сетевой средой, организация и ее IT-персонал должны вначале определить способы назначения задач и управления ими. Работа по делегированию ответственности за сеть определяет модель администрирования организации. Для логического разбиения управления сетью предприятия между несколькими IT-специалистами или IT-отделами могут быть использованы три различных типа моделей администрирования — централизованная, распределенная и смешанная. При отсутствии модели администрирования среда управляется хаотически, и значительная часть работы обычно выполняется в пожарном режиме. Обновления и модификация сервера часто выполняются “по живому”, без надлежащего тестирования. Кроме того, при некорректном или непоследовательном выполнении задач администрирования или сопровождения практически невозможно обеспечить безопасность среды и аудит административных событий. В средах, не следующих модели администрирования, работа ведется по устранению последствий событий, а не по их предупреждению. Для выбора или определения корректной модели администрирования организация должна решить, какие службы необходимо выполнять в каждом месте, и где должны находиться администраторы, умеющие управлять этими службами. Размещение администраторов в удаленных помещениях, где почти не требуется IT- администрирование, может оказаться напрасной тратой денег, но при наличии небольшой группы из ведущих специалистов компании будет неплохой идеей предоставить этим элитным пользователям максимально возможный уровень обслуживания.
Öåíòðàëèçîâàííàÿ ìîäåëü àäìèíèñòðèðîâàíèÿ Концепция централизованной модели администрирования проста: все IT-администрирование осуществляется одной группой, обычно расположенной в одном физическом месте. В централизованной модели все критические Web-серверы размеще-
Администрирование пользователей, групп и сайтов… Ãëàâà 19
601
ны в одном или немногих местах, а не распределены там и сям. Такое оформление позволяет централизованно выполнять резервные копирования и всегда иметь в наличии нужного IT-специалиста в случае отказа сервера. Например, если организация использует сервер сообщений Microsoft Exchange 2000, и такой сервер находится на каждой площадке, то при необходимости полного восстановления сервера из резервной копии квалифицированного специалиста в нужном месте может и не оказаться. В такой ситуации администрирование по возможности следует выполнять удаленно, но в централизованной модели администрирования и администратор Exchange Server 2003, и серверы располагаются в одном месте, что позволяет максимально эффективно выполнять восстановление и администрирование.
Ðàñïðåäåëåííàÿ ìîäåëü àäìèíèñòðèðîâàíèÿ Распределенная модель администрирования противоположна централизованной модели в том, что задачи могут быть поделены между IT- и не IT-специалистами, находящимися в разных местах. Права на выполнение административных задач могут выделяться на основе территориального/административного деления или рабочих функций. Кроме того, административное управление может быть разрешено для конкретной сетевой службы наподобие DNS или DHCP. Это позволяет разделить администрирование серверов и рабочих станций без предоставления неквалифицированным администраторам прав на изменение сетевых настроек или параметров безопасности. Системы Windows Server 2003 позволяют назначать мелкие группы административных прав и полномочий, предоставляя администраторам предприятия большую гибкость при назначении задач персоналу. Распределенное администрирование, основанное только на географической близости, часто встречается в организациях. В конце концов, если требуется физическое посещение сервера, рабочей станции или сетевого устройства, то может оказаться более эффективным размещение рядом квалифицированного администратора, ответственного за это устройство.
Ñìåøàííàÿ ìîäåëü àäìèíèñòðèðîâàíèÿ Смешанная модель администрирования является смесью административных ответственностей, использующей и централизованное, и распределенное администрирование. Примером может служить модель, в которой все политики безопасности и стандартные конфигурации сервера определяются с центрального сайта или головного офиса, но настройка и управление серверами выполняются в месте их физического расположения, ограничивая возможности администраторов по изменению конфигураций серверов, расположенных в других местах. Кроме того, можно предоставить права на управление только отдельными учетными записями пользователей — для обеспечения еще более распределенного администрирования на базе отдельных сайтов или отделов.
Çíàêîìñòâî ñ àäìèíèñòðèðîâàíèåì ñàéòîâ Active Directory Разные люди по-разному понимают, что такое сайт. В рамках Active Directory сайт определяет внешние и внутренние границы репликации и помогает пользователям
602
Администрирование и управление Windows Server 2003 ×àñòü VI
найти ближайшие серверы для аутентификации и доступа к сетевым ресурсам. Если вы спросите операционного менеджера, то он может описать сайт как какое-либо физическое место, из которого организация управляет своим производством. В данном разделе обсуждается администрирование сайтов Active Directory. Сайты AD могут быть сконфигурированы в одном или многих местах, соединенных каналами с высокой пропускной способностью. Они могут быть оптимизированы для репликации и требуют для выполнения обычных операций очень небольшой пропускной способности. После определения сайта AD серверы и клиентские рабочие станции используют информацию, хранимую в конфигурации сайта, для нахождения ближайших контроллеров домена, серверов глобальных каталогов и распределенных общих файловых ресурсов. Конфигурирование сайта может оказаться простой задачей, но если топология сайта определена некорректно, то скорость доступа к сети может уменьшиться из-за того, что серверы и пользователи будут подключаться к ресурсам по всей сети, а не использовать локальные ресурсы. В большинстве случаев определение и настройка конфигурации сайта Active Directory требует лишь нескольких часов работы. После первоначальной настройки сайты AD редко требуют изменений, если не изменилась сетевая адресация, не добавлены или удалены с сайта контроллеры доменов, не добавлены новые сайты и не удалены старые сайты.
Êîìïîíåíòû ñàéòà Как уже упоминалось, конфигурирование сайта требует немного времени, поскольку требуется манипуляция очень немногими компонентами. Сайт состоит из имени сайта; подсетей внутри этого сайта; связей и мостов с другими сайтами; политик, относящихся к сайту; и, конечно, серверов, рабочих станций и служб, предоставляемым этим сайтом. Некоторые компоненты, такие как серверы и рабочие станции, динамически конфигурируются на сайте на основе их сетевой конфигурации. Службы контроллеров доменов и цели распределенной файловой системы (Distributed File System — DFS) также расположены на сайтах с помощью конфигурирования сети сервера, на котором расположены эти ресурсы.
Ïîäñåòè Подсети определяют сетевые границы сайта и ограничивают трафик по глобальной сети, позволяя клиентам производить поиск локальных служб, прежде чем приступать к поиску по каналам глобальной сети. Многие администраторы не определяют подсети для тех мест, где нет локальных серверов; вместо этого они ставят в соответствие подсетям сайта только репликацию контроллеров доменов Active Directory. Если подсеть пользовательской рабочей станции не определена в Active Directory, то пользовательская рабочая станция может аутентифицироваться и загрузить политики или выполнить службы с контроллера домена, не подключенного непосредственно к локальной сети. Эта аутентификация и загрузка по глобальной сети может породить излишний трафик и неприемлемое время реакции.
Ñâÿçè ñàéòîâ Связи сайтов управляют репликацией Active Directory и непосредственно соединяют отдельные сайты. Связь сайтов конфигурируется для конкретного типа прото-
Администрирование пользователей, групп и сайтов… Ãëàâà 19
603
кола — а именно, RPC, IP или SMTP — а частота и график репликации конфигурируется в связи сайтов.
Ñåðâåð ëèöåíçèðîâàíèÿ (äëÿ êàæäîãî ñàéòà) В Active Directory лицензии серверов и использование лицензий могут отслеживаться центральным сервером каждого сайта. С помощью оснастки Active Directory Sites and Services (Сайты и службы Active Directory) консоли управления Microsoft (Microsoft Management Console — MMC) можно назначить конкретный сервер в качестве сервера лицензирования сайта. Все Windows-серверы, в том числе NT4, Windows 2000 и Windows 2003 реплицируют на этот сервер свои лицензии и данные об их использовании. Серверы лицензирования сайтов реплицируют информацию друг другу, чтобы администратор предприятия имел возможность отслеживать лицензии для всего предприятия с консоли лицензирования на любом из серверов лицензирования.
Ãðóïïîâûå ïîëèòèêè ñàéòîâ Групповые политики сайтов позволяют определить конфигурации и полномочия компьютеров и пользователей в одном месте и применять их ко всем компьютерам и/или пользователям в пределах сайта. Поскольку область действия сайта может охватывать все домены и контроллеры доменов леса, то политики сайтов должны использоваться с осторожностью. Поэтому политики сайтов не очень широко применяются за пределами определения пользовательских настроек сетевой безопасности для сайтов с повышенными требованиями к безопасности или для делегирования административных прав, если администрирование выполняется в основном по территориальному признаку.
НА ЗАМЕТКУ Поскольку сайты обычно определяются на основе связей с высокой пропускной способностью, то при определении требований к сайту необходимо придерживаться некоторых полезных рекомендаций проектирования. Сайты по возможности должны содержать локальные сетевые службы, такие как контроллеры доменов, серверы глобальных каталогов, DNS-серверы, DHCP-серверы и, если нужно, серверы WINS. В этом случае при нарушении сетевой связи между сайтами локальная сеть сайта все равно сможет применять групповые политики и выполнять аутентификацию, разрешение имен и поиск ресурсов. Также целесообразно разместить файловые серверы на каждом сайте, если только файлы не должны храниться централизованно из соображений безопасности или требований к резервному копированию.
Êîíôèãóðèðîâàíèå ñàéòîâ Работу по конфигурированию и созданию сайтов выполняют администраторы, управляющие Active Directory, но по возможности должны информироваться и привлекаться к проектированию и те, кто управляет сетью. Вне зависимости от того, управляются ли Active Directory и сеть одной или различными группами, они влияют друг на друга, что может привести к нежелательному использованию сети или нарушению ее связности. Например, если администратор Active Directory определяет все предприятие как единый сайт, и ежедневно в Active Directory проводятся несколько изменений, то будут существовать соединения репликации по всему предприятию, что породит интенсивный трафик репликации и, значит, понизит сетевую производи-
604
Администрирование и управление Windows Server 2003 ×àñòü VI
тельность для других сетевых служб. А если сетевой администратор разрешает взаимодействовать отдельным подсетям только через заданные порты, то добавление Active Directory может потребовать открытия дополнительных портов или выполнения специальных сетевых требований на серверах в каждом месте их расположения.
Ñîçäàíèå ñàéòà При создании сайта администраторы Active Directory и сетевые администраторы должны определить частоту репликации AD между сайтами. Они также должны совместно использовать определенную информацию наподобие скорости работы линии между сайтами и IP-адресов серверов, вовлеченных в репликацию. Знание скорости линии позволяет точно определить стоимость межсайтовой связи. Для сетевого администратора знание IP-адресов, с которых можно ожидать сетевой трафик в определенные порты, полезно при устранении неполадок или во время мониторинга сети. Для создания сайта администратору AD нужно знать имя сайта и подсеть, а также то, какие другие сайты будут выполнять репликацию с этим новым сайтом. Для создания сайта выполните перечисленные ниже шаги. 1. Войдите в сервер или рабочую станцию Windows XP с установленными средствами администрирования (Administration Tools) Windows Server 2003. Для простоты войдите с учетной записью, имеющей права на создание сайта; обычно подходит учетная запись с правами администратора предприятия. 2. Выберите в меню Start (Пуск) пункт All ProgramsÖAdministrative ToolsÖActive Directory Sites and Services (Все программыÖСредства администрированияÖ Сайты и службы Active Directory). Если консоль отсутствует, перейдите к следующему шагу, иначе перейдите к шагу 7. 3. Выберите в меню Start пункт Run (Выполнить). Затем введите команду MMC.exe и щелкните на кнопке ОК. 4. Выберите в меню File (Файл) пункт Add/Remove Snap-in (Добавить/удалить оснастку). 5. В окне Add/Remove Snap-in щелкните на кнопке Add (Добавить). 6. На странице Add Stand-alone Snap-in (Добавить отдельную оснастку) выберите оснастку Active Directory Sites and Services (Сайты и службы Active Directory) и щелкните на кнопке Add (Добавить). В окне Add/Remove Snap-in щелкните на кнопке Close (Закрыть), а затем на кнопке ОК. 7. В окне консоли щелкните на крестике рядом с узлом Active Directory Sites and Services (Сайты и службы Active Directory). 8. Щелкните правой кнопкой мыши на контейнере Sites (Сайты) и выберите в контекстном меню пункт New Site (Новый сайт). 9. Введите имя сайта и выберите любую существующую связь сайтов, как показано на рис. 19.1. Затем щелкните на кнопке ОК для создания сайта. 10. Может появиться всплывающее окно с информацией о том, какие еще задачи необходимо выполнить для корректного завершения создания сайта. Прочтите эту информацию, запишите все, что нужно, и щелкните на кнопке ОК.
Администрирование пользователей, групп и сайтов… Ãëàâà 19
605
Ðèñ. 19.1. Создание нового сайта
Ñîçäàíèå ïîäñåòåé ñàéòà После создания сайта он должен появиться в окне консоли. Для завершения процесса создания сайта выполните следующие шаги: 1. В окне консоли щелкните правой кнопкой мыши на контейнере Subnets (Подсети) и выберите в контекстном меню пункт New Subnet (Создать подсеть). 2. Введите адрес и маску подсети, выберите нужный сайт из списка в нижней части окна и щелкните на кнопке ОК, чтобы создать новую подсеть и связать ее с новым сайтом. Если вы не уверены, какой адрес ввести, введите IP-адрес и маску подсети устройства в этой сети, и мастер самостоятельно выберет корректный номер сети.
Äîáàâëåíèå â ñàéò êîíòðîëëåðà äîìåíà Если в лес добавляется новый контроллер домена, он динамически объединяется с сайтом с совпадающей подсетью, если к этому времени уже сконфигурирована топология сайта и определены подсети. Если существующий контроллер перемещается на новый сайт либо изменяется топология сайта или стратегия репликации, то для перемещения контроллера домена на другой сайт можно выполнить описанные ниже шаги. 1. Войдите в сервер или рабочую станцию Windows XP с установленными средствами администрирования (Administration Tools) Windows Server 2003. Для простоты войдите с учетной записью, имеющей права на создание сайта; обычно подходит учетная запись с правами администратора предприятия. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖActive Directory Sites and Services (Все программыÖСредства администрированияÖСайты и службы Active Directory). Если консоль отсутствует, перейдите к следующему шагу, иначе перейдите к шагу 7. 3. Выберите в меню Start пункт Run. Затем введите команду MMC.exe и щелкните на кнопке ОК. 4. Выберите в меню File пункт Add/Remove Snap-in. 5. В окне Add/Remove Snap-in щелкните на кнопке Add.
606
Администрирование и управление Windows Server 2003 ×àñòü VI
6. На странице Add Stand-alone Snap-in выберите оснастку Active Directory Sites and Services и щелкните на кнопке Add. В окне Add/Remove Snap-in щелкните на кнопке Close, а затем на кнопке ОК. 7. В окне консоли щелкните на крестике рядом с узлом Active Directory Sites and Services. 8. Найдите сайт, содержащий нужный контроллер домена. Просмотреть список серверов сайта можно, раскрыв контейнер Sites, раскрыв внутри него соответствующий сайт и выбрав в этом сайте контейнер Servers, как показано на рис. 19.2.
Ðèñ. 19.2. Просмотр списка серверов сайта 9. Когда найдете требуемый сервер, запомните или запишите его исходный сайт, щелкните правой кнопкой мыши на имени сервера и выберите в контекстном меню пункт Move (Переместить). 10. Когда в окне откроется список всех сайтов леса, выберите сайт назначения и щелкните на кнопке ОК для запуска перемещения сервера. 11. После завершения перемещения проверьте, что контроллер домена попал в корректный контейнер Servers соответствующего сайта. При необходимости создайте вручную соединения репликации, если требуемые соединения не были автоматически созданы генератором межсайтовой топологии (Inter-Site Topology Generator — ISTG) в течение 15 минут после перемещения сервера. Информация об ISTG и связях репликации приведена в главе 7.
Íàñòðîéêà ëèöåíçèðîâàíèÿ äëÿ ïðåäïðèÿòèÿ В Active Directory лицензирование сервера реплицируется на выделенный сервер лицензирования сайта. Каждый сервер лицензирования сайта реплицирует свою информацию лицензирования на серверы лицензирования других сайтов, так что каждый сервер обладает полной информацией о лицензировании предприятия. Репликация лицензирования выполняется через заданные интервалы репликации, устанавливаемые на
Администрирование пользователей, групп и сайтов… Ãëàâà 19
607
сервере из оснастки Licensing (Лицензирование) панели управления каждого сервера. Первый контроллер домена сайта становится сервером лицензирования сайта. Для изменения сервера лицензирования сайта выполните следующие шаги: 1. Войдите в сервер или рабочую станцию Windows XP с установленными средствами администрирования (Administration Tools) Windows Server 2003. Для простоты войдите с учетной записью, имеющей права на создание сайта; обычно подходит учетная запись с правами администратора предприятия. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖActive Directory Sites and Services (Все программыÖСредства администрированияÖСайты и службы Active Directory). Если консоль отсутствует, перейдите к следующему шагу, иначе перейдите к шагу 7. 3. Выберите в меню Start пункт Run. Затем введите команду MMC.exe и щелкните на кнопке ОК. 4. Выберите в меню File пункт Add/Remove Snap-in. 5. В окне Add/Remove Snap-in щелкните на кнопке Add. 6. На странице Add Stand-alone Snap-in выберите оснастку Active Directory Sites and Services и щелкните на кнопке Add. В окне Add/Remove Snap-in щелкните на кнопке Close, а затем на кнопке ОК. 7. В окне консоли щелкните на крестике рядом с узлом Active Directory Sites and Services. 8. Выберите в левой панели нужный сайт. Затем в правой панели щелкните правой кнопкой мыши на строке Licensing Site Settings (Параметры лицензирования сайта) и выберите в контекстном меню пункт Properties (Свойства), как показано на рис. 19.3.
Ðèñ. 19.3. Открытие страницы параметров лицензирования сайта
608
Администрирование и управление Windows Server 2003 ×àñòü VI
9. На странице свойств Licensing Site Settings обратите внимание на компьютер лицензирования в нижней части окна и, если нужно, щелкните на кнопке Change (Изменить) для указания этого компьютера. 10. В окне Select Computer (Выбор компьютера) введите имя соответствующего контроллера домена и щелкните на кнопке ОК. 11. Возвратившись на страницу свойств Licensing Site Settings, щелкните на кнопке ОК для изменения сервера лицензирования сайта.
Êîíôèãóðèðîâàíèå îïöèé ëèöåíçèðîâàíèÿ ñåðâåðà/ðàáî÷åé ñòàíöèè Для получения верной информации использования лицензирования для всего предприятия администратор должен понимать принципы репликации информации лицензирования. Каждый сервер реплицирует свою информацию лицензирования на сервер лицензирования сайта на основе интервала репликации, установленного в оснастке Licensing (Лицензирование), который доступен в панели управления консоли сервера. По умолчанию интервал составляет 24 часа, так что информация о лицензировании реплицируется на сервер лицензирования сайта ежесуточно.
Äîáàâëåíèå ëèöåíçèé Если для правильного отслеживания лицензий Windows и, возможно, лицензий BackOffice, Exchange и SMS необходимо добавить лицензии доступа клиентов для новых пользователей или новых устройств, то лицензии следует добавлять непосредственно на сервер лицензирования сайта. Это обеспечивает немедленное отображение лицензий на сервере лицензирования. Многие администраторы не понимают сути лицензирования, поэтому они либо отключают журнал лицензий, либо добавляют лицензии несколько раз, прежде чем понимают, что добавленные лицензии отображаются на сервере лицензирования только после их репликации.
Óñòàíîâëåíèå ñâÿçåé ñàéòîâ Связи сайтов обеспечивают связность между контроллерами домена для обеспечения возможности управления и помещения в график репликации Active Directory. База данных Active Directory, глобальный каталог, служба Group Policies и общий ресурс SYSVOL контроллера домена реплицируют себя в соответствии с расписанием репликаций, сконфигурированным в связях сайтов. Дополнительная информация о связях сайтов приведена в главе 7. Для создания связи сайтов на основе IP выполните перечисленные ниже шаги. 1. Войдите в сервер или рабочую станцию Windows XP с установленными средствами администрирования (Administration Tools) Windows Server 2003. Для простоты войдите с учетной записью, имеющей права на создание сайта; обычно подходит учетная запись с правами администратора предприятия. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖActive Directory Sites and Services. Если консоль отсутствует, перейдите к следующему шагу, иначе перейдите к шагу 7.
Администрирование пользователей, групп и сайтов… Ãëàâà 19
609
3. Выберите в меню Start пункт Run. Затем введите команду MMC.exe и щелкните на кнопке ОК. 4. Выберите в меню File пункт Add/Remove Snap-in. 5. В окне Add/Remove Snap-in щелкните на кнопке Add. 6. На странице Add Stand-alone Snap-in выберите оснастку Active Directory Sites and Services и щелкните на кнопке Add. В окне Add/Remove Snap-in щелкните на кнопке Close, а затем на кнопке ОК. 7. В окне консоли щелкните на крестике рядом с узлом Active Directory Sites and Services. 8. Раскройте контейнер Sites и дважды щелкните на контейнере Inter-Site Transports (Межсайтовые транспорты). 9. Щелкните правой кнопкой мыши на контейнере IP и выберите в контекстном меню пункт New Site Link (Новая связь сайтов). 10. Введите имя связи сайтов, выберите сайт, который будет реплицировать Active Directory с помощью этой связи и щелкните на кнопке Add. Повторяйте этот шаг, пока в правом окне не появятся все нужные сайты, как показано на рис. 19.4.
Ðèñ. 19.4. Добавление сайтов в связь сайтов 11. Щелкните на кнопке ОК для создания связи сайтов. 12. Возвратившись в консоль Active Directory Sites and Services, щелкните правой кнопкой мыши на новой связи сайтов в правой панели и выберите в контекстном меню пункт Properties. 13. В верхней части окна введите описание связи сайтов. Например, введите Связь между сайтом A и сайтом B. Придумайте простое, но информативное описание. 14. В нижней части окна введите стоимость связи и частоту репликации. Это число указывает, насколько часто Active Directory будет пытаться выполнять репликацию в рамках допустимого графика репликаций.
610
Администрирование и управление Windows Server 2003 ×àñòü VI
15. Щелкните на кнопке Change Schedule (Изменить график) для задания отдельных интервалов, когда Active Directory не должна проводить репликацию, и щелкните на кнопке ОК. 16. Щелкните на кнопке ОК на странице свойств связи сайтов для завершения конфигурирования связи. После настройки связи сайтов соединения Active Directory между контроллерами домена различных сайтов могут сгенерировать новые соединения для оптимизации репликации.
Äåëåãèðîâàíèå óïðàâëåíèÿ íà óðîâíå ñàéòà Управление иногда делегируется на уровне сайта, чтобы дать сетевым администраторам права управления репликацией Active Directory, не давая при этом прав на управление любыми другими объектами Active Directory. С помощью делегирования управления на уровне сайта можно выполнить и обратное действие — запретить сетевым администраторам права доступа к объектам Active Directory для отдельных сайтов. Отдельные административные права могут быть назначены с помощью встроенного мастера делегирования управления (Delegate Control Wizard), а другие права можно установить для всех объектов сайта с помощью групповых политик сайта. Для делегирования контроля на уровне сайта выполните описанные ниже шаги. 1. Войдите в сервер или рабочую станцию Windows XP с установленными средствами администрирования (Administration Tools) Windows Server 2003. Для простоты войдите с учетной записью, имеющей права на создание сайта; обычно подходит учетная запись с правами администратора предприятия. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖActive Directory Sites and Services. Если консоль отсутствует, перейдите к следующему шагу, иначе перейдите к шагу 7. 3. Выберите в меню Start пункт Run. Затем введите команду MMC.exe и щелкните на кнопке ОК. 4. Выберите в меню File пункт Add/Remove Snap-in. 5. В окне Add/Remove Snap-in щелкните на кнопке Add. 6. На странице Add Stand-alone Snap-in выберите оснастку Active Directory Sites and Services и щелкните на кнопке Add. В окне Add/Remove Snap-in щелкните на кнопке Close, а затем на кнопке ОК. 7. В окне консоли щелкните на крестике рядом с узлом Active Directory Sites and Services. 8. Щелкните правой кнопкой мыши на контейнере Sites и выберите в контекстном меню пункт Delegate Control (Делегировать управление). 9. На экране приветствия мастера делегирования управления (Delegate Control Wizard) щелкните на кнопке Next (Далее). 10. С помощью кнопки Add (Добавить) выберите пользователя, пользователей или группы, которым будет делегировано управление сайтом, и щелкните на кнопке Next. Можно выбрать группу Active Directory, созданную для команды управле-
Администрирование пользователей, групп и сайтов… Ãëàâà 19
611
ния сетью организации, или стандартную группу с именем Network Configuration Operators (Операторы конфигурирования сети). 11. На странице Active Directory Object Type (Тип объекта Active Directory) выберите пункт This Folder, Existing Objects in This Folder and Creation of New Objects in This Folder (Эта папка, объекты, существующие в этой папке, и создание новых объектов в этой папке), являющийся стандартной опцией делегирования управления, а затем щелкните на кнопке Next. Разрешенные полномочия распространятся в каждый из контейнеров под исходным контейнером Sites. Если это вас не устраивает, возвратитесь к шагу 8 и выберите нужный контейнер сайта или подсети. 12. На странице Permissions (Полномочия) установите флажки для всех полномочий, которые должен иметь администратор, или, в данном случае, сетевая группа. 13. Щелкните на кнопке Next, а затем на кнопке Finish (Готово) для завершения работы мастера делегирования управления.
Çíàêîìñòâî ñ ãðóïïàìè Active Directory Windows Server 2003 Группа Active Directory состоит из коллекции объектов (пользователи, компьютеры и другие группы, используемые для упрощения доступа к ресурсам и пересылки почтовых сообщений). Группы можно использовать для предоставления административных прав, предоставления доступа к сетевым ресурсам или распространения электронной почты. Существует множество разновидностей групп, и в зависимости от того, в каком режиме работает домен, часть функций группы может быть недоступна.
Òèïû ãðóïï Active Directory Windows Server 2003 поддерживает два различных типа групп: группы рассылки и группы доступа. Оба этих типа имеют свое специальное назначение и преимущества, и для их правильного использования необходимо четко уяснить их характеристики.
Ãðóïïû ðàññûëêè Группы рассылки позволяют сгруппировать адресатов, пользователей или группы в первую очередь для целей рассылки почтовых сообщений. Эти типы групп не могут использоваться для предоставления или запрещения доступа к ресурсам доменов. Списки разграничительного контроля доступа (Discretionary Access Control List — DACL), используемые для предоставления или запрещения доступа к ресурсам или определения прав пользователей, состоят из элементов контроля доступа (Access Control Entry — ACE). Группы рассылки не обладают возможностями управления безопасностью и не могут использоваться в DACL. В некоторых случаях это может упростить управление безопасностью, когда внешние поставщики должны упоминаться в адресных книгах, но не должны получать доступ к ресурсам в домене или лесу.
612
Администрирование и управление Windows Server 2003 ×àñòü VI
Ãðóïïû äîñòóïà Группы доступа имеют возможность обеспечения безопасности и могут использоваться для назначения прав пользователей и прав доступа к ресурсам или для применения групповых политик компьютеров и Active Directory. Использование групп доступа вместо отдельных пользователей упрощает администрирование. Группы можно создавать для отдельных ресурсов или задач, и при изменении списка пользователей, которым нужен доступ к каким-либо ресурсам, можно изменить только членство в группах в соответствии с изменениями во всех ресурсах, используемых этой группой. Для выполнения административных задач можно определить группы доступа для различных уровней ответственности. Например, администратор сервера уровня 1 может иметь право изменять пароли пользователей и управлять рабочими станциями, а администратор уровня 2 может иметь эти полномочия и еще право добавлять или удалять объекты из конкретной организационной единицы или домена. Количество возможных уровней ответственности огромно, поэтому одним из способов упрощения администрирования в рамках предприятия может быть создание функциональной структуры группы доступа. Группы доступа могут быть также использованы для почтовых целей, и в таком случае выполняют сразу две задачи.
Îáëàñòè äåéñòâèÿ ãðóïï â Active Directory Чтобы еще больше запутать тему групп, после определения типа группы необходимо также выбрать область действия группы. Область действия, попросту говоря, определяет границы того, кто может быть членом группы и где может использоваться группа. Поскольку для делегирования контроля или разрешения доступа к ресурсу могут использоваться только группы доступа, то до конца этой главы мы будем считать, что речь идет о группах доступа.
Ëîêàëüíûå ãðóïïû äîìåíà С помощью локальных групп домена можно назначать полномочия для выполнения административных задач в домене и для доступа к ресурсам, размещенным на контроллерах домена. Эти группы могут содержать членов из любого домена леса, а также другие группы в качестве своих членов. Локальным группам домена могут быть назначены полномочия только в том домене, в котором они размещены.
Ãëîáàëüíûå ãðóïïû Глобальные группы несколько более функциональны, чем локальные группы домена. Эти группы могут содержать членов только из домена, в котором они расположены, но им могут быть назначены права доступа к ресурсам или делегировано управление выполнением административных задач или управление службами в нескольких доменах, если между доменами установлены соответствующие доверительные отношения.
Óíèâåðñàëüíûå ãðóïïû Универсальные группы могут содержать пользователей, группы, адресатов или компьютеры из любого домена леса. Это упрощает необходимость ведения в одном домене групп, члены которых принадлежат различным лесам. Членство в универсальных группах не должно широко применяться или часто изменяться, поскольку членст-
Администрирование пользователей, групп и сайтов… Ãëàâà 19
613
во в группах реплицируется во все домены и заносится в глобальный каталог. Лучше всего создать универсальную группу, охватывающую домены, но содержащую в качестве членов только глобальные группы из каждого домена. Это уменьшает междоменную репликацию.
НА ЗАМЕТКУ Универсальные группы доступа могут быть созданы только в доменах, выполняющихся на уровнях функциональности доменов Windows 2000 Native или Window Server 2003. Если этот уровень недоступен, то при задании полномочий для ресурсов, к которым нужен доступ пользователям из многих доменов, применяйте глобальные группы из каждого домена.
Ñîçäàíèå ãðóïï При создании групп понимание характеристик и ограничений каждого из различных типов и областей действия — всего лишь полдела. При создании групп необходимо рассмотреть и то, как группа будет использована, и кто будет членами этой группы. Группы обычно применяются для выполнения трех отдельных функций: делегирование административных прав, рассылка почтовых сообщений и обеспечение безопасности сетевых ресурсов, таких как общие файловые ресурсы и печатающие устройства. Чтобы лучше разобраться в использовании групп, ниже приведены примеры использования различных групп в различных ситуациях администрирования.
Àäìèíèñòðèðîâàíèå ïîëüçîâàòåëåé â îòäåëüíîì äîìåíå Если группа нужна для упрощения процесса предоставления прав на изменение паролей пользователей в отдельном домене, достаточно организовать локальную группу доступа домена или глобальную группу доступа. Реальные права пользователей домена должны иметь локальные группы, применяемые только к их спискам управления доступом или настройкам, но эти локальные группы должны иметь в качестве своих членов глобальные группы. Если в модели с отдельным доменом некоторые права пользователей необходимо разрешить только на уровне домена, то достаточно создать локальную группу домена с пользователями в качестве членов. Но если нужно добавить ту же самую группу пользователей в список управления доступом к ресурсу рядового сервера или требуется создать полностью новый домен, то локальную группу домена применять нельзя. Эта основная причина, по которой рекомендуется помещать пользователей только в глобальные группы и назначать права доступа к ресурсам с помощью локальных групп, содержащих в качестве членов глобальные группы. Вы сами все поймете и оцените экономию времени на администрирование, когда примените эту стратегию и многократно используете глобальные группы.
Àäìèíèñòðèðîâàíèå ïîëüçîâàòåëåé â ëåñó äîìåíîâ Если один и тот же IT-персонал должен сопровождать несколько доменов, то даже если уровни доменов установлены в режим Windows 2000 Mixed, группа Domain
614
Администрирование и управление Windows Server 2003 ×àñòü VI
Admins (Администраторы домена) каждого домена должна быть добавлена в группу Administrators (Администраторы) каждого домена. Например, группа Administrators домена A будет иметь в качестве членов группы Domain Admins доменов A, B и C. Эти домены необходимо добавить, если ресурс или административная задача требует разрешения или запрещения доступа к ресурсу леса группам из каждого домена. Если все домены леса выполняются на функциональном уровне Windows 2000 Native или Window Server 2003 Native Domain, можно создать универсальную группу доступа с именем Forest Admins (Администраторы леса) с группами Domain Admins в качестве ее членов. Затем необходимо сконфигурировать только один элемент, чтобы разрешить всем администраторам доступ по всему лесу для конкретного ресурса или прав пользователя. Универсальные группы доступа полезны потому, что они могут содержать членов из каждого домена, но при правильно разработанной групповой стратегии большинство ситуаций будут все-таки обрабатываться на уровне локальных и глобальных групп домена.
Ãðóïïû è óðîâåíü ôóíêöèîíàëüíîñòè äîìåíà Существует множество различных уровней функциональности доменов, где каждый следующий уровень обладает большей функциональностью. Причиной существования всех этих различных уровней является необходимость обеспечения обратной совместимости для поддержки контроллеров домена, выполняемых на различных платформах. Это позволяет реализовать поэтапную миграцию контроллеров домена. Ниже представлены четыре основных уровня функциональности доменов. •
Windows 2000 Mixed (Смешанный). Этот режим уровня домена был создан в основном для предоставления возможности контроллерам доменов и Windows 2000, и Windows NT 4.0 функционировать в домене Active Directory. Универсальные группы доступа и любая вложенность групп, отличная от вложенности глобальных групп в локальные группы, не разрешены. После модернизации всех контроллеров домена до необходимых уровней операционной системы этот уровень может быть повышен до Windows 2000 Native или Windows Server 2003 Native.
•
Windows 2000 Native (Собственный). Этот уровень позволяет присутствие в домене только контроллеров доменов Windows 2000 и Windows Server 2003. Могут применяться универсальные группы доступа, вместе с вложенностью универсальных и глобальных групп доступа. Этот уровень может быть повышен до уровня Windows Server 2003 Native. Он позволяет также оперативно изменить область действия и тип некоторых существующих групп.
•
Windows Server 2003 Native (Собственный). Этот уровень разрешает наличие только контроллеров доменов Windows 2000 и Windows Server 2003 и предоставляет все возможности уровня домена Windows 2000 Native плюс дополнительные возможности настройки безопасности и функции наподобие переименования доменов.
•
Windows Server 2003 Interim (Промежуточный). Режим Windows Server 2003 Interim позволяет Active Directory Windows Server 2003 взаимодействовать с доменом, состоящим только из контроллеров доменов Windows NT 4.0 и контрол-
Администрирование пользователей, групп и сайтов… Ãëàâà 19
615
леров доменов Windows Server 2003. Этот уровень был создан для поддержки сред, которым нужна модернизация непосредственно с NT 4.0 до Active Directory Windows Server 2003. Данный уровень домена может быть повышен только до уровня домена Windows Server 2003 Native. Этот режим доступен, только если первичный контроллер домена NT 4.0 обновлен до контроллера домена Windows Server 2003.
Ñîçäàíèå ãðóïï AD Теперь, когда вы понимаете, какие виды групп можно создавать, и для чего они будут использоваться, можно приступить непосредственно к созданию групп. Для этого выполните перечисленные ниже шаги. 1. Войдите в контроллер домена с помощью учетной записи с правами на создание групп в соответствующем домене. Обычно достаточно учетной записи с правами администратора домена. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖActive Directory Users and Computers. 3. Выберите в левой панели необходимый контейнер, например, контейнер Users (Пользователи). Щелкните на нем правой кнопкой мыши и выберите в контекстном меню пункт NewÖGroup (СоздатьÖГруппа). 4. Введите имя группы и выберите нужный тип и область действия группы, как показано на рис. 19.5. Щелкните на кнопке ОК, чтобы завершить создание группы.
Ðèñ. 19.5. Создание группы
Çàïîëíåíèå ãðóïïû После создания группы в нее можно добавлять членов. Может ли эта группа иметь в качестве членов другие группы, определяет уровень, на котором выполняется домен.
616
Администрирование и управление Windows Server 2003 ×àñòü VI
Для добавления членов в существующую группу выполните следующие шаги: 1. Войдите в контроллер домена с помощью учетной записи с правами на создание групп в соответствующем домене. Обычно достаточно учетной записи с правами администратора домена. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖActive Directory Users and Computers. 3. В левой панели выберите контейнер, содержащий требуемую группу. Затем в правой панели щелкните правой кнопкой мыши на этой группе и выберите в контекстном меню пункт Properties. 4. На вкладке General (Общие) окна свойств группы введите описание группы, а затем перейдите на вкладку Members (Члены). 5. Щелкните на кнопке Add (Добавить) для добавления в группу новых членов. 6. В окне Select Users, Contacts, Computers or Groups (Выбор пользователей, адресатов, компьютеров или групп) введите имена всех членов группы, разделяя их точками с запятой, и щелкните на кнопке ОК, чтобы добавить этих пользователей в группу. Если вы не знаете имен, можно щелкнуть на кнопке Advanced (Дополнительно), в результате чего откроется окно, в котором можно выполнить поиск необходимых членов. 7. Когда все члены будут находиться на вкладке Members окна свойств группы, щелкните на кнопке ОК, чтобы завершить операцию.
Óïðàâëåíèå ãðóïïàìè После создания группы ей необходимо управлять; это должен делать, в зависимости от динамики группы, администратор, пользователь или их сочетание. Например, при применении Exchange 2000 в среде Active Directory помощникам администратора часто бывает нужно модифицировать членство в почтовых группах. В этом случае при правильном определении полномочий для группы помощник администратора сможет управлять членством в группе с помощью своего клиента Outlook. Если необходимо управлять членством группы извне Outlook, то помощнику администратора нужно будет установить на рабочей станции пакет администрирования (Administration Pack) Windows Server 2003. Для делегирования контроля над группой конкретному пользователю выполните описанные далее шаги. 1. Войдите в контроллер домена с полномочиями администратора домена. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖActive Directory Users and Computers. 3. Выберите в левой панели контейнер, содержащий соответствующую группу. Затем в правой панели щелкните правой кнопкой мыши на этой группе и выберите в контекстном меню пункт Properties. 4. Перейдите на вкладку Security (Безопасность). Если эта вкладка не видна, закройте группу и в оснастке Active Directory Users and Computers консоли MMC выберите в меню View (Вид) пункт Advanced Features (Дополнительные воз-
Администрирование пользователей, групп и сайтов… Ãëàâà 19
617
можности). Откройте свойства нужной группы, а затем перейдите на вкладку Security. 5. В нижней части страницы щелкните на кнопке Advanced (Дополнительно). 6. На странице Advanced Security Settings (Дополнительные настройки безопасности) перейдите на вкладку Permissions (Полномочия). 7. Щелкните на кнопке Add (Добавить). В окне Select User, Computer or Group (Выбор пользователя, компьютера или группы) введите имя учетной записи, для которой нужно разрешить полномочия, и щелкните на кнопке ОК. 8. В появившемся окне Permissions Entry for Group (Элемент полномочий группы) перейдите на вкладку Properties (Свойства). 9. Выберите в списке Apply Onto (Применить к) элемент Group Objects (Объекты группы). 10. В разделе Permissions (Полномочия) установите флажки Allow (Разрешить) в строках Read Members (Чтение членов) и Write Members (Запись членов), как показано на рис. 19.6. Затем щелкните на кнопке ОК. 11. Щелкните на кнопке ОК, чтобы закрыть страницу Advanced Security Settings. 12. Щелкните на кнопке ОК, чтобы закрыть окно свойств группы. Затем выберите в меню File пункт ExitÖNo (to save console settings) (ВыходÖНет (сохранить настройки консоли)), чтобы закрыть оснастку Active Directory Users and Computers и выйти из сервера.
Ðèñ. 19.6. Предоставление полномочий на изменение членства в группе
618
Администрирование и управление Windows Server 2003 ×àñòü VI
Óïðàâëåíèå àäìèíèñòðèðîâàíèåì ïîëüçîâàòåëåé В данной главе вы уже ознакомились с администрированием сайтов и групп, которое чаще всего требует небольшого ежедневного администрирования. К сожалению, это не так, когда дело касается администрирования пользователей. С администрированием пользователей связано несколько повторяющихся задач — например, изменение или добавление значений атрибутов наподобие номеров телефонов, сброс паролей для заблокированных учетных записей, управление профилями пользователей и изменение членства пользователей в группах и поддержка рабочих столов пользователей. Эти задачи обычно не планируются, но их приходится выполнять ежедневно. С администрированием пользователей также связаны периодические задачи, которые необходимо выполнять для оптимизации и содержания среды в максимально безопасном состоянии — например, получение отчетов о неактивных или заблокированных учетных записях, изменение сценариев входной регистрации и изменение профилей пользователей.
Ïðîôèëè ïîëüçîâàòåëåé Профиль пользователя состоит из всех настроек, используемых для конфигурирования внешнего вида рабочего стола пользователя. Элементы, хранимые в профиле пользователя — это избранные страницы Internet Explorer, конфигурации подключенных сетевых дисков и принтеров, почтовые профили, данные папки “Мои документы”, конфигурации или настройки конкретных приложений, параметры рабочего стола и многое другое. Администраторам часто бывает необходимо обновлять или переконфигурировать профиль пользователя при необходимости изменения конфигурации или при создании нового профиля.
Òèïû ïðîôèëåé Доступно несколько типов профилей пользователя, дающих администраторам большую гибкость при настройке и автоматизации параметров профиля. Хотя каждый тип профиля, описанный в последующих разделах, предоставляет определенные возможности, многие параметры профилей могут быть сконфигурированы и с помощью групповых политик.
Ëîêàëüíûé ïðîôèëü Локальный профиль пользователя содержится на жестком диске локального сервера или рабочей станции. Этот тип профиля хранится и используется только на одной машине. Если этот профиль потерян или пользователь перешел на другую машину, потребуется создать и вручную сконфигурировать новый профиль. Локальные профили всегда хранятся на локальной машине, независимо от того, входит ли пользователь с перемещаемым или принудительным профилем.
Администрирование пользователей, групп и сайтов… Ãëàâà 19
619
Ïåðåìåùàåìûé ïðîôèëü Перемещаемый профиль хранится на сервере, в общем файловом ресурсе, и следует за пользователем, с какого бы сервера или рабочей станции он ни вошел в систему. Во время входной регистрации перемещаемый профиль загружается на локальную машину из общего серверного ресурса. Затем пользователь на протяжении всего сеанса применяет профиль из локальной кэшированной копии перемещаемого профиля. При выходе пользователя профиль, со всеми появившимися в нем изменениями, снова сохраняется в общем серверном ресурсе. Поскольку перемещаемые профили должны копироваться с сервера во время входной регистрации и вновь записываться на сервер при выходе пользователя, этот процесс может увеличить время входа и выхода пользователя. Чем больше размер профиля, тем больше время ожидания. Рассмотрим пример. Один из наших бывших клиентов жаловался, что некоторым пользователям требовалось 15 минут на вход в систему и 15 минут на выход. Расследование показало, что у этих пользователей было более чем по 400 Мб временных Internet-файлов, а клиент был подключен к сети 10 Мбит/c. Для устранения этой проблемы была создана настройка групповой политики, а Internet Explorer был сконфигурирован на удаление всех временных Internetфайлов при выходе. Это уменьшило общий размер профиля и сразу же увеличило скорость входа в систему и выхода из нее. При планировании перемещаемых профилей необходимо также учитывать папки “Мои документы” и “Рабочий стол”. Либо посоветуйте своим пользователям сохранять данные непосредственно на своем домашнем сетевом диске, либо перенаправьте папки “Мои документы” и “Рабочий стол” на сервер для устранения необходимости хранения данных в этих папках, которые вместе с профилем записываются на сервер и загружаются с него во время входа в систему и выхода из нее.
Ïðèíóäèòåëüíûé ïðîôèëü Принудительный профиль — это то же самое, что и перемещаемый профиль, только изменения, проведенные в настройках профиля, не сохраняются на сервере во время выхода пользователя. Этот тип профиля чаще используется в учебных средах образовательных учреждений или для рабочих станций, предназначенных для совместного общественного доступа, например, в Internet-кафе. Для изменения профиля на принудительный сконфигурируйте профиль по своему усмотрению и выйдите из этой учетной записи пользователя. Затем, войдя с учетной записью администратора, найдите папку профиля и переименуйте файл Ntuser.dat на Ntuser.man.
Ñòàíäàðòíûé ïîëüçîâàòåëüñêèé ïðîôèëü В каждой системе Windows 2000 и Windows XP, которая не была модернизирована с предыдущей версии операционной системы, существует папка стандартного профиля. Этот профиль используется при входе пользователя в систему в первый раз, если его учетная запись не настроена на загрузку перемещаемого или принудительного профиля. Для создания общего профиля для входа в систему всех новых пользователей сконфигурируйте профиль с помощью тестовой пользовательской учетной записи и сохраните этот профиль в папке стандартного профиля.
620
Администрирование и управление Windows Server 2003 ×àñòü VI
Âðåìåííûé ïðîôèëü Временный профиль используется тогда, когда пользователь с перемещаемым профилем не может найти на сервере папку профиля. В таком случае компьютер вначале пытается загрузить профиль этого пользователя из кэшированной копии локального профиля. Этот профиль может быть устаревшим, но, скорее всего, содержит всю корректную информацию. Если пользователь никогда не регистрировался на рабочей станции, но указывает перемещаемый профиль, который невозможно найти или который еще не существует, то профилем этого пользователя будет временный профиль, который по возможности будет сохранен при выходе пользователя из системы. Другими словами, если не существует локальной копии профиля, то создается временный профиль из папки стандартного профиля.
Ïðîôèëü All Users Папка профиля всех пользователей (All Users) содержит настройки профиля, которые необходимо применять ко всем пользователям, входящим в систему. Эти настройки (обычно специализированные настройки рабочего стола и меню Пуск) добавляются к существующему профилю пользователя. Добавляемые настройки профиля All Users не переносятся и не сохраняются в перемещаемом или принудительном профиле. Эти настройки зависят только от машины.
Øàáëîííûå ïðîôèëè Когда в организацию добавляются новые пользователи, их профили должны создаваться с нуля или, возможно, с помощью специального сценария, использующего средства работы с ресурсами для минимизации действий, необходимых для конфигурирования профилей. Для еще большего упрощения этого процесса можно создать папки шаблонных профилей и сохранить их на сервере. При создании нового пользователя этот профиль может быть скопирован в нужный каталог и использован как начальный профиль для этого пользователя. Процесс создания шаблонного профиля совпадает с созданием стандартного профиля, описанным в следующем разделе, но место, где сохраняется профиль, может отличаться.
Ñîçäàíèå ñòàíäàðòíîãî ïðîôèëÿ Стандартный профиль создается с помощью входной регистрации на рабочей станции и ручного конфигурирования нужных параметров рабочего стола: сетевых ярлыков, ярлыков рабочего стола, принтеров, подключаемых дисков, настроек среды наподобие указания пути хранения временных файлов и настроек Internet. Большинство этих действий могут быть выполнены с помощью групповых политик и сценариев входной регистрации, однако конфигурирование стандартного профиля гарантирует, что нужные настройки доходят до каждого пользователя, независимо от того, является ли пользователь локальным пользователем или пользователем домена, и верно ли применена политика. Для создания стандартного профиля выполните следующие шаги: 1. Войдите в рабочую станцию со стандартной учетной записью локального пользователя или пользователя домена, с тем же уровнем доступа, что и у стандарт-
Администрирование пользователей, групп и сайтов… Ãëàâà 19
621
ного пользователя. Для нашего примера будет использована учетная запись с именем TemplateUser1. 2. Сконфигурируйте профиль так, как нужно. Создайте настройки рабочего стола, настройки Internet и все, что необходимо для стандартного пользователя. 3. Выйдите из системы рабочей станции. При этом профиль сохраняется в каталоге c:\Documents and Settings\TemplateUser1.
Êîïèðîâàíèå ïðîôèëåé â ñòàíäàðòíûé ïðîôèëü ïîëüçîâàòåëÿ Чтобы сделать какой-либо профиль стандартным, необходимо скопировать файлы в папку стандартного профиля пользователя. Для копирования профиля выполните перечисленные ниже шаги. 1. Войдите с учетной записью Administrator (Администратор). 2. Выберите в меню Start пункт Control Panel (Панель управления). 3. Дважды щелкните на пиктограмме System (Система). 4. Перейдите на вкладку Advanced (Дополнительно) и щелкните на кнопке Settings (Параметры) в разделе User Profiles (Профили пользователей). 5. Выберите требуемый профиль, как показано на рис. 19.7, и щелкните на кнопке Copy To (Копировать в). 6. В окне Copy To (Копировать в) введите каталог стандартного профиля. Если нужно, щелкните на кнопке Browse (Обзор). По умолчанию профиль сохраняется в каталоге c:\Documents and Settings\Default User. 7. Раздел Permitted to Use (Разрешается использовать) изменять не надо, поэтому щелкните на кнопке ОК, чтобы завершить работу.
Ðèñ. 19.7. Выбор копируемого профиля
622
Администрирование и управление Windows Server 2003 ×àñòü VI
Óïðàâëåíèå ïîëüçîâàòåëÿìè ñ ïîìîùüþ ëîêàëüíûõ ïîëèòèê áåçîïàñíîñòè è ãðóïïîâûõ ïîëèòèê Системы Windows Server 2003 предоставляют локальные политики безопасности для управления доступом пользователей и групп для каждого сервера. В Active Directory можно использовать групповые политики для настройки конфигураций и безопасности на указанном наборе компьютеров, пользователей или групп пользователей с помощью одной политики. Эти политики могут быть использованы при выборке стандартных конфигураций компьютеров и параметров безопасности для доступа к серверу и функциям приложений. Кроме того, политики могут устанавливать конфигурации пользователей для доставки программ по запросу, перенаправления папок рабочего стола и влиять на многие другие параметры. Множество параметров в каждой политике объясняют, чем управляют эти параметры, и применяются ли настройки компьютера только к рабочим станциям Windows XP. В главе 15 описываются групповые политики более подробно, но лучше всего исследовать и изучить параметры групповых политик, открыв реальный объект групповой политики и начав просматривать все его разделы.
Ïðîñìîòð ïîëèòèê ñ ïîìîùüþ ðåäàêòîðà îáúåêòîâ ãðóïïîâûõ ïîëèòèê Просматривать групповые политики Active Directory или локальные политики безопасности сервера и рабочей станции очень легко — достаточно одной консоли. С помощью оснастки Group Policy Object Editor (Редактор объектов групповых политик) консоли MMC можно просматривать и настраивать и объекты групповых политик, и локальные политики безопасности. Чтобы открыть существующую политику, выполните описанные ниже шаги. 1. Войдите в систему Windows Server 2003 или рабочую станцию XP с установленным пакетом Administration Pack. 2. Выберите в меню Start пункт Run. Затем введите команду MMC.exe и щелкните на кнопке ОК. 3. Если вы вошли со стандартной учетной записью пользователя, то в командном окне Run (Запуск программ) введите команду runas /user:administrator mmc.exe и щелкните на кнопке ОК, чтобы открыть консоль MMC с повышенными полномочиями. В нашем примере используется учетная запись Administrator, но достаточно любой учетной записи с правами на просмотр или модификацию соответствующей политики. 4. Затем, после ввода команды runas, открывается командное окно и запрашивается пароль. Введите пароль и нажмите <Enter>. 5. Когда откроется консоль MMC, выберите в меню File пункт Add/Remove Snap-in. 6. В окне Add/Remove Snap-in щелкните на кнопке Add.
Администрирование пользователей, групп и сайтов… Ãëàâà 19
623
7. На странице Add Stand-alone Snap-in выберите в списке оснастку Group Policy Object Editor (Редактор объектов групповых политик), а затем щелкните на кнопке Add. 8. Откроется мастер выбора групповой политики (Select Group Policy Wizard), запрашивающий, какую политику требуется открыть. По умолчанию предлагается политика локального компьютера, на котором вы вошли в систему. Для выбора групповой политики домена или локальной политики безопасности другого сервера или рабочей станции щелкните на кнопке Browse (Обзор). 9. Выберите соответствующую вкладку для поиска политики, как показано на рис. 19.8, и щелкните на кнопке ОК.
Ðèñ. 19.8. Выбор политики для просмотра или изменения 10. Щелкните на кнопке Finish мастера выбора групповой политики, на кнопке Close на странице Add Stand-alone Snap-in, а затем на кнопке ОК в окне Add/Remove Snap-in для возврата в консоль и доступа к соответствующей политике. После получения доступа к политике можно просматривать каждый параметр или контейнер параметров для определения стандартных значений и, в некоторых случаях, чтобы узнать, чем управляет параметр. Помните, что при наличии соответствующего уровня полномочий все изменения, проводимые в этой политике, проводятся “вживую”. Не существует возможности отката кроме возврата изменений индивидуальных настроек или выполнения первичного восстановления папки SYSVOL на контроллере домена, который уже провел репликацию изменений.
Ñîçäàíèå íîâûõ ãðóïïîâûõ ïîëèòèê Если с помощью групповых политик нужно провести изменения или тестирование, то администратор должен не работать в производственной среде, а создать тестовые политики в изолированной лабораторной среде. Если лабораторный стенд не доступен или не может реплицировать производственную среду, администратор может протестировать политики в изолированных организационных единицах какого-либо домена. Точно так же, если необходимо создать для тестирования политики домена
624
Администрирование и управление Windows Server 2003 ×àñòü VI
или сайта, можно изменить фильтрацию безопасности для применения политики только к специальному множеству тестовых пользователей или групп. В предыдущем разделе было описано, как найти групповую политику. С помощью оснасток Active Directory Users and Computers и Active Directory Site and Services консоли MMC можно создавать, конфигурировать и открывать для редактирования групповые политики сайта, домена и организационной единицы (Organizational Unit — OU). Следующие шаги описывают процесс создания новой политики домена и настройки ее фильтрации безопасности для применения к отдельному пользователю. 1. Войдите в систему Windows Server 2003 или рабочую станцию XP с установленным пакетом Windows Server 2003 Administration Pack. 2. Выберите в меню Start пункт Run. Затем введите команду MMC.exe и щелкните на кнопке ОК. 3. Если вы вошли со стандартной учетной записью пользователя, то в командной строке окна Run введите команду runas /user:administrator mmc.exe и щелкните на кнопке ОК, чтобы открыть консоль MMC с повышенными полномочиями. В нашем примере используйте учетную запись Administrator, однако можно воспользоваться любой учетной записью с правами на просмотр или модификацию соответствующей политики. 4. Затем, после ввода команды runas, открывается командное окно и запрос корректного пароля. Введите пароль и нажмите <Enter>. 5. Когда откроется консоль MMC, выберите в меню File пункт Add/Remove Snap-in. 6. В окне Add/Remove Snap-in щелкните на кнопке Add. 7. На странице Add Stand-alone Snap-in выберите оснастку Active Directory Users and Computers и щелкните на кнопке Add. 8. Щелкните на кнопке Close на странице Add Stand-alone Snap-in, а затем на кнопке ОК в окне Add/Remove Snap-in для возврата в консоль и получения доступа к оснастке. 9. Оснастка выбирает по умолчанию домен, который использовался для входа в систему. Для изменения выбранного домена щелкните правой кнопкой мыши на строке Active Directory Users and Computers в левой панели и выберите в контекстном меню пункт Connect to Domain (Подключиться к домену). 10. Введите полностью определенное доменное имя и щелкните на кнопке ОК для возврата в консоль. Если необходимо, щелкните на кнопке Browse для поиска домена. 11. На экране консоли должно присутствовать имя домена. Щелкните правой кнопкой мыши на узле домена и выберите в контекстном меню пункт Properties. 12. Перейдите на вкладку Group Policy (Групповая политика), а затем щелкните на кнопке New (Создать). После этого появится окно с новой политикой. 13. Введите осмысленное название политики и нажмите <Enter> для ее создания. 14. Когда политика появится в списке, выберите ее и щелкните на кнопке Properties.
Администрирование пользователей, групп и сайтов… Ãëàâà 19
625
15. Перейдите на вкладку Security (Безопасность) и выберите строку Authenticated Users (Аутентифицированные пользователи). 16. В разделе Permissions найдите строку Apply Group Policy (Применить групповую политику) и сбросьте флажок Allow рядом с ней. 17. Выберите каждую строку в списке контроля доступа групповой политики и проверьте, что ни одной из существующих групп не разрешено применять групповую политику. 18. Щелкните на кнопке Add и введите имя пользователя или группы. Чтобы найти список пользователей и групп в текущем домене, щелкните на кнопке Advanced (Дополнительно), и в окне поиска щелкните на кнопке Find Now (Найти) для получения полного списка. Просмотрите список, выберите нужных пользователей или группы и щелкните на кнопке ОК. 19. Щелкните на кнопке ОК для добавления строк в политику. 20. Возвратившись в окно безопасности, выберите соответствующую строку и установите флажок Allow для строки Apply Group Policy, как показано на рис. 19.9. После этого щелкните на кнопке ОК. 21. Щелкните на кнопке Apply (Применить) для изменения настроек безопасности групповой политики, а затем перейдите на вкладку General (Общие). 22. Внизу вкладки General можно отключить раздел Computer or User Settings (Параметры компьютера или пользователя) групповой политики для улучшения времени применения политики. Если будут использоваться и параметры пользователя, и параметры компьютера, оставьте активными оба раздела. Щелкните на кнопке ОК, чтобы закрыть окно свойств групповой политики.
Ðèñ. 19.9. Изменение области действия групповой политики
626
Администрирование и управление Windows Server 2003 ×àñòü VI
23. Если теперь нужно сконфигурировать групповую политику, выберите политику в окне и щелкните на кнопке Edit (Правка), чтобы открыть редактор объектов групповой политики для изменения новой политики. В противном случае щелкните на кнопке Close.
Íàñòðîéêà è îïòèìèçàöèÿ ãðóïïîâîé ïîëèòèêè После создания объекта групповой политики необходимо выполнить несколько шагов по конфигурированию применения этой политики и оптимизации времени ее применения. Групповые политики могут быть ограничены настройками компьютеров или пользователей. Для определения, можно ли отключить любой из типов этих настроек, администратор должен решить, какие параметры необходимы для обеспечения требуемых настроек политики. Во многих случаях политики используют параметры обоих типов. Для отключения либо параметров политики пользователей, либо параметров политики компьютеров откройте их свойства, как описано в разделе “Просмотр политик с помощью редактора объектов групповых политик” ранее в данной главе. После того как вы найдете политику, щелкните на ней правой кнопкой мыши и выберите в контекстном меню пункт Properties. На вкладке General (Общие) установите соответствующие флажки для отключения параметров компьютеров или пользователей и сохраните настройки, щелкнув на кнопке ОК. Если существует несколько групповых политик, они применяются в предопределенном порядке. Для конкретного пользователя или компьютера этот порядок может быть получен с помощью оснастки Resultant Set of Policies (Результирующий набор политик) консоли MMC, которая описана в разделе “Оснастка Resultant Set of Policies консоли MMC”. Результат применения стандартных политик таков, что если параметр X включен в политике самого верхнего уровня и выключен в последней из применяемых к объекту политик, то результирующая настройка отключает параметр X. Многие параметры политик имеют три состояния: “включен”, “выключен” и “по умолчанию”, то есть, не сконфигурирован. Изменяя параметры настройки безопасности, можно ограничить применение групповых политик только указанными пользователями или компьютерами. Они могут быть ограничены типами настроек, которые можно отключить с помощью общих свойств политики, и политики могут быть блокированы на уровне сайта, домена или контейнера OU с помощью параметра Block Policy Inheritance (Блокировка наследования политик). Если необходимо сконфигурировать и применить настройки по всей компании, домену или сайту, то групповую политику можно настроить с опцией No Override (Не перезаписывать).
Áëîêèðîâêà íàñëåäîâàíèÿ ïîëèòèê Опция Block Policy Inheritance позволяет администратору запретить применение политики более высокого уровня к пользователям и компьютерам на определенном сайте, домене или OU. Эта возможность может оказаться полезной для оптимизации применений групповых политик и для обеспечения, что права в контейнере переданы объектам Active Directory через один уровень вниз. Для блокировки наследования политик выполните перечисленные ниже шаги.
Администрирование пользователей, групп и сайтов… Ãëàâà 19
627
1. Для блокировки наследования откройте либо оснастку AD Users and Computers консоли MMC для домена или объектов OU, либо оснастку AD Sites and Services консоли MMC для объектов сайта. 2. Щелкните правой кнопкой мыши на объекте, который нужно изменить, и выберите в контекстном меню пункт Properties. 3. Перейдите на вкладку Group Policy (Групповая политика) и установите флажок Block Policy Inheritance (Блокировать наследование политик), как показано на рис. 19.10. 4. Щелкните на кнопке ОК для изменения свойств групповой политики контейнера.
Ðèñ. 19.10. Блокировка наследования политик для OU
Îïöèè No Override Задание опции No Override (Не перезаписывать) запрещает низкоуровневым политикам блокировать наследование политик и изменение параметров или сконфигурированных настроек политики. Эта опция должна использоваться только в том случае, если политика должна применяться к объектам AD в каждом контейнере и подконтейнере со связью или наследованием к этому объекту политики. Для конфигурирования опции No Override для политики домена по умолчанию выполните следующие шаги: 1. Откройте для нужного домена оснастку AD Users and Computers консоли MMC. 2. Щелкните правой кнопкой мыши на листинге домена и выберите в контекстном меню пункт Properties. 3. Перейдите на вкладку Group Policy (Групповая политика), выберите домен по умолчанию и щелкните на кнопке Options (Опции). 4. Щелкните на кнопке ОК, чтобы закрыть страницу свойств домена и завершить процесс.
628
Администрирование и управление Windows Server 2003 ×àñòü VI
Óñòðàíåíèå íåïîëàäîê ïðè ïðèìåíåíèè ãðóïïîâûõ ïîëèòèê Когда политики применяются во всей организации, иногда настройки политик не применяются к пользователю или к компьютеру так, как было задумано. Для того чтобы начать устранение неполадок при применении групповых политик, необходимо понимать иерархию приложений политик. Вначале к пользователю или компьютеру применяется политика локального сервера или рабочей станции, затем групповые политики сайта, групповые политики домена и, наконец, групповые политики организационной единицы. Если групповые политики содержатся во вложенных OU, то вначале обрабатываются политики родительских OU, затем дочерние OU, и, наконец, OU, содержащие объект Active Directory (пользователя или компьютера). Здесь может пригодиться сокращение “LSD-OU” (“local, site, domain, OU”) — локальная, сайт, домен, и затем OU. Теперь, после ознакомления с порядком применения политик, можно приступить к использованию средств тестирования и отладки групповых политик, поставляемых в составе Windows Server 2003 — а именно оснастку Resultant Set of Policies (RSoP) консоли MMC и утилиту командной строки GPResult.exe, которая представляет собой версию командной строки оснастки RSoP.
Îñíàñòêà Resultant Set of Policies êîíñîëè MMC Оснастка RSoP (Resultant Set of Policies — результирующий набор политик) консоли MMC может использоваться для просмотра эффективных параметров политики после применения всех соответствующих политик к пользователю, который вошел в сервер или рабочую станцию. С помощью этого инструмента удобно определять, какие политики применены и каковы окончательные параметры. Для тестирования политик, применяемых к пользователю, применяйте оснастку RSoP следующим образом: 1. Войдите в сервер или рабочую станцию, в которую уже вошел пользователь. 2. Выберите в меню Start пункт Run. Затем введите команду MMC.exe и щелкните на кнопке ОК. 3. Выберите в меню File пункт Add/Remove Snap-in. 4. В окне Add/Remove Snap-in щелкните на кнопке Add. 5. На странице Add Stand-alone Snap-in выберите оснастку Resultant Set of Policy (Результирующий набор политик) и щелкните на кнопке Add. Щелкните на кнопке Close, а затем на кнопке ОК в окне Add/Remove Snap-in. 6. В окне консоли щелкните правой кнопкой мыши на строке Resultant Set of Policy и выберите в контекстном меню пункт Generate RSoP Data (Сгенерировать данные RSoP). 7. На экране приветствия мастера щелкните на кнопке Next. 8. На странице Mode Selection (Выбор режима) выберите режим Logging Mode (Режим записи в журнал) и щелкните на кнопке Next. 9. На странице Computer Selection (Выбор компьютеров) выберите вариант This Computer (Этот компьютер) и щелкните на кнопке Next.
Администрирование пользователей, групп и сайтов… Ãëàâà 19
629
10. На странице Users Selection (Выбор пользователей) выберите вариант Display Policy Settings For (Выводить параметры политики для), а затем опцию Select a Specific User (Выбрать конкретного пользователя), как показано на рис. 19.11.
Ðèñ. 19.11. Выбор конкретного пользователя, для которого нужно собрать данные групповой политики 11. На странице Summary of Selections (Сводка выбранных параметров) проверьте правильность своего выбора и щелкните на кнопке Next для сбора данных. 12. После того как оснастка завершит сбор данных, щелкните на кнопке Finish для возврата в консоль и просмотра данных. В окне консоли можно просмотреть каждый параметр, чтобы увидеть, был ли он применен или перезаписан политикой более высокого уровня. Чтобы узнать, какие реальные политики были применены, щелкните правой кнопкой мыши либо на контейнере Computer Configuration (Конфигурация компьютера), либо на контейнере User Configuration (Конфигурация пользователя) и выберите в контекстном меню пункт Properties для просмотра списка политик, примененных к указанному пользователю.
Ðåçþìå Управление сайтами, группами и пользователями Active Directory может оказаться весьма утомительным процессом, если не применять автоматизацию или упрощение некоторых из этих задач. В данной главе описаны способы создания этих объектов и приведена информация, необходимая для управления этими объектами на индивидуальном уровне и уровне предприятия. Более подробное описание этих тем приведено в главах 5 и 6 (проектирование Active Directory), главах 21 и 29 (конкретные детали групповых политик) и главе 23 (снижение объема ручной работы в простых задачах администрирования с помощью сценариев).
630
Администрирование и управление Windows Server 2003 ×àñòü VI
Ïîëåçíûå ñîâåòû •
Четко уясните ваши роли и ответственности в сети предприятия и уясните, как различные компоненты, составляющие сеть, взаимодействуют и влияют друг на друга.
•
Выберите для организации подходящую модель администрирования (централизованную, распределенную или смешанную), определив, какие службы и практические навыки требуются в каждом месте.
•
Отслеживайте использование лицензий с помощью централизованного сервера.
•
Используйте политики сайта для определения специализированных настроек сетевой безопасности с более высокими требованиями к безопасности или для делегирования административных прав, если администрирование выполняется в основном по территориальному принципу.
•
Удостоверьтесь, что сайты содержат такие службы локальной сети, как контроллеры доменов, серверы глобального каталога, DNS-серверы, DHCPсерверы, и, если необходимо, серверы WINS.
•
Используйте группы доступа для создания списков рассылки.
•
Создайте универсальную группу, охватывающую все домены, но заполните ее только глобальными группами из каждого домена в качестве членов.
•
Следите, чтобы перемещаемые профили имели небольшой управляемый размер.
•
Используйте принудительные профили для усиления безопасности и получения контроля над рабочим столом.
•
Используйте шаблонные профили для минимизации объема требуемого администрирования.
•
Используйте локальные и групповые политики для управления пользователями и рабочими столами.
•
Измените элементы безопасности групповой политики для ограничения применения групповых политик к конкретным пользователям или компьютерам.
•
Используйте RSoP или утилиту командной строки GPResult.exe для просмотра результата применения групповых политик и устранения возможных неполадок.
Ñèñòåìíûé ðååñòð Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Ñòðóêòóðà ðååñòðà Windows Server 2003
•
Ðåäàêòîð ðååñòðà Windows Server 2003
•
Çàùèòà ðååñòðà
•
Ñîïðîâîæäåíèå ðååñòðà
•
Ðåçåðâíîå êîïèðîâàíèå ðååñòðà
ÃËÀÂÀ
20
632
Администрирование и управление Windows Server 2003 ×àñòü VI
Концепция централизованного хранения системной информации об аппаратном и программном обеспечении не нова, но она была существенно улучшена, начиная с Windows 95. Это место централизованного хранения было названо реестром (Registry), или системным реестром. Этот реестр был создан для преодоления ограничений, присущих файлам .ini и .dat, которые использовались в предыдущих операционных системах Microsoft. С момента первоначального появления концепция, на которой основан реестр, и его назначение не претерпели серьезных изменений. Он остается базой данных, содержащей информацию об оборудовании, операционной системе, политиках, ассоциациях файлов и конфигурациях приложений. Он также содержит информацию о пользователях, входящих в систему. Понятно, что реестр применяется практически во всех аспектах работы системы. Из-за этого интенсивного применения необходимо ясно понимать структуру реестра, принципы его управления, сопровождения и защиты от несанкционированного доступа. К сожалению, возможности и способы использования реестра редко полностью понимаются системными администраторами, и еще реже — конечными пользователями. Отчасти это обусловлено сложностью реестра, а, кроме того, тем фактом, что многие пользователи запуганы всякими предупреждениями о последствиях изменения реестра. Действительно, подобного рода модификации могут иметь разрушительный эффект для всей системы, однако изменения реестра выполняются гораздо чаще, чем можно предположить. Большинство этих изменений проводятся с помощью графического интерфейса, но в отдельных случаях конфигурирование системы можно более эффективно выполнить с помощью ручной модификации реестра (вместо прохода через последовательность диалоговых окон). Реестр Windows Server 2003 нельзя в полной мере назвать частью операционной системы. Поскольку функционирование Windows Server 2003 существенно зависит от реестра, то крайне важно разобраться в конфигурировании системы с помощью реестра. Эта глава содержит необходимую информацию для манипулирования реестром, чтобы поддерживать надежность и производительность системы. В общем, в этой главе рассматриваются следующие четыре ключевые области, относящиеся к реестру Windows Server 2003: •
Принципы построения реестра.
•
Правильное использование доступных средств для управления и сопровождения реестра.
•
Адекватная защита реестра.
•
Резервное копирование и восстановление реестра.
Ñòðóêòóðà ðååñòðà Windows Server 2003 Реестр Windows Server 2003 представляет собой хорошо организованную базу данных, которая содержит различную информацию, относящуюся к оборудованию, программному обеспечению и пользователям. В его основе лежит многослойная иерархическая структура. Эти слои, или уровни, сгруппированы сверху вниз по ульям (разделам реестра), ключам, подключам, строкам значений и, наконец, реальным значениям для конкретных параметров конфигурации. Строка значения (value entry) является па-
Системный реестр Windows Server 2003 Ãëàâà 20
633
раметром в ключе или подключе, а значение (value) представляет собой конкретное значение параметра.
Óëüè, êëþ÷è è ïîäêëþ÷è На самом верхнем уровни организации реестра находится корневой ключ, который обычно называется ульем (hive) или разделом. В реестре содержатся пять ульев, показанных на рис. 20.1, и все они постоянны (то есть жестко встроены в Windows Server 2003). Поскольку эти ульи жестко встроены, их невозможно удалять, модифицировать или добавлять.
Ðèñ. 20.1. Редактор реестра с пятью ульями реестра Все эти ульи перечислены и описаны в табл. 20.1.
Òàáëèöà 20.1. Ïÿòü óëüåâ ðååñòðà âìåñòå ñ èõ ñîäåðæèìûì Корневой ключ реестра (улей)
Описание содержимого
HKEY_CURRENT_CONFIG
Текущая информация об аппаратной конфигурации.
HKEY_CLASSES_ROOT
Ассоциации файлов и информация OLE.
HKEY_CURRENT_USER
Информация о пользователях, работающих в настоящий момент в системе, например, параметры рабочего стола и сетевые подключения.
HKEY_USERS
Информация учетных записей локальных пользователей. Информация о каждом пользователе хранится в отдельном подключе.
HKEY_LOCAL_MACHINE
Информация и параметры системной конфигурации: параметры оборудования, программного обеспечения и безопасности.
634
Администрирование и управление Windows Server 2003 ×àñòü VI
По случайному совпадению некоторые из этих ульев также являются подключами других ульев и связаны друг с другом. Эти ульи и соответствующие связанные с ними пути перечислены в табл. 20.2.
Òàáëèöà 20.2. Ñâÿçè óëüåâ ðååñòðà Улей (корневой ключ)
Связанный путь
HKEY_CLASSES_ROOT
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
HKEY_CURRENT_CONFIG
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Hardware Profiles\Current
HKEY_CURRENT_USER
HKEY_USERS (текущий пользователь)
Следующим организационным уровнем является ключ (key). Каждый ключ содержит строки значений или значения и может также иметь вложенные подключи (subkey). Эти подключи могут считаться ключами для вложенной в них информации.
Ìåñòî ðàñïîëîæåíèÿ è õðàíåíèÿ ðååñòðà Реестр Windows Server 2003 хранится в двух отдельных местах: в памяти и на диске. При запуске системы весь реестр загружается в пул страничной памяти, чтобы операционная система Windows Server 2003 могла быстро выбирать информацию. Кроме того, реестр хранится в различных файлах в каталоге: %SYSTEMROOT%\System32\Config В этом каталоге находятся также файлы .sav и .log. Они служат резервными копиями реестра.
HKEY_LOCAL_MACHINE Улей HKEY_LOCAL_MACHINE содержит различную информацию, относящуюся к оборудованию (например, память, типы шин, драйверы устройств и так далее) и установленным в системе программам. Как видно на рис. 20.2, этот улей содержит пять следующих подключей: •
HARDWARE
•
SAM
•
SECURITY
•
SOFTWARE
•
SYSTEM
Назначение этих пяти подключей объясняется в последующих разделах.
Ïîäêëþ÷ HARDWARE Как должно быть понятно из самого названия (HARDWARE — оборудование), подключ HARDWARE содержит всю информацию об оборудовании системы. При запуске системы информация об аппаратном обеспечении создается заново, а при выключении стирается. Поэтому подключ HARDWARE является временным.
Системный реестр Windows Server 2003 Ãëàâà 20
635
Ðèñ. 20.2. Подключи HKEY_LOCAL_MACHINE Сбор всей информации об оборудовании выполняет модуль NTDETECT.COM. После получения этой информации он передает ее в подключ HARDWARE. Вот некоторые примеры аппаратных компонентов, обнаруживаемых этим модулем: •
Тип адаптера.
•
Тип шины.
•
Коммуникационные порты.
•
Гибкие диски.
•
Клавиатура.
•
Мышь.
•
Видеоадаптер.
Подключ HARDWARE содержит четыре подключа, также содержащих информацию, собранную модулем NTDETECT.COM: •
HARDWARE\ACPI — предназначен для оборудования ACPI и спецификаций программного интерфейса, поддерживающих технологию Plug and Play, а также расширенное управление питанием (Advanced Power Management — APM).
•
HARDWARE\DESCRIPTION — содержит описания аппаратных устройств.
•
HARDWARE\DEVICEMAP — содержит отображения драйверов устройств на сами устройства.
•
HARDWARE\RESOURCEMAP — содержит отображения ресурсов, используемых устройствами (например, диапазоны физической памяти).
НА ЗАМЕТКУ Для динамического чтения и записи в реестр информации управления питанием и информации об устройствах Plug and Play применяются API-интерфейс Plug and Play.
636
Администрирование и управление Windows Server 2003 ×àñòü VI
Ïîäêëþ÷ SAM Подключ SAM, показанный на рисунке 20.3, похож на подключ HKEY_LOCAL_MACHINE\SECURITY тем, что он содержит ценную информацию. По умолчанию этот подключ блокирован так, что он недоступен пользователям через редактор реестра. Он содержит локальных пользователей и группы, а также права доступа для файлов и папок.
Ðèñ. 20.3. Подключ HKEY_LOCAL_MACHINE\SAM
Ïîäêëþ÷ SECURITY Поскольку в подключе SECURITY содержится важная информация о безопасности, он также надежно заблокирован для защиты этой информации. По умолчанию этот ключ недоступен для редактора реестра. Информация в этом ключе относится к пользователям, группам, правам доступа, а также включает информацию о приложениях и драйверах устройств. Реальное содержимое этого подключа определяется в зависимости от того, работает ли система в режиме Mixed с Windows NT 4 в качестве контроллера домена.
Ïîäêëþ÷ SOFTWARE В подключе SOFTWARE содержится информация, относящаяся к приложениям — в частности, операторы установки путей, лицензирование и исполняемые пути. Поскольку этот ключ находится под ключом HKEY_LOCAL_MACHINE, то информация конфигурации применяется глобально (то есть ко всей системе). Это нужно четко уяснить, поскольку эти конфигурации отличаются от конфигураций отдельных пользователей из раздела HKEY_CURRENT_USER\Software. В этом подключе также находится много других подключей, относящихся к приложениям, установленным в системе. Например, в ключе HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\ находятся конфигурации и номера версий для всех программ, установленных Microsoft.
Системный реестр Windows Server 2003 Ãëàâà 20
637
Ïîäêëþ÷ SYSTEM Другим секретным подключом, очень важным для Windows Server 2003, является подключ SYSTEM. В этом ключе в основном хранится следующая информация: •
Конфигурации управляющего набора. Конфигурация управляющего набора относится к данным, необходимым для управления процессом загрузки системы. Эта информация связывается с текущим и предыдущим управляющими наборами. Текущий управляющий набор определяет системный профиль, а его подключи содержат более детальные данные: имя компьютера, выполняемые в системе службы и инструкции для Windows Server 2003 на случай краха системы.
•
Информация настройки Windows Server 2003. Эта информация содержит различные параметры настройки Windows Server 2003, такие как OSLoaderPath и SystemPartition.
•
Конфигурация дисковой подсистемы. Информация конфигурации дисковой подсистемы относится к устройствам, томам, параметрам RAID-массивов и так далее. Оснастка Disk Management (Управление дисками) использует эту информацию для отображения информации дисковой подсистемы.
HKEY_CLASSES_ROOT Хотя HKEY_CLASSES_ROOT считается ульем, на самом деле это псевдоним для ключа HKEY_LOCAL_MACHINE\SOFTWARE\Classes. Этот ключ содержит все ассоциации файлов, информацию о ярлыках, OLE и так далее. Ассоциация файлов в основном указывает приложение, которое будет выполняться, когда запускается файл с данным расширением. Кроме того, с каждым типом файла связываются конкретные пиктограммы. Поэтому, например, при просмотре файлов в проводнике Windows документ .doc сопровождается пиктограммой Microsoft Word. При открытии этого файла запускается приложение Microsoft Word, которое затем и открывает этот файл. Некоторые из ассоциаций файлов показаны на рис. 20.4. Псевдоним HKEY_CURRENT_USER\Software\Classes впервые был введен и реализован в Windows 2000 для улучшения поддержки настроек, связанных с пользователем. Эта возможность называется регистрацией отдельных пользовательских классов (per-user class registration). Она обеспечивает большую гибкость и возможность настройки, позволяя приложениям при необходимости определять ассоциации для отдельных пользователей. То есть система с несколькими пользователями может иметь различные параметры приложений для каждого пользователя.
HKEY_CURRENT_CONFIG HKEY_CURRENT_CONFIG является еще одним ульем, который представляет собой псевдоним для другого подключа. На сей раз он ссылается на ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current. Просмотрев эту ссылку, можно убедиться, что в этом подключе не содержится никаких особо полезных данных, поскольку на самом деле это просто указатель на числовой подключ, содержащий текущий профиль оборудования.
638
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðèñ. 20.4. Ассоциации файлов, находящиеся в HKEY_CLASSES_ROOT Несложно догадаться, что информация, содержащаяся в этом улье, относится к профилю аппаратного обеспечения. По умолчанию системы Windows Server 2003 используют профили аппаратного обеспечения, и при изменениях аппаратной конфигурации в них можно добавить свою информацию. Мобильные пользователи обычно имеют более одного профиля.
HKEY_CURRENT_USER HKEY_CURRENT_USER является уникальным и динамическим ульем. Он уникален тем, что содержит информацию о текущем пользователе, вошедшем в систему, точнее, отображение в HKEY_USERS\<SID>, где SID (Security ID — идентификатор безопасности) представляет этого пользователя. Это ключ динамический ввиду того, что при каждом входе пользователя он обновляется и создается заново. Содержащаяся в этом ключе информация меняется в зависимости от конкретного пользователя, вошедшего в систему. В общем случае в нем содержатся настройки пользователя (раскладки клавиатуры, настройки рабочего стола, подключения сетевых дисков, параметры отдельных приложений и множество других настроечных данных). При первом входе пользователя в систему используется стандартный профиль пользователя. В улье HKEY_CURRENT_USER находятся несколько подключей, в том числе следующие: •
AppEvents (События приложений).
•
Console (Консоль).
•
Control Panel (Панель управления).
•
Environment (Среда).
Системный реестр Windows Server 2003 Ãëàâà 20 •
Identities (Учетные данные).
•
Keyboard Layout (Раскладка клавиатуры).
•
Printers (Принтеры).
•
Session Information (Информация о сеансе).
•
Software (Программное обеспечение).
•
Unicode Program Groups (Группы программ Unicode).
•
Volatile Environment (Временная среда).
639
HKEY_USERS Подключ HKEY_USERS содержит загруженные в настоящий момент пользовательские профили. Он содержит подключи для всех пользователей, но отображаются только два подключа: для пользователя, вошедшего в систему в настоящий момент, и для стандартного профиля пользователя. Вот три загруженных профиля: •
.DEFAULT. Это стандартный профиль, используемый во время загрузки системы до входа в нее пользователей. То есть это единственный используемый профиль, если никто не вошел в систему.
•
<ИдентБезопасности>. Известен также как SID (Security ID — идентификатор безопасности); этот профиль идентифицирует пользователя, вошедшего в систему в настоящий момент.
•
<ИдентБезопасности_Classes>. Этот профиль содержит всю информацию классов для пользователя, вошедшего в систему в настоящий момент.
Каждый пользовательский профиль загружается из дисковой подсистемы, а не из самого реестра. По умолчанию профили находятся в каталогах: %SystemDrive%\Documents and Settings\<имя_пользователя> и %SystemDrive%\Documents and Settings\Default User\
Ðåäàêòîð ðååñòðà Windows Server 2003 Предшественники Windows Server 2003 содержали две версии редактора реестра: REGEDIT.EXE и REGEDIT32.EXE. У каждой из упомянутых версий есть свои сильные стороны, но было не очень удобно выбирать одну из версий в зависимости от того, что нужно было делать. К счастью, Microsoft устранила необходимость использования двух версий, и сейчас лучшие черты обеих версий объединены в единственный редактор реестра. Оба исполняемых модуля (REGEDIT.EXE и REGEDIT32.EXE) попрежнему существуют, но они запускают одну и ту же утилиту, окно которой показано на рис. 20.5. С помощью единого редактора реестра Windows Server 2003 можно непосредственно модифицировать реестр локальной или удаленной системы, устанавливать основные полномочия и выполнять операции подобного рода.
640
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðèñ. 20.5. Видимые подключи HKEY_USERS
Èçìåíåíèå ñòðîê ðååñòðà Редактор реестра позволяет администратору (то есть вам) модифицировать реестр. Например, вы можете добавлять ключи или подключи, изменять значения параметров и многое другое. Имея такой контроль над реестром, очень важно перед проведением любых изменений создавать его резервную копию. Это поможет избежать случайной порчи реестра или, в худшем случае, краха системы. Информация о резервном копировании реестра приведена далее в данной главе, в разделе “Резервное копирование реестра”.
Äîáàâëåíèå êëþ÷à Ключ можно добавить почти в любое место реестра. Однако существует несколько исключений: •
На корневом уровне реестра.
•
На корневом уровне некоторых ульев (HKEY_LOCAL_MACHINE и HKEY_USERS).
•
В ключе HKEY_LOCAL_MACHINE\SECURITY (по умолчанию).
Чтобы добавить ключ, выполните перечисленные ниже шаги. 1. Запустите редактор реестра, введя в окне Run (Запуск программ) или командном окне команду regedit или regedit32. 2. Раскройте ключ, в который нужно добавить новый ключ (подключ). 3. Щелкните правой кнопкой мыши на ключе и выберите в контекстном меню пункт NewÖKey (СоздатьÖКлюч). 4. Введите имя ключа. При желании можно установить значение Default (По умолчанию).
Системный реестр Windows Server 2003 Ãëàâà 20
641
Äîáàâëåíèå çíà÷åíèÿ Чтобы добавить значение в какой-либо ключ, щелкните правой кнопкой мыши на этом ключе (в левой панели) и выберите одно из значений, приведенных в табл. 20.3. Тип выбранного значения определяет тип информации для этого значения.
Òàáëèöà 20.3. Ðàçëè÷íûå òèïû çíà÷åíèé Тип значения
Описание
String (Строка)
Текстовая строка фиксированной длины, обычно содержащая описание.
Binary (Двоичное число)
Двоичные данные, которые могут отображаться в шестнадцатеричном (hex) формате. Может использоваться с аппаратными компонентами.
DWORD (Двойное слово)
32-битное число, которое может отображаться в двоичном, шестнадцатеричном или десятичном формате.
Multi-string (Многострочное значение)
Содержит несколько строковых значений, разделяемых нулевым символом. Например, может содержать другие ключи реестра.
Expandable string (Расширяемое строковое значение)
Содержит список различных значений наподобие системных переменных среды в читабельном формате, аналогично многострочным значениям. Строки могут разделяться запятыми, пробелами или нулевыми символами.
Èçìåíåíèå çíà÷åíèÿ Иногда бывает нужно изменить отдельное значение для увеличения производительности, добавления функций и т.д. Для изменения значения выполните следующие шаги: 1. В левой панели редактора реестра выберите ключ, содержащий значение, которое требуется изменить. 2. Дважды щелкните на строке со значением в правой панели. 3. Измените значение на новое в соответствии с его типом данных. 4. Щелкните на кнопке ОК.
Óäàëåíèå êëþ÷à èëè çíà÷åíèÿ Удаление ключа или значения из реестра — это самое легкое, но, в то же время, и самое опасное действие. Необходимо либо нажать на клавишу , либо выбрать пункт Delete (Удалить) в меню Edit (Правка).
Ïîèñê â ðååñòðå Поиск в реестре ранее был возможен в основном через утилиту regedit, но сейчас эта возможность встроена в единый редактор реестра. Для поиска ключа, значения или данных выполните описанные ниже шаги.
642
Администрирование и управление Windows Server 2003 ×àñòü VI
1. В левой панели редактора реестра выберите пункт My Computer (Мой компьютер). 2. В меню Edit выберите пункт Find (Найти). 3. В диалоговом окне Find (Поиск) введите имя ключа, имя значения или значение данных, которое следует найти. 4. Выберите, что нужно искать (ключи, значения или данные) и искать ли совпадения только с полными строками. 5. Щелкните на кнопке Find Next (Найти далее), чтобы запустить поиск.
Ðàáîòà ñ ìåíþ Favorites Так же как меню Favorites (Избранное) в браузере Internet Explorer, меню Favorites (Избранное) редактора реестра позволяет сохранять ссылки на конкретные места в реестре. Если сохранить ссылку в меню Favorites, то при необходимости посетить этот ключ еще раз его можно быстро найти с помощью закладки.
Ïîäêëþ÷åíèå ê óäàëåííîìó ðååñòðó Для подключения к удаленному реестру выполните следующие шаги: 1. Запустите редактора реестра, введя в командном окне regedit или regedit32. 2. В меню File выберите пункт Connect Network Registry (Подключить сетевой реестр). 3. В диалоговом окне Select Computer (Выбор: Компьютер), которое показано на рис. 20.6, введите имя компьютера. 4. Щелкните на кнопке Check Names (Проверить имена) для проверки корректности введенного имени компьютера. 5. Щелкните на кнопке ОК для подключения к удаленному реестру. После подключения к удаленному реестру можно редактировать его ульи HKEY_LOCAL_MACHINE и HKEY_USERS, в точности так же, как и в реестре локальной машины.
Ðèñ. 20.6. Выбор удаленного реестра
Системный реестр Windows Server 2003 Ãëàâà 20
643
Çàùèòà ðååñòðà Информация, содержащаяся в реестре, жизненно необходима для обеспечения надежности, стабильности и производительности системы. Поэтому защита реестра является критической операцией для системы. Компания Microsoft обеспечила гораздо лучшие настройки безопасных стандартных полномочий, чем это было сделано в ее предыдущих операционных системах. Права доступа к реестру не являются исключением. Доступ к реестру ограничен даже для системных администраторов. Например, для ключей HKEY_LOCAL_MACHINE\SAM и HKEY_LOCAL_MACHINE\SECURITY администраторам по умолчанию разрешен доступ только на чтение и запись DAC. Если в вашей системе необходим больший доступ, нежели предлагаемый по умолчанию, его можно установить с помощью редактора реестра. Права доступа конфигурируются для отдельных ключей реестра, но подключи могут наследовать полномочия от своих родительских ключей. Установка прав доступа к ключу реестра аналогична установке прав доступа к файлам и папкам в файловой системе NTFS. Для установки прав доступа ключа реестра выполните перечисленные ниже шаги. 1. В редакторе реестра щелкните правой кнопкой мыши на ключе, для которого нужно изменить права доступа, и выберите в контекстном меню пункт Permissions (Разрешения). 2. Наиболее распространенные атрибуты разрешений отображаются в окне Permissions for <ключ> (Разрешения для <ключ>). Установите флажок Allow (Разрешить) или Deny (Запретить) для параметров Full Control (Полный контроль), Read (Чтение) или Special permissions (Особые разрешения). 3. Если нужен более избирательный контроль, щелкните на кнопке Advanced (Дополнительно) для отображения окна Advanced Security Settings for <ключ> (Дополнительные параметры безопасности для <ключ>). Выберите разрешения, необходимые для данного ключа. С помощью дополнительных параметров безопасности для отдельных ключей можно устанавливать различные права доступа: •
Full Control — пользователь имеет полный контроль над ключом.
•
Query value — пользователь может читать значение ключа.
•
Set Value — пользователь может читать и изменять значение ключа.
•
Create Subkey — пользователь может создавать новые подключи.
•
Enumerate Subkey — пользователь может раскрывать и читать подключи.
•
Notify — пользователь может выполнять аудит обращений к подключу.
•
Create Link — пользователь может создавать ссылку на ключ.
•
Delete— пользователь может удалять ключа.
•
Write DAC — пользователь изменять права доступа к ключу.
•
Write Owner — пользователь может изменять владельца ключа.
•
Read Control — пользователь может читать информацию безопасности ключа.
644
Администрирование и управление Windows Server 2003 ×àñòü VI
Çàïðåò óäàëåííîãî äîñòóïà В некоторых случаях необходимо контролировать удаленный доступ к реестру системы. Это можно сделать, установив права доступа в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg. По умолчанию права доступа для подключения из другой системы имеют только администраторы, операторы резервного копирования и учетная запись LOCAL SERVICE. Можно изменить стандартные права доступа, если нужно разрешить доступ только конкретным администраторам или операторам резервного копирования. В этом случае потребуется удалить стандартные группы Administrators (Администраторы) и Backup Operators (Операторы резервного копирования) и заменить их учетными записями соответствующих пользователей.
Àóäèò ðååñòðà Аудит реестра в сетевой среде можно применять для увеличения безопасности, устранения неполадок или просто в целях общего надзора. Какой бы ни была эта причина, возможности аудита с помощью Windows Server 2003 являются очень мощными и гибкими. Прежде чем приступить к аудиту реестра, потребуется выполнить два важных шага. Во-первых, необходимо разрешить регистрацию успешных или неудачных попыток — либо с помощью объекта групповой политики (Group Policy Object — GPO), либо с помощью локальной политики (по умолчанию она отключена). GPO подробно описаны в главе 21. Следующим шагом после разрешения аудита нужно указать в редакторе реестра, аудит каких ключей нужен и в какой степени. Для включения аудита с помощью GPO выполните описанные ниже шаги. 1. Откройте оснастку Active Directory Users and Computers (Пользователи и компьютеры Active Directory) консоли MMC, выбрав в меню Start (Пуск) пункт All ProgramsÖAdministrative ToolsÖActive Directory Sites and Services (Все программыÖСредства администрированияÖСайты и службы Active Directory). 2. В правой панели щелкните правой кнопкой мыши на домене и выберите в контекстном меню пункт Properties (Свойства). 3. Перейдите на вкладку Group Policy (Групповая политика). 4. Выберите объект Default Domain Policy (Стандартная политика домена) или конкретный GPO, выбранный для аудита. 5. Щелкните на кнопке Edit (Правка) и затем раскройте узлы Computer ConfigurationÖWindows SettingsÖSecurity SettingsÖLocal PoliciesÖAudit Policy (Конфигурация компьютераÖНастройки WindowsÖНастройки безопасностиÖЛокальные политикиÖПолитика аудита). 6. Дважды щелкните на параметре Audit object access (Доступ к объекту аудита). 7. Установите флажок Define These Policy Settings (Определить эти параметры политики), а затем установите либо флажок Success (Успех), либо флажок Failure (Неудача).
Системный реестр Windows Server 2003 Ãëàâà 20
645
8. Щелкните на кнопке Apply (Применить), а затем на кнопке ОК, чтобы закрыть редактор GPO. Для разрешения аудита с помощью локальной политики выполните следующие шаги: 1. Откройте окно Local Security Policy (Локальная политика безопасности) (или Default Domain Controllers Security Setting (Стандартные настройки безопасности контроллеров доменов)), выбрав в меню Start пункт All ProgramsÖAdministrative Tools (ПускÖСредства администрирования). 2. Раскройте узел Local Policies (Локальные политики) и выберите запись Audit Policy (Политика аудита). 3. Дважды щелкните на параметре доступа к объекту аудита. 4. Если флажок Define These Policy Settings не установлен, установите его, а затем установите либо флажок Success, либо флажок Failure. 5. Щелкните на кнопке Apply, а затем на кнопке ОК, чтобы закрыть редактор GPO. Теперь можно указывать элементы реестра, для которых должен выполняться аудит. Для включения аудита реестра выполните перечисленные ниже шаги. 1. В редакторе реестра щелкните правой кнопкой мыши на ключе, для которого необходимо включить аудит, и выберите в контекстном меню пункт Permissions. 2. Щелкните на кнопке Advanced, чтобы открыть окно Advanced Security Settings for <ключ>. Выберите разрешения, необходимые для этого ключа. 3. Перейдите на вкладку Auditing (Аудит) и щелкните на кнопке Add (Добавить). 4. В диалоговом окне Select User or Group (Выбор пользователя или группы) введите пользователей или группы, для которых необходимо наблюдение. Например, можно ввести строку auth, а затем щелкнуть на кнопке Check Names (Проверить имена) для занесения информации в группу Authenticate Users (Аутентификация пользователей). 5. Щелкните на кнопке ОК. Появится диалоговое окно Auditing Entry for <ключ> (Элемент аудита для <ключ>). 6. Установите флажок Successful (Успешный) и/или Failed (Неудачный) для каждого наблюдаемого вида обращений. Обратите внимание, что установка флажка Successful или Failed для варианта Full Control включает аудит и всех остальных обращений. 7. Установите флажок Apply These Auditing Entries to Objects and/or Containers Within This Container (Применить эти элементы аудита к объектам и/или контейнерам в данном контейнере), если необходимо минимизировать объем наблюдаемых данных. 8. Щелкните на кнопке ОК три раза, чтобы вернуться в редактор реестра. 9. Закройте редактор реестра.
646
Администрирование и управление Windows Server 2003 ×àñòü VI
Àíàëèç æóðíàëîâ ñîáûòèé После настройки аудита реестра полученные результаты можно просмотреть с помощью утилиты просмотра событий (Event Viewer), окно которой показано на рис. 20.7. Аудит является событием, относящимся к безопасности, поэтому все события аудита записываются в журнал безопасности.
НА ЗАМЕТКУ В Windows Server 2003 размер журнала безопасности по умолчанию составляет 131 072 Кб (128 Мб). Для аудита этого обычно достаточно. Однако при аудите множества различных компонентов рекомендуется увеличить максимальный размер журнала.
Ðèñ. 20.7. Просмотр обращений к реестру в журнале безопасности
Ñîïðîâîæäåíèå ðååñòðà Самодостаточность Windows Server 2003 распространяется и на сопровождение реестра. Для сопровождения реестра нужно очень немного усилий, но с помощью некоторых вполне доступных действий можно повысить устойчивость всей системы.
Óïðàâëåíèå ðàçìåðîì ðååñòðà В предыдущих версиях Windows операционная система ограничивала размер реестра. Это ограничение основывалось на доступности объединенной страничной памяти и ее размере. Начиная с Windows XP, это ограничение снято. Файлы реестра теперь отображаются в кэш компьютера, а не в объединенную страничную память. Windows Server 2003 следит за размером реестра, что означает, что в настройках виртуальной памяти уже не нужно указывать размеры реестра. На самом деле в настройках виртуальной памяти даже нет опции установки размера реестра.
Системный реестр Windows Server 2003 Ãëàâà 20
647
Хотя система Windows Server 2003 взяла на себя значительную долю ответственности за размер реестра, необходимо учитывать два важных соображения. Во-первых, важно, чтобы в системном разделе имелось достаточное количество свободного места. Обычно все диски должны всегда иметь не менее 25% свободного пространства. Второе соображение касается регулярной дефрагментации всех дисков системы. Это позволит системе эффективно работать и держать размер реестра под контролем.
Ïîääåðæàíèå ñòðóêòóðû ðååñòðà В иерархической структуре реестра содержатся многие детали конфигурации и технические подробности. Его реальное содержимое, скорее всего, изменяется каждый день. Кроме того, при каждом добавлении, изменении или удалении приложения, службы или драйвера устройства большинство этих изменений (если не все) отражаются в реестре. Понятно, что изменения, происходящие в реестре, равно как и в любой другой структуре базы данных, приводят к его фрагментации. Иногда строки реестра могут содержать неверные данные или еще долго существовать после удаления компонента. Часто это происходит из-за плохого программирования или недостаточной функциональности утилит, а не из-за Windows Server 2003. Хотя благодаря среде разработки Windows .NET зависимость приложений от реестра уменьшается, многие приложения и утилиты все еще взаимодействуют с реестром ненадлежащим образом, особенно при деинсталляции приложений или драйверов устройств. Здесь важно отметить, что это касается в основном приложений, а не аппаратных компонентов, поскольку аппаратную часть компьютера реестр инвентаризует динамически. Как и в случае любой другой базы данных, чем меньше размер реестра, тем надежнее и эффективнее он может работать. Реестр Windows Server 2003 должен храниться в чистоте, что означает, что периодически он должен подвергаться генеральной уборке для удаления неверных и ненужных данных.
Î÷èñòêà ðååñòðà Большинство приложений поставляется с утилитой деинсталляции, которая пытается удалить приложение, его данные и все созданные элементы реестра. Но для приложений без такой возможности необходимо удалять приложение вручную. Это нежелательное и в лучшем случае кропотливое занятие. Кроме того, ручное удаление этих дефектных элементов приложения повышает риск повреждения реестра. Несколько лет назад компания Microsoft разработала небольшую утилиту под названием RegClean. Основная функция этой утилиты состоит в удалении из реестра “беспорядка” (такого как неверные и устаревшие элементы). Это средство официально не поддерживается на платформах Windows 2000 или Windows Server 2003, но независимое тестирование показало успешные результаты. Если вы планируете пользоваться этой утилитой, то настоятельно рекомендуется убедиться в ее совместимости, тщательное протестировав ее в тестовой среде. Можно использовать и другие утилиты — как из Windows Server 2003, так и от сторонних разработчиков — предназначенные для наведения порядка и поддержания реестра в компактном виде.
648
Администрирование и управление Windows Server 2003 ×àñòü VI
Îñíàñòêà óñòàíîâêè è óäàëåíèÿ ïðîãðàìì Windows Server 2003 предоставляет свой собственный способ удаления приложений — с помощью оснастки Add/Remove Programs (Установка и удаление программы), показанной на рис. 20.8 и доступной в панели управления. С помощью этой оснастки можно установить и удалить большинство приложений. Хотя упомянутая оснастка может оказаться полезной для поддержания реестра в порядке, обычно она просто отключает программу деинсталляции приложений.
Ðèñ. 20.8. Оснастка Add/Remove Programs
Óòèëèòà î÷èñòêè èíñòàëëÿòîðà (MSICUU.EXE) Windows Утилита очистки инсталлятора (Installer Cleanup Utility) Windows создана специально для удаления элементов реестра, относящихся к приложениям, которые были установлены с помощью инсталлятора Windows Installer. Она не удаляет файлы приложений или их ярлыки, а удаляет лишь элементы реестра данного приложения. Эта утилита устанавливается в системе после инсталляции средств поддержки Windows Server 2003. Если дважды щелкнуть на файле deploy.cab, то в папку Administrative Tools (Средства администрирования) системы автоматически устанавливаются несколько утилит. Утилита MSICUU, показанная на рис. 20.9, может применяться также для возврата системы в состояние, предшествовавшее незавершенной или неверно выполненной установке приложения с помощью инсталлятора Windows. Чтобы иметь возможность пользоваться MSICUU, после установки средств поддержки с компакт-диска Windows Server 2003 выполните следующие шаги: 1. В командной строке введите MSICUU и нажмите <Enter>. 2. После запуска и отображения программы MSICUU можно выбрать программу или программы, для которых нужно удалить строки реестра. Для минимизации возможных сложностей рекомендуется выбирать за один раз только одну программу.
Системный реестр Windows Server 2003 Ãëàâà 20
649
Ðèñ. 20.9. Утилита очистки инсталлятора Windows
Windows Installer Zapper (MSIZAP.EXE) Утилита Windows Installer Zapper (Чистильщик инсталлятора), также широко известная как MSIZAP, является командной версией утилиты MSICUU. Она обладает чуть большими возможностями, чем графическая утилита MSICUU — например, она удаляет не только элементы реестра, но и папки. Она также может изменять права доступа списка управления доступом (Access Control List — ACL) и удалять информацию, предназначенную для возможного отката. MSIZAP имеет следующий синтаксис: MSIZAP [*] [A] [P] [T {код продукта}] [!] где: * удаляет все папки и элементы реестра, настраивает счетчики совместно используемых DLL-библиотек и останавливает службу Windows Installer. T удаляет всю информацию об указанном коде продукта. P удаляет из реестра подключ In-Progress (В процессе). S удаляет информацию отката. A заменяет списки ACL на Admin Full Control. ! автоматически отвечает Yes на все вопросы пользователю.
НА ЗАМЕТКУ Для запуска утилиты MSIZAP необходимо иметь права администратора.
Ðåçåðâíîå êîïèðîâàíèå ðååñòðà При планировании любых стратегий резервного копирования и восстановления очень важно включать в них реестр. Не менее важно делать резервную копию реестра перед проведением любых модификаций, чтобы иметь возможность быстрого восстановления после случайного удаления значения или ключа.
650
Администрирование и управление Windows Server 2003 ×àñòü VI
Регулярное резервное копирование реестра является залогом работоспособности системы. Если реестр будет разрушен, напрямую или косвенно, то это приведет к потере работоспособности всей системы. Резервные копии дают практически безотказный способ минимизации времени неработоспособности и поддержания максимальной эффективности работы системы.
Èñïîëüçîâàíèå óòèëèòû ðåçåðâíîãî êîïèðîâàíèÿ В состав Windows Server 2003 входит надежная утилита резервного копирования Backup Utility (NTBACKUP.EXE), показанная на рис. 20.10. Для ее запуска выберите в меню Start пункт All ProgramsÖAccessoriesÖSystem Tools (Все программыÖСтандартныеÖСистемные средства). Backup Utility очень похожа на утилиту, поставляемую вместе с Windows 2000, с одним исключением: вместо создания диска аварийного восстановления (Emergency Repair Disk — ERD) используется средство автоматического восстановления системы (Automated System Recovery — ASR). Причина этого изменения проста — информация, необходимая для восстановления системы, не помещается на одну дискету. Копирование реестра с помощью утилиты резервного копирования выполняется очень легко. Нужно лишь выбрать опцию System State Data (Данные состояния системы). Это приведет к копированию реестра вместе с AD, каталогом SYSVOL, системными файлами, загрузочными файлами, регистрационной информацией классов COM+ и информацией о кластерах. При создании резервной копии данных состояния системы файлы реестра также автоматически сохраняются в каталоге %SYSTEMROOT%\Repair\Regback.
Ðèñ. 20.10. Утилита резервного копирования Windows Server 2003
Системный реестр Windows Server 2003 Ãëàâà 20
651
Èñïîëüçîâàíèå ñðåäñòâà àâòîìàòè÷åñêîãî âîññòàíîâëåíèÿ ñèñòåìû В Windows Server 2003 функции ERD заменены на средство автоматического восстановления системы (Automated System Recovery — ASR). Принципы его работы аналогичны предыдущему механизму восстановления (то есть ERD), однако реализация совсем другая. Чтобы воспользоваться ASR, запустите утилиту резервного копирования и на первом экране этой утилиты выберите опцию ASR, как показано на рис. 20.11. Компания Microsoft рекомендует использовать ASR в качестве последнего средства. Необходимо всегда пытаться восстанавливать систему с помощью опций Last Known Good (Последняя хорошая из известных) или Safe Mode Boot (Загрузка в безопасном режиме).
Ðèñ. 20.11. Выбор опции ASR После выбора опции ASR запускается мастер ASR, который автоматически создает резервную копию состояния системы, служб и информации о конфигурации дисков. Для хранения информации об ASR и способов восстановления информации этот мастер использует дискету, но для реального копирования данных применяет другой носитель. Это не означает, что он копирует созданные вами файлы данных; это просто значит, что копируются данные состояния системы и другая упомянутая ранее информация. Восстанавливать систему с помощью ASR следует лишь в том случае, если испробованы все другие процедуры восстановления. Сам процесс восстановления не сложен, но он занимает значительное количество времени. Восстановление с помощью ASR запускается с помощью загрузки с компакт-диска Windows Server 2003 с последующем нажатием клавиши во время текстовой части загрузки. Затем, после появления приглашения, потребуется вставить дискету ASR в дисковод. Далее необходимо следовать инструкциям, выводимым на экран конкретной системы.
652
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðåçåðâíîå êîïèðîâàíèå îòäåëüíûõ êëþ÷åé Редактор реестра Windows Server 2003 позволяет сохранять отдельные ключи, экспортируя их в файл регистрации (.reg). Этот файл позднее можно использовать для импортирования в реестр информации реестра.
НА ЗАМЕТКУ Рекомендуется сохранять ключ реестра перед любой попыткой модификации этого ключа. При обнаружении ошибки ключ можно быстро и легко восстановить с помощью файла регистрации.
Для сохранения ключа или подключа с помощью редактора реестра щелкните правой кнопкой мыши на ключе или подключе, который нужно сохранить, и выберите в контекстном меню пункт Export (Экспортировать). Затем укажите имя и местоположение файла (с расширением .reg). И, наконец, щелкните на кнопке Save (Сохранить), чтобы сохранить ключ реестра.
Óñêîðåíèå ðåçåðâíîãî êîïèðîâàíèÿ îòäåëüíûõ êëþ÷åé Редактор реестра имеет малоизвестную опцию командной строки для быстрого и легкого экспортирования данных из реестра. Запустив regedit из командной строки с помощью команды regedit /e , можно экспортировать весь реестр.
Âîññòàíîâëåíèå îòäåëüíûõ êëþ÷åé ðååñòðà Восстановить сохраненный ранее ключ реестра можно двумя способами: дважды щелкнув на файле регистрации или импортировав его. Первый способ достаточно очевиден; необходимо лишь найти файл .reg и затем дважды щелкнуть на нем, чтобы занести информацию в реестр. Для восстановления ранее сохраненного ключа с помощью импортирования ключа выполните следующие шаги: 1. Запустите редактор реестра, введя в командной строке или в окне Run команду regedit. 2. В меню File выберите пункт Import (Импорт). 3. Укажите местоположение и имя файла регистрации и щелкните на кнопке Open (Открыть).
Ðåçþìå Как можно было убедиться, реестр содержит в одном централизованном месте огромный объем информации, относящейся к системе Windows Server 2003. Эта информация критична для корректного функционирования системы. Поэтому с реестром нужно обращаться крайне осторожно. Это означает правильное сопровождение реестра, регулярное создание его резервных копий и знакомство с правильными способами манипуляции его содержимым.
Системный реестр Windows Server 2003 Ãëàâà 20
653
Ïîëåçíûå ñîâåòû •
Поскольку существует очень много возможностей управления реестром, перед проведением любых его модификаций важно создать резервную копию реестра. Это поможет предотвратить случайную порчу реестра или, в худшем случае, крах системы.
•
Используйте меню Favorites редактора реестра для запоминания ссылок на конкретные места в реестре.
•
Управляйте удаленным доступом к системному реестру, устанавливая права доступа в ключе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
•
При включении аудита реестра увеличьте максимальный размер журнала.
•
После применения утилиты Windows Install Cleanup вручную удаляйте файлы и ярлыки приложений.
•
При планировании стратегий резервного копирования и восстановления обязательно учитывайте в них реестр.
Ãðóïïîâûå ïîëèòèêè Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Ïðèìåíåíèå ãðóïïîâûõ ïîëèòèê
•
Îáùèå ðåêîìåíäàöèè ïî âíåäðåíèþ ãðóïïîâûõ ïîëèòèê
•
Íàñëåäîâàíèå ãðóïïîâûõ ïîëèòèê è ïîðÿäîê èõ ïðèìåíåíèÿ
•
Âëèÿíèå ìåäëåííûõ êàíàëîâ íà ãðóïïîâûå ïîëèòèêè
•
Ñðåäñòâà ïîâûøåíèÿ ñêîðîñòè ðàáîòû
•
Ññûëêè íà ãðóïïîâûå ïîëèòèêè
•
Àâòîìàòèçàöèÿ óñòàíîâêè ïðèëîæåíèé
•
Óëó÷øåíèå óïðàâëÿåìîñòè ñ ïîìîùüþ êîíñîëè óïðàâëåíèÿ ãðóïïîâûìè ïîëèòèêàìè
•
Èñïîëüçîâàíèå â GPMC óòèëèòû Resultant Set of Policies
•
Ïîíÿòèå îá îñíàùåíèè óïðàâëåíèÿ Windows
•
Ïîâûøåíèå áåçîïàñíîñòè ñ ïîìîùüþ Group Policy
•
Ýôôåêòèâíîå èñïîëüçîâàíèå ïåðåíàïðàâëåíèÿ ïàïîê
•
Äðóãèå ïîëåçíûå èíñòðóìåíòû äëÿ óïðàâëåíèÿ ãðóïïîâûìè ïîëèòèêàìè
•
Èñïîëüçîâàíèå àäìèíèñòðàòèâíûõ øàáëîíîâ
•
Ìîäèôèêàöèÿ àäìèíèñòðàòèâíûõ øàáëîíîâ
•
Ðàáîòà ñ îáúåêòàìè ãðóïïîâûõ ïîëèòèê
•
Ðàáîòà â ïðîñòðàíñòâå èìåí îñíàñòêè Group Policy
ÃËÀÂÀ
21
656
Администрирование и управление Windows Server 2003 ×àñòü VI
Политики, для которых исторически сложилось название “системные политики”, существуют на протяжении многих серверных версий продуктов Windows. Но в Windows Server 2000, а теперь и в Windows Server 2003, групповые политики стали неотъемлемой частью операционной системы. Групповые политики (Group Policy — GP) применяются для донесения до пользователя стандартного набора мер безопасности, управления, правил и опций. Кроме того, с их помощью можно сконфигурировать все от входных сценариев и перенаправления папок до отключения службы Active Desktop и запрета установки программ пользователями на их рабочих станциях.
Ïðèìåíåíèå ãðóïïîâûõ ïîëèòèê Групповые политики можно применять только на компьютерах с системами Windows 2000 Professional, Windows XP, Windows 2000 Server и Windows Server 2003. Все машины, на которых выполняются более ранние версии Windows, Unix или другие операционные системы, не могут получать групповые политики от Windows Server 2003. Машины, получающие параметры групповых политик, должны быть также членами домена. Существуют две области применения групповых политик: применение к компьютерам и применение к пользователям.
Ïðèìåíåíèå ïîëèòèê êîìïüþòåðîâ Политики компьютера применяются во время загрузки машины, уже присутствуют во время входной регистрации и не зависят от полномочий учетной записи пользователя. Они применяются только к компьютеру и не зависят от входящего в компьютер пользователя. Типы групповых политик, которые лучше применять в качестве политик компьютеров: •
Сценарии запуска.
•
Настройки безопасности.
•
Конфигурация прав доступа к локальным файлам, ульям системного реестра или службам на рабочей станции.
Инсталляция программного обеспечения, поставленного в формате MSI, может быть продвинута с помощью либо политик пользователей, либо политик компьютеров. Но все же рекомендуется продвижение с помощью политик компьютеров.
Ïðèìåíåíèå ïîëèòèê ïîëüçîâàòåëåé Политики пользователей применяются при входной регистрации пользователя и появляются после загрузки во время входа в систему. Они применяются к пользователю, независимо от компьютера или сервера, в который входит пользователь, и следуют за пользователем по всему домену. Ниже перечислены типы групповых политик, которые лучше применять в качестве политик компьютеров. •
Входные сценарии.
•
Ограничения прав пользователей.
•
Перенаправление папок.
Групповые политики Windows Server 2003 Ãëàâà 21
657
Ïîíÿòèå èíòåðâàëîâ îáíîâëåíèÿ ãðóïïîâûõ ïîëèòèê Групповые политики обновляются в регулярные запланированные моменты времени после загрузки компьютера и входа в него пользователя. По умолчанию групповые политики обновляются каждые 90 минут на серверах, не являющихся контроллерами доменов (плюс-минус 30 минут), и каждые 5 минут на контроллерах доменов. Интервалы обновления конфигурируются с помощью службы Group Policy, для чего нужно войти в ее следующие разделы и изменить значения интервалов обновления: •
Для изменения интервала обновления политик компьютеров и контроллеров доменов выберите пункт Computer ConfigurationÖAdministrative TemplatesÖ SystemÖGroup Policy (Конфигурация компьютераÖШаблоны администрированияÖСистемаÖГрупповые политики).
•
Для изменения интервала обновления политик пользователей выберите пункт User ConfigurationÖAdministrative TemplatesÖSystemÖGroup Policy (Конфигурация пользователейÖШаблоны администрированияÖСистемаÖГрупповые политики).
Большинство изменений, внесенных в существующие объекты групповых политик (Group Policy Object — GPO) или в новые GPO, проводятся при выполнении цикла обновления. Однако следующие настройки применяются только при входной регистрации или загрузке, в зависимости от параметров конфигурации GPO: •
Установка программного обеспечения, заданная в политиках компьютеров.
•
Установка программного обеспечения, заданная в политиках пользователей.
•
Параметры перенаправления папок, заданные в политиках пользователей.
НА ЗАМЕТКУ Настройки безопасности конфигурации компьютера обновляются каждые 16 часов, независимо от наличия изменений в этих настройках.
Îáùèå ðåêîìåíäàöèè ïî âíåäðåíèþ ãðóïïîâûõ ïîëèòèê Использование и настройка групповых политик может существенно различаться в разных реализациях. Реализация групповых политик зависит от пользователей организации, сайтов, корпоративных традиций и огромного множества других фактов. Однако существуют основные рекомендации, которые применяются вне зависимости от реализации групповых политик. В последующих разделах описаны основные практические советы и уроки, которые были извлечены при реализации многих групповых политик во многих различных организациях.
658
Администрирование и управление Windows Server 2003 ×àñòü VI
×åì ìåíüøå ïîëèòèê, òåì ëó÷øå: ïîäõîä “ìåíüøå çíà÷èò áîëüøå” Самое главное, что нужно помнить при работе с групповыми политиками — что меньше значит больше. Групповые политики являются очень действенным средством, и только что познакомившиеся с ними администраторы часто применяют очень много групповых политик, рассматривая их в качестве панацеи во всех административных вопросах. Однако важно помнить, что каждый реализованный объект групповой политики и каждый новый уровень групповых политик увеличивает на долю секунды время загрузки компьютера и время входа пользователя. Кроме того, GPO занимают место в ресурсе SYSVOL на контроллерах доменов, увеличивая трафик репликации и сложность администрирования, что затрудняет устранение неполадок.
Çíàêîìñòâî ñî ñðåäñòâîì ðåçóëüòèðóþùåãî íàáîðà ïîëèòèê (RSoP) Новая консоль управления групповыми политиками (Group Policy Management Console — GPMC) является удобным средством для планирования и тестирования групповых политик до их реализации. Поскольку групповые политики могут очень существенно влиять на пользователей, то любая реализация групповой политики должна быть протестирована в режиме планирования с помощью средства результирующего набора политик. Дополнительную информацию можно найти в разделах “Использование результирующего набора политик в GPMC” и “Моделирование групповых политик с помощью результирующего набора политик”.
Ïîðÿäîê íàñëåäîâàíèÿ ãðóïïîâûõ ïîëèòèê Групповые политики могут быть сконфигурированы на многих различных уровнях и по умолчанию реализуются в определенном порядке. Однако с помощью условий блокировки наследования, обязательного применения и включения связей стандартный порядок применения может быть изменен. Лучше применять эти условия пореже, так как они существенно усложняют устранение неполадок при применении групповых политик. Дополнительная информация приведена далее в данной главе, в разделах “Понятие о наследовании и порядке применения GP” и “Изменение наследования групповых политик”.
Âëèÿíèå îáíàðóæåííîãî ìåäëåííîãî êàíàëà Обнаружение медленного канала может изменить групповую политику, получаемую пользователем, что приведет к усложнению процесса устранения неполадок для администратора. Уяснение важности медленных каналов может значительно облегчить устранение неполадок, если у вас имеются каналы глобальной сети, которые могут работать, не работать или работать в среде с проблемной полосой пропускания. Дополнительная информация приведена в данной главе, в разделе “Влияние медленных каналов на групповые политики”.
Групповые политики Windows Server 2003 Ãëàâà 21
659
Äåëåãèðîâàíèå ïðàâ óïðàâëåíèÿ GP Для работы с групповыми политиками важно делегировать администраторам надлежащие права. Например, лишь небольшая группа пользователей должна иметь возможность редактировать политики на уровне домена, но может существовать необходимость позволить различным группам администраторов конфигурировать групповые политики в администрируемых ими областях на нижних уровнях дерева AD. Администратор может делегировать другим администраторам следующие права: •
Создание GPO.
•
Создание фильтров WMI.
•
Права доступа к фильтрам WMI.
•
Права на чтение и редактирование отдельных GPO.
•
Права доступа к отдельным областям, с которыми связаны GPO — они называются областью управления (scope of management — SOM).
Использование мастера делегирования групповых политик облегчает передачу нужным группам администраторов прав, необходимых им для выполнения их работы, и продолжение администрирования Windows Server 2003 максимально безопасными способами.
Îòêàç îò ìåæäîìåííûõ íàçíà÷åíèé ïîëèòèê Рекомендуется избегать междоменных назначений политик. Чем более локальны политики, тем быстрее загружаются компьютеры и регистрируются пользователи, поскольку пользователям или машинам не нужно получать групповые политики от других доменов по междоменным линиям связи. Это особенно важно для удаленных пользователей.
Èñïîëüçîâàíèå ñîãëàøåíèé ïî èìåíîâàíèþ ãðóïïîâûõ ïîëèòèê Важность соглашений по именованию групповых политик трудно переоценить. Соглашения по именованию облегчают устранение неполадок и идентификацию политик и упрощают управление групповыми политиками, особенно в больших средах.
Èñïîëüçîâàíèå ïðàâèëüíîãî ñîãëàøåíèÿ ïî èìåíîâàíèþ •
•
•
Используйте для схожих политик общие соглашения по именованию (“Сайт — политика именования программ” или “OU — стандартная политика именования”), а не различные соглашения по именованию для однотипных политик. Например, начинайте имена групповых политик с названия OU или сайта, к которым они применяются. Используйте для объектов групповых политик содержательные имена. Не используйте для всех политик стандартное имя “New Group Policy” (“Новая групповая политика”). Если это политика продвижения программного обеспечения, пометьте ее соответствующим образом. Используйте уникальные имена. Не рекомендуется присваивать одно и то же имя двум групповым политикам — особенно в различных доменах или лесах.
660
Администрирование и управление Windows Server 2003 ×àñòü VI
Ïîíÿòèå ñòàíäàðòíîé ïîëèòèêè äîìåíà Стандартная политика домена является политикой уровня домена, которая устанавливается (но не конфигурируется) при инсталляции Windows 2003. Ее не следует переименовывать, перемещать, удалять или сдвигать вверх или вниз в списке групповых политик, существующих на верхнем уровне домена. Некоторые настройки безопасности функционируют правильно только тогда, когда они реализованы в стандартной политике домена (см. предупреждение ниже). Хорошей идеей является также ограничение возможности редактирования стандартной политики домена лишь небольшим количеством администраторов, так как на этом уровне устанавливаются параметры безопасности и другие политики, относящиеся по всему домену.
ВНИМАНИЕ! Параметры политики учетных записей, применяемые на уровне OU, влияют на локальную базу данных SAM, а не на учетные записи Active Directory. Для влияния на учетные записи Active Directory настройки политики учетных записей нужно применять к стандартной политике домена.
Разобравшись в этих общих рекомендациях и применяя их, можно обеспечить пользователям более безопасное, быстрое и однотипное применение групповых политик.
Íàñëåäîâàíèå ãðóïïîâûõ ïîëèòèê è ïîðÿäîê èõ ïðèìåíåíèÿ Для успешного администрирования групповых политик крайне важно понимать порядок, в котором они применяются. Без этого четкого понимания реализация и устранение неполадок в групповых политиках могут существенно осложниться, даже при наличии средств, предоставляемых Microsoft для облегчения именно этих действий.
Ïîëåçíûå ñîâåòû ïî íàñëåäîâàíèþ ãðóïïîâûõ ïîëèòèê Для максимального применения возможностей наследования групповых политик помните следующие моменты: •
Изолируйте серверы в их собственных OU. Создайте осмысленные OU серверов и поместите в эти OU все серверы, не являющиеся контроллерами доменов, а сами OU — в общую OU серверов. Если продвижения программного обеспечения выполняются с помощью групповой политики на уровне домена или на более высоком уровне, чем OU сервера, и у них не установлена опция обязательного применения, то в настройки OU сервера можно включить опцию блокировки наследования политик. В результате серверы не будут получать продвижения программного обеспечения с уровней, более высоких, чем их OU.
•
Как можно реже используйте опции блокировки наследования политик и обязательного применения, чтобы не усложнять устранение неполадок в групповых политиках.
Групповые политики Windows Server 2003 Ãëàâà 21
661
Ïîðÿäîê ïðèìåíåíèÿ îáúåêòîâ ãðóïïîâûõ ïîëèòèê Как уже упоминалось, объекты групповых политик применяются в конкретном порядке. Компьютеры и пользователи, чьи учетные записи расположены ниже по дереву Active Directory, могут наследовать политики, применяемые на различных уровнях дерева Active Directory. Объекты групповых политик применяются в дереве AD в следующем порядке: •
Политика локальной безопасности.
•
Объекты групповых политик сайтов.
•
Объекты групповых политик доменов.
•
Объекты групповых политик организационных единиц.
•
Объекты групповых политик вложенных организационных единиц.
GPO вложенных OU и ниже применяются до достижения OU, членом которой является компьютер или пользователь. Если в настройках более высоких объектов групповых политик установлен параметр Not Configured (Не задано), то действует существующая настройка. Но при возникновении конфликтов в конфигурации преимущество имеет объект групповой политики, применяемый последним. Например, при возникновении конфликта между GPO сайта и GPO OU “побеждают” настройки из GPO OU. Если к объекту AD наподобие сайта или OU применяются несколько GPO, то они применяются в порядке, обратном тому, в котором они перечислены. Последний GPO применяется первым, и, следовательно, при возникновении конфликта настройки более высоких GPO перекрывают настройки более низких. Например, если OU “Адресаты” (Contacts) содержит три следующие примененные к ней групповые политики, и они появляются в данном порядке (как показано на рис. 21.1), то политики будут применены снизу вверх: •
Адресаты — стандартная групповая политика.
•
Адресаты — политика программного обеспечения.
•
Адресаты — временная политика.
Временная политика будет применена первой, политика программного обеспечения следующей, а затем будет применена стандартная групповая политика. Все настройки стандартной групповой политики адресатов перекроют настройки, сконфигурированные в двух нижних политиках, а настройки из политики программного обеспечения перекроют настройки из временной политики.
Èçìåíåíèå íàñëåäîâàíèÿ ãðóïïîâûõ ïîëèòèê Стандартными правилами наследования можно управлять с помощью возможностей блокировки наследования, обязательного выполнения и включения связей. В GPO может быть включена возможность обязательного применения (Enforcement). Эта настройка не позволяет родительской организационной единице быть перекрытой при возникновении конфликтов настройками дочерней OU. Кроме того, она устраняет влияние блокировки наследования политик, если эта функция применена к подчиненным GPO.
662
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðèñ. 21.1. Порядок объектов групповых политик GPO могут быть также созданы для блокировки наследования политик (Block Policy Inheritance). Эта возможность запрещает объекту AD, к которому применен GPO, наследовать GPO от его родительской организационной единицы, сайта или домена (если только у родительского GPO не включена только что описанная опция обязательного применения). И, наконец, существует опция, позволяющая отключить объект групповой политики, известная как состояние включенной связи (Link Enabled) GPO. Щелкнув правой кнопкой мыши на групповой политике в консоли управления групповыми политиками и сбросив флажок Link Enabled, можно отключить эту политику и оставить ее неиспользуемой до повторного ее включения. На рис. 21.2 отключено состояние политики Contacts Temporary Policy.
Íàñòðîéêà ïåðåáðîñà ãðóïïîâîé ïîëèòèêè Переброс (loopback) позволяет применять групповую политику к входящему в систему пользователю на основе местонахождения объекта компьютера, а не расположения объекта пользователя в AD. Переброс применяет групповую политику, связанную с компьютером, в который входит пользователь, а не с пользователем, который входит в компьютер. Есть хороший пример использования возможности переброса, относящийся к терминальной службе. Если есть необходимость применения специальных полномочий ко всем, кто входит в конкретный терминальный сервер, независимо от их пользовательских групповых политик, то эту задачу выполняет переброс в режиме замены, игнорируя все GPO пользователей. Переброс также имеет режим слияния, при котором сливаются GPO, применяемые к пользователю и компьютеру, но преимуществом пользуются GPO компьютера, которые перекрывают все конфликтующие GPO пользователя.
Групповые политики Windows Server 2003 Ãëàâà 21
663
Ðèñ. 21.2. Отключение состояния включенной связи
Âëèÿíèå ìåäëåííûõ êàíàëîâ íà ãðóïïîâûå ïîëèòèêè Медленный канал определяется скоростью, с которой пакет пересылается с одного сайта на другой. Если время, необходимое для достижения пакетом другого сайта, превышает заранее установленное Microsoft предельное значение для медленных каналов, то такой канал считается медленным.
Âëèÿíèå ìåäëåííîãî êàíàëà íà ñàéò В Microsoft Windows Server 2003 имеется стандартное определение того, что составляет медленный канал между сайтами; при этом автоматически изменяются групповые политики, предоставляемые пользователю на принимающем конце медленного канала. Политики безопасности и административные шаблоны загружаются всегда, вне зависимости от скорости канала. Но такие групповые политики, как входные сценарии, продвижения программного обеспечения и перенаправление папок, не применяются к пользователю, получающему GP по медленному каналу. Это может оказаться затруднительным для сайтов, не имеющих локальных контроллеров доменов и выполняющих аутентификацию по медленным каналам глобальной сети. При работе с ненадежной или загруженной сетью может понадобиться изменить конфигурацию того, что считается медленным каналом в сайте, либо полностью отключить обнаружение медленных каналов.
664
Администрирование и управление Windows Server 2003 ×àñòü VI
Îïðåäåëåíèå ñêîðîñòè ìåäëåííîãî êàíàëà По умолчанию медленный канал имеет среднее время опроса с помощью утилиты ping больше 32 мс на 2048-байтовых пакетах или скорость, меньшую чем 500 Kбит/с. Для преобразования времени опроса в Kбит/с (Kbps) в Microsoft используется следующая формула: 16000 / пинг = Kbps Следовательно, стандартное значение времени опроса 32 мс соответствует следующей скорости: 16000 / 32 мс = 500 Kbps Чтобы определить, имеет ли сайт медленный канал, выполните с этого места опрос ближайшего DC, который будет использоваться для аутентификации и получения групповой политики. Чтобы тестирование проводилось с 2048-байтовыми пакетами, используйте следующий формат команды опроса: ping –l 2,048 имясервера где имясервера — ближайший контроллер домена. Время, необходимое для возврата опроса, покажет, превышает ли скорость канала 500 Kбит/с и, следовательно, является ли канал медленным с присущими ему ограничениями.
Çàäàíèå ñïåöèàëüíîé ñêîðîñòè ìåäëåííîãî êàíàëà Чтобы переопределить стандартное определение медленного канала Microsoft, изменить поведение медленного канала или изменить конфигурацию медленного канала, воспользуйтесь следующими областями оснастки Group Policy: •
Computer ConfigurationÖAdministrative TemplatesÖSystemÖGroup PolicyÖGroup Policy Slow Link Detection Properties (Конфигурация компьютераÖАдминистративные шаблоныÖСистемаÖГрупповые политикиÖСвойства определения медленного канала групповых политик). (Укажите 0, чтобы отключить определение медленного канала, либо укажите другой период времени для медленного канала.)
•
User ConfigurationÖAdministrative TemplatesÖSystemÖGroup PolicyÖGroup Policy Slow Link Detection Properties (Конфигурация пользователяÖАдминистративные шаблоныÖСистемаÖГрупповые политикиÖСвойства определения медленного канала групповых политик). (Укажите 0, чтобы отключить определение медленного канала, либо укажите другой период времени для медленного канала.)
При наличии медленных каналов можно также изменять поведение таких процессов, как сценарии, перенаправление папок, инсталляция программ и безопасность, с помощью оснастки Group Policy. Поведение этих процессов можно изменить, выбрав пункт Computer ConfigurationÖAdministrative TemplatesÖSystemÖGroup Policy (Конфигурация компьютераÖАдминистративные шаблоныÖСистемаÖГрупповые политики) и изменив групповые политики обработки политик (Policy Processing).
Групповые политики Windows Server 2003 Ãëàâà 21
665
Ñðåäñòâà ïîâûøåíèÿ ñêîðîñòè ðàáîòû Можно выполнить специальные действия, ускоряющие применение групповых политик к пользователям, а также облегчающие администрирование групповых политик системными администраторами.
Ññûëêè íà ãðóïïîâûå ïîëèòèêè Если какая-либо групповая политика будет применяться во многих различным местах, то следует один раз создать эту политику, назначить ей права доступа, и затем ссылаться на нее из других мест, а не создавать несколько раз. Ссылки на политики выполняют перечисленные ниже задачи. •
Создание в SYSVOL меньшего количества групповых политик. Это ускоряет продвижение контроллера домена и уменьшает трафик репликации.
•
Единая точка изменения GPO. При изменении GPO это изменение применяется во всех местах, где есть ссылки на него.
•
Единая точка изменения прав доступа. Если права доступа назначаются или изменяются в одном месте на общем GPO, то полномочия одинаково применяются во всех местах, имеющих ссылки на этот GPO.
Êîíôèãóðèðîâàíèå îñíàñòêè Group Policy Если администратор сайта открывает с помощью ADUC консоль GPMC или групповую политику, то контроллер домена, используемый для проведения и обработки изменений групповых политик, по умолчанию является контроллером домена, содержащим роль FMSO мастера операций эмулятора PDC. Хотя так было сделано во избежание проблем с репликацией, это может породить недовольство и задержки проведения изменений в групповых политиках удаленными администраторами, поскольку им требуется ждать репликации изменений с удаленного PDC-эмулятора DC. Чтобы заставить GPMC и оснастку Group Policy использовать самый доступный контроллер домена, включите следующую групповую политику: User ConfigurationÖAdministrative TemplatesÖSystemÖGroup PolicyÖGroup Policy Domain Controller Selection (Конфигурация пользователяÖАдминистративные шаблоныÖСистемаÖГрупповые политикиÖ Выбор контроллера домена групповых политик). Выберите опцию Use Any Available Domain Controller (Использовать любой доступный контроллер домена) или Inherit From Active Directory Snap-ins (Наследовать от оснасток Active Directory), чтобы использовать DC, к которому подключена открытая оснастка. Значение по умолчанию, указывающее на эмулятор PDC — Use the Primary Domain Controller (Использовать первичный контроллер домена). На рис. 21.3 показан вариант выбора контроллера домена Inherit From Active Directory Snap-ins.
Îòêëþ÷åíèå ïàðàìåòðîâ êîíôèãóðàöèè Для ускорения времени загрузки и входа в систему рекомендуется, что если в GPO не используется весь раздел User Configuration (Конфигурация пользователя) или Computer Configuration (Конфигурация компьютера), то в GPO следует отключать
666
Администрирование и управление Windows Server 2003 ×àñòü VI
этот неиспользуемый раздел. Это ускоряет время входа в систему или загрузки компьютера, так как во время загрузки или входной регистрации отключенные разделы не просматриваются.
Ðèñ. 21.3. Выбор контроллера домена Отключение параметров конфигурации с помощью оснастки Active Directory Users and Computers выполняется в соответствии с описанными ниже шагами. 1. Щелкните правой кнопкой мыши на групповой политике. 2. Выберите в контекстном меню пункт Properties (Свойства). 3. В окне свойств групповой политики перейдите на вкладку General (Общие). 4. Установите, в зависимости от применяемого раздела, либо флажок Disable Computer Configuration Settings (Отключить параметры конфигурации компьютера), либо флажок Disable User Configuration Settings (Отключить параметры конфигурации пользователя). Отключение настроек конфигурации из консоли GPMC выполняется следующим образом. 1. Щелкните в GPMC на нужной групповой политике. 2. Перейдите на вкладку Details (Подробнее). 3. Щелкните на выпадающем списке внизу вкладки Details. 4. В зависимости от того, какую часть необходимо отключить, установите либо флажок Computer Configuration Settings Disabled (Параметры конфигурации компьютера отключены), либо флажок User Configuration Settings Disabled (Параметры конфигурации пользователя отключены).
Групповые политики Windows Server 2003 Ãëàâà 21
667
Ïðîñìîòð ãðóïïîâûõ ïîëèòèê â ðåæèìå ïîêàçà òîëüêî ñêîíôèãóðèðîâàííûõ ïîëèòèê Поиск в административных шаблонах нужной сконфигурированной групповой политики может занять очень много времени. Однако оснастки ADUC и GPMC можно легко сконфигурировать так, чтобы отображались только сконфигурированные объекты административных шаблонов. В этом случае все политики и папки политик, в которых нет сконфигурированных политик, не отображаются, что существенно облегчает и ускоряет поиск необходимой сконфигурированной политики. На рис. 21.4 показан внешний вид GPO при просмотре в режиме Show Configured Policies Only (Просмотр только сконфигурированных политик).
Ðèñ. 21.4. Стандартный экран объекта групповой политики Ниже приведены шаги, обеспечивающие просмотр только сконфигурированных политик с помощью оснастки ADUC или GPMC. 1. Откройте оснастку ADUC или GPMC. 2. Выберите нужную групповую политику. 3. Щелкните на узле Computer Configuration/Administrative Template (Конфигурация компьютера/Административный шаблон) или User Configuration/Administrative Template (Конфигурация пользователя/Административный шаблон). 4. Щелкните правой кнопкой мыши в панели Administrative Templates (Административные шаблоны) и выберите в контекстном меню пункт ViewÖFiltering (ВидÖФильтр). 5. Установите флажок Only Show Configured Policy Settings (Показывать только сконфигурированные параметры политик), как показано на рис. 21.5.
668
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðèñ. 21.5. Выбор режима показа сконфигурированных параметров политик в оснастке GPMC
Óäàëåíèå íåèñïîëüçóåìûõ ãðóïïîâûõ ïîëèòèê При удалении GPO имеется выбор: удалить ссылку или удалить всю политику. С каждым из упомянутых вариантов связаны определенные последствия. Если необходимо перестать применять объект групповой политики в конкретном месте, но он применяется или будет применяться в других местах, лучше удалить только ссылку на него. В результате он останется в списке доступных групповых политик для дальнейшего использования. Если GPO не будет больше использоваться никогда и нигде, то этот объект лучше удалить совсем. Это навсегда удаляет политику из SYSVOL и из Active Directory. Если политика никогда не будет использоваться, но удалена не полностью, то в результате эта групповая политика останется неиспользуемой в области SYSVOL на каждом контроллере домена. Это дополнительно увеличивает время, необходимое для создания нового контроллера домена, и увеличивает время репликации и объем памяти, занимаемой контроллером домена. Если для доступа к Group Policy используется оснастка ADUC, в ней доступны два варианта удаления групповой политики: Remove the Link From the List (Удалить ссылку из списка) и Remove the Link and Delete the Group Policy Object Permanently (Удалить ссылку и удалить объект групповой политики насовсем). С помощью GPMC можно удалить связь, щелкнув правой кнопкой мыши на строке Group Policy Object под объектом, к которому она применяется. Появится диалоговое окно с вопросом Do you want to delete this link? This will not delete the GPO itself (Вы хотите удалить эту ссылку? Сам GPO не будет удален), что дает возможность оставить GPO доступным для ссылок из других мест. Для удаления ссылки щелкните на кнопке ОК в диалоговом окне запроса.
Групповые политики Windows Server 2003 Ãëàâà 21
669
Для полного удаления GPO щелкните в окне GPMC на папке Group Policy Objects (Объекты групповых политик). Щелкните правой кнопкой мыши на GPO и выберите в контекстном меню пункт Delete (Удалить). Появится диалоговое окно с вопросом Do you want to delete this GPO and all links to it in the domain? This will not delete links in other domains (Вы хотите удалить этот GPO и все ссылки на него в домене? Ссылки в других доменах останутся). Для выполнения удаления щелкните на кнопке ОК.
НА ЗАМЕТКУ Прежде чем полностью удалить GPO, обязательно проверьте, имеются ли на него ссылки где-либо в домене. Это можно сделать с помощью оснасток GPMC и ADUC.
Àâòîìàòèçàöèÿ óñòàíîâêè ïðèëîæåíèé Одним из главных преимуществ оснастки Group Policy является возможность продвижения пакетов программного обеспечения на компьютеры и к пользователям. Хотя другие приложения (например, SMS) могут обеспечить лучшие способы распространения программ (возможно, в силу большей сложности и возможности составления лучших отчетов), для продвижения программного обеспечения можно пользоваться и оснасткой Group Policy. Дополнительное преимущество состоит в том, что она поставляется бесплатно со стандартной инсталляцией Windows Server 2003.
Îïðåäåëåíèå óñïåøíîãî âûïîëíåíèÿ ïðîäâèæåíèÿ Без дополнительных программ невозможно определить, был ли успешно продвинут пакет программного обеспечения из единого централизованного места. Все признаки продвижения программ видны лишь локально на клиентских машинах. На локальных машинах имеются три области, которые надо проверить для определения успешного выполнения установки программного обеспечения: •
События инсталлятора MSI и события управления приложениями записываются в журналы событий приложений.
•
При загрузке машины на время установки программного обеспечения и перед появлением экрана входной регистрации пользователя появляется диалоговое окно Installing Managed Software (Установка управляемого приложения). При последующих перезагрузках это сообщение не появляется.
•
На локальной машине можно просмотреть окно Add/Remove Programs (Установка и удаление программ) и проверить, присутствует ли там пакет программного обеспечения.
670
Администрирование и управление Windows Server 2003 ×àñòü VI
Óëó÷øåíèå óïðàâëÿåìîñòè ñ ïîìîùüþ êîíñîëè óïðàâëåíèÿ ãðóïïîâûìè ïîëèòèêàìè Консоль управления групповыми политиками (Group Policy Management Console — GPMC) является новым средством, предназначенным для настройки и использования Group Policy в Windows 2003. После ее установки на локальном компьютере удаляется вариант доступа и настройки Group Policy с помощью оснастки AD Users and Computers.
НА ЗАМЕТКУ Если в окне ADUC перейти на вкладку Group Policy, то на ней можно увидеть надпись “You have installed the Group Policy Snap-in so this tab is no longer used” (Установлена оснастка Group Policy, и поэтому эта вкладка больше не используется) и кнопку Open (Открыть) прямого перехода к GPMC.
Оснастка GPMC должна быть установлена в Windows Server 2003 или Windows XP. Пакет GPMC.msi доступен для загрузки по адресу: http://www.microsoft.com/windowsserver2003/downloads/featurepacks/default.mspx После установки GPMC можно вызвать через пункт All ProgramsÖAdministrative ToolsÖGroup Policy Management (Все программыÖСредства администрированияÖ Управление групповыми политиками) меню Start (Пуск).
CОВЕТ С помощью GPMC можно управлять и групповыми политиками Windows 2000, но сама она должна выполняться на компьютере Windows XP.
GPMC предоставляет много полезных возможностей; наиболее полезные из них будут рассмотрены в последующих разделах.
Îïåðàöèè ñ GPO: ðåçåðâíîå êîïèðîâàíèå, âîññòàíîâëåíèå, êîïèðîâàíèå è èìïîðò Существенным улучшением в Group Policy является возможность резервного копирования (или экспорта) данных в файл. Затем данные Group Policy можно восстановить в том же самом месте. Обратите внимание, что при резервном копировании копируются только данные, относящиеся к этой групповой политике. Другие объекты Active Directory, которые могут ссылаться на GPO — индивидуальные фильтры WMI (хотя ссылки WMI копируются и восстанавливаются) и политики IP-безопасности — не копируются в силу сложностей с восстановлением. Обратите также внимание, что при восстановлении восстанавливается и первоначальный GUID данного GPO. Это полезно при замене неверно сконфигурированного GPO, а особенно — удаленного GPO. Функция импорта позволяет импортировать экспортированные данные GPO в другое место, отличное от того, из которого они были экспортированы, и даже в такое место, с которым нет доверительных отношений. Импорт можно проводить в различных доменах, между лесами или в пределах одного домена. Это особенно полезно при
Групповые политики Windows Server 2003 Ãëàâà 21
671
перемещении GPO из тестовой в производственную среду, чтобы не создавать вручную все то, что было создано в тестовой среде, либо наоборот — для обновления тестовой среды информацией из самых последних производственных GPO. Очень полезной возможностью является и копирование GPO. Если в некоторой OU сконфигурирована сложная групповая политика, и необходимо создать копии этого (этих) GPO в других OU, то потребуется лишь скопировать GPO, и в процессе копирования автоматически создается новый GPO. Затем этот новый GPO можно поместить в новое место. Нет необходимости ручного создания GPO заново. Этот процесс выполняется быстрее, а заодно устраняет возможность внесения ошибок. Однако следует учесть, что эти данные не сохраняются в файле, как при резервном копировании или экспорте данных GPO. Для копирований между доменами или между лесами необходимо наличие доверительных отношений, а в их отсутствие можно воспользоваться утилитой Stored User Names and Passwords (Хранимые имена пользователей и пароли). Обратите внимание, что для копирования GPO в целевой области необходимо создать права доступа GPO, а также доступ на чтение к исходному GPO.
Ìèãðàöèÿ òàáëèö Операция восстановления или копирования между доменами или лесами может оказаться не лучшим методом импорта в новую область всех точных параметров конфигурации, существующих в копируемых GPO. Для этой цели удобно использовать таблицы миграции. С помощью таблицы миграции можно преобразовать значения из источника в значения, применяемые в новом целевом местоположении, то есть назначении. Отображения источников и назначений можно изменять в соответствии с различиями в конфигурациях между ними.
НА ЗАМЕТКУ При использовании таблицы миграции для импорта GPO из резервной копии в областях назначения таблицы отображения уже должны существовать сформированные настройки безопасности.
Ïîääåðæêà óïðàâëåíèÿ ãðóïïîâûìè ïîëèòèêàìè ìåæäó ëåñàìè Оснастка GPMC позволяет легко просматривать и конфигурировать групповые политики в нескольких лесах и доменах. По умолчанию возможен просмотр нескольких лесов, и существует возможность указания, какие леса и домены следует просматривать и администрировать из GPMC. Невозможно создать ссылку на GPO из домена в каком-либо лесу из другого домена в другом лесу. Однако можно сконфигурировать групповые политики для ссылок на серверы в другом лесу. По умолчанию управление лесом возможно только при наличии двунаправленного доверительного отношения между этим лесом и лесом администратора. Можно сконфигурировать работу так, чтобы она была возможна лишь при однонаправленном доверительном отношении или при его отсутствии, выбрав пункт ViewÖOptions (ВидÖ Опции), перейдя на вкладку General (Общие) и сбросив флажок Enable Trust Delegation (Включить делегирование доверительных отношений).
672
Администрирование и управление Windows Server 2003 ×àñòü VI
При поддержке Group Policy в лесу, с которым нет доверительного отношения, для доступа к другому лесу понадобится средство Stored User Names and Passwords (Хранимые имена и пароли пользователей). Его можно найти, выбрав в меню Start пункт Control PanelÖUser AccountsÖAdvancedÖManage Passwords (Панель управленияÖ Учетные записи пользователейÖДополнительноÖУправление паролями) в Windows XP или в меню Start пункт Control PanelÖStored User Names & Passwords (ПускÖПанель управленияÖХранимые имена и пароли пользователей) в Windows Server 2003. После запуска средства Stored User Names and Passwords вы увидите экран, подобный показанному на рис. 21.6.
Ðèñ. 21.6. Средство работы с хранимыми именами и паролями пользователей
Âîçìîæíîñòü ïîëó÷åíèÿ HTML-îò÷åòîâ è âêëàäêà Settings Вкладка Settings (Параметры) является исключительно полезным элементом GPMC. С ее помощью можно просматривать отчеты по GPO в формате HTML. Эти HTML-отчеты содержат информацию о том, что сконфигурировано в конкретном GPO. В них можно увидеть все настройки, просмотреть определения (разделы “объяснений”) выбранных объектов и просмотреть отчет в развернутом или сжатом виде, щелкнув на ссылке Show All (Показать все). Кроме того, эти отчеты можно сохранять или печатать.
Ïðèâÿçêà ôèëüòðîâ WMI Привязка фильтров WMI позволяет применять групповые политики и устанавливать их области действия на основе атрибутов целевых компьютеров. Это можно сделать, применяя фильтры WMI для получения параметров WMI на целевых компьютерах в виде true/false (истинно/ложно), а затем применяя групповые политики на ос-
Групповые политики Windows Server 2003 Ãëàâà 21
673
нове этих полученных данных. Значение false для целевого компьютера означает, что GPO не будет применяться, а значение true приводит к применению GPO. Поскольку фильтры WMI никак не связаны с GPO, то для нормального функционирования их необходимо связать с GPO на вкладке GPO Scope (Область действия GPO). К каждому GPO может быть применен только один фильтр WMI. Кроме того, фильтры WMI работают только на рабочих станциях с Windows версии XP и более поздних, но не на системах до Windows 2000 или системах не от Microsoft.
Ïîèñê ãðóïïîâûõ ïîëèòèê â GPMC С помощью оснастки GPMC можно проводить поиск конкретных групповых политик или данных их GPO. С помощью средства подробного поиска в GPMC возможен поиск таких данных, как права доступа, имя GPO, привязанные фильтры WMI, содержимое конфигурации пользователя (что именно конфигурируется), содержимое конфигурации компьютера и GUID для GPO.
Èñïîëüçîâàíèå â GPMC óòèëèòû Resultant Set of Policies Утилита Resultant Set of Policies (RSoP — результирующий набор политик) является частью GPMC, предоставляющей графический интерфейс, с помощью которого можно протестировать реализацию политик до их производственного внедрения, а также для выяснения, какие политики на самом деле получает пользователь или компьютер.
Ìîäåëèðîâàíèå ãðóïïîâûõ ïîëèòèê ñ ïîìîùüþ óòèëèòû Resultant Set of Policies Режим планирования RSoP позволяет моделировать внедрение указанной групповой политики, проверять результаты, изменять групповую политику, а затем вновь тестировать внедрение. Это очень удобно для работы в лабораторной среде, в которой можно создавать и тестировать новый набор политик. После проверки правильности GPO его конфигурацию можно экспортировать с помощью функции резервного копирования и импортировать в производственную среду. Для запуска RSoP в режиме моделирования щелкните правой кнопкой мыши на строке Group Policy Modeling (Моделирование групповой политики) и выберите в контекстном меню пункт Group Policy Modeling Wizard (Мастер моделирования групповой политики). Этот мастер позволяет моделировать медленные каналы, конфигурации с обратной связью, фильтры WMI и другие варианты конфигурации. Для каждого моделирования создается подузел с отдельным отчетом под узлом Group Policy Modeling.
Èñïîëüçîâàíèå ðåæèìà ðåãèñòðàöèè â æóðíàëå RSoP äëÿ âûÿâëåíèÿ ïðèìåíÿåìûõ ïîëèòèê Утилита RSoP в режиме регистрации в журнале позволяет просмотреть, какие именно политики может получить пользователь или компьютер. Она отображает в удобном для чтения формате обязательные политики, место возникновения конфликтов и какие
674
Администрирование и управление Windows Server 2003 ×àñòü VI
различные политики применяются к пользователю или компьютеру. Ее можно выполнить на локальном или на удаленном компьютере, выбрав нужную опцию в мастере. Для выполнения RSoP в режиме записи в журнал щелкните в оснастке GPMC правой кнопкой мыши на строке Group Policy Results (Результаты групповой политики), а затем выберите в контекстном меню пункт Group Policy Modeling Wizard (Мастер моделирования групповых политик) и следуйте подсказкам появившегося мастера.
Ïîíÿòèå îá îñíàùåíèè óïðàâëåíèÿ Windows Оснащение управления Windows (Windows Management Instrumentation — WMI) является реализацией Microsoft утилиты управления предприятием (Web-based Enterprise Management — WBEM) через Web, которая предназначена для создания стандарта управления сетевой средой Windows. Хотя в сфере управления сетью предприятия у Microsoft есть различные инициативы, WMI в контексте групповых политик обычно означает два применения: одно — это использование сценариев WMI, а другое — применение фильтрации WMI.
Èñïîëüçîâàíèå ñöåíàðèåâ WMI Хотя оснастка Group Policy может автоматизировать некоторые задачи по работе с сетевой средой Windows, все-таки многие действия ей недоступны. При невозможности применения групповых политик задачу обычно можно выполнить с помощью WMI-сценария. Ниже перечислены такие задачи. •
Перемещение файлов из одного сетевого каталога в другой.
•
Удаление файла или списка файлов из сети.
•
Автоматизация процесса установки нового сетевого принтера.
•
Автоматизация процесса добавления в сеть учетной записи пользователя и профиля пользователя.
Обычно когда сетевой администратор слышит слово “сценарий”, он тут же начинает представлять себе программирование на Visual Basic и кодирование приложений. Тем не менее, вы можете запросто применять WMI-сценарии для групповых политик, если умеете вырезать, вставлять, копировать и редактировать текстовую информацию. Компания Microsoft предоставляет сотни заранее заготовленных сценариев, которые можно копировать и вставлять в групповые политики. На сайте центра разработки сценариев Windows (Windows Script Development Center) по адресу http://msdn.microsoft.com/library/default.asp?url=/nhp/Default.asp?contentid=28001169 доступны примеры сценариев, которые можно копировать, вставлять, а затем редактировать для создания полностью функциональных сценариев. В качестве примера рассмотрим следующий сценарий, добавляющий в группы пользователей доменов. Просто заменив слово fabrikam на имя своего домена и заменив cn (общие имена) и ou (организационные единицы) на имена и OU вашей организации, вы можете использовать этот сценарий для автоматизации процесса, который в случае выполнения его вручную может потребовать несколько секунд. Несколько секунд, помноженные на
Групповые политики Windows Server 2003 Ãëàâà 21
675
сотни добавлений, перемещений и изменений в сети, могут существенно сэкономить время на протяжении месяца или года. Const ADS_PROPERTY_APPEND = 3 Set objGroup = GetObject _ ("LDAP://cn=Sea-Users,cn=Users,dc=NA,dc=fabrikam,dc=com") objGroup.PutEx ADS_PROPERTY_APPEND, "member", _ Array("cn=Scientists,ou=R&D,dc=NA,dc=fabrikam,dc=com", _ "cn=Executives,ou=Management,dc=NA,dc=fabrikam,dc=com", _ "cn=MyerKen,ou=Management,dc=NA,dc=fabrikam,dc=com") objGroup.SetInfo Некоторые организации интенсивно используют сценарии для автоматизации процесса создания учетных записей работников. Вместо ручного создания пользователя, ручного добавления этого пользователя в группы, ручного создания адреса электронной почты, номера телефона и другой информации о пользователе, с OU можно связать сценарий, который позволяет при каждом создании пользователя в данной OU автоматически создавать свойства пользователя и связывать их с этим пользователем.
Èñïîëüçîâàíèå ôèëüòðîâ WMI Фильтры позволяют администраторам указывать запросы WMI для фильтрации результата применения объекта групповой политики в базе данных объектов WMI. Например, с помощью фильтра WMI можно провести поиск отдельных назначений членства в группах для некоторого пользователя и на основе членства в группах этого пользователя применять соответствующий сценарий.
Äîáàâëåíèå â îáúåêò ãðóïïîâîé ïîëèòèêè íîâîãî ôèëüòðà WMI Чтобы добавить или удалить в объект групповой политики новый фильтр WMI, выполните следующие шаги: 1. Откройте оснастку Active Directory Users and Computers. 2. Щелкните правой кнопкой мыши на домене или OU, для которой нужно установить групповую политику. 3. Выберите в контекстном меню пункт Properties и в окне свойств перейдите на вкладку Group Policy (Групповая политика). 4. Щелкните правой кнопкой мыши на одной из ссылок объекта групповой политики, а затем выберите в контекстном меню пункт Properties. 5. Перейдите на вкладку WMI Filter (Фильтр WMI). 6. Выберите строку This Filter (Этот фильтр), а затем щелкните на кнопке Browse/Manage (Просмотр/управление). 7. Щелкните на кнопке Advanced (Дополнительно). 8. Щелкните на кнопке New (Создать), чтобы добавить информацию о каких-либо новых фильтрах, или на кнопке Delete (Удалить), чтобы удалить фильтр. Затем щелкните на кнопке ОК.
676
Администрирование и управление Windows Server 2003 ×àñòü VI
Èìïîðò â îáúåêò ãðóïïîâîé ïîëèòèêè è ýêñïîðò èç îáúåêòà ãðóïïîâîé ïîëèòèêè Чтобы выполнить импорт или экспорт из объекта групповой политики, выполните описанные ниже шаги. 1. Откройте оснастку Active Directory Users and Computers. 2. Щелкните правой кнопкой мыши на домене или OU, для которой нужно установить групповую политику. 3. Выберите в контекстном меню пункт Properties и в окне свойств перейдите на вкладку Group Policy (Групповая политика). 4. Щелкните правой кнопкой мыши на одной из ссылок объекта групповой политики, а затем выберите в контекстном меню пункт Properties. 5. Перейдите на вкладку WMI Filter. 6. Выберите строку This Filter, а затем щелкните на кнопке Browse/Manage. 7. Щелкните на кнопке Advanced. Затем щелкните на кнопке Import (Импорт) для импорта или щелкните на одном из фильтров списка, который вы хотите экспортировать, а затем на кнопке Export (Экспорт). После этого щелкните на кнопке ОК. При выполнении импорта выберите MOF-файл, содержащий фильтр или фильтры WMI, которые нужно импортировать.
Ïîâûøåíèå áåçîïàñíîñòè ñ ïîìîùüþ Group Policy Использование оснастки Group Policy является великолепным методом повышения безопасности в организации. Ее можно применять для всего — от задания политик безопасности на уровне домена, применяемых к каждому пользователю и компьютеру (например, длина пароля, его сложность и значения блокировки), и до применения средств безопасности к конкретным группам или отдельным пользователям со специальными требованиями. Например, может возникнуть необходимость жесткого управления некоторой группой пользователей. На их рабочих станциях необходимо реализовать среды с повышенной безопасностью, которую невозможно обойти — то есть среды, в которых они не смогут редактировать реестр, устанавливать программы, изменять полномочия, устанавливать или запускать службы или просматривать журналы событий. Такую задачу можно выполнить, применив к этой группе специальный объект групповой политики с повышенной безопасностью. Кроме того, с помощью шаблона эту же политику можно легко применить в различных OU и группах пользователей. Если осуществляется управление группой, членам которой нужны повышенные права и возможности манипулирования с их рабочим станциями — например, возможность инсталлировать программное обеспечение, изменять настройки, редактировать реестр и менять драйверы — то эту задачу можно выполнить, применив к этой группе более свободные групповые политики.
Групповые политики Windows Server 2003 Ãëàâà 21
677
Ïðåäîïðåäåëåííûå øàáëîíû áåçîïàñíîñòè Microsoft предоставляет для Group Policy предопределенные шаблоны безопасности, основанные на типе пользователей и необходимой среды (особо защищенные и защищенные рабочие станции и серверы). Эти шаблоны можно импортировать в объекты групповых политик, реализовав их в исходном виде или изменив в соответствии с требованиями среды. При любом способе их применения они являются хорошей отправной точкой для обеспечения базового уровня безопасности. Эти шаблоны можно применять для конфигурации таких настроек, как политики учетных записей, параметры журналов событий, локальные политики, настройки системных служб, права доступа к реестру и права доступам к файлам и папкам. Ниже приведен список, описывающий шаблоны безопасности, которые можно добавить после инсталляции. •
Защищенный. Имеются два защищенных шаблона: один для рабочих станций, а другой для контроллеров доменов. Шаблон для рабочей станции называется Securews.inf, а для контроллера домена — Securedc.inf.
•
Особо защищенный. Особо защищенный шаблон безопасности (Hisecws.inf и Hisecdc.inf) имеет дополнительные возможности по сравнению с защищенным шаблоном и применяет еще более ограничительные и безопасные конфигурации политик. Он также доступен и для контроллеров доменов, и для рабочих станций.
•
Безопасность корневого системного каталога. Этот шаблон (Rootsec.inf) предоставляет стандартный набор безопасных прав доступа для корневого диска C. Он полезен тогда, когда необходимо возвратить стандартные параметры безопасности взамен измененных прав доступа. Что касается дочерних объектов, то изменения безопасности распространяются только в дочерние объекты, наследующие полномочия; явные полномочия дочерних объектов не перезаписываются.
•
Совместимый. Этот шаблон (Compatws.inf) должен применяться только к рабочим станциям. Он изменяет параметры безопасности для членов групп пользователей, конфигурируя базовый набор прав доступа к реестру и файлам, который позволяет большинству программ Microsoft работать правильно, но безопасно. Он также удаляет всех членов из группы Power Users.
Îáÿçàòåëüíûå ñòàíäàðòíûå ïàðàìåòðû ãðóïïîâîé ïîëèòèêè äîìåíà Как упоминалось ранее, параметры политики учетных записей, применяемые на уровне OU, влияют на локальную базу данных SAM, а не на учетные записи Active Directory. Для влияния на учетные записи Active Directory параметры политики учетных записей (Account Policy) необходимо применить к стандартной политике домена (Default Domain Policy). Параметры политики учетных записей, которых необходимо сконфигурировать в стандартной политике домена для изменения учетных записей в AD, расположены в следующих областях Group Policy:
678
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Password Policy (Политика паролей).
•
Account Lockout Policy (Политика блокировки учетных записей).
•
Kerberos Policy (Политика Kerberos).
Îãðàíè÷åííûå ãðóïïû: íàçíà÷åíèå ëîêàëüíûõ ãðóïï ñ ïîìîùüþ ãðóïïîâûõ ïîëèòèê С помощью ограниченных групп можно установить членство в таких локальных группах, как Administrators и Power Users, на серверах и рабочих станциях. Однако их нельзя применить к контроллерам доменов, так как у них нет локальных групп. Ограниченные группы могут быть полезны в особо защищенных средах, в которых добавление пользователей в локальные группы на рабочих станциях или серверах или случайное изменение членства в группе может породить проблемы. Назначение локальных групп автоматически удаляет неверное членство в группах и заменяет его членством, указанным в Group Policy. Например, можно создать OU, используемую только для замены измененного членства в локальной группе администраторов рабочих станций. Необходимо создать локальную группу, и если в рабочих станциях будут обнаружены неверные членства в группах, то такие рабочие станции будут перемещены в эту OU. При последующей перезагрузке рабочей станции неверное членство в группах будет удалено, и вместо него добавлена верная группа. Затем компьютер можно возвратить в нужное место. Ниже представлены шаги по созданию ограниченной группы. 1. Откройте оснастку Group Policy. 2. Выберите строку Computer ConfigurationÖWindows SettingsÖSecurity SettingsÖ Restricted Groups (Конфигурация компьютераÖНастройки WindowsÖНастройки безопасностиÖОграниченные группы). 3. Щелкните правой кнопкой мыши на записи Restricted Groups и выберите в контекстном меню пункт Add Group (Добавить группу). 4. Щелкните на кнопке Browse (Обзор). 5. Введите имя группы и щелкните на кнопке ОК. 6. Еще раз щелкните на кнопке ОК в диалоговом окне Add Group. 7. В верхней части раздела Members Of This Group (Члены этой группы) щелкните на кнопке Add (Добавить). 8. Щелкните на кнопке Browse. 9. Введите или найдите в окне обзора нужных пользователей или группы, которые должны быть членами новой локальной ограниченной группы. После добавления членов в эту группу диалоговое окно станет похожим на показанное на рис. 21.7. 10. Щелкните на кнопке ОК, чтобы завершить работу и закрыть диалоговое окно.
Групповые политики Windows Server 2003 Ãëàâà 21
679
Ðèñ. 21.7. Добавление членов в ограниченную группу
Ýôôåêòèâíîå èñïîëüçîâàíèå ïåðåíàïðàâëåíèÿ ïàïîê В редакторе объектов групповых политик (Group Policy Object Editor) можно выбрать возможность Folder Redirection (Перенаправление папок) для перенаправления некоторых специальных папок в сетевые каталоги. Специальные папки — это папки, подобные папке “Мои документы”, которые располагаются в каталоге Documents and Settings. Узел перенаправления папок находится под узлом User Configuration (Конфигурация пользователей) в дереве консоли редактора объектов групповых политик. В данном разделе будут рассмотрены некоторые основные варианты перенаправления папок. Для каждого основного варианта имеется расширенная версия этого варианта. Расширенная версия предоставляет возможность более тонкого управления, разрешая перенаправление на основе членства в группах безопасности.
Ñîçäàíèå ïàïêè äëÿ êàæäîãî ïîëüçîâàòåëÿ â êîðíåâîì ïóòè Вместо ввода пути в формате UNC (Universal Naming Convention — Универсальное соглашение по именованию) наподобие \\server\share\%username%\MyDocuments можно просто ввести путь к общему ресурсу, например, \\server\share, и при применении политики возможность Folder Redirection автоматически добавит имя пользователя и имя папки. С помощью Folder Redirection можно свести к минимуму ошибки при вводе постоянно повторяющихся переменных среды и имен общих ресурсов. Чтобы перенаправить специальные папки в корневой каталог, выполните следующие шаги:
680
Администрирование и управление Windows Server 2003 ×àñòü VI
1. Откройте объект групповой политики, связанный с сайтом, доменом или организационной единицей, которая содержит пользователей, чьи специальные папки нужно перенаправить. 2. В дереве консолей дважды щелкните на строке Folder Redirection (Перенаправление папок), чтобы отобразить специальную папку, которая должны быть перенаправлена. 3. Щелкните правой кнопкой мыши на требуемой специальной папке (например, Desktop или My Documents) и выберите в контекстном меню пункт Properties. 4. На вкладке Target (Цель) в разделе Settings (Настройки) окна свойств щелкните на кнопке Basic – Redirect Everyone’s Folder to the Same Location (Основные – перенаправление всех папок в одно место). 5. В разделе Target Folder Location (Местоположение целевой папки) щелкните на кнопке Create a Folder for Each User Under the Root Path (Создать папку для каждого пользователя в корневом пути). 6. В поле Root Path (Корневой путь) введите UNC-путь (типа \\servername\sharename), а затем щелкните на кнопке ОК. 7. На странице Properties для специальной папки щелкните на кнопке ОК.
Ïåðåíàïðàâëåíèå â äîìàøíèé êàòàëîã (My Documents) В Windows Server 2003 появилась новая возможность — перенаправление папки My Documents пользователя в его домашний каталог. Этот вариант предназначен только для организаций с уже развернутыми домашними каталогами, которые хотят сохранить совместимость с существующей средой домашних каталогов. Используйте эту возможность, только если в вашей организации уже развернуты домашние каталоги. Для перенаправления папки My Documents в домашний каталог выполните перечисленные ниже шаги. 1. Откройте объект групповой политики, связанный с сайтом, доменом или организационной единицей, которая содержит пользователей, чьи специальные папки нужно перенаправить. 2. В дереве консоли дважды щелкните на строке Folder Redirection, чтобы отобразить папку My Documents. 3. Щелкните правой кнопкой мыши на строке My Documents и выберите в контекстном меню пункт Properties. 4. На вкладке Target в разделе Settings окна свойств щелкните на кнопке Basic – Redirect Everyone’s Folder to the Same Location. 5. В разделе Target Folder Location щелкните на кнопке Redirect to the User’s Home Directory (Перенаправить в домашний каталог пользователя), а затем щелкните на кнопке ОК.
Групповые политики Windows Server 2003 Ãëàâà 21
681
НА ЗАМЕТКУ Для пользователей в соответствующих им объектах Active Directory должны быть корректно установлены их домашние каталоги. Компьютер клиента находит путь из объекта пользователя в Active Directory к домашнему каталогу пользователя во время входной регистрации. Для пользователей, на которых влияет политика перенаправления папок, этот путь должен быть правильно установлен; в противном случае перенаправление папок не выполнится.
Ïåðåíàïðàâëåíèå íà ñïåöèàëüíûé ïóòü С помощью опции перенаправления папок на специальный путь можно перенаправить папки пользователей на другой локальный диск или раздел, либо ввести конфигурации, нестандартные для нового пользовательского интерфейса перенаправления папок. Функционально это работает точно так же, как и пользовательский интерфейс перенаправления папок в Windows 2000. Чтобы перенаправить специальные папки в какой-либо путь, выполните описанные ниже шаги. 1. Откройте объект групповой политики, связанный с сайтом, доменом или организационной единицей, которая содержит пользователей, чьи специальные папки нужно перенаправить. 2. В дереве консоли дважды щелкните на узле Folder Redirection и найдите специальную папку, которую нужно перенаправить. 3. Щелкните правой кнопкой мыши на этой специальной папке (например, Desktop или My Documents) и выберите в контекстном меню пункт Properties. 4. На вкладке Target в разделе Settings окна свойств щелкните на кнопке Basic – Redirect Everyone’s Folder to the Same Location. 5. Под строкой Target Folder Location щелкните на строке Redirect to the Following Location (Перенаправить в следующее местоположение). 6. В поле Root Path (Корневой путь) введите путь UNC (например, \\sever\share). Можно также указать локальный правильный путь (например, C:\somefolder). Затем щелкните на кнопке ОК.
Ïåðåíàïðàâëåíèå â ëîêàëüíûé ïðîôèëü ïîëüçîâàòåëÿ С помощью опции перенаправления в локальный профиль пользователя можно перенаправить выбранную папку обратно в стандартное местоположение в локальном профиле пользователя — например, %userprofile%\<Имя папки>. Для перенаправления специальных папок в каталог локального профиля выполните следующие шаги: 1. Откройте объект групповой политики, связанный с сайтом, доменом или организационной единицей, которая содержит пользователей, чьи специальные папки нужно перенаправить.
682
Администрирование и управление Windows Server 2003 ×àñòü VI
2. В дереве консоли дважды щелкните на узле Folder Redirection и найдите специальную папку, которую нужно перенаправить. 3. Щелкните правой кнопкой мыши на этой специальной папке (например, Desktop или My Documents) и выберите в контекстном меню пункт Properties. 4. На вкладке Target в разделе Settings окна свойств щелкните на кнопке Basic – Redirect Everyone’s Folder to the Same Location (рис. 21.8).
Ðèñ. 21.8. Перенаправление папок 5. Под строкой Target Folder Location щелкните на строке Redirect to the Local User Profile Location (Перенаправить в местоположение локального профиля пользователя), после чего щелкните на кнопке ОК.
НА ЗАМЕТКУ На странице Properties (Свойства) для специальной папки изменение настройки на Not Configured (Не задано) не перенаправляет специальную папку обратно в стандартное местоположение. Параметр Not Configured просто оставляет перенаправленную папку там, где она есть.
Èñïîëüçîâàíèå ïåðåìåùàåìûõ ïðîôèëåé Перемещаемые профили позволяют пользователям получать доступ к их данным, в том числе и к перенаправленным папкам, из любого компьютера, в который они вошли. Такие элементы, как данные на их рабочем столе, конфигурация приложений, принтеров и опции монитора, следуют за пользователями туда, где они вошли в систему. Перемещаемые профили хранятся на локальной рабочей станции (или рабочих станциях), в которые входит пользователь, а также в центральном хранилище на сервере, к которому возможен доступ из любого места, куда может войти пользователь. Это увеличивает производительность работы пользователей, предоставляя им требуемые им инструменты и данные, независимо от того, откуда они вошли в систему.
Групповые политики Windows Server 2003 Ãëàâà 21
683
Однако при этом в любом месте, где входил пользователь, остается копия пользовательских данных, в том числе и автономные файлы, если они сконфигурированы.
ВНИМАНИЕ! Хотя перемещаемые профили и автономные файлы, оставленные на рабочих станциях, защищены с помощью ASL, локальные администраторы могут получить доступ к файлам на локальных рабочих станциях. При решении, использовать ли перемещаемые профили и автономные файлы с перенаправлением папок, это следует учитывать.
Äðóãèå ïîëåçíûå èíñòðóìåíòû äëÿ óïðàâëåíèÿ ãðóïïîâûìè ïîëèòèêàìè Кроме оснасток ADUC и GPMC, компания Microsoft предоставляет и дополнительные средства для управления групповыми политиками и службой репликации файлов. Некоторые из них загружаются автоматически вместе с Windows Server 2003, а другие можно найти на Web-сайте Microsoft или в наборе Windows 2003 Resource Kit.
Èñïîëüçîâàíèå óòèëèòû gpupdate.exe Утилита gpupdate.exe поставляется с Windows 2003 и предназначена для замены утилиты командной строки secedit/refreshpolicy из Windows 2000 Server. При запуске она обновляет политику компьютера или пользователя — и локальную, и на основе AD — в том числе и настройки безопасности. Это устраняет необходимость перезагрузки машины или выхода и входа в систему для немедленного обновления политики. Синтаксис команды запуска утилиты выглядит следующим образом: Gpupdate [/target:{computer | user}] [/force] [/wait:Значение] [/logoff] [/boot] Более подробную информацию по синтаксису команды можно вывести в командной строке с помощью ключа получения справки: Gpupdate /?
Èñïîëüçîâàíèå óòèëèòû gpresult.exe Утилита gpresult.exe поставляется компанией Microsoft бесплатно и входит в Windows 2003 Resource Kit. Это небольшая программа, которую необходимо установить, а затем запускать из командной строки на обследуемой машине. Средство gpresult.exe выясняет, где получают свои групповые политики компьютер и вошедший пользователь, и какие политики к ним применяются. Хотя большая часть информации, выдаваемой средством gpresult.exe, доступна и в других областях и с помощью других средств, все же удобнее просматривать ее в одном месте.
Èñïîëüçîâàíèå ìîíèòîðà ãðóïïîâûõ ïîëèòèê Программа gpmonitor.exe представляет собой монитор групповых политик. Она используется для сбора информации во время интервалов обновления групповых политик и отправки этих данных в указанное централизованное место. Кроме того, с
684
Администрирование и управление Windows Server 2003 ×àñòü VI
помощью этого средства можно провести анализ данных. Программа gpmonitor.exe доступна в наборе развертывания (Deployment Kit) Windows Server 2003.
Èñïîëüçîâàíèå ñðåäñòâà GPOTool.exe Программа GPOTool.exe предназначена для устранения неполадок с Group Policy в доменах с более чем одним контроллером домена или между доменами. Это средство очищает все контроллеры в домене или между доменами, проверяет согласованность групповых политик, расположенных в общем ресурсе SYSVOL в каждом контроллере домена, и выдает отчет о том, что оно обнаружило. Оно также проверяет верность групповых политик на всех контроллерах доменов, проверяет репликацию объектов и выводит подробную информацию о GPO. Средство GPOTool.exe доступно в Windows 2003 Resource Kit системы Microsoft Windows 2000, либо его можно загрузить с Webсайта Microsoft.
Èñïîëüçîâàíèå ñðåäñòâà FRSDiag.exe Служба репликации файлов (File Replication Service — FRS) является службой, применяемой для репликации объектов групповых политик между компьютерами домена. Устранение неполадок в этом случае крайне затруднено, в силу очень небольшого количества средств устранения неполадок, доступных до настоящего времени. Однако теперь Microsoft выпустила великолепный новый инструмент под названием FRSDiag — графический интерфейс, с помощью которого можно легко запускать тесты для анализа репликации RFS. Можно одновременно просматривать один или несколько контроллеров доменов, проверять на наличие ошибок их журналы событий, запускать NTFRSUTL с опциями, REPADMIN /showreps и REPADMIN /showconn и многие доступные и ранее средства работы с FRS. Однако в графическом интерфейсе результаты работы гораздо более ясны и понятны. Если это средство настроено на вывод результатов на экран, то оно выводит список DC с неудачными попытками входа, выделенными красным цветом, и успешными попытками, помеченными зеленым цветом. Выходные данные можно также выводить в cab-файлы. Средство FRSDiag.exe доступно для загрузки по адресу: http://www.microsoft.com/windowsserver2003/downloads/featurepacks/default.mspx В FRSDiag имеется очень полезный тест, называемый Canary File Tracer (Трассировщик индикаторных файлов). С помощью этого теста можно выполнить проверку, находится ли в каталоге SYSVOL\имя_домена\policies (или в любом другом каталоге, указанном в текстовом поле Share Root) корректное количество папок или файлов. Например, если контроллеры доменов не могут успешно реплицировать групповые политики, и в их папках SYSVOL\имя_домена\policies находится различное количество папок политик, эта утилита за несколько минут может проверить количество папок в каждом контроллере всего домена — совпадают ли эти количества для различных контроллеров доменов — и вывести полученные данные на экран. Она даже сообщает количество групповых политик, на которое количество папок контроллера домена больше или меньше, чем количество папок в целевом домене. Выполните приведенные ниже шаги.
Групповые политики Windows Server 2003 Ãëàâà 21
685
1. В главном окне в области Target Server (Целевой сервер) выберите все контроллеры домена. 2. В поле File Output (Вывод в файл) выберите None (Нет). 3. Выберите в меню Tools (Сервис) пункт Canary File Tracer (Трассировщик индикаторных файлов). 4. В области общего корня введите следующую строку: имя_домена\policies\*.*. 5. В поле Expected Number of Hits (Ожидаемое количество попаданий) введите количество папок в контейнере политик (например, 135). 6. Щелкните на кнопке Go (Пуск). Затем трассировщик индикаторных файлов выведет на экран данные с результатами тестирования. Ясно, что с помощью этого средства можно устранять и другие неполадки, а также просматривать и другие файлы и папки. Его возможности не ограничиваются перечисленными выше возможностями поиска. На рис. 21.9 показаны опции конфигурации для трассировщика индикаторных файлов.
НА ЗАМЕТКУ Это средство работает и для серверов Windows 2000, однако требует для своей работы установленной среды .NET Framework v. 1.1.
Ðèñ. 21.9. Конфигурация трассировщика индикаторных файлов
Èñïîëüçîâàíèå ñðåäñòâà Sonar.exe Программу Sonar.exe можно загрузить по адресу: http://www.microsoft.com/windowsserver2003/downloads/featurepacks/default.mspx Она предлагает графический интерфейс, с помощью которого можно проверить работоспособность репликации FRS всех контроллеров домена, что может оказаться
686
Администрирование и управление Windows Server 2003 ×àñòü VI
полезным при устранении проблем с репликацией Group Policy. Программу Sonar можно настроить на опрос контроллеров доменов в различные промежутки времени, чтобы она выводила на графический экран данные об их работоспособности: файлы, ожидающие репликации, аварийно завершившиеся службы FRS и другие ошибочные состояния. С помощью Sonar также удобно отслеживать работоспособность системы DFS, поскольку она использует FRS.
Èñïîëüçîâàíèå àäìèíèñòðàòèâíûõ øàáëîíîâ По умолчанию административные шаблоны инсталлированы в Group Policy. Это изменения в системном реестре машин Windows 2000 и XP. В реестре эти изменения хранятся в улье \HKEY_LOCAL_MACHINE (HKLM) для политик компьютеров и в улье HKEY_CURRENT_USER (HKCU) для политик пользователей, а также в следующих разделах ульев HKLM и HKCU: \SOFTWARE\POLICIES \SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES По умолчанию стандартные пользователи не имеют права изменять строки реестра в этих ключах и изменять поведение Group Policy, так как эти ключи защищены списками ACL. Вовсе не обязательно ограничиваться стандартными установленными административными шаблонами. Компания Microsoft предоставляет дополнительные шаблоны, расширяя выбор шаблонов, доступных для применения в Group Policy, а, кроме того, можно написать специальные административные шаблоны и импортировать их для добавления специальных ключей и опций Group Policy.
Ñðàâíåíèå ïîëèòèê è íàñòðîåê И настройки (preferences), и политики (policies) задаются с помощью реестра. Настройки являются изменениями в реестре, которыми может управлять пользователь и которые не находятся в перечисленных выше ключах реестра. Это предпочтения наподобие обоев рабочего стола или хранителей экрана. Политики представляют собой изменения в перечисленных выше ключах реестра, которые защищены с помощью ACL. Хотя Group Policy может отменять настройки, обычный пользователь, как правило, имеет возможность изменения параметров реестра с помощью операционной системы или какого-либо приложения. Политика не перезаписывает ключи настроек, и при удалении политики настройки снова вступают в силу. Параметры настроек остаются в силе до их удаления или изменения с помощью реестра. Если нужно управлять некоторым аспектом какого-либо приложения, либо требуется, чтобы какая-то информация, к которой обращается пользователь, не изменялась, лучше использовать политики, а не настройки. Можно запретить пользователям возможность изменения внешнего вида, конфигурации или функциональности элемента. Для этих элементов лучше всего использовать административные шаблоны.
Групповые политики Windows Server 2003 Ãëàâà 21
687
Èñïîëüçîâàíèå ïîäêëþ÷àåìûõ øàáëîíîâ ãðóïïîâûõ ïîëèòèê îò Microsoft Microsoft предоставляет дополнительные административные шаблоны для использования с Microsoft Office — обычно в составе наборов ресурсов Office Resource Kit. После инсталляции этих административных шаблонов становятся доступными гораздо больше вариантов групповых политик для каждого продукта Microsoft Office.
Ìîäèôèêàöèÿ àäìèíèñòðàòèâíûõ øàáëîíîâ Имея базовое представление о функциях Group Policy в среде домена Windows Active Directory, администраторы Microsoft Exchange 2003 могут изучить, как применять Group Policy, GPO и шаблоны для повышения возможности управления приложениями наподобие развернутой в предприятии Microsoft Outlook 2003. Теперь, работая с предопределенными шаблонами Group Policy от Microsoft, администраторы могут управлять областями и контролировать доступ и изменения в диапазоне от запрещений и предотвращения модификаций конфигурации до управления внешним видом, который влияет на всю работу пользователя при работе с приложениями. В данном разделе будет приведен обзор средств и опций, предназначенных для управления приложениями наподобие клиентских программ Microsoft Outlook 2003 — конкретно с помощью групповых политик и предопределенных шаблонов. Мы также рассмотрим возможности, доступные в Group Policy при внедрении и работе с клиентом Outlook, шаблонами групповых политик Outlook, и шаги по настройке административных полномочий для управления клиентом Exchange с помощью групповых политик.
Îïöèè ïîëèòèêè êëèåíòà Outlook Для дополнительного улучшения возможностей управления при работе с таким приложением, как программа Outlook 2003, в наборе ресурсов Office Resource Kit (ORK) предусмотрен предопределенный шаблон для управления клиентами Outlook с помощью функций групповых политик доменов Windows. Этот шаблон — Outlk11.adm — позволяет администраторам централизовано управлять и конфигурировать многие настройки и функции безопасности, которые обычно конфигурируются для каждого отдельного клиента Outlook. С помощью шаблона Outlk11.adm администраторы могут полностью управлять и конфигурировать следующие области: •
Настройки Outlook. Опции настроек, доступные с помощью шаблонов безопасности, могут быть определены точно в том же стиле, что и на вкладке Options, доступной через меню Tools клиента Outlook. При определении настроек администраторы могут управлять стандартным видом каждого компонента, доступного в Outlook. Имеется возможность включения таких элементов, как проверка правописания, форматирование сообщений электронной почты, просмотр календаря и опции списка адресатов.
688
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Настройки Exchange. Теперь имеется возможность централизованной конфигурации таких элементов, как конфигурации профилей и автоматическая архивация.
•
Настройки сервера порталов SharePoint. В дополнение к настройкам клиента Outlook, применение шаблонов позволяет администраторам сконфигурировать с помощью клиента Outlook доступ к ресурсам сервера порталов SharePoint.
Äîáàâëåíèå àäìèíèñòðàòèâíîãî øàáëîíà Outlook Поскольку во время инсталляции Windows Server 2003 дополнительные административные шаблоны по умолчанию не устанавливаются, администраторы должны загрузить или установить административный шаблон Outlook вручную. Шаблон Outlk11.adm присутствует в ORK и находится на локальном диске системы, на котором установлен ORK. Чтобы начать настройку административного шаблона Outlook, вначале на контроллере домена, на котором будет администрироваться политика, установите оснастку GPMC. Затем установите Microsoft ORK в системе, в которой будет возможен доступ к шаблону из контроллера домена для импорта в групповую политику домена.
CОВЕТ Office 2003 Resource Kit можно загрузить с Web-сайта Microsoft Office по адресу:
http://www.microsoft.com/downloads Во время инсталляции ORK файл Outlk11.adm автоматически извлекается и помещается в каталог C:\Windows\Inf (где C: означает диск, на котором находится инсталляция Windows) на локальном системном диске, на котором установлен ORK. Для импорта шаблона безопасности Outlook Outlk11.adm в групповую политику домена с помощью средства управления групповыми политиками выполните описанные ниже шаги.
CОВЕТ При импорте шаблона безопасности Outlk11.adm лучше всего импортировать его в стандартную групповую политику домена.
1. В контроллере того домена, где будет применена политика, откройте оснастку Group Policy, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖ Group Policy Management (Все программыÖАдминистрированиеÖУправление групповыми политиками). 2. Выберите стандартную политику домена, в которую будет импортирован шаблон Outlk11.adm, как показано на рис. 21.10. 3. В меню Action (Действие) выберите пункт Edit (Редактировать); после этого откроется окно редактора объектов групповых политик (Group Policy Object Editor).
Групповые политики Windows Server 2003 Ãëàâà 21
689
Ðèñ. 21.10. Выбор местоположения в консоли управления групповыми политиками 4. В редакторе объектов групповых политик выберите строку Administrative Templates (Административные шаблоны) под узлом User Configuration (Конфигурация пользователя) и, щелкнув на ней правой кнопкой мыши, выберите в контекстном меню пункт Add/Remove Templates (Добавить или удалить шаблоны), как показано на рис. 21.11.
Ðèñ. 21.11. Выбор пункта Add/Remove Templates в редакторе объектов групповых политик 5. В диалоговом окне Add/Remove Templates щелкните на кнопке Add (Добавить). 6. Укажите место, куда помещен на шаге 2 файл Outlk11.adm. Выберите импортируемый шаблон OUTLK11.ADM и щелкните на кнопке Open (Открыть). 7. С помощью диалогового окна Add/Remove Templates убедитесь, что шаблон OUTLK11 добавлен, и щелкните на кнопке Close (Закрыть). Теперь в папке Administrative Templates (Административные шаблоны), просматриваемой редактором групповых политик, должен появиться шаблон Microsoft Outlook 2003.
690
Администрирование и управление Windows Server 2003 ×àñòü VI
Íàçíà÷åíèå äåëåãàòîâ ãðóïïîâûõ ïîëèòèê Хотя управление групповыми политиками традиционно относятся к задачам администраторов доменов Windows, с помощью делегирования можно назначить полномочия на управление клиентами Microsoft Outlook дополнительным работникам и учетным записям. С помощью мастера делегирования оснастки GPMC учетным записям можно назначать и делегировать права на добавление, изменение и удаление объектов групповых политик. Для манипулирования групповыми политиками Outlook 2003 важно делегировать администраторам правильные права. С помощью опции делегирования в оснастке GPMC администраторы могут назначить очень небольшой группе пользователей полномочия на редактирование политик Outlook на уровне домена. Для улучшения этой функциональности можно также позволить различным группам администраторов конфигурировать групповые политики на нижних уровнях дерева доменов Active Directory. При назначении полномочий администраторы могут делегировать следующие права: •
Создание GPO.
•
Создание фильтров WMI.
•
Права доступа фильтры WMI.
•
Права на чтение, редактирование и прочие действия для отдельных GPO.
•
Права доступа в отдельные местоположения, в которых есть ссылки на GPO (SOM).
Äåëåãèðîâàíèå ïðàâ ñ ïîìîùüþ GPO Чтобы уяснить шаги, необходимые для назначения прав с помощью GPO, рассмотрим следующую ситуацию назначения одного права доступа учетной записи Active Directory на уровне домена. Права, назначенные этой учетной записи, будут правами Edit Group Policy Objects Only (Редактировать только объекты групповых политик). 1. Вначале откройте оснастку GPMC, выбрав пункт Domain FolderÖYour DomainÖ Group Policy ObjectsÖDefault Domain Policy (Папка доменаÖВаш доменÖОбъекты групповых политикÖСтандартная политика домена). 2. В правой панели окна Domain Group Policy Object (Объект групповой политики домена) выберите вкладку Delegation (Делегирование). 3. Для добавления учетной записи щелкните на кнопке Add (Добавить), введите имя добавляемой учетной записи и щелкните на кнопке ОК. 4. Установите права, назначаемые учетной записи, выбрав в выпадающем списке право на редактирование (Edit), как показано на рис. 21.12, а затем щелкните на кнопке ОК. Теперь учетной записи назначены права на редактирование GPO уровня домена. Просмотрите информацию и протестируйте настройки, дабы удостовериться в корректном применении прав доступа.
Групповые политики Windows Server 2003 Ãëàâà 21
691
Ðèñ. 21.12. Добавление прав группе или пользователю
Óïðàâëåíèå êîíôèãóðàöèÿìè ãðóïïîâûõ ïîëèòèê Параметры конфигурации Outlook можно настраивать и применять с помощью Group Policy различным образом в зависимости от способа применения GPO. Администраторы Exchange не только могут централизованно управлять одной группой клиентов Outlook, но и могут конфигурировать и применять к различным группам или OU домена совершенно различные наборы опций, выполняя для этого приведенные ниже шаги. 1. Откройте оснастку GPMC и выберите организационную единицу, к которой нужно применить GPO. 2. Выберите в меню Action пункт Link An Existing GPO (Привязка существующего GPO). 3. В диалоговом окне Select GPO (Выбор GPO) выберите политику домена и щелкните на кнопке ОК, чтобы связать политику домена с нужной организационной единицей.
CОВЕТ При связывании GPO доступ к GPMC может быть получен с помощью оснастки Active Directory Users and Computers (ADUC). Откройте окно свойств домена, с которым работаете, и перейдите в этом окне на вкладку Group Policy (Групповая политика).
Îïðåäåëåíèå ýòàëîííûõ íàñòðîåê Outlook Одной из возможностей, которые групповые политики предоставляют организациям при управлении приложениями наподобие клиента Outlook, является возможность проектирования, разработки и реализации эталонной конфигурации для каждой используемой клиентской конфигурации. Раньше это было зачастую невозможно из-за сопряженного с этим большого объема администрирования, а также невозможности защиты конфигураций от изменения. Имея возможность стандартизации конфигурации для всех систем-клиентов Outlook, администраторы могут не знать, какие варианты доступны для конфигурирования с целью повышения производительности и функциональности сетевого клиента для каждого пользователя. Применение настроек объектов групповых политик для
692
Администрирование и управление Windows Server 2003 ×àñòü VI
определения простых параметров конфигурации Outlook — таких как Saving Sent Items (Сохранение отправленных элементов), Spell Checking Messages Before Sending (Проверка правописания в сообщениях перед их отправкой) и Auto Archive Settings (Параметры автоматического архивирования) — может не только улучшить функциональность клиента Outlook, но и уменьшить затраты на администрирование при поддержке рабочих станций и пользователей.
Îïöèè ýëåêòðîííîé ïî÷òû Ниже представлены некоторые наиболее полезные опции электронной почты, доступные при конфигурировании настроек с помощью Group Policy. •
HTML/Microsoft Word message format (Формат сообщений HTML/Microsoft Word). Наиболее полезной из всех опций почтовой службы Outlook является формат HTML/Microsoft Word. С помощью этой опции можно получить надежный почтовый редактор.
•
Junk Email Filtering (Фильтрация ненужной почты). Включение этой опции позволяет сконфигурировать фильтрацию почтовых сообщений на уровне клиента.
•
OST/PST Creation (Создание OST/PST). Отключение или включение опций создания OST и PST может предоставить контроль над сетевым трафиком и использованием памяти на локальном системном диске.
•
Empty Deleted Items Folder (Очистка папки с удаленными элементами). Администраторы могут включить эту опцию, управляющую общим объемом памяти, доступной каждому пользовательскому почтовому ящику, что помогает управлять предельными значениями памяти.
•
Auto Archive (Автоматическое архивирование). Одна из областей, часто требующая значительного администрирования — опция автоматического архивирования — теперь может включаться и выключаться с помощью параметров GPO.
•
Email Accounts (Учетные записи электронной почты). С помощью этой опции можно запретить пользователям добавлять дополнительные типы учетных записей.
Îïöèè êàëåíäàðÿ В дополнение к доступным опциям электронной почты можно определить следующие опции календаря, чтобы создать базовые функции для всех пользователей Outlook: •
Reminders Display Options (Опции отображения напоминаний). Возможно отключение и включение напоминаний календаря.
•
Working Hours and Work Week (Рабочее время и рабочая неделя). Эти опции можно определить и установить для всех режимов отображения календаря.
Îïöèè àäðåñàòîâ Одной из интересных настроек является опция шаблона безопасности Outlook для адресатов. Администраторы могут определить, как будет храниться и отображаться каждый адресат. Например, в качестве отображаемого имени (Display Name) можно
Групповые политики Windows Server 2003 Ãëàâà 21
693
указать имя, [отчество], фамилию (First, [Middle], Last Name), а в качестве опции File As (Хранить как) для адресатов — фамилию и имя (Last, First). При конфигурировании клиента Outlook доступно множество опций. Перед применением настроек и изменений к объектам групповых политик Outlook просмотрите опции и описания для каждого клиента.
Óïðàâëåíèå âíåøíèì âèäîì êëèåíòà Outlook Другой мощной функцией применения групповых политик является возможность администратора определять внешний вид клиента Outlook. Теперь администраторы могут при использовании Outlook конфигурировать опции для создания конкретного внешнего вида. Чтобы настроить внешний вид клиента Outlook, можно определить настройки Group Policy. Можно установить опции, позволяющие пользователям доступ к информации Web-сайтов и сайтов сервера порталов SharePoint, и предоставляющие пользователям ранее недоступные дополнительные возможности и варианты доступа к данным.
Îáçîð îïöèé Web С помощью опций Preferences (Настройки) объектов групповых политик можно определить настройки для интеграции и перенаправления пользователей Outlook к ценным Web-данным с помощью технологий наподобие Microsoft SharePoint Portal (портал SharePoint) и Internet Information Services (Информационные службы Internet): •
Custom Outlook Today (Настройка страницы “Outlook сегодня”). Администраторы могут указать URL-адрес в настройке Custom Outlook Today Properties (Свойства настройки страницы “Outlook сегодня”), чтобы определить Webстраницу, которая будет отображаться при доступе пользователей к домашней странице Outlook Today.
•
Folder Home Pages Settings (Настройки домашних страниц папок). Теперь каждая папка может быть перенаправлена на предопределенную Web-страницу.
•
SharePoint Portal Server (Сервер порталов SharePoint). С помощью настроек Outlook 2003 и Group Policy можно легко включать и отключать поддержку интеграции SharePoint с Outlook.
Êîíôèãóðèðîâàíèå è ïðèìåíåíèå ïàðàìåòðîâ ãðóïïîâîé ïîëèòèêè Outlook Теперь, после сбора всей информации в предыдущих разделах, администраторы могут применить настройки и опции конфигурации с помощью оснастки GPMC и шаблонов безопасности Outlook 2003. Чтобы лучше разобраться в настройках для применения групповой политики, рассмотрим следующий фиктивный сценарий инсталляции. В этом сценарии вы создадите и примените стандартный набор настроек для создания эталонной конфигурации клиента Outlook для одной OU в домене Active Directory. Как было описано ранее, для перенаправления настройки клиента “Outlook сегодня” и направления пользователей на домашнюю Internet-страницу компании применяется один дополнительный параметр.
694
Администрирование и управление Windows Server 2003 ×àñòü VI
Вначале откройте оснастку GPMC, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖGroup Policy Management (ПускÖВсе программыÖСредства администрированияÖУправление групповыми политиками), а затем выполните следующие шаги: 1. Выберите стандартную политику домена, выбрав пункт ForestÖDomainsÖДомен_вашей_компанииÖGroup Policy Objects (ЛесÖДоменыÖДомен_вашей_компанииÖОбъекты групповых политик). 2. Выберите строку Default Domain Policy (Стандартная политика домена), выберите в меню GPMC пункт Action (Действие) и щелкните на кнопке Edit (Редактировать). Откроется редактор групповых политик. 3. Под узлом User Configuration (Конфигурация пользователя) выберите узел Administrative Templates (Административные шаблоны), а затем выберите папку Microsoft Outlook 2003. Начиная с этого момента, можно включать опции GPO и применять к ним настройки. После включения опций они появляются в окне GPMC, после чего их можно протестировать с помощью средства RSoP и применить к OU. В этом сценарии мы применим опции HTML/Microsoft Word Email Editor (Почтовый редактор HTML/Microsoft Word) и перенаправим страницу “Outlook сегодня”, чтобы она указывала на Web-страницу www.CompanyABC.com. Для применения этих настроек выполните описанные ниже шаги. 1. Выберите папку Microsoft Outlook 2003 и выберите пункт ToolsÖOptionsÖMail FormatÖMessage Format (СредстваÖОпцииÖПочтовый форматÖФормат сообщений). 2. Дважды щелкните на строке Message Format Editor (Редактор формата сообщений) в правой панели и сконфигурируйте параметры Message Format Policy (Политика формата сообщений). 3. Как показано на рис. 21.13, выберите опцию Enabled (Включено) и в выпадающем списке щелкните на строке HTML/Microsoft Word. Затем щелкните на кнопке ОК.
Ðèñ. 21.13. Свойства редактора формата сообщений
Групповые политики Windows Server 2003 Ãëàâà 21
695
4. Затем перейдите в папку Outlook Today (Outlook сегодня), выбрав пункт Microsoft Outlook 2003ÖOutlook Today. 5. В правой панели дважды щелкните на URL-адресе для Custom Outlook Today Properties (Специальные свойства Outlook Today). 6. Для включения перенаправления домашней страницы “Outlook сегодня” щелкните на кнопке Enable (Включить) и введите URL-адрес соответствующей страницы, как показано на рис. 21.14. Затем щелкните на кнопке ОК.
Ðèñ. 21.14. Свойства специальной страницы “Outlook сегодня” 7. Откройте оснастку GPMC и убедитесь, что настройки готовы к применению. В GPMC выберите узел Default Domain Policy (Стандартная политика домена) и проверьте появление настроек Outlook (рис. 21.15).
Ðèñ. 21.15. Настройки Outlook в окне GPMC
696
Администрирование и управление Windows Server 2003 ×àñòü VI
Теперь, когда опции Group Policy сконфигурированы, можно применить настройки к группе пользователей в домене, выполнив следующие шаги: 8. Чтобы применить настройки к группе, в правой панели окна Default Domain Policy (Стандартная политика домена) щелкните на кнопке Add (Добавить) под строкой Security Filtering (Фильтрация безопасности). 9. На странице поиска Select Users, Computers, or Groups (Выберите пользователей, компьютеры или группы) введите имя группы, к которой нужно применить настройки, и щелкните на кнопке ОК. 10. В панели Security Filtering (Фильтр безопасности) проверьте, добавлена ли группа. После завершения конфигурирования лучше сделать резервную копию конфигурации и убедитесь, что включены все настройки GPO, выбрав пункт Action/GPO Status (Действие/Состояние GPO).
Ñïåöèàëüíàÿ íàñòðîéêà àäìèíèñòðàòèâíûõ øàáëîíîâ Group Policy Кроме использования специализированных и стандартных шаблонов имеется возможность создания своих собственных специализированных административных шаблонов для проведения изменений в реестре. Эти изменения отображаются в графическом интерфейсе Group Policy и могут быть сконфигурированы с помощью оснастки GPMC или ADUC так же, как конфигурируется и нормальная Group Policy. Специализированные шаблоны могут быть очень полезны в очень специализированной среде или среде, в которой недостаточно стандартных вариантов. Чтобы лучше определить, как написать специализированный шаблон, вначале нужно решить, что именно нужно контролировать или изменять. Необходимо также выяснить, находится ли изменение реестра в области улья User или Computer, а затем узнать реальный путь и значение реестра. После определения этих элементов кодирование нового простого административного шаблона не представляет большой сложности. Административные шаблоны могут быть и очень простыми, и крайне сложными (посмотрите на шаблон common.adm, установленный с Windows 2003). Но в любом случае они могут оказаться весьма полезными средствами для специальной настройки любой среды с помощью Group Policy.
Ðàáîòà ñ îáúåêòàìè ãðóïïîâûõ ïîëèòèê В данном разделе содержится простой список рецептов “как сделать…”, чтобы вы могли вплотную приступить к использованию групповых политик. Если вы уже свободно работаете с объектами групповых политик Windows 2000, то этот раздел будет для вас повторением материала. Существует множество способов открытия оснастки Group Policy, в которой можно редактировать, создавать и удалять объекты групповых политик.
Групповые политики Windows Server 2003 Ãëàâà 21
697
Îòêðûòèå îñíàñòêè Group Policy Открыть редактор объектов групповых политик можно несколькими способами, в зависимости от требуемого действия и объекта, к которому необходимо применить групповую политику. Рекомендуется использовать оснастку Group Policy, представляющую собой расширение оснастки Active Directory. В этом случае можно просмотреть Active Directory, найти в ней требуемый контейнер, а затем на основе выбранной области действия определить объекты групповых политик. Чтобы открыть редактор объектов групповых политик из оснастки Active Directory Users and Computers, выполните следующие шаги: 1. Откройте оснастку Active Directory Users and Computers. 2. В дереве консоли щелкните правой кнопкой мыши на домене или организационной единице, для которой нужно создать объекты групповой политики. 3. Выберите в контекстном меню пункт Properties и перейдите на вкладку Group Policy (Групповая политика). 4. Отредактируйте или создайте новый объект групповой политики для выбранного домена или OU. Чтобы открыть редактор объектов групповых политик из оснастки консоли Microsoft Management Console (MMC), выполните следующие шаги: 1. Откройте консоль управления Microsoft, введя в окне Run (Запуск программ) команду mmc. 2. В меню File (Файл) оснастки выберите пункт Add/Remove Snap-in (Добавить или удалить оснастку). 3. На вкладке Standalone (Отдельная) щелкните на кнопке Add (Добавить). 4. В списке Available Standalone Snap-ins (Доступные отдельные оснастки) щелкните на строке Group Policy Object Editor (Редактор объектов групповых политик), а затем щелкните на кнопке Add. 5. На странице Select Group Policy Object properties (Выбор свойств объекта групповой политики) выберите пункт Local Computer (Локальный компьютер) для редактирования локального объекта групповой политики, либо щелкните на кнопке Browse (Обзор), чтобы найти объект групповой политики, который нужно отредактировать. 6. Щелкните на кнопке Finish (Готово), потом на кнопке Close (Закрыть), и, наконец, на кнопке ОК. Редактор объектов групповых политик откроет для редактирования указанный объект групповой политики.
НА ЗАМЕТКУ Если вы хотите сохранить консоль редактора объекта групповых политик и выбрать, какой объект групповой политики будет открываться в ней при запуске из командной строки, установите флажок Allow Focus of the Group Policy Snap-In To Be Changed When Launching from the Command Line (Разрешить изменение фокуса оснастки Group Policy при запуске из командной строки) на странице свойств Select Group Policy Object properties (Выбор свойств объекта групповой политики).
698
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðåäàêòèðîâàíèå îáúåêòà ãðóïïîâîé ïîëèòèêè После того, как откроется редактор объектов групповых политик, окно которого показано на рис. 21.16, можно редактировать существующие объекты групповых политик. Важно отметить, что для редактирования GPO необходимо иметь права на чтение и запись GPO.
Ðèñ. 21.16. Редактор объектов групповых политик Для редактирования объекта групповой политики выполните перечисленные ниже шаги. 1. Откройте объект групповой политики, который требуется отредактировать. 2. В дереве консоли дважды щелкайте на папках, чтобы отобразить находящиеся в них политики в панели Details (Информация). 3. В панели Details дважды щелкните на нужной политике, чтобы открыть страницу ее свойств и затем изменить настройки политики.
НА ЗАМЕТКУ Для редактирования объекта локальной групповой политики можно быстро открыть его, выбрав в меню Start пункт Run, набрав команду gpedit.msc и щелкнув на кнопке ОК.
Ñîçäàíèå îáúåêòà ãðóïïîâîé ïîëèòèêè Для создания нового объекта групповой политики, выполните следующие шаги: 1. Откройте редактор объектов групповых политик одним из способов, описанных в предыдущих разделах.
Групповые политики Windows Server 2003 Ãëàâà 21
699
2. В дереве консоли щелкните правой кнопкой мыши на сайте, домене или организационной единице, с которой вы хотите связать вновь созданный объект групповой политики. Объект групповой политики будет сохранен в текущем домене — то есть в домене, содержащем контроллер домена, который используется оснасткой Active Directory Users and Computers или Active Directory Sites and Services. 3. Выберите в контекстном меню пункт Properties и перейдите на вкладку Group Policy. 4. Щелкните на кнопке New (Создать), введите имя объекта групповой политики, а затем щелкните на кнопке Close.
НА ЗАМЕТКУ Применяйте для GPO понятные соглашения по именованию. Например, не рекомендуется использовать одно и то же имя для двух различных GPO. Использование одного имени для различных GPO не повлечет неверного функционирования Group Policy, но может внести путаницу.
Óäàëåíèå îáúåêòà ãðóïïîâîé ïîëèòèêè Вновь созданный объект групповой политики по умолчанию привязывается к сайту, домену или организационной единице, выбранной при создании объекта групповой политики, и его настройки применяются к этому сайту, домену или организационной единице. Если нужно удалить объект групповой политики из сайта, домена или организационной единицы, выполните описанные ниже действия. 1. Откройте оснастку Active Directory Users and Computers или Active Directory Sites and Services (Сайты и службы Active Directory). 2. В дереве консоли щелкните правой кнопкой мыши на сайте, домене или на любой организационной единице домена. 3. Выберите в контекстном меню пункт Properties и перейдите на вкладку Group Policy. 4. Чтобы найти все объекты групповых политик, хранящиеся в домене, щелкните на кнопке Add, в результате чего откроется страница свойств Add a Group Policy Object Link (Добавить связь объекта групповой политики). 5. Перейдите на вкладку All (Все), щелкните правой кнопкой мыши на объекте групповой политики, который должен быть удален, и выберите в контекстном меню пункт Delete (Удалить). 6. Щелкните на кнопке Yes, потом на кнопке Cancel (Отмена), а затем на кнопке Close.
Óäàëåíèå ïðèâÿçêè îáúåêòà ãðóïïîâîé ïîëèòèêè Может понадобиться сохранить созданный объект групповой политики, но так, чтобы он больше не влиял на домен, OU или сайт, в котором он был создан. В этом случае луче всего применить удаление привязки или отключение GPO.
700
Администрирование и управление Windows Server 2003 ×àñòü VI
Для удаления привязки объекта групповой политики из домена, OU или сайта выполните следующие шаги: 1. Откройте либо оснастку Active Directory Users and Computers, либо оснастку Active Directory Sites and Services. 2. В дереве консоли щелкните правой кнопкой мыши на сайте, домене или организационной единице, в которой необходимо удалить ссылку на объект групповой политики. После удаления ссылки объект групповой политики не будет влиять на сайт, домен или организационную единицу. 3. Выберите в контекстном меню пункт Properties и перейдите на вкладку Group Policy. 4. Щелкните на объекте групповой политики, ссылку на который нужно удалить, и щелкните на кнопке Delete (Удалить). 5. В диалоговом окне Delete выберите переключатель Remove The Link From The List (Удалить ссылку из списка), как показано на рис. 21.17. Затем щелкните на кнопке ОК, после чего на кнопке Close.
НА ЗАМЕТКУ Если в диалоговом окне Delete выбрать переключатель Remove The Link And Delete The Group Policy Object Permanently (Удалить ссылку и удалить объект групповой политики навсегда), то настройки групповой политики больше не будут применяться ко всем сайтам, доменам и организационным единицам, к которым был привязан объект групповой политики, а сам объект групповой политики будет уничтожен.
Ðèñ. 21.17. Удаление привязки GPO
Îòêëþ÷åíèå îáúåêòà ãðóïïîâîé ïîëèòèêè При отключении ссылки на объект групповой политики настройки в этом объекте больше не применяются к пользователям или контроллерам сайта, домена или организационной единице, к которой был привязан этот объект групповой политики; они не будут больше применяться к пользователям и компьютерам в дочерних контейнерах, наследующих эти настройки групповой политики. Однако позже можно легко включить политику вновь. Для отключения объекта групповой политики выполните описанные далее шаги. 1. Откройте либо оснастку Active Directory Users and Computers, либо оснастку Active Directory Sites and Services. 2. В дереве консоли щелкните правой кнопкой мыши на сайте, домене или организационной единице, к которой привязан объект групповой политики.
Групповые политики Windows Server 2003 Ãëàâà 21
701
3. Выберите в контекстном меню пункт Properties и перейдите на вкладку Group Policy. 4. Щелкните правой кнопкой мыши на объекте групповой политики, который нужно отключить, выберите в контекстном меню пункт Disabled (Отключен), а затем щелкните на кнопке Yes. В результате состояние Disabled переключается в Active (Активно), а в столбце Disabled появляется отметка.
НА ЗАМЕТКУ При работе с объектами групповых политик рекомендуется отключать неиспользуемые части объекта. Если GPO под узлом User Configuration (Конфигурация пользователей) или Computer Configuration (Конфигурация компьютеров) в дереве консоли содержит только не сконфигурированные параметры, то можно избежать обработки этих параметров, отключив конфигурацию пользователя или компьютера. Это ускоряет процесс запуска и входной регистрации для тех пользователей и компьютеров, к которым применяется политика.
Ðàáîòà â ïðîñòðàíñòâå èìåí îñíàñòêè Group Policy Узлы оснастки Group Policy консоли MMC сами являются расширениями консоли MMC. Это следующие расширения: Administrative Templates (Шаблоны администрирования), Scripts (Сценарии), Security Settings (Параметры безопасности), Software Installation (Установка программ), Folder Redirection (Перенаправление папок), Remote Installation Services (Служба удаленной инсталляции) и Internet Explorer Maintenance (Сопровождение Internet Explorer). Расширения оснасток могут быть в свою очередь расширены. Например, оснастка Security Settings содержит несколько оснасток расширения. Кроме того, можно создать свои собственные расширения MMC для оснастки Group Policy, чтобы обеспечить дополнительные политики. Корневой узел оснастки Group Policy отображается в виде имени GPO и домена, к которому он принадлежит.
Èñïîëüçîâàíèå êîíôèãóðàöèè êîìïüþòåðîâ è ïîëüçîâàòåëåé Под корневым узлом пространство имен делится на два родительских узла: Computer Configuration (Конфигурация компьютеров) и User Configuration (Конфигурация пользователей). Эти родительские папки используются для конфигурирования настроек Group Policy. Групповые политики, относящиеся к компьютерам, применяются при загрузках операционной системы. Групповые политики, относящиеся к пользователям, применяются при входе пользователей в компьютер.
Ðàáîòà ñ íàñòðîéêàìè ïðîãðàìì Под родительскими узлами Computer Configuration и User Configuration имеются три узла: Software Settings (Настройки программ), Windows Settings (Настройки Windows) и Administrative Templates (Административные шаблоны). Узлы Software Settings и Windows Settings содержат оснастки расширений одного из узлов Computer Configuration и User Configuration или их обоих.
702
Администрирование и управление Windows Server 2003 ×àñòü VI
Папка Computer Configuration\Software Settings содержит настройки программ, применяемые ко всем пользователям, входящим в компьютер. Эта папка содержит узел Software Installation (Установка программ) и может содержать другие узлы, помещенные в нее независимыми поставщиками программного обеспечения. Папка User Configuration\Software Settings содержит настройки программ, применяемые к пользователям, независимо от того, в какой компьютер они вошли. Эта папка также содержит узел Software Installation. Развертывание программного обеспечения рассматривается далее в этом разделе.
Ðàáîòà ñ íàñòðîéêàìè Windows Узлы Windows Settings (Настройки Windows) доступны и из узла Computer Configuration, и из узла User Configuration дерева консоли. Узел Computer Configuration\Windows Settings содержит настройки Windows, применяемые ко всем пользователям, входящим в компьютер. Узел User Configuration\Windows Settings содержит настройки Windows, применяемые к пользователям независимо от компьютера, в который они вошли. В него входят три основных узла: Folder Redirection (Перенаправление папок), Security Settings (Параметры безопасности) и Scripts (Сценарии).
НА ЗАМЕТКУ В зависимости от различных установленных служб в этом окне могут присутствовать и другие узлы: Remote Installation Services (Служба удаленной установки), Internet Explorer Maintenance (Сопровождение Internet Explorer) и тому подобные.
Ðàáîòà ñ ïàðàìåòðàìè áåçîïàñíîñòè Узел Security Settings (Параметры безопасности) позволяет администратору безопасности настроить уровни безопасности, назначенные объекту групповой политики или локальной политике компьютера. Это можно сделать после или вместо импорта или применения шаблона безопасности. Расширение Security Settings оснастки Group Policy, показанное на рис. 21.18, дополняет существующие средства обеспечения безопасности системы: вкладка Security (Безопасность) на странице свойств (объекта, файла, папки и так далее) и вкладка Local Users and Groups (Локальные пользователи и группы) утилиты Computer Management (Управление компьютером). При необходимости для изменения конкретных настроек можно продолжать пользоваться существующими средствами. Ниже представлены области безопасности, которые можно сконфигурировать для компьютеров. •
Account Policies (Политики учетных записей). Эти настройки безопасности компьютера управляют политикой паролей, политикой блокировок и политикой Kerberos в доменах Windows Server 2003 и Windows 2000.
•
Local Policies (Локальные политики). Эти настройки безопасности управляют политикой аудита, назначением прав пользователей и опциями безопасности. Локальные политики позволяют сконфигурировать, кто имеет локальный или сетевой доступ к компьютеру и выполняется ли, и если выполняется, то как, аудит локальных событий.
Групповые политики Windows Server 2003 Ãëàâà 21
703
Ðèñ. 21.18. Параметры безопасности в пространстве имен GPO •
Event Log (Журнал событий). Управляет настройками безопасности для журналов событий приложений, безопасности и системы. Эти журналы можно просматривать с помощью утилиты просмотра событий.
•
Restricted Groups (Ограниченные группы). Эти настройки позволяют контролировать, кто должен, а кто не должен принадлежать ограниченной группе, а также к каким группам должна принадлежать ограниченная группа. Эта возможность позволяет применять политики безопасности, относящиеся к группам, работающим с секретной информацией, наподобие администраторов предприятия или расчетной группы бухгалтерии. Например, в организации могут решить, что только Иван да Марья должны быть членами группы администраторов предприятия. Для применения этой политики могут использоваться ограниченные группы. Если в эту группу добавляется третий пользователь (например, для выполнения какой-либо срочной задачи), то при следующем применении политики этот третий пользователь будет автоматически удален из группы администраторов предприятия.
•
System Services (Системные службы). Эти настройки управляют режимом запуска и опциями безопасности (дескрипторы безопасности) для таких системных служб как сетевые службы, файловые службы и службы печати, службы телефонов и факсов, службы Internet и intranet и так далее.
•
Registry (Реестр). Используется для конфигурирования параметров безопасности для ключей реестра: контроль доступа, аудит и владение. При применении политик безопасности к ключам реестра расширение Security Settings (Параметры безопасности) следует той же самой модели наследования, которая используется для всех древовидных иерархиях Windows Server 2003 и 2000 (например, Active Directory и NTFS). Следует использовать возможности наследования для указания настроек безопасности только объектов верхнего уровня и
704
Администрирование и управление Windows Server 2003 ×àñòü VI
переопределять безопасность только для тех дочерних объектов, для которых это необходимо. Такой подход существенно упрощает структуры безопасности и уменьшает затраты на администрирование, возникающее из-за излишне сложной структуры управления доступом. •
File System (Файловая система). Используется для конфигурирования настроек безопасности объектов файловой системы: управление доступом, аудит и владение.
•
Wireless Network Policies (Политики беспроводных сетей). Эти политики позволяют сконфигурировать настройки безопасности для широкого диапазона устройств, пользующихся доступом к сети с помощью беспроводных технологий.
•
Public Key Policies (Политики открытых ключей). Эти настройки используются для указания, что компьютеры автоматически выдают запрос на сертификат в центр сертификации предприятия и устанавливают выпущенный сертификат. Политики открытых ключей используются также для создания и распространения списка доверия сертификатам. Политики открытых ключей могут также создавать общие доверяемые головные центры сертификации. Можно также добавлять агенты восстановления зашифрованных данных и изменять настройки политики восстановления зашифрованных данных.
•
Software Restriction Policies (Политики ограничений на программное обеспечение). Эти политики позволяют администраторам устанавливать ограничения на доступ и/или выполнение приложений.
•
IP Security Policies on Active Directory (Политики IP-безопасности для Active Directory). Политика IP-безопасности (IPSec) может применяться к GPO объекта Active Directory. В результате эта политика IPSec распространяется на все учетные записи компьютеров, на которые влияет данный объект групповой политики.
Ïðèìåíåíèå àäìèíèñòðàòèâíûõ øàáëîíîâ В Windows Server 2003 узел Administrative Templates (Административные шаблоны) оснастки Group Policy использует файлы административных шаблонов (.adm) для указания параметров системного реестра, которые могут быть модифицированы с помощью пользовательского интерфейса оснастки Group Policy. Узел Administrative Templates хранит всю информацию о Group Policy, содержащуюся в реестре. Сюда относятся Group Policy для операционных систем Windows 2000 и Windows Server 2003, для их компонентов и приложений. Настройки политик, относящиеся к пользователю, который входит в данную рабочую станцию или сервер, записываются в порции User базы данных реестра, в улье HKEY_CURRENT_USER (HKCU). Настройки, относящиеся к компьютеру, записываются в порции Local Machine реестра, в улье HKEY_LOCAL_MACHINE (HKLM). Новый вид отображения административных шаблонов в Windows Server 2003 — в стиле Web — использует поддерживаемое ключевое слово для вывода информации, какие операционные системы являются поддерживаемыми клиентами для отдельных настроек. Вкладка Extended (Дополнительно) является новой возможностью. На ней отображается текст пояснения параметров политики, как в Windows 2000, а также указывается, какие версии Windows поддерживаются в качестве клиентов для этого
Групповые политики Windows Server 2003 Ãëàâà 21
705
параметра. Это усовершенствование очень полезно, учитывая то, что в Windows Server 2003 в арсенал Group Policy добавлено более 220 новых административных шаблонов. Если вам больше нравится отображение параметров политики без пояснительного текста, перейдите на вкладку Standard (Стандартная). Для использования средства просмотра, предоставляемого административными шаблонами, выполните следующие шаги: 1. Откройте редактор объектов групповых политик. 2. В дереве консоли щелкните на папке под узлом Administrative Templates (Административные шаблоны), содержащей настройки безопасности, которые нужно установить. 3. В нижней части панели Details (Информация) щелкните на вкладке Extended (Дополнительно). Вы увидите экран, аналогичный показанному на рис. 21.19.
Ðèñ. 21.19. Расширенный просмотр административных шаблонов 4. В столбце Settings (Параметры) щелкните на имени или пиктограмме параметра, чтобы прочитать описание этого параметра. 5. Для изменения параметра с его стандартного (не сконфигурированного) состояния дважды щелкните на его имени или пиктограмме. 6. На вкладке Settings щелкните на одной из кнопок: Not Configured (Не сконфигурирован) — реестр не модифицирован. Enabled (Включен) — в реестре отображается, что параметр политики выбран. Disabled (Выключен) — в реестре отображается, что параметр политики не выбран. 7. Если необходимо, выберите на вкладке Settings любые другие доступные опции, а затем щелкните на кнопке ОК. 8. Для просмотра и установки других параметров в текущей папке используйте кнопки Previous Setting (Предыдущий параметр) и Next Setting (Следующий параметр).
706
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðàçâåðòûâàíèå èíñòàëëÿöèé ïðîãðàììíîãî îáåñïå÷åíèÿ Оснастку Software Installation (Установка программного обеспечения) можно использовать для централизованного управления распространением программного обеспечения в рамках организации. Можно назначать и опубликовывать программное обеспечение для групп пользователей и компьютеров. Когда приложения назначаются группам пользователей, все пользователи, которым необходимы приложения, автоматически получают их на свои рабочие столы — без необходимости установки приложений администратором или техническим персоналом на каждом рабочем столе. Если приложение назначается группе пользователей, то на самом деле оно объявляется на всех рабочих столах пользователей. При следующем входе пользователя в рабочую станцию появляется объявление приложения. Это означает, что в меню Start (Пуск) появляется ярлык приложения, а в реестр заносится информация о приложении, в том числе местоположение пакета приложения и местоположение исходных файлов для его установки. При наличии информации объявления на компьютере пользователя приложение устанавливается при его первой активации пользователем. Когда пользователь в первый раз выбирает приложение в меню Start, оно автоматически устанавливается, а затем открывается. Приложения можно также опубликовать для групп и пользователей, при этом пользователи могут установить приложение, если они захотят. Если приложение опубликовано, его ярлык не появляется на рабочих столах пользователей, а в локальном реестре не создаются записи. То есть на рабочих столах пользователей приложения нет. Опубликованные приложения хранят свою информацию объявления в Active Directory. Чтобы установить опубликованное приложение, пользователи могут воспользоваться оснасткой Add/Remove Programs (Установка и удаление программ) панели управления, которая содержит список всех опубликованных приложений, доступных для использования. Либо, если администратор сконфигурировал эту возможность, пользователи могут открыть файл документа, связанный с опубликованным приложением (например, .xls-файл, чтобы инсталлировать Microsoft Excel).
Ñîçäàíèå è èçìåíåíèå ñöåíàðèåâ С помощью расширений сценариев можно назначать выполнение сценариев при запуске или останове компьютера, либо при входе или выходе пользователей из системы. Для этой цели можно воспользоваться средством Windows Scripting Host (Хост сценариев Windows), чтобы включить сценарии, разрабатываемые с помощью Visual Basic Scripting Edition (VBScript) и средств разработки сценариев на JScript. Редактор объектов групповых политик содержит два расширения для развертывания сценариев: •
Scripts (Startup/Shutdown) (Сценарии (Пуск/останов)). С помощью этого расширения, расположенного в дереве консоли под узлом Computer Configuration\Windows Settings, можно указать сценарии, которые должны выполняться при запуске или остановке компьютера. Эти сценарии выполняются как локальная система, что означает, что у них есть все права, связанные с учетной записью системы.
Групповые политики Windows Server 2003 Ãëàâà 21 •
707
Scripts (Logon/Logoff) (Сценарии (Вход/выход)). С помощью этого расширения, расположенного в дереве консоли под узлом User Configuration\Windows Settings, можно указать сценарии, которые должны выполняться при входе пользователя в компьютер и при выходе. Эти сценарии выполняются с полномочиями пользователя, а не администратора. Это означает, что пользователь должен иметь права на выполнение функций сценария входа/выхода.
Не важно, является ли сценарий сценарием пуска/останова или входа/выхода — процедура назначения сценария компьютеру одна и та же. Чтобы назначить сценарий запуска компьютера, выполните следующие шаги: 1. Откройте редактор объектов групповых политик. 2. В дереве консоли щелкните на узле Scripts (Startup/Shutdown) (Сценарии (Пуск/останов)).
Ðèñ. 21.20. Добавление файла logon.bat в качестве сценария запуска
3. В панели Details (Информация) дважды щелкните на строке Startup (Запуск). 4. На странице свойств Startup щелкните на кнопке Add (Добавить). 5. На странице свойств Add a Script (Добавить сценарий) выполните следующие действия: •
В поле Script Name (Имя сценария) введите путь и имя сценария, как показано на рис. 21.20, либо щелкните на кнопке Browse (Обзор), чтобы найти файл сценария в общем ресурсе Netlogon контроллера домена.
•
В поле Script Parameters (Параметры сценария) введите любые требуемые параметры, в точности так же, как вы ввели бы их в командной строке.
НА ЗАМЕТКУ Для назначения сценариев необходимо войти в систему в качестве члена группы безопасности администраторов домена, администраторов предприятия или владельцев создателя групповых политик.
Ðåçþìå Система Windows Server 2003 основана на возможностях технологий управления групповыми политиками, разработанных для Windows 2000. В Windows Server 2003 появились новые мощные возможности управления изменением и конфигурированием, предоставляющие большую гибкость и точность для управления пользователями и компьютерами во все более сложных средах предприятий. Хотя организации, внедряющие Active Directory, обычно не сразу применяют в своей среде все возможности групповых политик, они могут существенно сэкономить трудозатраты, администрирование и время на управление и должны максимально использоваться в организациях.
708
Администрирование и управление Windows Server 2003 ×àñòü VI
Ïîëåçíûå ñîâåòû • • • • • • •
• • • • •
•
•
•
•
Используйте для GPO понятные соглашения по именованию. Не используйте одно и то же имя для двух различных GPO. При работе с объектами групповых политик отключайте неиспользуемые части объектов. При делегировании создания GPO не администраторам не забудьте также делегировать возможность управления ссылками для конкретного OU. Как можно реже используйте настройки No Override (Не перекрывать) и Block (Блокировать). Не перенаправляйте папки My Documents в домашний каталог, если в организации еще не развернуты домашние каталоги. Включите кэширование на стороне клиента, особенно для пользователей мобильных компьютеров. Всегда включайте настройку Synchronize All Offline Files Before Logging Group Policy (Синхронизировать все автономные файлы до входа в Group Policy), чтобы обеспечить полную синхронизацию автономных файлов и их доступность для автономно работающих пользователей. Используйте полностью определенные (UNC) пути — например, \\server\share. Старайтесь не применять групповые политики к сайтам; вместо этого применяйте их к доменам и организационным единицам. Используйте средство RSoP для определения набора применяемых политик и их предшествования. Пакеты программного обеспечения должны быть в формате пакетов .msi; в противном случае пакеты не смогут быть продвинуты с помощью Group Policy. Конфигурируйте продвижения программного обеспечения на максимально возможном уровне, чтобы продвижение охватило наиболее широкую группу OU. Но если продвижение должно выполняться лишь для нескольких OU, то его следует применять на уровне OU. Конфигурируйте продвижения программного обеспечения с помощью узла Computer Configuration (Конфигурация компьютера), а не User Configuration (Конфигурация пользователя). Для размещения на нескольких сайтах инсталляций программного обеспечения в формате MSI используйте распределенную файловую систему (Distributed File System — DFS). Применение DFS гарантирует, что при установке программного обеспечения будет использован ближайший источник инсталляции. По возможности выполняйте автоматическую перезагрузку в нерабочее время. Используйте команду удаленного выключения (такую как команда выключения в DOS или VBScript), чтобы компьютеры, на которых должно выполниться продвижение программного обеспечения, устанавливали программы после того, как пользователи покинут свои рабочие места. Ознакомьтесь с последствиями использования группы Authenticated Users (Аутентифицированные пользователи) для продвижения программного обеспечения. Несмотря на свое название, группа Authenticated Users на самом деле содержит и пользователей, и компьютеры.
Ïðàêòèêà óïðàâëåíèÿ è îáñëóæèâàíèÿ Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Óïðàâëåíèå Windows Server 2003
•
Âûïîëíåíèå àóäèòà ñðåäû
•
Äèñòàíöèîííîå óïðàâëåíèå Windows Server 2003
•
Îïðåäåëåíèå ðèñêîâ áåçîïàñíîñòè
•
Îòñëåæèâàíèå è óïðàâëåíèå ëèöåíçèÿìè
•
Óïðîùåíèå óïðàâëåíèÿ ñ ïîìîùüþ äèñïåò÷åðà îïåðàöèé Microsoft
•
Ïðàêòè÷åñêèå ïðèåìû îáñëóæèâàíèÿ Windows Server 2003
•
Ñâîåâðåìåííàÿ óñòàíîâêà ïàêåòîâ îáíîâëåíèé
•
Îáñëóæèâàíèå Windows Server 2003
•
Ñâîäêà çàäà÷ è ðåêîìåíäàöèé ïî îáñëóæèâàíèþ
ÃËÀÂÀ
22
710
Администрирование и управление Windows Server 2003 ×àñòü VI
Системы Windows Server 2003 являются основой IT-инфраструктуры предприятия. Для оптимального ведения дел этими серверами необходимо управлять, и их же необходимо сопровождать. Управление и обслуживание сервера увеличивают инвестирование в инфраструктуру и повышают его отдачу. Они также способствуют эффективной работе IT-инфраструктуры и повышению доступности и надежности данных. Управление сервером предполагает выполнение многих различных задач; это, в частности, администрирование и надзор за серверами на основе функциональных ролей, предупредительный мониторинг сетевой среды, отслеживание действий сервера и внедрение практики постоянного контроля изменений. Эти функции управления для Windows Server 2003 могут выполняться и локально, и удаленно. Поскольку загрузка, возможности и использование систем изменяются, то для максимально эффективной работы эти системы необходимо сопровождать. Отсутствие такого обслуживания обычно приводит системы к замедлению времени ответа и уменьшению надежности. Для устранения неэффективности нужно постоянное обслуживание этих систем. В данной главе приведены выверенные на практике способы, которыми организация может сопровождать и управлять своей средой Windows Server 2003.
Óïðàâëåíèå Windows Server 2003 Управления требуют многие аспекты IT-инфраструктуры. Это управление может включать управление серверами на основе их функциональной роли в сетевой среде, аудит сетевой активности и использования сети и мониторинг среды. Компания Microsoft проделала большую работу по улучшению управления серверами. Управление Windows Server 2003 может проводиться локально или удаленно. Хотя локальное и удаленное управление было возможно и в предыдущих версиях Windows, Windows Server 2003 вытеснил эти функции новыми и улучшенными средствами, предназначенными для облегчения работы администраторов по управлению системой.
Óïðàâëåíèå íà îñíîâå ðîëåé ñåðâåðîâ Системы Windows Server 2003 могут принимать участие в различных действиях данной сетевой среды. Некоторые из этих действий могут быть взаимосвязаны в силу бюджетных ограничений, производственных требований или технических уточнений. Но каковы бы ни были роли и ответственности серверов в среде, важно правильное управление ими на основе их ролей. В последующих разделах рассматриваются аспекты управления некоторых ролей, которые может выполнять Windows Server 2003.
Ôàéëîâûå ñåðâåðû Файловые серверы в первую очередь предназначены для хранения данных. Эти данные должны быть доступны, и доступ к ним должен быть быстрым. Поэтому управление этими серверами может быть сведено к оптимизации доступа к файлам с помощью утилиты дефрагментации диска (Disk Defragmenter), показанной на рис. 22.1. Это помогает повысить эффективность чтения и записи на диск по сравнению с фрагментированными файлами и диском.
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
711
Ðèñ. 22.1. Утилита дефрагментации диска Также нужно управлять емкостью диска, чтобы на нем всегда было доступно достаточное пространство для дополнительных данных. Управление квотами также может быть составной частью управления файловым сервером. Дисковые квоты используются для управления объемом дисковой памяти, доступной конечным пользователям. При назначении дисковой квоты пользователю может быть назначен указанный объем памяти на томе. Когда квота достигает заданного предела, пользователю могут посылаться предупреждающие сообщения, как показано на рис. 22.2. Если при попытке сохранения данных возникает превышение предела, то пользователю можно запретить сохранение файла.
Ðèñ. 22.2. Назначение дисковых квот
712
Администрирование и управление Windows Server 2003 ×àñòü VI
Ñåðâåðû ïå÷àòè Управление серверами печати является важным, однако часто пренебрегаемым аспектом управления Windows Server 2003. Это происходит в основном потому, что принтерами в Windows Server 2003 управлять очень просто. Но хотя для серверов печати необходим меньший объем управления, для них все равно необходим аудит и мониторинг печати документов. Аудит и мониторинг печати обеспечивает успешность печати документов пользователями и полную работоспособность сервера и принтеров. Можно управлять заданиями на печать, находящимися на сервере, и просматривать их либо в очереди заданий, либо в окне свойств. Если на сервере печати разрешена печать из Internet, то информация о заданиях на печать может просматриваться с помощью Webстраниц сервера печати. Можно просматривать и контролировать информацию следующих типов: •
Имя задания печати.
•
Состояние задания печати.
•
Владелец задания печати.
•
Количество печатаемых страниц.
•
Размер задания печати.
•
Время выдачи задания.
Кроме этой информации, системный монитор позволяет получить и множество другой информации об использовании принтеров в системе: •
Скорость печати в байтах в секунду.
•
Ошибки печати.
•
Задания.
•
Спулинг заданий.
•
Максимальное количество заданий при спулинге.
•
Максимальное количество ссылок.
•
Ошибки неготовности.
•
Ошибки отсутствия бумаги.
•
Ссылки.
•
Общее количество напечатанных заданий.
•
Общее количество напечатанных страниц.
Информация, полученная из протокола работы сервера печати, может помочь администратору в предупредительном управлении принтерами и печатными устройствами. Например, если будет обнаружено, что в определенное время рабочего дня выполняются объемные задания печати, влияющие на другие задания, то может быть создана очередь печати для заданий печати больших объемов, чтобы перенести выполнение этих заданий на более позднее время.
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
713
Web-ñåðâåðû Сайты в Windows Server 2003 предлагают множество возможностей, связанных с Internet: HTTP, FTP, SMTP и тому подобные. Каждой из служб, выполняющихся на сервере, необходимо управлять, чтобы поддерживать актуальность данных и служб. Вот некоторые области, требующие управления: •
Метабаза IIS. Метабаза IIS содержит конфигурационную информацию IIS. Как только в системе IIS происходят какие-либо изменения, можно удостовериться, что сделана резервная копия метабазы IIS (см. рис. 22.3). Это можно сделать, выбрав в утилите IIS Manager (Диспетчер IIS) пункт меню ActionÖAll TasksÖ Backup/Restore Configuration (ДействиеÖВсе заданияÖКонфигурация копирования и восстановления).
•
Web-приложения и данные. Установленные Web-приложения, скорее всего, требуют дополнительного управления, помимо IIS. Необходимо периодическое управление отображаемыми данными: ASP-страницами, статическим и динамическим содержимым страниц.
•
Журналы IIS. Регистрация действий IIS в журналах позволяет администраторам отслеживать активность Web-сервера. Это также позволяет администраторам управлять безопасностью Web-сервера.
Ðèñ. 22.3. Верификация резервных копирований метабазы IIS
Ñåðâåðû îáìåíà ñîîáùåíèÿìè Серверы обмена сообщениями требуют специального внимания. В частности, серверы Exchange требуют внимания к базам данных сообщений, аудиту, безопасности и управлению пользователями. Мониторинг систем Exchange можно проводить с помощью системного монитора (System Monitor). В системе установлены специальные объекты, с помощью которых администраторы могут легко и точно узнать показатели производительности Exchange. Службы Exchange управляются с помощью оснастки управления Exchange, а также с помощью оснастки Active Directory Users and Computers (Пользователи и компьютеры Active Directory) консоли MMC. Например, разрешение на работу с почтой пользо-
714
Администрирование и управление Windows Server 2003 ×àñòü VI
вательским учетным записям назначается в оснастке Active Directory Users and Computers, а другие конфигурации управляются с помощью оснастки управления Exchange (Exchange management).
Òåðìèíàëüíûå ñåðâåðû Терминальные серверы Windows Server 2003 обеспечивают подход к вычислениям в виде тонких клиентов, когда вся обработка выполняется на сервере. Клиенту посылается только экранные изображения, нажатия клавиш и перемещения курсора мыши. Управление терминальными серверами может включать множество аспектов, в том числе: •
Приложения. Приложения должны устанавливаться с помощью оснастки Add/Remove Programs (Установка и удаление программ), чтобы затем их могли запускать различные пользователи. Впоследствии потребуется также проверять адекватность обслуживания этими приложениями конечных пользователей.
•
Сеансы пользователей. Для повышения удобства пользователей необходимо управлять сеансами пользователей, в том числе и удаленным управлением этими сеансами. Например, разрешение использования перемещаемых профилей обеспечивает пользователям их настройки рабочего стола, даже если они вошли в другую систему. Также важен и мониторинг этих пользовательских сеансов. Это даст администраторам информацию о потреблении ресурсов каждым пользователем. Такая информация может быть использована для более точной настройки системы с учетом различных вариантов использования.
Êîíòðîëëåðû äîìåíîâ Контроллеры доменов (Domain Controller — DC) содержат систему Active Directory (AD), которая хранит большинство, если не все, объекты среды Windows Server 2003. AD имеет много функциональных ролей в среде Windows Server 2003, в том числе управление объектами (добавление, модификация или удаление), аутентификация, репликация, безопасность и так далее. Управление этими ролями AD может выглядеть устрашающе, особенно в больших средах, но в AD доступно множество полезных утилит, помогающих управлять каталогом. Это оснастки Active Directory Domains and Trusts, Active Directory Sites and Services, Active Directory Users and Computers и ряд других. Вот некоторые из областей, которыми управляют эти средства: • Пользователи. • Группы. • Домены. • Сайты. • Организационные единицы (OU). • Компьютеры. Существует множество других инструментов, предназначенных для управления содержимым Windows Server 2003, в форме утилит командной строки, средств поддержки (Support Tools) Windows Server 2003 и набора ресурсов Windows Server 2003 (Resource Kit). Кроме того, бесчисленное количество управляющих утилит разработано специально для AD сторонними разработчиками.
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
715
Âûïîëíåíèå àóäèòà ñðåäû Аудит представляет собой способ сбора информации и наблюдения активности сети, устройств и целых систем. Некоторые аудиты разрешены в Windows Server 2003 по умолчанию, но множество других функций аудита должно быть включено вручную. Это обеспечивает легкую настройку возможностей мониторинга системы. Аудит обычно применяется для определения брешей в безопасности или подозрительных действий. Однако аудит также важен и для обретения понимания, как происходит доступ к сети, сетевым устройствам и системам. В отношении Windows Server 2003 аудит может применяться для мониторинга успешных и неудачных событий в системе. Политики аудита Windows Server 2003 уже должны быть включены до начала мониторинга активности.
Ïîëèòèêè àóäèòà Политики аудита являются основой аудита событий в системах Windows Server 2003. В зависимости от установленных политик аудит может потребовать существенного объема ресурсов сервера, не считая тех ресурсов, которые нужны для функционирования сервера. В противном случае это потенциально снизит производительность сервера. Кроме того, сбор большого количества информации годится только в контексте оценки журналов аудита. Другими словами, если записывается большое количество информации и для оценки этих журналов аудита требуются значительные усилия, то основная цель аудита выбрана неэффективно. Поэтому важно затратить некоторое время на правильное планирование аудита системы. Тогда администратор сможет определить, для чего и зачем необходимо выполнять аудит, не создавая при этом больших дополнительных затрат. Политики аудита могут отслеживать возникновение успешных и неудачных событий в среде Windows Server 2003 — то есть успешное или неудачное завершение событий. Вот типы событий, для которых возможен такой мониторинг: •
События входной регистрации учетных записей. При каждой попытке входа пользователя может записываться успешное или неудачное событие. Неудачные попытки входа могут указывать на неудачи при входе для неизвестных пользовательских учетных записей, нарушения ограничения времени, просроченные учетные записи, недостаточные права для локального входа пользователя, просроченные пароли учетных записей и заблокированные учетные записи.
•
Управление учетными записями. При изменении учетных записей в журнал могут записываться события, доступные для последующего просмотра.
•
Доступ к службам каталогов. При каждой попытке доступа пользователя к объекту Active Directory, который имеет свой собственный системный список управления доступом (System Access Control List — SACL), в журнале фиксируется соответствующее событие.
•
События входов в систему. В журнал могут заноситься входы через сеть или с помощью служб.
716
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Доступ к объектам. Политика доступа к объектам записывает в журнал события при попытке доступа пользователя к какому-либо ресурсу (например, к принтеру или совместно используемой папке).
•
Изменения политик. При каждой попытке изменения политики (права пользователей, политики аудита учетных записей, политики доверительных отношений) записывается событие.
•
Привилегированное использование. Привилегированное использование является параметром безопасности и может включать применение пользователем своих прав, изменение системного времени и тому подобное. В журнал могут записываться успешные или неудачные попытки.
•
Отслеживание процессов. Для каждой программы или процесса, запускаемого пользователем при доступе к системе, могут записываться события. Эта информация может быть очень подробной и требует значительного объема ресурсов.
•
Системные события. Политика системных событий записывает в журнал указанные системные события, например, перезапуск или выключение компьютера.
Политики аудита могут быть включены или отключены с помощью либо политики локальной системы, либо политики безопасности контроллера домена, либо объектов групповых политик. Политики аудита хранятся в папке Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy, как показано на рис. 22.4.
Ðèñ. 22.4. Политики аудита Windows Server 2003
Îòñëåæèâàíèå ñîáûòèé âõîäà è âûõîäà ïîëüçîâàòåëÿ Как упоминалось ранее, можно отслеживать и успешные, и неудачные события входа и выхода учетных записей. По умолчанию Windows Server 2003 выполняет аудит успешных событий входа и выхода. Если политика аудита включена, то события регистрируются в журнале безопасности утилиты просмотра событий.
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
717
Ìîíèòîðèíã äîñòóïà ê ðåñóðñàì После включения политики доступа к объектам администратор может активизировать аудит изменений с помощью страницы свойств файла, папки или реестра. Если политика доступа к объектам включена и для успешных, и для неудачных попыток, то администратор сможет осуществлять аудит и успешных, и неудачных попыток доступа к файлам, папкам или системному реестру.
НА ЗАМЕТКУ Мониторинг и успешных, и неудачных обращений к ресурсам может стать следствием дополнительной нагрузки на систему. Поэтому рекомендуется провести тестирование в изолированной лабораторной среде до реализации этого уровня аудита в производственной среде.
Ìîíèòîðèíã ôàéëîâ è ïàïîê Сетевой администратор может настроить способ аудита системой Windows Server 2003 файлов и папок со страницы свойств этих файлов или папок. Учтите, что чем больше количество подверженных аудиту файлов или папок, тем больше событий может быть сгенерировано, что может повлечь увеличение расходов на администрирование. Поэтому важно правильно выбрать файлы и папки для аудита. Чтобы включить аудит файла или папки, выполните перечисленные ниже шаги. 1. В проводнике Windows щелкните правой кнопкой мыши на нужном файле или папке и выберите в контекстном меню пункт Properties (Свойства). 2. Перейдите на вкладку Security (Безопасность), а затем щелкните на кнопке Advanced (Дополнительно). 3. В окне Advanced Security Settings (Дополнительные настройки безопасности), показанном на рис. 22.5, перейдите на вкладку Auditing (Аудит).
Ðèñ. 22.5. Окно дополнительных настроек безопасности
718
Администрирование и управление Windows Server 2003 ×àñòü VI
4. Щелкните на кнопке Add (Добавить), чтобы открылось окно Select User or Group (Выбор пользователя или группы). 5. Введите имя пользователя или группы, для которой необходим аудит при доступе к файлу или папке. Для верификации имени щелкните на кнопке Check Names (Проверить имена). 6. Щелкните на кнопке ОК, чтобы открыть окно Auditing Entries (Элементы аудита). 7. В окне Auditing Entries, которое показано на рис. 22.6, выберите события, для успеха или неудачи которых должен быть включен аудит. 8. Щелкните на кнопке ОК три раза, чтобы завершить работу.
Ðèñ. 22.6. Окно Auditing Entries При доступе к файлу или папке записывается событие в журнал безопасности утилиты просмотра событий. Категория такого события — Object Access (Доступ к объекту). Пример окна события доступа к объекту можно видеть на рис. 22.7.
Ìîíèòîðèíã ïðèíòåðîâ Аудит принтеров основан на тех же базовых принципах, что и аудит файлов и папок. На самом деле к принтерам применяются те же самые пошаговые процедуры, что и для настройки аудита файлов и папок. Отличие состоит лишь в событиях, для которых можно отслеживать успехи и неудачи. Вот эти события: • Печать. • Управление принтерами. • Управление документами. • Полномочия на чтение. • Изменение полномочий. • Установление владельца. Эти события сохраняются в журнале безопасности утилиты просмотра событий.
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
719
Ðèñ. 22.7. Событие доступа к объекту в журнале безопасности
Äèñòàíöèîííîå óïðàâëåíèå Windows Server 2003 Имеющийся в Windows Server 2003 набор возможностей позволяет легко управлять системой дистанционно. Эта возможность уменьшает время администрирования, затраты и энергию, позволяя администраторам управлять системами с удаленных компьютеров, физически не находясь рядом с системой. Для удаленного управления системой доступно множество инструментов. Ниже описаны некоторые из них. •
Консоль управления Microsoft (Microsoft Management Console — MMC). MMC не только предоставляет унифицированный интерфейс для большинства, если только не всех, утилит с графическим интерфейсом, но и может использоваться для подключения и управления удаленными системами. Например, администраторы с помощью утилиты просмотра событий могут просматривать журналы событий и на локальной машине, и на удаленной системе.
•
Удаленный рабочий стол администрирования (Remote Desktop for Administration). Это средство позволяет администраторам войти в удаленную систему так же, как и в локальную. Администраторам полностью доступны рабочий стол и все его функции.
•
Написание сценариев с помощью хоста сценариев Windows (Windows Scripting Host — WSH). Сценарии в Windows Server 2003 позволяют администраторам автоматизировать локальное или удаленное выполнение задач. Эти сценарии могут быть написаны с помощью распространенных языков написания сценариев.
•
Утилиты командной строки. Многие утилиты командной строки позволяют удаленное управление системой.
720
Администрирование и управление Windows Server 2003 ×àñòü VI
Ñðåäñòâà àäìèíèñòðèðîâàíèÿ Многие средства администрирования, знакомые по предыдущим версиям Windows, присутствуют и в Windows Server 2003. То, что большая часть инструментального набора осталась той же самой, сокращает график обучения, связанный с изучением новых утилит. Windows Server 2003 также содержит некоторые новые административные средства и некоторые знакомые инструменты, которые входили в состав предыдущих версий Support Tools (Средства поддержки) и Resource Kit (Набор ресурсов), а теперь встроены в операционную систему. Вот эти средства, облегчающие управление системой: •
PowerCfg.exe. Позволяет администраторам конфигурировать настройки питания наподобие настроек состояния ACPI/засыпание.
•
WHOAMI.EXE. Представляет собой классическое средство составления входных сценариев, возвращающее имя домена, имя компьютера, имя пользователя, имена групп, идентификатор входа в систему и полномочия пользователя, работающего в данный момент в системе.
•
WHERE.EXE. Находит и отображает все файлы, удовлетворяющие заданному параметру. Если параметры не заданы, WHERE выводит оглавление текущего каталога.
•
FORFILES.EXE. Можно использовать для улучшения управления пакетными файлами, предоставляя возможность выбора файла или группы файлов и выполнения команды для этого файла.
•
FREEDISK.EXE. Выводит объем свободного пространства на диске. Такая информация может оказаться исключительно полезной для проверки наличия памяти перед запуском сценариев.
•
GETTYPE.EXE. Определяет тип SKU (идентификатор) Windows и присваивает системной переменной среды %ERRORLEVEL% значение, связанное с заданной операционной системой Windows.
•
INUSE.EXE. Используется для замены файлов при следующей перезагрузке.
•
SETX.EXE. Устанавливает переменные среды.
•
TIMEOUT.EXE. Может использоваться в сценариях для задания периода простоя или тайм-аута.
•
CHOICE.EXE. Увеличивает возможности управления пакетными файлами, позволяя выбрать один из элементов меню.
•
TAKEOWN.EXE. Устанавливает ACL владельца для файлов.
НА ЗАМЕТКУ Средства написания сценариев на Visual Basic теперь могут снабжаться цифровой подписью для повышения безопасности администрирования и управления. Организации, которые хотят повысить безопасность за счет запрета выполнения в системе любых VB-сценариев, должны снабдить сценарии цифровой подписью. При выполнении сценария может быть использована политика, проверяющая, что сценарий подписан данной организацией и его можно выполнять.
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
721
Óäàëåííûé ðàáî÷èé ñòîë àäìèíèñòðèðîâàíèÿ Удаленный рабочий стол администрирования (Remote Desktop for Administration), ранее известный как режим удаленного администрирования терминальных служб (Terminal Services Remote Administration), позволяет администраторам дистанционно входить в систему Windows Server 2003 точно так же, как и в локальном варианте. Это упрощает удаленное администрирование всего сервера и уменьшает объем необходимого локального администрирования. Администратор, входящий в сервер с помощью режима удаленного администрирования, видит тот же графический интерфейс, что и при локальном входе в этот сервер. Поэтому он может применять все доступные инструменты и иметь доступ ко всем аспектам сервера из сеанса клиента терминальных служб.
НА ЗАМЕТКУ Для подключения нескольких серверов терминальных служб или компьютеров с включенным режимом удаленного рабочего стола администрирования можно использовать оснастку Remote Desktop.
По умолчанию удаленный рабочий стол администрирования отключен, однако его можно включить, выполнив следующие шаги: 1. В панели управления (Control Panel) дважды щелкните на оснастке System (Система). 2. Перейдите на вкладку Remote (Удаленные сеансы), как показано на рис. 22.8.
Ðèñ. 22.8. Использование вкладки Remote для настройки удаленного рабочего стола администрирования
722
Администрирование и управление Windows Server 2003 ×àñòü VI
3. В разделе Remote Desktop (Дистанционное управление рабочим столом) установите флажок Allow Users to Connect Remotely to This Computer (Разрешить удаленный доступ к этому компьютеру). 4. Щелкните на кнопке Select Remote Users (Выбрать удаленных пользователей) для вывода окна Remote Desktop Users (Пользователи удаленного рабочего стола). 5. Щелкните на кнопке Add (Добавить) для вывода окна Select Users (Выбор пользователей). 6. Добавьте пользователей, которым разрешено входить в сервер.
НА ЗАМЕТКУ Настоятельно рекомендуется разрешать доступ к серверу только администраторам.
7. Щелкните на кнопке ОК три раза, чтобы завершить работу.
Èñïîëüçîâàíèå ïîäêëþ÷àåìîãî ìîäóëÿ óäàëåííîãî óïðàâëåíèÿ äëÿ îñíàñòêè Active Directory Users and Computers Существенным подспорьем для сетевых администраторов Windows 2003 является подключаемый модуль удаленного управления (Remote Control) для оснастки Active Directory Users and Computers. Это средство позволяет администратору щелкнуть правой кнопкой мыши на учетной записи компьютера в Active Directory MMC и выбрать возможность удаленного администрирования системы. Данное средство запускает подключение к системе терминальной службы или удаленного рабочего стола. Подключаемый модуль удаленного управления для Active Directory Users and Computers могут свободно загрузить все сетевые администраторы с легальными лицензиями на Windows 2003. Этот модуль доступен по адресу: http://www.microsoft.com/windowsserver2003/downloads/featurepacks/default.mspx
Èñïîëüçîâàíèå Telnet äëÿ óïðàâëåíèÿ óäàëåííûì äîñòóïîì Другим механизмом управления удаленным доступом является служба Telnet. Telnet представляет собой шлюзовой тип службы, с помощью которого администратор или клиент может подключиться и войти в сервер, выполняющий службу Telnet Server (Сервер Telnet). Эта служба полезна для администрирования системы, но другие механизмы удаленного управления, такие как удаленный рабочий стол администрирования, предоставляют большую гибкость и степень контроля.
ВНИМАНИЕ! Telnet посылает по сети имена пользователей и пароли в виде открытого текста.
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
723
Îïðåäåëåíèå ðèñêîâ áåçîïàñíîñòè Защита сети хороша лишь настолько, насколько хороши применяемые механизмы защиты — в том числе и процесс анализа и идентификации. Надежная защита означает применение таких средств безопасности Windows Server 2003, как аутентификация, аудит и управление авторизацией, однако она также означает и правильный и непосредственный анализ информации безопасности. Информация, которую можно анализировать, включает, в частности, журналы просмотра событий, журналы, специфичные для служб, журналы приложений и данные производительности. Всю информацию безопасности для Windows Server 2003 можно регистрировать в журналах, но она будет бесполезной без процесса формального анализа и идентификации. Кроме того, в зависимости от вида записываемых данных, информация, относящаяся к безопасности, может быть сложной и громоздкой. По этой причине ручной анализ информации безопасности может оказаться утомительным занятием, тем не менее, он может помочь предотвратить компрометацию системы или сети. Процесс формального анализа и идентификации должен выполняться ежедневно. О любых обнаруженных подозрительных или потенциально опасных действиях должны выдаваться сообщения и приниматься соответствующие меры. Например, администратор, просматривающий какой-либо журнал безопасности, можно заметить данные, свидетельствующие о подозрительных действиях. Об этом инциденте необходимо доложить администратору безопасности для выполнения соответствующих действий. Независимо от образа действий, принятых в организации, за этапом обострения ситуации должно следовать ее исправление.
Îòñëåæèâàíèå è óïðàâëåíèå ëèöåíçèÿìè Лицензирование обычно является одной из областей управления, которую администраторы хотели бы исключить из сферы своего управления. Оно часто рассматривается как нудное и трудоемкое занятие. Windows Server 2003 предоставляет два средства, предназначенные для облегчения отслеживания и управления лицензиями: оснастка Licensing панели управления и оснастка Licensing, доступная через последовательность пунктов меню StartÖProgramsÖAdministrative Tools (ПускÖПрограммыÖАдминистрирование). Оснастка Licensing (Лицензирование) панели управления управляет продуктами Microsoft BackOffice на локальной системе. Как и следовало ожидать, с его помощью администраторы могут добавлять, удалять или изменять опции лицензирования. Но администратор может также сконфигурировать интервал репликации информации лицензирования на сервер лицензирования сайта. Оснастка Licensing (Лицензирование) в меню Administrative Tools (Администрирование) является сервером лицензирования сайта, управляющим лицензированием предприятия. Кроме добавления, удаления или изменения лицензий, с помощью этого средства можно выполнить множество полезных действий, в том числе: •
Управление лицензированием для других серверов среды.
•
Анализ использования лицензирования.
•
Управление репликацией лицензирования в сети.
724
Администрирование и управление Windows Server 2003 ×àñòü VI
Óïðîùåíèå óïðàâëåíèÿ ñ ïîìîùüþ äèñïåò÷åðà îïåðàöèé Microsoft Диспетчер операций Microsoft (Microsoft Operations Manager — MOM) является средством мониторинга и управления для сред Windows масштаба предприятия. Он предназначен для упрощения управления Windows с помощью объединения событий, данных производительности, предупреждений и тому подобных аспектов в централизованном хранилище. Затем по этой информации могут быть выполнены отчеты в зависимости от среды и требуемого и ожидаемого уровня детальности. Эта информация может пригодиться администраторам и руководству для предупредительного реагирования на действия Windows Server 2003 и любые существующие или возможные проблемы. Дополнительная информация по применению MOM приведена в главе 25. MOM дает и множество других важных преимуществ, в числе которых: •
Мониторинг и консолидация журналов событий.
•
Мониторинг различных приложений, в том числе и приложений сторонних разработчиков.
•
Улучшенные возможности предупреждений.
•
Помощь при планировании емкости носителей данных.
•
Настраиваемая база сведений и практических советов по продуктам Microsoft.
•
Web-интерфейс для отчетов и мониторинга.
Ïðàêòè÷åñêèå ïðèåìû îáñëóæèâàíèÿ Windows Server 2003 Администраторы часто вплотную сталкиваются с необходимостью выполнять трудоемкие задачи обслуживания среды Windows Server 2003 наряду с ежедневным администрированием и аварийными задачами. На идентификацию и последующую организацию процессов и процедур обслуживания остается мало времени. Для уменьшения количества неудачных административных решений и аварийных задач, которые приходится выполнять администратору, следует определить задачи, важные для общей работоспособности и безопасности системы. После их определения необходимо установить последовательность действий для обеспечения стабильности и надежности среды Windows Server 2003. Наиболее вероятными областями обслуживания являются большинство процессов и процедур обслуживания, описанных в последующих разделах.
Îáñëóæèâàíèå DHCP è WINS DHCP и WINS являются службами Windows Server 2003, требующими небольшого обслуживания, но, как и в случае других баз данных, для поддержания максимальной эффективности их работы необходимо регулярно проверять эти базы данных. WINS обеспечивает разрешение имен NetBIOS и для хранения элементов системы использует расширяемую машину хранения данных (Extensible Storage Engine — ESE).
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
725
База данных WINS постоянно обновляется за счет добавления и удаления строк. По истечении некоторого времени база данных WINS может содержать большое количество неиспользуемой памяти, возникшей из-за этих изменений. В результате появляется необходимость сжатия этой базы данных для восстановления неиспользуемой памяти и более быстрого и эффективного обслуживания среды. Windows Server 2003 динамически сжимает базу данных WINS, однако требуется и периодическое автономное сжатие. Перед выполнением сжатия не забудьте создать резервную копию WINS. За исключением самого первого, резервные копирования WINS выполняются в Windows Server 2003 автоматически. Для копирования базы данных WINS выполните описанные ниже действия. 1. В утилите WINS Manager (Диспетчер WINS) выберите в меню Mappings (Отображения) пункт Back Up Database (Резервное копирование базы данных). 2. Укажите расположение файлов резервной копии и щелкните на кнопке ОК. После этого WINS будет автоматически создавать свои резервные копии каждые 24 часа. Если база данных WINS окажется запорченной, просто остановите и перезапустите службу WINS. Если WINS обнаружит повреждение, она автоматически восстановится из наиболее свежей резервной копии. Если WINS не обнаружит повреждение, администратор может насильственно выполнить восстановление, выбрав в диспетчере WINS пункт MappingsÖRestore Database (ОтображенияÖВосстановление базы данных). WINS также может автоматически упаковывать свои базы данных, когда они становятся слишком большими. Однако администратор должен периодически сжимать их в ручном режиме. Для больших сред Windows Server 2003, содержащих 1000 систем, Microsoft рекомендует ручное сжатие базы данных раз в месяц. Для ручного сжатия базы данных WINS выполните следующие шаги: 1. В командном окне войдите в каталог %systemroot%\systems32\wins, в затем введите команду Net Stop WINS. 2. Введите команду JETPACK WINS.MDB TEMP.MDB. 3. Введите команду NET START WINS. Обслуживание DHCP еще проще, чем обслуживание WINS. Для базы данных DHCP и связанных с ней перечисленных ниже строк реестра резервное копирование по умолчанию проводится каждые 15 минут. Кроме того, через заданные промежутки времени база данных DHCP автоматически сжимается. •
DHCP.mdb. Файл базы данных сервера DHCP.
•
DHCP.tmp. Этот временный файл используется базой данных в качестве файла подкачки во время выполнения операций обслуживания индексов. J50.log и J50#####.log. Эти файлы журналов транзакций базы данных при необходимости могут использоваться для восстановления DHCP. J50.chk. Файл контрольных точек.
• •
НА ЗАМЕТКУ Конкретные инструкции по резервному копированию и обслуживанию подробно описаны в главе 10.
726
Администрирование и управление Windows Server 2003 ×àñòü VI
Îáñëóæèâàíèå óñòàðåâàíèÿ è î÷èñòêè äàííûõ DNS Аналогично WINS и DHCP, служба DNS работает самостоятельно и требует очень мало вмешательств или обслуживания. Однако одним из способов обслуживания DNS является установка устаревания и очистки данных. В зависимости от количества изменений и количества записей служба DNS может испытывать затруднения с удалением устаревших записей. Хотя в небольших сетях это не обязательно приводит к ухудшению производительности или к проблемам разрешения, подобного рода трудности могут возникнуть в больших сетях. Поэтому важно периодически очищать базу данных DNS. Устаревание и очистка данных по умолчанию не включены, поэтому их надо включить вручную, выделив в оснастке DNS соответствующий сервер и выбрав в меню Action (Действие) пункт Set Aging/Scavenging (Установка устаревания/очистки). Затем установите флажок в окне Server Aging/ Scavenging Properties (Свойства устаревания/очистки сервера) и задайте нужные интервалы, как показано на рис. 22.9.
Ðèñ. 22.9. Включение устаревания/очистки для DNS
Ñâîåâðåìåííàÿ óñòàíîâêà ïàêåòîâ îáíîâëåíèé Пакеты обновлений (Service Pack — SP) и индивидуальные обновления как для операционной системы, так и для приложений являются крайне важными для поддержания доступности, надежности, производительности и безопасности. Microsoft упаковывает эти исправления в SP или оставляет их в виде индивидуальных изменений. Администратор может обновить систему с помощью актуальных SP несколькими способами: компакт-диск, команды, вводимые вручную (приведенные в таблицах 22.1 и 22.2), средство обновления Windows (Windows Update) или сервер обновлений программного обеспечения Microsoft (Software Update Server — SUS).
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
727
НА ЗАМЕТКУ Тщательно проверьте и оцените пакеты обновлений и индивидуальные обновления в лабораторной среде, прежде чем устанавливать их на производственные серверы и клиентские машины. Кроме того, инсталлируйте пакеты и обновления на каждый производственный сервер и клиентскую машину, чтобы все системы были совместимыми.
Òàáëèöà 22.1. Ïàðàìåòðû óòèëèòû Update Параметры Update.exe
Описание
–f
Предписывает приложениям завершить работу при выключении компьютера.
–n
Запрещает резервное копирование системных файлов. Это предохраняет от деинсталляции пакетов обновлений.
–o
Перезаписывает файлы OEM.
–q
Режим Quiet (тихий); вмешательство пользователя не требуется.
–s
Устанавливает пакеты обновлений в общие ресурсы Windows Server 2003.
–u
Устанавливает пакеты обновлений в автоматическом режиме.
–z
Запрещает перезагрузку системы после установки.
Òàáëèöà 22.2. Ïàðàìåòðû óòèëèòû Hotfix Параметры Hotfix.exe
Описание
–f
Предписывает приложениям завершить работу при выключении компьютера.
–l
Выводит список установленных обновлений.
–m
Режим Unattended (автоматический).
–n
Запрещает резервное копирование системных файлов. Это предохраняет от деинсталляции обновлений.
–q
Режим Quiet (тихий); вмешательство пользователя не требуется.
–y
Деинсталлирует обновление.
–z
Запрещает перезагрузку системы после инсталляции.
Ñðåäñòâî Windows Update Средство Windows Update, показанное на рис. 22.10, представляет собой Web-сайт, сканирующий локальную систему и определяющий, нужно ли применить обновления к этой системе. Windows Update является замечательным способом обновления отдельных систем, но этот метод годится только для небольшого количества систем. Если администраторы выберут этот метод для обновления всей организации, объем администрирования окажется слишком большим.
728
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðèñ. 22.10. Web-сайт Windows Update
Ñëóæáà îáíîâëåíèÿ ïðîãðàìì Понимая, что при использовании Windows Update администраторы всех сред, кроме самых маленьких, столкнутся с увеличением объемов администрирования и управления, чтобы учитывать все пакеты и обновления, Microsoft разработала клиент и серверные версии службы обновления программ (Software Update Services — SUS) для уменьшения объема администрирования, управления и обслуживания средних и больших организаций. Интерфейс SUS показан на рис. 22.11. SUS взаимодействует в защищенном режиме непосредственно с Microsoft для получения свежих пакетов и индивидуальных обновлений. Пакеты и индивидуальные обновления, загружаемые в SUS, могут быть затем распространены либо на лабораторный сервер для тестирования (рекомендуется), либо на производственный сервер для распространения. После тестирования этих обновлений SUS автоматически обновляет все системы в сети.
НА ЗАМЕТКУ Получить более подробную информацию о SUS и загрузить этот продукт можно с сайта по адресу http://www.microsoft.com/windows2000/windowsupdate/sus/.
Ïîääåðæêà ñîãëàñîâàííîñòè Поддержка согласованности уровня исправлений и правок безопасности во всей организации является довольно-таки непростой задачей. Объем этой задачи может быть минимизирован с помощью службы SUS. Если вы не пользуетесь SUS, компания
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
729
Microsoft предлагает другие утилиты для облегчения выполнения обслуживания и управления пакетами и обновлениями. Это, в частности, следующие утилиты: •
QChain. Эта утилита составляет безопасные цепочки обновлений, чтобы несколько обновлений можно было установить при помощи только одной перезагрузки.
•
Служба уведомлений Microsoft по вопросам безопасности (Microsoft Security Notification Service). Подписка на эту службу гарантирует уведомления администраторов о выходе обновлений, связанных с безопасностью.
•
Советник по безопасности Microsoft (Microsoft Security Advisor — MBSA). MBSA представляет собой средство, управляемое и через графический интерфейс, и из командной строки, которое улучшает возможности средства HFNetCHK. Он выявляет распространенные ошибки в конфигурациях безопасности систем (в продуктах Windows, IIS, SQL Server, Internet Explorer и Office), а также отсутствие обновлений безопасности в других продуктах.
Ðèñ. 22.11. Служба обновления программ
Îáñëóæèâàíèå Windows Server 2003 Обслуживание систем Windows Server 2003 не является легкой задачей для администраторов. Они должны, выполняя аварийные задачи, найти время для рассмотрения и планирования обслуживания серверных систем. Широко применяя задачи обслуживания среды, можно предотвратить многие распространенные аварийные задачи. Процессы и процедуры обслуживания систем Windows Server 2003 можно классифицировать на основе подходящего времени для обслуживания конкретного аспекта
730
Администрирование и управление Windows Server 2003 ×àñòü VI
Windows Server 2003. Некоторые процедуры обслуживания требуют ежедневного внимания, в то время как другие могут потребовать лишь проверки раз в год. Процессы и процедуры обслуживания, которым следует организация, сильно зависят от организации; и все же категории, описанные в последующих разделах и соответствующих им процедурах, являются лучшими приемами для организаций всех размеров и различных IT-инфраструктур.
НА ЗАМЕТКУ Эти задачи дополняют задачи, рассмотренные ранее в данной главе.
Åæåäíåâíîå îáñëóæèâàíèå Некоторые процедуры обслуживания требуют большего внимания по сравнению с другими. Процедуры, требующие наибольшего внимания, относятся к категории ежедневных процедур. Поэтому рекомендуется, чтобы администратор выполнял эти процедуры ежедневно для обеспечения надежности, доступности, производительности и безопасности системы. Эти процедуры рассматриваются в последующих трех разделах.
Ïðîâåðêà îáùåãî ôóíêöèîíèðîâàíèÿ ñåðâåðà Хотя проверка общего состояния и функциональности сервера может показаться излишней или элементарной, эта процедура важна для поддержания продуктивной работы системной среды и пользователей. Вот некоторые вопросы, на которые необходимо ответить во время процесса проверки и верификации: •
Имеют ли пользователи доступ к данным на файловых серверах?
•
Правильно ли печатают принтеры? Нет ли длинных очередей к каким-либо принтерам?
•
Существует ли особо длительные задержки при входе пользователей (то есть более длинные, нежели обычно)?
•
Имеют ли пользователи доступ к системам обмена сообщениями?
•
Имеют ли пользователи доступ к внешним ресурсам?
Ïðîâåðêà óñïåøíîñòè ðåçåðâíûõ êîïèðîâàíèé Для обеспечения безопасной и устойчивой к ошибкам организации работы крайне необходимо, чтобы каждую ночь успешно выполнялось резервное копирование данных на ленту. В случае возникновения ошибки сервера администратору может понадобиться выполнить восстановление с ленты. Без ежедневных ночных резервных копирований IT-организация будет вынуждена восстановить сервер без данных. Следовательно, администратор должен всегда выполнять резервные копирования серверов, чтобы в случае аварийной ситуации IT-организация могла восстановить их при минимальном времени простоя. В силу важности резервных копирований проверка и обслуживание настроек резервного копирования должны стать первоочередной ежедневной задачей администратора.
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
731
При возникновении аварийной ситуации администраторы должны быть уверены, что система или весь сайт могут быть восстановлены максимально быстро. Механизмы успешного резервного копирования крайне важны для операции восстановления — ведь восстановления хороши настолько, насколько хороши самые последние резервные копии. Хотя программа резервного копирования Windows Server 2003 не предлагает механизма аварийных сообщений для привлечения внимания к неудачным резервным копированиям, это предусмотрено во многих программах сторонних разработчиков. Кроме того, многие из этих программ резервного копирования сторонних разработчиков могут посылать почтовые сообщения или сообщения на пейджер об успешном или неудачном выполнении резервных копирований.
Ìîíèòîðèíã óòèëèòû ïðîñìîòðà ñîáûòèé Утилита просмотра событий, показанная на рис. 22.12, используется для проверки системного журнала, журнала безопасности, журнала приложений и других журналов в локальной или удаленной системе. Эти журналы являются бесценным источником информации о системе. В системах Windows Server 2003 имеются следующие журналы событий:
Ðèñ. 22.12. Утилита просмотра событий •
Журнал безопасности. Журнал безопасности (Security log) регистрирует все события, касающиеся безопасности и аудита в системе. По умолчанию аудит включен для записи успешных и неудачных событий безопасности.
•
Журнал приложений. Информация, специфичная для приложений, записывается в журнал приложений (Application log). Эта информация относится к службам и всем приложениям, выполняющимся на сервере.
•
Системный журнал. В системном журнале записывается информация, относящаяся к Windows Server 2003.
Контроллеры доменов имеют свои дополнительные журналы: •
Служба репликации файлов. В этом журнале регистрируются все события, относящиеся к службе репликации файлов (File Replication Service).
732
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Служба каталогов. Здесь записываются события, касающиеся Active Directory, например, проблемы с подключением к серверу глобального каталога или проблемы репликации.
•
DNS-сервер. В журнале DNS-сервера фиксируется все, что относится к службе DNS.
Утилита просмотра событий делит все события на три категории: информационные, предупреждения и ошибки. Журналы отображают события по типам, как показано на рис. 22.13.
Ðèñ. 22.13. Типы событий НА ЗАМЕТКУ Просмотр этих журналов часто помогает понять их назначение. Бывают события, которые встречаются постоянно, но они не важны. По мере знакомства с событиями вы начнете замечать, если в журнале событий появится что-то новое или пропадет какая-нибудь запись.
Ниже представлены некоторые практические советы по мониторингу журналов событий. •
Знакомство с регистрируемыми событиями.
•
Настройка базы данных для архивированных журналов событий.
•
Частое архивирование журналов событий.
Для упрощения мониторинга сотен или тысяч событий, генерируемых ежедневно, администратор должен воспользоваться механизмом фильтрации, предоставляемым утилитой просмотра событий. Хотя в первую очередь важны предупреждения и сообщения об ошибках, нужно просматривать и информационные записи, дабы понять, что произошло перед возникновением проблемы. После просмотра администратором информационных событий он может отфильтровать их, а затем просмотреть предупреждения и ошибки.
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
733
Для фильтрации событий выполните следующие шаги: 1. Запустите утилиту просмотра событий, выбрав в меню Start пункт All ProgramsÖ Administrative Tools (Все программыÖАдминистрирование). 2. Выберите журнал, в котором необходимо фильтровать события. 3. Щелкните правой кнопкой мыши на журнале и выберите в контекстном меню пункт ViewÖFilter (ВидÖФильтр). 4. В окне свойств журнала, показанном на рис. 22.13, выберите типы фильтруемых событий. 5. Можно также указать временные рамки, в которых произошли события. После этого щелкните на кнопке ОК. Некоторые предупреждения и ошибки вполне нормальны, так как обусловлены ограничениями пропускной способности или другими свойствами среды. Чем больше вы просматриваете журналы, тем больше знакомитесь с сообщениями и, значит, сможете обнаружить проблему до начала ее влияния на пользователей.
CОВЕТ При увеличении активности регистрации в журнале может понадобиться увеличить размер файлов журналов в утилите просмотра событий.
Åæåíåäåëüíîå îáñëóæèâàíèå Процедуры обслуживания, требующие несколько меньшего внимания, чем ежедневные проверки, относятся к категории еженедельных действий и рассматриваются в последующих разделах.
Ïðîâåðêà äèñêîâîé ïàìÿòè Дисковая память — достаточно дорогое удовольствие. Хотя емкость дисков системы Windows Server 2003 может быть практически бесконечной, объем свободного пространства на всех дисках нужно проверять ежедневно. Нехватка дискового пространства может привести к серьезным проблемам. Наиболее часто проблемы с дисковой памятью возникают с дисками данных, на которых конечные пользователи хранят и модифицируют информацию. Могут быстро заполниться и другие тома, такие как системный диск и разделы с данными журналов. Как уже упоминалось, нехватка свободной дисковой памяти может породить множество проблем, в том числе и следующие: •
Ошибки приложений.
•
Крахи системы.
•
Неудачные резервные копирования.
•
Ошибки служб.
•
Невозможность аудита.
•
Снижение производительности.
734
Администрирование и управление Windows Server 2003 ×àñòü VI
Чтобы предотвратить появление этих проблем, администраторы должны следить, чтобы количество свободной памяти на дисках было не меньше 25%.
ВНИМАНИЕ! При необходимости освободить дисковую память, перемещать или удалять файлы и папки следует с особой осторожностью. Система Windows Server 2003 автоматически защищает системные файлы, тем не менее, данные пользователей беззащитны.
Âåðèôèêàöèÿ îáîðóäîâàíèÿ Аппаратные компоненты, поддерживаемые Windows Server 2003, вполне надежны, но это не означает, что они всегда будут работать безошибочно. Доступность аппаратных компонентов измеряется средним временем между отказами (Mean Time Between Failures — MTBF) и средним временем на восстановление (Mean Time To Repair — MTTR). Сюда входит время неготовности и для планируемых, и для непредвиденных событий. Эти параметры, обеспечиваемые производителем, являются хорошими указаниями; однако, как упоминалось ранее, механические части могут отказать в любой момент. В результате, чтобы гарантировать эффективную работу, нужно выполнять еженедельный мониторинг оборудования. Мониторинг аппаратных компонентов может выполняться многими различными способами. Например, серверные системы могут иметь внутренние проверки и протоколирование функциональности для предупреждения о возможных ошибках, системный монитор Windows Server 2003 может пролить свет на аппаратную ошибку, а физическая проверка аппаратуры может помочь определить, назревает ли в системе сбой аппаратуры. Если сбой произошел или вот-вот произойдет, то шансы на быстрое восстановление существенно повышаются, если у вас есть список запасного оборудования. Еженедельное тестирование аппаратуры системы обеспечивает возможность исправить проблему до ее появления.
Ïðîñìîòð àðõèâíûõ æóðíàëîâ ñîáûòèé Три журнала событий на любом сервере и три дополнительных журнала на контроллерах доменов могут быть заархивированы либо вручную, либо автоматически с помощью специального сценария. Для облегчения обслуживания и выборки нужно архивировать журналы событий в одно централизованное место. Конкретное количество времени, за которое необходимо хранить файлы архивированных журналов, зависит от специфики работы организации. Например, банкам и другим организациям с высокими требованиями к безопасности может понадобиться хранить журналы событий на протяжении нескольких лет. Как правило, организации должны хранить журналы событий на протяжении не менее трех месяцев. Приведенный ниже сценарий с именем logarchive.vbs может выбирать журналы событий и запоминать их в централизованном месте. Этот процесс может потребовать длительного времени (до нескольких часов) в зависимости от размера файлов журналов, а также от количества серверов, с которых выбираются эти журналы. Избегайте запуска этого сценария по медленным WAN-соединениям, чтобы не загружать пропускную способность сети.
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
735
Set WS = CreateObject("Wscript.Shell") Set FSO = CreateObject("Scripting.FileSystemObject") DateString = CurrentDate() ServerName = "HOFS01" Purge = True on error resume next StartTime = Now Output "–––––––––––––––––––––––––––––––––" OutPut "Начало: " + CStr(Now) Output "" Set System = GetObject("winmgmts:{(Backup,Security)}\\" + ServerName + "\root\CIMV2") If Err.Number = 0 Then Set colLogs = System.ExecQuery("select * from Win32_NTEventLogFile",,&H30) For Each refLog In colLogs LogName = ServerName+ "_" + LogFileName(refLog.LogFileName) + "_" + DateString If FSO.FileExists("C:\Logs\" + LogName + ".evt") Then _ FSO.DeleteFile("C:\Logs\" + LogName + ".evt") If Purge Then RetVal = reflog.ClearEventlog("C:\Logs\" + LogName + ".evt") Else RetVal = reflog.BackupEventlog("C:\Logs\" + LogName + ".evt") End If If RetVal = 0 Then Output vbTab + "Log was archived in .evt format: " + LogName + ".evt" If Purge Then Output vbTab + "Из журнала удалены все события" Set WS = CreateObject("Wscript.Shell") Set FSO = CreateObject("Scripting.FileSystemObject") DateString = CurrentDate() ServerName = "HOFS01" Else Output vbTab + "Ошибка при архивировании в формат .evt." End If Next Else Output vbTab + "Подключение к серверу невозможно" End If Set colLogs = Nothing Set refLogs = Nothing Set System = Nothing Output "––––––––––––––––––––––––––––––––––––––––" OutPut "Конец: " + CStr(Now) Output "" Output "" Set WS = Nothing FullLog.Close Set FullLog = Nothing Set FSO = Nothing
736
Администрирование и управление Windows Server 2003 ×àñòü VI
Function CurrentDate Today = Date If Month(Today) < 10 Then CurrentDate = "0" + CStr(Month(Today)) Else CurrentDate = CStr(Month(Today)) End If If Day(Today) < 10 Then CurrentDate = CurrentDate + "0" + CStr(Day(Today)) Else CurrentDate = CurrentDate + CStr(Day(Today)) End If CurrentDate = CurrentDate + CStr(Year(Today)) If Hour(Time) < 10 Then CurrentDate = CurrentDate + "0" + CStr(Hour(Time)) Else CurrentDate = CurrentDate + CStr(Hour(Time)) End If End Function Function LogFileName(LogName) Select Case LogName Case "Application" LogFileName = "app" Case "Directory Service" LogFileName = "dir" Case "DNS Server" LogFileName = "dns" Case "File Replication Service" LogFileName = "rep" Case "Security" LogFileName = "sec" Case "System" LogFileName = "sys" End Select End Function Sub Output(Text) wscript.echo text FullLog.writeline text End Sub В случае использования logarchive.vbs необходим еще один файл — logarchive.ini. Этот файл, содержимое которого приведено ниже, содержит список серверов и следующие режимы архивирования: •
T означает очистку после архивирования.
•
F означает только архивирование. servername,T servername,F servername,F
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
737
Для использования logarchive.vbs выполните следующие действия: 1. Проверьте, что файлы logarchive.vbs и logarchive.ini находятся в каталоге, указанном в переменной PATH. 2. Щелкните правой кнопкой мыши на файле logarchive.ini и введите список серверов, на которых нужно архивировать журналы событий. 3. Выберите в меню Start пункт Run (Выполнить) и введите команду cmd, чтобы открыть командное окно. 4. В командном окне введите команду cscript logarchive.vbs. Команда из шага 4 архивирует все журналы событий для серверов, указанных в файле logarchive.ini. Файлы журналов сохраняются в каталоге, указанном в сценарии. Журналы будут иметь имена следующего формата: имясервера_имяжурналя_дата.log Например, sfdc01_sec_12262004.log — это имя журнала безопасности сервера SFDC01, заархивированного 26 декабря 2004 года. Рекомендуется именовать файлы журналов следующим образом: •
_sec_ — журнал безопасности.
•
_app_ — журнал приложений.
•
_sys_ — системный журнал.
•
_rep_ — журнал репликации файлов.
•
_dns_ — журнал DNS-сервера.
•
_dir_ — журнал службы каталогов.
НА ЗАМЕТКУ Сценарий logarchive.vbs не очищает журналы событий.
Çàïóñê äåôðàãìåíòàòîðà äèñêîâ При создании, удалении или модификации файлов Windows Server 2003 выделяет группу кластеров в зависимости от размера файла. Поскольку требования к размерам файлов со временем меняются, то меняется и количество групп кластеров выделенных файлов. Хотя в файловой системе NTFS этот процесс довольно-таки эффективен, файлы и тома постепенно фрагментируются, поскольку файлы перестают занимать последовательное место на диске. По мере увеличения уровня фрагментации, как показано на рис. 22.14, доступ к диску замедляется. Система вынуждена использовать дополнительные ресурсы и время на поиск всех групп кластеров для использования файла. Чтобы минимизировать степень фрагментации и увеличить производительность, администратор должен дефрагментировать все тома с помощью дефрагментатора дисков. Как упоминалось ранее в этой главе, дефрагментатор дисков является встроенной утилитой, предназначенной для анализа и дефрагментации фрагментированных дисков. Фрагментация негативно влияет на производительность, так как файлы не могут эффективно читаться с диска.
738
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðèñ. 22.14. Утилита дефрагментации дисков Для использования дефрагментатора дисков выполните перечисленные ниже шаги. 1. Запустите дефрагментатор, выбрав в меню Start пункт All ProgramsÖAccessoriesÖSystem Tools (Все программыÖСтандартныеÖСлужебные). 2. Выберите диск для анализа или дефрагментации. 3. Щелкните на кнопке Analyze (Анализ) или Defragment (Дефрагментация) для запуска процесса дефрагментации. Обратите внимание, что щелчок на кнопке Defragment автоматически анализирует диск перед переходом к процессу дефрагментации.
CОВЕТ Дефрагментатор дисков, входящий в состав Windows Server 2003, является сокращенной версией утилиты Diskeeper. Использование средств дефрагментации сторонних разработчиков, подобных Diskeeper, позволяет проводить дефрагментацию по расписанию в слабо загруженное время. Продукты сторонних разработчиков содержат и множество других очень удобных возможностей, таких как удаленная дефрагментация серверов.
Âûïîëíåíèå óòèëèòû äèàãíîñòèêè êîíòðîëëåðà äîìåíà Утилита диагностики контроллера домена (Domain Controller Diagnostic Utility — DCDIAG), входящая в состав средств поддержки Windows Server 2003, используется для анализа состояния контроллера домена (DC). Она выполняет последовательность тестов, анализирует состояние DC и проверяет различные области системы: • Связность. • Репликация. • Топологическая целостность. • Дескрипторы безопасности. • Права Netlogon. • Работоспособность межсайтовых связей. • Роли. • Верификация доверительных отношений.
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
739
DCDIAG должна выполняться на каждом DC еженедельно или при возникновении проблемы. Синтаксис утилиты DCDIAG выглядит следующим образом: dcdiag.exe /s:<Контроллер_домена> [/u:<Домен>\<Имя_пользователя> /p:*|<Пароль>|""] [/h:{параметр}] [/q:{параметр}] [/v:{параметр}] [/n:<Контекст_именования>] [/f:<Журнал>] [/ferr:<Журнал_ошибок>] [/skip:<Тест>] [/test:<Тест>] Ниже описаны параметры этой утилиты. /h — Вывод справочной информации. /s — Использование <Контроллер_домена> в качестве домашнего сервера. Этот параметр игнорируется тестами DCPromo и RegisterInDns, которые могут быть выполнены только локально. /n — Использование <Контекст_именования> для тестирования в качестве контекста именования. Домены могут быть указаны в формате NetBIOS, DNS или отличительного имени (Distinguished Name — DN). /u — Использование полномочий <Домен>\<Имя_пользователя> для объединения с паролем. При этом должна использоваться также опция /p. /p — Использование <Пароль> в качестве пароля. При этом должна использоваться также опция /u. /a — Тестирование всех серверов данного сайта. /e — Тестирование всех серверов всего предприятия. Этот параметр перекрывает параметр /a. /q — Тихий режим; выводятся только сообщения об ошибках. /v — Многословный режим; выводится расширенная информация. /i — Режим игнорирования; подавление лишних сообщений об ошибках. /fix — Восстановление; проведение безопасных восстановлений. /f — Перенаправление протокола работы в файл <Журнал>; параметр /ferr отдельно перенаправляет вывод сообщений об ошибках. /ferr:<Журнал_ошибок> — Перенаправление вывода сообщений о фатальных ошибках в отдельный файл <Журнал_ошибок>. /c — Полный режим; выполняет все тесты, включая нестандартные, но исключая DCPromo и RegisterInDns. Может использоваться с параметром /skip. /skip:<Тест> — Пропуск указанного теста. Не используйте в команде с параметром /test. /test:<Тест> — Выполнение только указанного теста. Обязательные тесты все равно выполняются. Не используйте с параметром /skip. Допустимые тесты, которые можно выполнить, следующие: •
Connectivity — Тестирует, являются ли DC и DNS зарегистрированными, опрашиваемыми с помощью ping и имеют ли связность LDAP/RPC.
•
Replications — Проверяет завершение репликации между двумя контроллерами доменов.
740
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Topology — Проверяет, что сгенерированная топология полностью связна для всех DC.
•
CutOffServers — Проверяет наличие серверов, не получающих репликации изза неработоспособности их партнеров.
•
NCSecDesc — Проверяет, что дескрипторы безопасности в главах контекста именования имеют необходимые для репликации полномочия.
•
NetLogons — Проверяет, что репликация может выполниться с соответствующими входными полномочиями.
•
Advertising — Проверяет, объявляет ли себя каждый DC и объявляет ли он себя с возможностями DC.
•
KnowsOfRoleHolders — Проверяет, “думает” ли DC, что он знает держателей пяти ролей FSMO.
•
Intersite — Проверяет на наличие ошибок, которые могут препятствовать или задержать на время межсайтовую репликацию.
•
FsmoCheck — Проверяет, что глобальные роли известны, могут быть обнаружены и откликаются.
•
RidManager — Проверяет, доступен ли мастер RID и содержит ли он правильную информацию.
•
MachineAccount — Проверяет, содержит ли верную информацию учетная запись машины. При отсутствии учетной записи локальной машины используйте для попытки ее восстановления параметр /RecreateMachineAccount. Если флаги учетной записи машины некорректны, пользуйтесь параметром /FixMachineAccount.
•
Services — Проверяет, выполняются ли в системе службы DC.
•
OutboundSecureChannels — Проверяет наличие защищенных каналов от всех DC домена к доменам, указанным параметром /testdomain. Параметр /nositerestriction снимает ограничение тестирования контроллерами домена сайта.
•
ObjectsReplicated — Проверяет, что реплицированы учетная запись машины и объекты DSA. С помощью параметров /objectdn: и /n: можно указать проверку дополнительного объекта.
•
frssysvol — Проверяет готовность ресурса SYSVOL системы репликации файлов (FRS).
•
kccevent — Проверяет, что утилита проверки знаний на непротиворечивость завершила работу без ошибок.
•
systemlog — Проверяет отсутствие ошибок при работе системы.
•
DCPromo — Проверяет существующую инфраструктуру DNS на повышение до контроллера домена.
•
RegisterInDNS — Проверяет, может ли данный контроллер домена регистрировать DNS-записи локатора контроллера домена. Эти записи должны присутствовать в DNS, чтобы другие компьютеры смогли найти адрес данного контроллера для домена <Имя_DNS_домена_Active_Directory>. Сообщает, нужны ли
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
741
какие-либо модификации существующей инфраструктуры DNS. Требует указания аргумента /DnsDomain:<Имя_DNS_домена_Active_Directory>. •
CheckSDRefDom — Проверяет, что все разделы каталогов приложений имеют соответствующие домены ссылок на дескрипторы безопасности.
НА ЗАМЕТКУ По умолчанию тесты Topology, CutoffServers и OutboundSecureChannels не выполняются.
Åæåìåñÿ÷íîå îáñëóæèâàíèå Задачи, рассматриваемые в последующих разделах, рекомендуется выполнять ежемесячно.
Ïîääåðæêà öåëîñòíîñòè ôàéëîâîé ñèñòåìû Утилита CHKDSK сканирует целостность файловой системы и может проверить наличие потерянных кластеров, файлов с перекрестными ссылками и так далее. Если операционная система Windows Server 2003 обнаруживает проблему, она во время загрузки автоматически запускает CHKDSK. Администраторы могут поддерживать целостность файловых систем FAT, FAT32 и NTFS, запуская CHKDSK раз в месяц. Для запуска CHKDSK выполните описанные ниже действия. 1. В командном окне войдите в раздел, который требуется проверить. 2. Введите команду CHKDSK без параметров, чтобы выполнить только проверку ошибок файловой системы. 3. При обнаружении ошибок запустите утилиту CHKDSK с параметром /f, чтобы попытаться исправить обнаруженные ошибки.
Òåñòèðîâàíèå èñòî÷íèêà áåñïåðåáîéíîãî ïèòàíèÿ Для защиты системы или группы систем от сбоев питания (например, всплесков напряжения) и обеспечения работы системы после пропажи питания в течение времени, достаточного для того, чтобы администратор смог аккуратно выключить систему, применяются источники бесперебойного питания (ИБП). Рекомендуется, чтобы администратор выполнял действия по обслуживанию ИБП, указанные производителем, не реже раза в месяц. Кроме того, необходимо выполнять по графику ежемесячную проверку батарей.
Ïðîâåðêà ðåçåðâíûõ êîïèé Раз в месяц администратор должен проверять резервные копии, восстанавливая их на сервер, предназначенный для лабораторных испытаний. Это нужно делать помимо проверок успешности выполнения копирования с помощью журналов или интерфейса управления программой резервного копирования. Восстановление дает администратору возможность проверить качество резервных копий и потренироваться в выполнении процедур восстановления, используемых при восстановлении сервера при реальной аварии на сервере. Кроме того, эта процедура проверяет состояние носителей резерв-
742
Администрирование и управление Windows Server 2003 ×àñòü VI
ных копий, чтобы администратор мог убедиться, что они находятся в рабочем состоянии и что в случае реальной аварии с них может быть проведено восстановление.
Èçìåíåíèå íàáîðîâ àâòîìàòè÷åñêîãî âîññòàíîâëåíèÿ ñèñòåìû Утилита автоматического восстановления системы (Automated System Recovery — ASR) представляет собой средство восстановления, которое должно быть установлено во всех средах Windows Server 2003. Она создает резервные копии данных состояния системы, системных служб и всех томов, содержащих компоненты системы Windows Server 2003. Утилита ASR, показанная на рис. 22.15, пришла на замену дисков аварийного восстановления (Emergency Repair Disk — ERD), используемые для восстановления систем в более ранних версиях Windows.
Ðèñ. 22.15. Утилита ASR После создания сервера и при любых серьезных изменениях системы необходимо изменить наборы ASR (то есть резервную копию и дискету). Другой полезной практикой может быть обновление наборов ASR не реже раза в месяц. Это поддерживает содержимое наборов ASR в соответствии с текущим состоянием системы. Иначе при возникновении проблемы или сбоя в системе ценная информация о конфигурации системы может быть потеряна. Для создания набора ASR выполните следующие действия: 1. Запустите утилиту резервного копирования (Backup) Windows Server 2003, выбрав в меню Start пункт All ProgramsÖAccessoriesÖSystem Tools (Все программыÖСтандартныеÖСлужебные). 2. На первом экране мастера резервного копирования и восстановления (Backup or Restore Wizard) выберите расширенный режим (Advanced Mode). 3. Щелкните на кнопке Automated System Recovery Wizard (Мастер автоматического восстановления системы).
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
743
4. В окне мастера подготовки автоматического восстановления системы (Automated System Recovery Preparation Wizard) щелкните на кнопке Next (Далее). 5. Укажите местоположение резервной копии и щелкните на кнопке Next. 6. После этого щелкните на кнопке Finish (Готово).
НА ЗАМЕТКУ Этот процесс может потребовать для своего выполнения достаточно длительного времени, так что наберитесь терпения. В зависимости от производительности используемой системы и количества пересылаемой информации может понадобиться от нескольких минут до нескольких часов.
Îáíîâëåíèå äîêóìåíòàöèè Неотъемлемой частью управления и обслуживания любой IT-среды является документирование сетевой инфраструктуры и процедур. Вот список всего лишь некоторых документов, которые удобно держать под рукой: •
Руководства по созданию сервера.
•
Руководства и процедуры по аварийному восстановлению.
•
Списки необходимых действий.
•
Параметры конфигурации.
•
Журналы изменений конфигурации.
•
Данные хронологии производительности.
•
Специальные назначения прав пользователям.
•
Специальные параметры приложений.
При создании систем и служб и составлении процедур документируйте эти факты для сокращения графика обучения и облегчения администрирования и обслуживания. Важно не только адекватно документировать IT-среду, но зачастую еще более важно поддерживать актуальность этих документов. В противном случае при изменениях среды, процессов и процедур по мере изменения производства документы быстро станут неактуальными.
Åæåêâàðòàëüíîå îáñëóæèâàíèå Как должно быть понятно из названия, ежеквартальное обслуживание выполняется четыре раза в год. Области для обслуживания и управления на ежеквартальной основе, как правило, являются довольно самостоятельными и самоподдерживающимися. Для поддержания системы в работоспособном состоянии требуются лишь редкие действия по обслуживанию. Однако это не означает, что данные задачи просты или не так критичны, как задачи, требующие более частого обслуживания.
Ïðîâåðêà îãðàíè÷åíèé äèñêîâîé ïàìÿòè Необходимо проверять емкость всех томов, чтобы удостовериться, что все тома имеют достаточно свободного пространства. Проследите, чтобы на всех томах было не менее 25% свободного места.
744
Администрирование и управление Windows Server 2003 ×àñòü VI
Нехватка или полное отсутствие дисковой памяти создает опасную ситуацию для любой системы. При недостаточном объеме дисковой памяти службы могут давать сбои, приложения могут перестать откликаться, а системы могут даже аварийно завершаться.
Èçìåíåíèå ïàðîëåé àäìèíèñòðàòîðîâ Пароли администраторов должны изменяться не реже раза в квартал (90 дней). Изменение этих паролей повышает безопасность, усложняя компрометацию системы. Кроме изменения паролей, необходимо просматривать и другие относящиеся к ним требования: срок действия пароля, хронология, длина и надежность.
Îáñëóæèâàíèå áàçû äàííûõ AD Active Directory является сердцем среды Windows Server 2003. В базы данных AD могут добавляться, модифицироваться или удаляться объекты наподобие пользователей, групп, OU и так далее. Это взаимодействие с базой данных может привести к ее фрагментации. Каждую ночь Windows Server 2003 выполняет оперативную дефрагментацию для восстановления места в базе данных AD; но до выполнения автономной дефрагментации размер базы данных не уменьшается. На рис. 22.16 показаны различия фрагментированных и дефрагментированных баз данных AD.
Ðèñ. 22.16. Сравнение фрагментированных и дефрагментированных баз данных AD Утилита NTDSUTIL представляет собой средство для обслуживания баз данных AD. Она используется для дефрагментации базы данных AD, но может выполнять и другие действия наподобие очистки метаданных, оставшихся после удаленных контроллеров доменов и управления перемещаемыми ролями с одним мастером (Flexible Single Master Operations — FSMO).
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
745
НА ЗАМЕТКУ После упаковки базы данных AD требуется перезагрузка контроллера домена.
Для дефрагментации базы данных AD с помощью NTDSUTIL выполните представленные ниже действия. 1. Перезапустите контроллер домена. 2. При появлении первого экрана нажмите клавишу F8. 3. В меню Windows Advanced Options (Дополнительные опции Windows) выберите пункт Directory Services Restore Mode (Windows domain controllers only) (Режим восстановления служб каталогов (только для контроллеров доменов Windows)). 4. На следующем экране выберите нужную операционную систему Windows Server 2003. 5. Войдите в систему Windows Server 2003. 6. После появления информационного сообщения щелкните на кнопке ОК. 7. В командном окне введите команду NTDSUTIL files. 8. На запрос File Maintenance (Обслуживание файлов) введите команду compact to %s, где %s указывает пустой каталог назначения. В результате будет запущена программа Esentutl.exe, сжимающая существующую базу данных и записывающая ее в указанный каталог. Процесс сжатия показан на рис. 22.17.
Ðèñ. 22.17. Использование утилиты NTDSUTIL 9. После успешного завершения сжатия скопируйте новый файл ntds.dit в каталог %systemroot%\NTDS и удалите из каталога %systemroot%\NTDS старые журналы. 10. Для выхода из утилиты дважды введите команду quit. 11. Перезапустите компьютер. Утилита NTDSUTIL может применяться, в частности, для выполнения следующих действий: •
Info. Проводит анализ и сообщает о свободной дисковой памяти, читает системный реестр и затем сообщает размеры базы данных и файлов журналов.
746
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Integrity. Выполняет проверку целостности базы данных, обнаруживающую все виды низкоуровневой порчи данных базы. Если размер базы данных AD велик, то эта проверка может потребовать длительного времени. Важно отметить, что перед выполнением проверки целостности всегда необходимо выполнять задачу Recover (Восстановление).
•
Recover. Пытается выполнить мягкое восстановление базы данных. Эта задача сканирует файлы журналов и обеспечивает отражение в файле данных всех проведенных транзакций.
Ñâîäêà çàäà÷ è ðåêîìåíäàöèé ïî îáñëóæèâàíèþ В табл. 22.3 сведены некоторые задачи и рекомендации по обслуживанию, о которых шла речь в этой главе.
Òàáëèöà 22.3. Çàäà÷è îáñëóæèâàíèÿ Windows Server 2003 Ежедневные
Еженедельные
Ежемесячные
Ежеквартальные
Задачи и серверы, необходимые для выполнения задачи
Требует остановки сервера?
Х
Проверка общей функциональности сервера (вход пользователей, доступ к службам и так далее)
Нет
Х
Проверка успешности создания резервных копий
Нет
Х
Просмотр событий
Нет
Х
Проверка дисковой памяти
Нет
Х
Верификация оборудования
Нет
Х
Архивирование журналов событий
Нет
Х
Запуск дефрагментатора дисков
Нет
Х
Запуск средства диагностики контроллеров доменов (DCDIAG.exe)
Нет
Х
Проверка ИБП Х
Запуск CHKDSK
Да, при обнаружении ошибок
Х
Обновление документации
Нет
Х
Проверка дисковой памяти
Нет
Х
Изменение паролей администраторов
Нет
Х
Запуск автономной дефрагментации NTDS.DIT
Нет
Практика управления и обслуживания Windows Server 2003 Ãëàâà 22
747
Ðåçþìå Хотя администраторы могут легко завязнуть в повседневном администрировании и выполнении аварийных задач, все-таки важно структурировать управление и обслуживание системы, чтобы в дальнейшем сократить все излишние усилия. Следование правилам управления и обслуживания снижает затраты на администрирование, обслуживание и производственные затраты, увеличивая в то же время надежность, стабильность и безопасность системы.
Ïîëåçíûå ñîâåòû •
Старайтесь периодически обслуживать системы сетевых сред, чтобы избежать неэффективности при их использовании.
•
Управляйте серверами на основе их ролей и ответственностей.
•
Проводите аудит не только для обнаружения брешей в безопасности или подозрительных действий, но и для лучшего понимания доступа к сети, сетевым устройствам и системам.
•
Включайте политики аудита с помощью политики локальной системы или объектов групповых политик.
•
Используйте дистанционное управление системой с помощью консоли управления Microsoft (MMC), удаленного рабочего стола администрирования (Remote Desktop for Administration), сценариев и утилит командной строки.
•
Используйте MOM для предупредительного управления Windows Server 2003.
•
Определяйте задачи, важные для общей работоспособности и безопасности системы.
•
Выполните первое резервное копирование WINS для инициирования автоматических резервных копирований WINS.
•
Тщательно тестируйте и применяйте пакеты обновлений и индивидуальные обновления в лабораторной среде, прежде чем устанавливать их на производственных серверах и клиентских машинах.
•
Устанавливайте нужные пакеты обновлений и индивидуальные обновления на все производственные сервер и клиентские машины для обеспечения согласованности всех систем.
•
Используйте службу обновления программ (Software Update Services) для уменьшения объема администрирования, управления и обслуживания, связанных с применением последних пакетов обновлений и индивидуальных обновлений.
•
Распространяйте пакеты обновлений и оперативные исправления, загруженные с SUS для тестирования на лабораторный сервер.
•
Классифицируйте и документируйте действия по ежедневному обслуживанию: проверка функционирования сервера, верификация успешности создания резервных копий и мониторинг событий утилиты просмотра событий.
748
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Классифицируйте и документируйте процессы и процедуры по еженедельному обслуживанию: проверка дисковой памяти, верификация работы оборудования, архивирование журналов событий, дефрагментация томов и диагностирование контроллеров доменов с помощью DCDIAG.
•
Классифицируйте и документируйте процессы и процедуры по ежемесячному обслуживанию: поддержка целостности файловой системы, тестирование работы ИБП, проверка резервных копий, обновление наборов ASR и обновление документации.
•
Классифицируйте и документируйте процессы и процедуры по ежеквартальному обслуживанию: проверка наличия свободной дисковой памяти, изменение паролей администраторов и обслуживание базы данных AD.
Àâòîìàòèçàöèÿ çàäà÷ ñ ïîìîùüþ ñöåíàðèåâ Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Îáçîð ïðèìåíåíèÿ ñöåíàðèåâ
•
Ââåäåíèå â VBScript
•
Îáçîð ñîçäàíèÿ ñöåíàðèåâ äëÿ Active Directory
•
Äîñòóï ê ñâîéñòâàì îáúåêòîâ
•
Óïðàâëåíèå ïîëüçîâàòåëÿìè ñ ïîìîùüþ ñöåíàðèåâ
•
Ñîçäàíèå ïîëüçîâàòåëåé èç ôàéëà äàííûõ
•
Ïîèñê â Active Directory
•
Íàïèñàíèå ñöåíàðèåâ äëÿ Windows Server 2003
•
Ïðèìåðû ïðèìåíåíèÿ ñöåíàðèåâ
ÃËÀÂÀ
23
750
Администрирование и управление Windows Server 2003 ×àñòü VI
Операционная система Microsoft Windows Server 2003 поддерживает выполнение задач управления и администрирования сервером и в режиме командной строки, и с помощью графического интерфейса пользователя. Во многих случаях эти задачи повторяются и выполняются вручную. Например, задачами из списка действий по сопровождению являются проверка каждого сервера сайта и ручная регистрация свободного места на дисковом томе. Другие задачи, выполняемые вручную — создание пользователей и изменение членства в группах. Многие задачи, связанные с управлением серверами, рабочими станциями или пользователями, могут быть автоматизированы с помощью сценариев. В данной главе описываются технологии, используемые для составления сценариев, в том числе некоторые утилиты командной строки и сценарии, написанные на языке подготовки сценариев Microsoft Visual Basic Scripting language, который называется также VBScript. В этой главе также освещаются некоторые основные команды сценариев и приводятся примеры управления средой Windows Server 2003 с помощью моделей объектов WMI, ADO, CDO и ADSI. Назначение этой главы — предоставление администраторам способов упрощения административных задач с помощью создания сценариев.
Îáçîð ïðèìåíåíèÿ ñöåíàðèåâ Когда речь заходит о проекте или задаче, включающей применение сценариев, то при одной мысли о сценариях многие администраторы буквально холодеют от ужаса. Администраторы, работающие в области информационных технологий (IT) недавно, связывают сценарии с программированием или созданием приложений. Во многих случаях это так и есть. Однако многие администраторы могут использовать или даже создавать сценарии, вовсе не считая их сценариями — просто потому, что их слишком легко создавать и что они не содержат циклов и не выдают сложных отчетов. Например, многие администраторы создают сценарии входа, но не считают это созданием сценариев, так как эти сценарии могут быть простыми пакетными файлами для подключения сетевых дисков. Но если файл автоматически выполняет, последовательно или одновременно, несколько команд, то это и есть сценарий. Создание сценариев не должно считаться чистым программированием, если сценарий не требует этого. Сценарии могут создаваться для разбиения больших или сложных процессов на множество простых действий, наподобие списка действий, который нужно выполнить для выполнения всего процесса. Хорошим примером сценария, не относящегося к программированию и сетям, является рецепт приготовления еды. Если вы выполните действия, указанные в этом рецепте, то получите вкусное блюдо. Сценарий, автоматизирующий процесс создания нескольких сотен учетных записей пользователей, может сократить время, необходимое для выполнения задачи, а заодно уменьшить количество человеческих ошибок, поскольку входные данные могут быть прочитаны из файла, а не введены вручную. IT-администраторы могут сконфигурировать сценарии, обеспечивающие определенный уровень автоматизации, когда дело касается управления аппаратным и программным обеспечением, группами и учетными записями пользователей в организации. Сценарии можно классифицировать различными способами, например, документированные руководства по выполнению каких-либо действий, сценарии управле-
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
751
ния серверами, сценарии управления рабочими станциями, сценарии управления каталогами и сценарии управления приложениями. Для пользователей также могут понадобиться отдельные сценарии конфигурации, в том числе сценарии входа и выхода из системы.
Ñöåíàðèè â âèäå äîêóìåíòèðîâàííûõ ðóêîâîäñòâ Сценарий в виде документированного руководства, как правило, очень прост. Обычно такой сценарий используется администраторами, конечными пользователями или персоналом в качестве руководства по выполнению какого-либо действия или пошагового сценария, который необходимо выполнить для выполнения задачи. Подобный сценарий может проверить работоспособность приложения; его можно также назвать сценарием проверки качества. К примеру, следующий сценарий может использоваться персоналом оперативной поддержки для проверки базовых операций системы доменных имен: 1. Войдите в сервер или рабочую станцию с доступом к сети с DNS-сервером. 2. Выберите в меню Start (Пуск) пункт Run (Выполнить). 3. Введите команду cmd.exe и щелкните на кнопке ОК, чтобы открыть командное окно. 4. Введите Nslookup и нажмите клавишу <Enter>. 5. Введите слово Server, а затем имя DNS-сервера, который нужно протестировать. Например, введите Server ns1.companyabc.com. Нажмите <Enter>. 6. Введите Internet-адрес наподобие www.microsoft.com и нажмите <Enter>. 7. После вывода результатов введите команду quit. Затем введите exit, чтобы закрыть командное окно. Хотя приведенные выше пункты представляют собой всего лишь пошаговое руководство, они являются и сценарием, выполняемым вручную: это сценарий, который проверяет, может ли DNS-сервер разрешать адреса DNS. Подобные сценарии, в зависимости от уровня подготовки персонала и области действия документа, лучше всего создавать с помощью IT-персонала, а затем отдать технику по документации для форматирования, стандартизации и аккуратного оформления. Одним из существенных факторов сценарного оформления инструкций является уровень необходимой детализации. Эта детализация определяется целевой аудиторией. Например, если предыдущий сценарий должен быть написан для администратора, обладающего достаточным объемом знаний о DNS, то сценарий может быть таким: Проверьте разрешение имен Internet, выполнив поиск в DNS внешнего Internetадреса ns1.companyabc.com. Шаги, приведенные выше, предназначены для выполнения лицами, имеющими лишь начальные компьютерные навыки. Распространенные сценарии, которые наверняка будут полезными для организации — это сценарии остановки и перезапуска сервера. Раньше, когда удаленное управление серверами было очень ограниченно, при аварии сервера и отсутствии админи-
752
Администрирование и управление Windows Server 2003 ×àñòü VI
стратора документы такого типа могли помочь присутствующему персоналу выполнить необходимые действия по перезагрузке сервера, не дожидаясь возвращения администратора.
Óïðàâëåíèå ñåðâåðàìè Сценарии управления серверами могут быть нескольких видов. Сценарии могут быть написаны для сбора информации, сохраненной в реестре, на жестком диске или в BIOS. Можно собрать и проанализировать информацию наподобие времени работы сервера, объема свободной дисковой памяти и количества пользователей, использующих приложения и службы типа совместно используемых файлов, принтеров или сеансов работы с терминальными серверами. С помощью сценария могут удаленно создаваться и конфигурироваться без вмешательства пользователя совместно используемые файлы и принтеры, и могут проверяться и изменяться права доступа NTFS. Можно создать сценарий для подключения к серверу или списку серверов, и каждый сервер может быть остановлен, перезагружен, а на нем перезапущена служба. Существует совсем немного ограничений на то, что можно сделать на сервере с помощью сценария. Когда речь идет об управления системами Windows Server 2003, то наиболее широкие возможности могут предоставить инструментальные средства управления Windows (Microsoft Windows Management Instrumentation — WMI) компании Microsoft.
Óïðàâëåíèå ðàáî÷èìè ñòàíöèÿìè В смысле использования сценариев управление рабочими станциями не особенно отличается от управления серверами. Задачи, которые могут быть выполнены на рабочих станциях, а не на серверах — обновление исправлений безопасности и перезапуск нескольких машин. Другими примерами могут быть посылка на все рабочие станции сети всплывающих сообщений о предстоящем выключении сервера или предложение пользователям сохранить данные, прежде чем иссякнут резервные батареи питания во время длительной пропажи питания.
Ñöåíàðèè êîíôèãóðèðîâàíèÿ ïîëüçîâàòåëåé Сценарии для управления пользователями в основном включают в себя сценарии входа и выхода из системы. Эти сценарии могут использоваться для подключения и отключения сетевых принтеров и общих сетевых ресурсов, очистки старых временных файлов или сохранения на сервер данных, хранящихся в локальной папке. Дополнительные возможности входных сценариев включают вставку программ командной строки и команд Visual Basic Script для подключения к ресурсам на основе членства в группах, создания почтовых профилей, настройки службы посылки извещений и записи входной и выходной статистики.
Ñöåíàðèè àäìèíèñòðèðîâàíèÿ êàòàëîãîâ Сценарии администрирования каталогов могут выполнять различные действия, облегчающие жизнь администраторам всех уровней IT-иерархии. С помощью сценариев можно выполнять поиск в каталогах, создание учетных записей пользователей,
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
753
добавление членов в группы и многое другое. Для управления пользовательскими объектами в каталоге можно создать сценарий просмотра каталога для поиска заблокированных или отключенных учетных записей. Сценарии могут проверить, созданы ли в определенный период времени новые учетные записи, и определить, что это за учетные записи. Некоторые часто создаваемые сценарии администрирования каталогов — это сценарии чтения из файлов для импорта каталогов и создания выходных файлов для обновления отдельных каталогов. Пользовательская информация может быть синхронизирована или перезаписана информацией, хранящейся в отдельных каталогах. Объекты, часто синхронизируемые между каталогами — это объекты и свойства пользователей, а также объекты и члены групп. Многие организации создают сценарии администрирования каталогов, чтобы предоставить администраторам низкого уровня и конечным пользователям способ управления и доступа к их конкретному объекту или набору объектов каталога. Например, можно написать сценарий для работников отдела кадров, которым нужна возможность создания учетных записей пользователей и редактирования контактной информации для всех работников, существующих в каталоге. Без помощи сценария выполнение этого процесса потребовало бы загрузку средств администрирования на компьютер работника отдела кадров, а затем обучение созданию и поиску пользователей с помощью этого средства. Этот вариант более утомителен и дает пользователю доступ к большему объему информации, чем ему необходимо. Лучшей альтернативой является подготовка нескольких простых сценариев: одного для создания пользователя и другого для поиска существующего пользователя в каталоге. С помощью сценариев можно предоставить работникам отдела кадров интерфейс (с помощью языка HTML или Visual Basic) для изменения контактных данных работников. Для создания пользователя необходимо очень немного данных, и эта информация может быть занесена в несколько полей. Например, если требуется заполнять поля “Местонахождение” и “Отдел”, то эти данные могут использоваться для определения членства в группах, сервера домашнего каталога, места хранения профиля и входного сценария. Чтобы ограничить возможности выбора управляющего кадрами и упростить поиск или редактирование информации, можно создать выпадающие меню. Дополнительной возможностью в сценарии создания пользователя может быть создание учетной записи пользователя, требующей изменения пароля при следующем входе в систему.
Ïðåèìóùåñòâà ðàáîòû ñî ñöåíàðèÿìè В данной главе внимания концентрируется на автоматизации задач управления пользователями, управления компьютерами и администрирования серверов. На протяжении главы будет использоваться язык написания сценариев VBScript и ряд других технологий, включая ActiveX Data Objects (ADO) и Windows Management Instrumentation (WMI). Преимуществом использования сценариев для выполнения повторяющихся или утомительных задач является уменьшение вероятности появления человеческой ошибки, поскольку сценарии никогда не пропускают шаги и никогда не допускают ошибки ввода данных при синхронизации информации и (что еще хуже) не останавливают службу для выполнения действий по сопровождению, а затем забыва-
754
Администрирование и управление Windows Server 2003 ×àñòü VI
ют запустить ее снова. Сценарии, предназначенные для автоматизации задач, перед внедрением в производственной среде должны тщательно тестироваться в лабораторной среде.
Ââåäåíèå â VBScript VBScript является одним из двух языков написания сценариев, разработанных компанией Microsoft. В этой главе для создания сценариев будет использоваться VBScript. Он не заменяет полноценного языка программирования наподобие Visual Basic .NET или Visual C++, а предназначен для предоставления (обычно) переносимого кода, который может быть просмотрен, модифицирован и выполнен на любой машине с хостом или интерпретатором VBScript. В отличие от “истинных” языков программирования, которые должны компилироваться, дабы система смогла понять их код, VBScript остается в виде исходного текста до самого момента выполнения, когда код интерпретируется и выполняется в системе. Команды VBScript не распознаются непосредственно операционной системой, поэтому они должны выполняться с помощью хоста или интерпретатора VBScript, который может преобразовать код так, что операционная система сможет его выполнить. VBScript является переносимым и не вызывает значительных дополнительных затрат, которые иногда возникают в связи с выполнением компилированных приложений вроде DLL-библиотек и им подобных. Файлы VBScript могут выполняться с помощью хоста сценариев Windows (WSH) или записываться на Web-страницу, которая поддерживает сценарии. VBScript-файлы имеют расширение .VBS, и по умолчанию это расширение сконфигурировано на запуск с помощью средства Wscript.exe. Это позволяет выполнять VBSфайлы в точности так же, как и исполняемые .EXE-файлы — дважды щелкнув на них. Другим вариантом является выполнение файлов в командном окне с помощью средства Cscript.exe.
Âàðèàíòû âûïîëíåíèÿ ñöåíàðèåâ íà Visual Basic Сценарий на Visual Basic не является компилируемым кодом, поэтому он должен выполняться на хосте или в контексте, который может интерпретировать команды и подавать их операционной системе, чтобы они выполнялись так, как требуется. Выполнить обработку кода VBScript можно, вызвав этот код с помощью Windows Scripting Host или вставив его в HTML- или ASP-страницу на Web-сервере, поддерживающем язык VBScript. Кроме того, можно добавить код VBScript в приложения на языке Visual Basic или C перед их компиляцией и выполнять некоторые задачи или функции с меньшими затратами, чем в случае VBScript.
Windows Scripting Host Сценарии, написанные на VBScript или JScript, могут интерпретироваться во время выполнения и выполняться на сервере или рабочей станции с помощью хоста сценариев Windows (Windows Scripting Host — WSH). WSH поддерживает выполнение сценариев из командной строки с помощью Cscript.exe и поддерживает выполнение
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
755
сценариев в графическом интерфейсе пользователя с помощью Wscript.exe. Все это является частями приложения Windows Scripting Host. Чтобы почувствовать разницу и приступить сразу к использованию простого сценария на VBScript, выполните следующие шаги: 1. Прежде чем приступить к созданию сценариев, создайте в корневом каталоге диска C каталог Scripts. 2. Выберите в меню Start пункт Run. Введите команду notepad.exe и щелкните на кнопке ОК для создания нового VBScript-сценария. Для создания сценария введите в окне блокнота следующий код, нажимая в конце каждой строки клавишу <Enter>: Dim CurrentTime CurrentTime = time Wscript.echo "The current time is " & CurrentTime & "." Команда Dim объявляет переменную CurrentTime, к которой можно обращаться во всем коде. В следующей строке кода переменной CurrentTime присваивается значение функции time, равное текущему времени. Последняя команда, Wscript.echo, выводит текст, заключенный в двойных кавычках, за которым следует значение переменной CurrentTime. Обратите внимание на символ & между текстом и переменной: он используется для сообщения команде Wscript.echo, что есть еще информация для отображения и что нужно вывести эту информацию в той же строке. 3. Сохраните файл с расширением .VBS, указав имя наподобие c:\Scripts\VBtime.vbs, и заройте блокнот. 4. Выберите в меню Start пункт Run. Введите команду cmd.exe, чтобы открыть командное окно. 5. Войдите в каталог c:\Scripts. 6. Введите команду Wscript.exe VBtime.vbs и нажмите <Enter>. Обратите внимание, что выводимые данные отображаются во всплывающем окне, так как Wscript.exe по умолчанию выполняется в графическом интерфейсе пользователя. 7. Щелкните на кнопке ОК, чтобы закрыть всплывающее окно и возвратиться в командное окно. 8. Введите команду Cscript.exe VBtime.vbs и нажмите <Enter>. Обратите внимание, что выводимые данные отображаются в интерфейсе командного окна и не требуют вмешательства пользователя для уведомления получения информации, как в случае Wscript.exe. Причиной того, что один и тот же код выводит информацию различными способами, является наследование свойств приложений Wscript.exe и Cscript.exe. Выводимые данные также непосредственно связаны с вызываемыми актуальными командами. Например, измените сценарий VBtime.vbs следующим образом, а затем сохраните файл и выполните сценарий с помощью и Wscript.exe, и Cscript.exe: Dim CurrentTime CurrentTime = time MsgBox "The current time is " & CurrentTime & "."
756
Администрирование и управление Windows Server 2003 ×àñòü VI
При выполнении этого сценария с помощью Wscript.exe или Cscript.exe выводятся одни и те же данные: всплывающее окно с текущем временем. Причина состоит в том, что функция вывода окна сообщения (MsgBox) является графической функцией, а команда Wscript.echo просто выводит данные в текущий интерфейс.
НА ЗАМЕТКУ Если команда наподобие Wscript.echo используется в сценарии несколько раз, то сценарий необходимо выполнять с помощью Cscript.exe. В противном случае пользователю придется закрывать все всплывающие окна по очереди.
Active Server Pages Средство Active Server Pages (ASP, активные серверные страницы), выполняющееся под управлением информационных служб Internet (Internet Information Services — IIS) Windows Server 2003, позволяет Web-разработчикам включать код сценариев в динамические HTML-страницы. Сценарии могут выполняться на стороне клиента, загружаясь и выполняясь на машине конечного пользователя, или на стороне сервера. В последнее время, в силу того, что на VBScript были написаны некоторые компьютерные вирусы, многие организации отключают в своих proxy-серверах и брандмауэрах выполнение VBScript-сценариев на стороне клиента. В этих случаях сценарии на стороне клиента могут функционировать некорректно, и сценарии необходимо использовать на стороне сервера. При просмотре клиентом исходного кода по умолчанию выводится не сценарий, а возвращаемые им значения. Web-страницу с ASP также можно создать с помощью блокнота, но многие разработчики для упрощения создания кода пользуются программами наподобие Microsoft FrontPage. В Web-странице с ASP можно использовать различные объекты, свойства объектов и методы, связанные с VBScript. Предположим, например, что с помощью WSH на консоль выведена информация командой Wscript.echo; но если нужно вывести эту информацию на Web-страницу, необходимо использовать объект response и метод write этого объекта. Чтобы создать Web-страницу с ASP, отображающую текущее время, выполните следующие шаги: 1. Войдите в сервер IIS. Откройте проводник Windows и в каталоге Web-сайта по умолчанию создайте папку с именем ASPscripts. Проверьте, что к этой папке разрешен доступ пользовательской учетной записи Anonymous. Этот доступ должен быть разрешен, поскольку он наследует полномочия у родительской папки. Местоположением по умолчанию является c:\inetpub\wwwroot. 2. Выберите в меню Start пункт Run. Введите команду notepad.exe и щелкните на кнопке ОК, чтобы создать новый VBScript-сценарий. Для создания сценария введите в окне блокнота следующий код: <TITLE> My ASP page Using Vbscript!
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
757
<% DIM CurrentTime CurrentTime = time response.write "The current time is " & CurrentTime & "." %>
3. Сохраните этот файл на IIS-сервере с именем C:\Inetpub\ASPscripts\VBtime.asp. 4. Для тестирования сценария откройте на IIS-сервере браузер Internet Explorer и просмотрите результирующую страницу по адресу: http://localhost/ASPscripts/VBtime.asp, как показано на рис. 23.1.
НА ЗАМЕТКУ Web-сайт, созданный на шаге 4, уже должен поддерживать Active Server Pages. Для включения ASP.NET на этом Web-сайте обратитесь к пункту меню Help and Support (Помощь и поддержка). Кроме того, обратитесь в главу 11.
Ðèñ. 23.1. Пример Web-страницы с ASP, использующий VBScript Выходные данные этой ASP-страницы просты, но их можно расширить с помощью HTML и команд VBScript. При необходимости на одной ASP-странице можно использовать различные языки сценариев. Код в данном ASP аналогичен ранее написанному файлу VBScript. Однако при использовании ASP необходимо указывать начало кода сценария символами <%, а конец кода — символами %>. Это предполагает применение стандартного языка сценариев VBScript. Для указания другого языка вроде JScript или JavaScript обратитесь к документации по ASP.
Îáçîð ñîçäàíèÿ ñöåíàðèåâ äëÿ Active Directory Для автоматизации задач администрирования систем Windows Server 2003, специально предназначенных для управления такими объектами Active Directory, как поль-
758
Администрирование и управление Windows Server 2003 ×àñòü VI
зователи, группы и компьютеры, VBScript-сценарии должны использовать команды и ссылки, связанные с предопределенными объектными моделями программирования. Объектная модель программирования определяет иерархию объектов, наподобие объекта пользователя в Active Directory или самой структуры каталога. Объектная модель определяет доступные свойства и атрибуты объекта, а также способы обращения к объекту и его изменения. Пусть, например, объект пользователя Active Directory имеет свойство SamAccountName. Значение этого свойства используется в качестве входного имени этого пользователя, а доступ к свойству SamAccountName осуществляется с помощью методов этого свойства Get и Put. Интерфейс служб Active Directory (Active Directory Services Interface — ADSI) предоставляет методы Get, GetEx и GetInfo для подключения или чтения данных из Active Directory или объекта Active Directory. Для создания или модификации объекта и его свойств сценарий должен обращаться к методам Put, PutEx и PutInfo. Компания Microsoft предлагает несколько объектных моделей, иногда перекрывающихся по возможностям, но обычно они специально предназначены для предоставления интерфейса к конкретному типу ресурсов или объектов.
Îáúåêòû Active Directory Active Directory имеет несколько объектов, к которым обращаются и которыми управляют обычные администраторы. Например, необходимо управлять объектами пользователей, групп, компьютеров и адресатов для настройки безопасности, изменения конфигурации или добавления или удаления членов из групп. Для обращения к этим объектам и чтения или установки значений отдельных свойств объектов VBScript нуждается в подключении к этому объекту или объектам с помощью специального интерфейса доступа. Этот интерфейс обычно называется программным интерфейсом приложений (Application Programming Interface — API) и содержит одну или несколько объектных моделей программирования, к которым можно обратиться с его помощью. Например, интерфейс служб Active Directory предоставляет доступ к объекту пользователя Active Directory через встроенную предопределенную объектную модель пользователя. Объектная модель пользователя ADSI предоставляет возможность доступа к большинству свойств пользователя. Доступность свойств объекта обычно определяется доступностью свойств этого объекта, определяемой в схеме Active Directory (Active Directory Schema). Схема Active Directory определяет все свойства, которые может иметь объект. В ней определяется, какие свойства являются обязательными и должны быть определены перед созданием нового объекта, и она определяет характеристики свойств объекта. Например, свойство объекта пользователя Last Name (Фамилия) является необязательным атрибутом. В схеме Active Directory определено, что при заполнении оно должно содержать не менее одного, но не более 128 символов. Чтобы иметь возможность обращения и модификации всех атрибутов объектов Active Directory, для управления всем каталогом или отдельным объектом каталога можно использовать несколько различных программных интерфейсов приложений и объектных моделей программирования. После обсуждения в нескольких последующих разделах часто используемых интерфейсов объектов и каталогов мы набросаем несколько примеров сценариев, чтобы показать, как использовать различные техноло-
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
759
гии, если необходимо выполнить административную задачу с помощью сценария. Половина работы, связанной со сценариями — узнать, какие объектные модели и интерфейсы могут быть использованы для выполнения задачи или доступа к нужному объекту в каталоге. После рассмотрения использования интерфейса манипулирование свойствами объектов сводится лишь к поиску имен доступных свойств и методов.
Èíòåðôåéñ ñëóæá Active Directory ADSI является моделью службы каталогов, разработанной для создания единого интерфейса для доступа и модификации каталогов и объектов каталогов. ADSI поддерживает различные каталоги: Microsoft Exchange 5.5, Novell NetWare NDS и Microsoft Active Directory. С помощью ADSI можно автоматизировать множество задач, относящихся к каталогам, таких как создание пользователей или динамическое добавление или удаление членов из групп. Когда нужно провести поиск устройств в предприятии и когда необходимо создавать или модифицировать объекты каталогов, ADSI используется в сочетании с ADO, CDO, WMI и VBScript.
Ðàáîòà ñ îáúåêòàìè Active Directory С помощью сценариев можно создавать, удалять или модифицировать объекты Active Directory. Перед любым обращением к объекту необходимо подключиться к каталогу. Эту задачу можно выполнить, передав с помощью стандартного протокола путь служб каталогов контейнеру каталога. Например, для подключения к Active Directory можно использовать протокол LDAP для подключения и ADSI — для указания объекта контейнера каталога, к которому необходимо подключиться. С помощью строки "LDAP://CN=Users,DC=Companyabc,DC=com" можно использовать специальный метод ADSI с именем Get, чтобы подключиться к контейнеру Users в домене Companyabc.com. После установки подключения или связывания контейнер можно опросить, чтобы получить список компьютеров, пользователей или групп, либо можно создавать новые объекты. Первоначальное связывание с каталогом определяет корневую начальную точку для поисков в каталоге и устанавливает уровень прав доступа, назначенных каталогу, который основывается на контексте пользователя, в котором выполняется сценарий.
Äîñòóï ê ñâîéñòâàì îáúåêòîâ При обсуждении объектов Active Directory часто используются термины свойства объекта (object properties) и атрибуты объекта (object attributes). Иногда они используются взаимозаменяемо. Но это не всегда так и зависит от интерфейса, используемого для доступа к объекту. Еще более запутывает дело то, что если для просмотра или изменения значений атрибутов пользователя использовать оснастку Active Directory Users and Computers консоли MMC, то пояснение, приведенное в графическом интерфейсе пользователя, может не совпадать с реальным именем каталога. Например, на странице свойств пользователя Address (Адрес) имеется поле с меткой City (Город). При доступе к объекту пользователя непосредственно с помощью ADSI Edit каталог для поля City называется “l”, что означает “location” (расположение) (рис. 23.2).
760
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðèñ. 23.2. Доступ к объектам пользователя Active Directory Чтобы узнать имена каталогов атрибутов объекта и какие возможные атрибуты может содержать тот или иной объект, можно воспользоваться двумя утилитами. Оснастка Active Directory Users and Computers консоли MMC также может предоставить обходной путь для определения атрибутов объектов с помощью оснастки Saved Queries (Хранимые запросы). Имя каталога атрибута объекта используется в сценарии, когда сценарий пытается прочитать или изменить значение этого атрибута. Для определения имени каталога атрибута, видимо, проще всего воспользоваться оснасткой MMC ADSI Edit.
Îñíàñòêà MMC ADSI Edit Оснастка MMC ADSI Edit (Редактирование ADSI) консоли MMC позволяет непосредственно заглянуть в разделы Active Directory для просмотра и модификации содержащихся в них объектов. ADSI Edit помогает узнать настоящие имена каталогов и значения объектов и их атрибутов.
ВНИМАНИЕ! Оснастка ADSI Edit является для Active Directory тем же, чем является редактор реестра для системного реестра. ADSI Edit является очень мощным средством, но важно помнить, что в ней нет встроенных защит, которые делают оснастку Active Directory Users and Computers приложением, достаточно защищенным от дурака. Например, ADUC не позволяет учетной записи пользователя иметь более одного первичного адреса SMTP. Но в ADSI Edit нет ничего, что может помешать назначению нескольких первичных адресов SMTP, что может привести к серьезным проблемам. Такие изменения могут оказаться необратимыми без восстановления из резервной копии. Следовательно, перед началом работы с ADSI Edit необходимо выполнить полное резервное копирование.
ADSI Edit можно применять для ручного заполнения атрибутов объекта, если этот атрибут недоступен из оснастки MMC Active Directory Users and Computers. Эта оснастка удобна, если известно имя атрибута. В оснастке можно просмотреть весь список атрибу-
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
761
тов в одном окне. Для подключения к разделу Active Directory Domain Naming Context (Контекст имен домена Active Directory) выполните перечисленные ниже шаги. 1. Войдите в рабочую станцию или сервер с правами администратора домена и правами локального администратора на машине. 2. Установите средства поддержки Windows Server 2003 с инсталляционного компакт-диска. Эти средства можно инсталлировать, запустив программу установки D:\Support\Tools\SUPTOOLS.msi, где D соответствует букве, назначенной приводу с инсталляционным компакт-диском. 3. После завершения инсталляции средств поддержки выберите в меню Start пункт Run. 4. Введите команду MMC и щелкните на кнопке ОК, чтобы открыть консоль управления Microsoft. 5. Выберите в меню File (Файл) пункт Add/Remove Snap-in (Добавить или удалить оснастку). 6. В окне Add/Remove Snap-in щелкните на кнопке Add (Добавить), чтобы открыть список доступных оснасток. 7. На странице Add Standalone Snap-in (Добавить отдельную оснастку) выберите строку ADSI Edit Snap-in (Оснастка ADSI Edit) и щелкните на кнопке Add (Добавить). 8. Когда в окне Add/Remove Snap-in появится оснастка ADSI Edit, щелкните на кнопке Close (Закрыть) в окне Add Standalone Snap-in и на кнопке ОК в окне Add/Remove Snap-in. 9. Возвратившись в окно консоли MMC, щелкните правой кнопкой мыши на оснастке ADSI Edit и выберите в контекстном меню пункт Connect To (Подключить к). 10. Введите в качестве точки подключения раздел Active Directory или отличительное имя контейнера. Чтобы подключиться ко всему домену и увидеть информацию, аналогичную оснастке Active Directory Users and Computers, выберите переключатель Select A Well Known Naming Context (Выбор известного контекста именования). Затем выберите контекст именования домена, как показано на рис. 23.3. 11. В разделе Computer (Компьютер) либо укажите домен или сервер, либо выберите домен по умолчанию. 12. Щелкните на кнопке ОК для создания подключения. 13. Выберите в меню File пункт Save (Сохранить). 14. Сохраните консоль в предложенном месте под именем ADSI Edit и щелкните на кнопке Save (Сохранить). 15. В окне консоли раскройте раздел домена и найдите объекты в контейнерах домена Active Directory.
Îïðåäåëåíèå èìåíè êàòàëîãà àòðèáóòà ïîëüçîâàòåëÿ Для определения имени каталога атрибута конкретного пользователя — например, атрибута Pager (Пейджер) — выполните следующий простой процесс:
762
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðèñ. 23.3. Выбор контекста именования домена в качестве начальной точки подключения 1. В оснастке MMC Active Directory Users and Computers найдите доступного для манипуляций тестового пользователя. На странице свойств пользователя General (Общие) заполните атрибут Office (Офис) каким-либо хорошо заметным текстом, например, ZZZZ. Сохраните это изменение и закройте объект пользователя. 2. После сохранения этого значения откройте оснастку ADSI Edit, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖADSI Edit (Все программыÖАдминистрированиеÖADSI Edit). Если консоль не появилась, выполните шаги по созданию консоли, приведенные в предыдущем разделе. 3. Просмотрите каталог и найдите нужный объект пользователя. 4. Щелкните правой кнопкой мыши на этом пользователе и выберите в контекстном меню пункт Properties (Свойства). 5. На странице Attribute Editor (Редактор атрибутов) щелкните на кнопке Values (Значения). После этого список атрибутов будет отсортирован по строкам значений, перед которыми идут числа. 6. Перейдите в конец списка и найдите там значение ZZZZ. 7. Заметьте конкретное имя атрибута, связанное со значением страницы. 8. Если значение ZZZZ отсутствует, закройте окно, щелкните правой кнопкой мыши на объекте, выберите в контекстном меню пункт Refresh (Обновить) и снова откройте окно свойств. С помощью оснастки MMC Active Directory Users and Computers можно обнаружить, что атрибуту с меткой Office соответствует каталог с именем PhysicalDeliveryOfficeName. Если сценарий попытается найти эту информацию, обращаясь к атрибуту по имени Office, то возникнет ошибочная ситуация.
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
763
Îñíàñòêà MMC Active Directory Schema Оснастка MMC Active Directory Schema (Схема Active Directory) является мощным средством модификации и расширения схемы Active Directory. С ее помощью можно также просматривать и модифицировать характеристики объектов и атрибутов каталога. Например, если для занесения информации в атрибут Pager объекта пользователя используется сценарий, то с помощью оснастки MMC Schema можно найти атрибут Pager и просмотреть параметры атрибута — например, тип данных, которые можно сохранять в этом атрибуте, минимальный и максимальный диапазон поддерживаемых им символов и содержит ли этот атрибут одно значение или несколько. Для создания и использования оснастки MMC Schema выполните описанные ниже действия. 1. Войдите в рабочую станцию или сервер с правами администратора домена и правами локального администратора на машине. 2. Если используется система Windows Server 2003, перейдите к шагу 4. 3. Установите пакет Administration (Администрирование) с установочного компакт-диска системы Windows Server 2003. Пакет Administration может быть установлен в системах Windows XP Professional. Установите его, запустив программу установки D:\i386\Adminpak.MSI, где D соответствует букве, назначенной приводу с инсталляционным компакт-диском. 4. После завершения инсталляции пакета Administration выберите в меню Start пункт Run. 5. Введите команду Regsvr32.exe schmmgmt.dll и щелкните на кнопке ОК. Должно появиться всплывающее окно с подтверждением корректной регистрации файла. Это означает, что оснастку MMC Schema теперь можно использовать. Щелкните на кнопке ОК, чтобы закрыть это всплывающее окно. 6. Выберите в меню Start пункт Run. 7. Введите команду MMC и щелкните на кнопке ОК, чтобы открыть консоль управления Microsoft. 8. Выберите в меню File пункт Add/Remove Snap-in. 9. В окне Add/Remove Snap-in щелкните на кнопке Add, чтобы вывести список доступных оснасток. 10. На странице Add Standalone Snap-in выберите строку Active Directory Schema Snap-in (Оснастка Active Directory Schema) и щелкните на кнопке Add. 11. Когда оснастка Active Directory Schema появится в окне Add/Remove Snap-in, щелкните на кнопке Close на странице Add Standalone Snap-in, а затем на кнопке ОК в окне Add/Remove Snap-in. 12. Выберите в меню File пункт Save. 13. Сохраните консоль в предложенном месте под именем Schema и щелкните на кнопке Save. После создания оснастки MMC Schema можно просматривать объекты, чтобы выяснить, какие атрибуты доступны для каждого объекта. Например, чтобы выяснить характеристики атрибута Pager, выполните следующие шаги:
764
Администрирование и управление Windows Server 2003 ×àñòü VI
1. Если оснастка MMC Schema не открыта, выберите в меню Start пункт All ProgramsÖAdministrative Tools (Все программыÖАдминистрирование) и выберите строку Schema.msc. Конечно, при этом предполагается, что консоль уже создана с помощью описанных ранее шагов. В противном случае откройте консоль MMC и добавьте оснастку MMC Schema.
НА ЗАМЕТКУ При подключении администраторы домена могут просматривать схему с помощью этого средства, но модифицировать классы или атрибуты объектов могут только члены группы Schema Admins (Администраторы схемы).
2. Выберите в левой панели контейнер Attributes; затем в списке на правой панели выберите строку Pager. Если вы не знаете имя каталога нужного атрибута, вернитесь к разделу “Определение имени каталога атрибута пользователя”. 3. Щелкните правой кнопкой мыши на атрибуте Pager и выберите в контекстном меню пункт Properties, чтобы открыть окно со свойствами атрибутов. 4. При необходимости изменить что-нибудь — например, если нужно проиндексировать этот атрибут в глобальном каталоге для повышения эффективности поиска номеров пейджеров — это изменение можно выполнить в данном окне. Провести такое изменение могут только члены группы Schema Admins. По завершении работы закройте это окно и оснастку MMC Schema. С помощью оснастки MMC Schema можно расширить Active Directory, добавив новые атрибуты к отдельным классам, например, к классу пользователей. Расширение схемы выходит за пределы данной книги. Чтобы получить информацию о расширении схемы в лесу доменов Windows Server 2003, обратитесь к меню Help and Support на сервере Windows Server 2003. Если сервер имеет доступ в Internet, то это меню также просканирует базу знаний Microsoft Knowledge Base, чтобы найти соответствующие статьи.
Óïðàâëåíèå ïîëüçîâàòåëÿìè ñ ïîìîùüþ ñöåíàðèåâ Сценарии управления пользователями Active Directory могут создавать пользователей, просматривать контейнеры Active Directory для получения списков пользователей и изменять значения атрибутов существующих пользователей. Для каждого объекта пользователя в AD доступны обязательные и опциональные атрибуты. Для создания пользователя каждый обязательный атрибут должен иметь значение, то есть каждый пользователь будет иметь значение для каждого обязательного атрибута. Поиск пользователей необходимо проводить по этим первичным атрибутам. Например, обязательным атрибутом пользователя является атрибут SamAccountName. Если требуется создать список входных имен пользователей, можно послать домену запрос на получение объектов пользователей и для каждого объекта пользователя запросить значение атрибута SamAccountName. Опциональный атрибут может быть номером пейджера или телефона пользователя. Поиск пользователей по опциональным атрибутам может быть эффективным только в том случае, если нужно отфильтровать поиск. Например, если необходимо
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
765
создать список пользователей в домене с фамилией Smith, можно получить список всех пользователей с помощью атрибута SamAccountName, выполнить запрос по значению фамилии и затем сравнить его с фамилией Smith. Полученный список будет содержать только пользователей с фамилиями, удовлетворяющими этому критерию.
НА ЗАМЕТКУ Полю Last Name (Фамилия) соответствует имя каталога sn, что означает “Surname”.
Ñöåíàðèé ñîçäàíèÿ ïîëüçîâàòåëÿ Процесс создания нового пользователя AD с помощью ADSI и VBScript можно разбить на следующие четыре простых шага: 1. Подключение к каталогу или конкретному объекту контейнера. 2. Создание пользователя с помощью заполнения обязательных атрибутов. 3. Заполнение дополнительных атрибутов и обновление объекта пользователя. 4. Выход из сценария. Для доступа к объекту пользователя Active Directory нужно применять ADSI, а для выполнения поиска — ADO. Если необходимо заполнить атрибуты обмена, следует использовать CDO (Collaborative Data Objects — объекты совместно используемых данных). Для создания пользователя потребуется заполнить один из обязательных атрибутов — атрибут CN. Этот атрибут содержит значение, используемое для создания DN (отличительного имени) объекта пользователя. Чтобы создать сценарий создания пользователя, введите с помощью блокнота в новом текстовом файле следующий код: set obj= GetObject("LDAP://cn=users,dc=companyabc,dc=com") set usr = obj.Create("user","cn="& "TestUser") usr.SetInfo Для продолжения процесса выполните следующие шаги: 1. Сохраните файл под именем ADuser.vbs в каталоге C:\Scripts, в котором планируется сохранять сценарии. 2. Выберите в меню Start пункт Run. 3. Введите команду cmd.exe и щелкните на кнопке ОК, чтобы открыть командное окно. 4. Введите команду cscript c:\scripts\ADuser.vbs, чтобы выполнить сценарий в среде командного окна.
НА ЗАМЕТКУ Сценарий ADuser.vbs не будет работать в таком виде, если сконфигурированная в домене политика паролей не разрешает пустые пароли.
Сценарий ADuser.vbs создает пользователя с именем TestUser в контейнере Users домена Companyabc.com. Первая строка кода с помощью ADSI подключается к контейнеру Users и связывается с ним. Метод GetObject не указывает аутентификацию, поэтому сценарий выполняется в контексте уже вошедшего пользователя. Вторая строка
766
Администрирование и управление Windows Server 2003 ×àñòü VI
создает объект пользователя в контейнере Users. Последняя строка собственно сохраняет все изменения в контейнере каталога, указанного в первой строке кода. Этот очень простой описанный выше сценарий можно изменить для подключения к конкретной организационной единице или даже для указания контроллера домена. Первая строка подключения используется для связывания с каталогом; она применяет метод GetObject, который использует атрибут объекта ADSPath. Если начальный путь ADS к контейнеру, с которым нужно связаться, неизвестен, то с помощью ADSI подключиться к нему невозможно. Атрибут ADSPath получен из формата связывания протокола, за которым идет значение объекта или контейнера DistinguishedName. Для определения значения DistinguishedName контейнера Users в домене Companyabc.com воспользуйтесь оснасткой ADSI Edit, как уже описано в разделе “Оснастка MMC ADSI Edit” данной главы. Затем выполните перечисленные ниже действия. 1. Войдите в нужную рабочую станцию или сервер с уровнем полномочий, достаточным, чтобы открыть ADSI для просмотра объектов каталогов. Обычно достаточно полномочий группы администраторов домена (Domain Admins). 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖADSI Edit (Все программыÖАдминистрированиеÖADSI Edit). Если консоль не появилась, выполните шаги по созданию консоли, описанные ранее в данной главе, в разделе “Оснастка MMC ADSI Edit”. 3. Отыщите в каталоге пользователя или контейнер, для которого требуется найти значение DistinguishedName. 4. Щелкните правой кнопкой мыши на этом объекте и выберите в контекстном меню пункт Properties. 5. На вкладке Attribute Editor (Редактор атрибутов) установите оба флажка Show Mandatory Attributes (Показывать обязательные атрибуты) и Show Optional Attributes (Показывать опциональные атрибуты). 6. Найдите в окне атрибут DistinguishedName и запомните или запишите его значение для контейнера Users домена Companyabc.com, как показано на рис. 23.4. В данном случае значение атрибута DistinguishedName для контейнера Users равно "CN = Users,DC = companyabc,DC = com". Ссылка DC обозначает домен. Для отдельных поддоменов также используется ссылка DC. Организационным единицам соответствует ссылка OU. Для пользователей, групп, контактов, контейнеров, компьютеров и других объектов каталогов применяется ссылка CN. Все это взято из объектной модели ADSI. Чтобы составить значение ADSPath для подключения с помощью отличительного имени (Distinguished Name — DN) к объектам Active Directory, при ссылке на него в сценарии просто добавьте в начало значения DN строку LDAP://.
Ðèñ. 23.4. Поиск значения атрибута DistinguishedName для контейнера Users
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
767
Çàïîëíåíèå îïöèîíàëüíûõ àòðèáóòîâ ïîëüçîâàòåëÿ После создания пользователя в Active Directory в него можно добавлять значения необязательных атрибутов. Несколько расширив предыдущий сценарий из трех строк, можно после создания пользователя добавить в его объект другие атрибуты. Следующий сценарий заполняет атрибуты пейджера и начального пароля: set obj= GetObject("LDAP://cn=users,dc=companyabc,dc=com") set usr = obj.Create("user","cn="& "TestUser") usr.pager = "999–999–9999" usr.SetInfo usr.setpassword ="воттакоймойпароль" usr.SetInfo Сохраните этот файл как VBS-файл и выполните его с помощью Cscript.exe, как описано в предыдущих примерах. В данном примере интересно то, что пароль устанавливается только после создания пользователя, поскольку прежде чем назначить пользователю пароль, этот пользователь уже должен существовать.
Çàïîëíåíèå àòðèáóòîâ ïîëüçîâàòåëÿ ñ ïîìîùüþ ïåðåìåííûõ Если планируется создание множества пользователей, заполнение атрибутов из данных, хранимых в переменных, может сберечь немало часов. Расширив простой сценарий создания пользователя, можно задавать с помощью переменной путь входного сценария пользователя. Если пишется сложный сценарий, использующий подпрограммы для выполнения простых действий для каждого объекта, то необходимо объявлять переменные глобально, чтобы к ним можно было обращаться во всем сценарии. Если переменная будет использоваться в отдельной подпрограмме, ее можно объявить и использовать в пределах этой подпрограммы. Для объявления переменной и заполнения пути профиля пользователя при создании пользователя измените предыдущий сценарий следующим образом: Dim ProfilePth ProfilePth = "companyabc.com\Profiles\%Username%" set obj= GetObject("LDAP://cn=users,dc=companyabc,dc=com") set usr = obj.Create("user","cn=" & "TestUser") usr.pager = "999–999–9999" usr.ProfilePath = ProfilePth usr.SetInfo usr.setpassword ="воттакоймойпароль" usr.SetInfo ProfilePth = "" В строке, добавленной в начало, объявляется переменная. Затем этой переменной присваивается значение. Тремя строками ниже атрибуту ProfilePath присваивается значение, содержащееся в переменной ProfilePth. И, наконец, последняя строка сценария стирает содержимое этой переменной.
768
Администрирование и управление Windows Server 2003 ×àñòü VI
Как и ADSI Edit, в сценариях ADSI почти нет средств защиты. Кроме того, поскольку один сценарий за несколько секунд может изменить тысячи объектов пользователей, существует немалый риск, что один неверно набранный символ может привести к катастрофическим результатам. Для уменьшения риска при массовом изменении атрибутов AD можно выполнить несколько действий: 1. В точности уясните, какие эффекты повлекут за собой изменения. 2. Протестируйте сценарий в лабораторной среде. 3. Создайте резервную копию Active Directory. 4. Выполните сценарий в ограниченной области объектов Active Directory (например, в одной OU), прежде чем выполнить полномасштабное изменение атрибутов.
Çàäàíèå ñâîéñòâ Exchange 2000 äëÿ Active Directory ñ ïîìîùüþ ñöåíàðèÿ Если наряду с лесом Active Directory используется служба Exchange 2000 или Exchange 5.5 с соединителем Active Directory (Active Directory Connector — ADC), то схема леса расширяется для назначения пользователю или группе необходимых атрибутов обмена сообщениями. Для манипулирования состоянием обмена сообщениями или конфигурацией пользователя администратор должен применить объектные модели программирования, которые стали доступными с помощью объектов совместно используемых данных (Collaborative Data Objects — CDO).
Îáúåêòû ñîâìåñòíî èñïîëüçóåìûõ äàííûõ CDO предоставляют программный интерфейс и объектную модель для управления объектами сообщений сервера Exchange 5.5 и 2000 с помощью сценариев, написанных на VBScript, или скомпилированных приложений, написанных на языке программирования наподобие Visual Basic или Visual C. С помощью CDO можно создать общедоступные папки, добавить адресатов в адресную книгу Exchange и создать для пользователя почтовый ящик. Сценарии, предназначенные для создания пользователей в Active Directory, могут легко модифицироваться для назначения этим пользователям адресов электронной почты и почтовых ящиков на сервере Exchange 2000. Чтобы создать пользователей и заодно разрешить им пользование почтой, можно подготовить единый VBScript-сценарий, который будет подключаться к Active Directory, используя ADSI для создания объекта пользователя и CDO для разрешения пользования почтой. Чтобы разрешить пользователю работу с почтой Active Directory в лесе, содержащем серверы Exchange 2000, выполните перечисленные ниже шаги. 1. Войдите в нужную рабочую станцию или сервер с уровнем полномочий, достаточным для полного администрирования объектов пользователей в Active Directory. Эта учетная запись должна иметь также минимум прав администратора Exchange 2000 View Only Admin (просматривающий администратор) в соответствующей административной группе Exchange 2000. Для получения дополнительной информации об организациях и полномочиях Exchange 2000 обратитесь к документации по Exchange 2000.
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
769
2. Если пакет Windows Server 2003 Adminpak.msi еще не установлен в системе, установите его и системные средства Exchange 2000 (Exchange 2000 System Tools). Компонент Adminpak необходим для использования средств, подобных оснастке MMC Active Directory Users and Computers, чтобы просматривать статус пользователей после выполнения сценария. В процессе установки Exchange System Tools будет инсталлирована и зарегистрирована библиотека CDO.dll, после чего на этой машине можно применять объектные модели CDO. 3. Чтобы расширить сценарий создания пользователя и при его создании разрешить ему пользование почтой, подготовьте следующий сценарий: set obj= GetObject("LDAP://cn=users,dc=companyabc,dc=com") set usr = obj.Create("user","cn="& "TestUser") usr.pager = "999–999–9999" usr.SetInfo usr.MailEnable "smtp:" & usr.cn & "@domain.com" usr.setpassword ="воттакоймойпароль" usr.SetInfo Этот сценарий во время выполнения создает пользователя, добавляет значение в атрибут Pager, разрешает ему пользование почтой (что означает назначению этому пользователю внешнего адреса электронной почты и добавление ссылки в адресную книгу Exchange) и, наконец, устанавливает начальный пароль.
Ñîçäàíèå ïîëüçîâàòåëåé èç ôàéëà äàííûõ Теперь, после рассмотрения нескольких очень простых сценариев, можно приступить к решению более сложных задач наподобие создания пользователей из файла данных. Когда IT-персоналу предоставляются данные для создания нескольких учетных записей пользователей, эти данные могут быть использованы для автоматизации создания пользователей. Часто применяются форматы файлов LDIF, файлы с разделителями-запятыми (comma-separated value — CSV) и файлы с разделителямитабуляциями (tab-separated value — TSV). Эти файлы можно прочитать с помощью VBScript, используя модель объектов файловой системы (File System Object — FSO). Если файлы представлены в формате LDIF или CSV, то эти данные могут быть собраны и использованы для создания пользователей в Active Directory с помощью соответственно средства Ldifde.exe или средства Csvde.exe. Кроме того, если данные, необходимые для создания объекта каталога, хранятся в базе данных или отдельном каталоге, то эти данные могут быть выбраны с помощью объектов данных ActiveX (ActiveX Data Objects — ADO), если ADO может связаться с базой данных.
Ïðèìåíåíèå ñðåäñòâ Ldifde.exe èëè Csvde.exe Ldifde.exe и Csvde.exe представляют собой замечательные средства для создания объектов каталогов из текстовых форматированных данных, представленных в формате LDIF или CSV. В качестве средств экспорта данных они могут экспортировать данные на основе их положения в каталоге, членства в OU и класса объекта (пользо-
770
Администрирование и управление Windows Server 2003 ×àñòü VI
ватели, группы или компьютеры); кроме того, они указывают, какие атрибуты необходимо экспортировать. При указании отдельных атрибутов эти средства довольно ограничены, но для создания сценариев единовременного массового экспорта или импорта пользователей они могут расширить возможности управления каталогами. Чтобы с помощью Ldifde.exe создать файл экспортирования каждого объекта в контейнер Users домена Companyabc.com, выполните следующие шаги: 1. Войдите в рабочую станцию или сервер домена Companyabc.com с учетной записью с правами администратора домена. 2. Выберите в меню Start пункт Run. 3. Введите команду cmd.exe и щелкните на кнопке ОК, чтобы открыть командное окно. 4. Введите следующую команду и нажмите <Enter> для ее выполнения: ldifde -f UserContainer.txt –d "cn=users,dc=companyabc,dc=com" Эта команда создает файл, содержащий все атрибуты и значения контейнера User и всех содержащихся в нем объектов. 5. Чтобы открыть выходной файл в блокноте и посмотреть, как выглядит формат LDIF, введите в командном окне имя файла. При необходимости эти средства можно использовать для выполнения импорта каталога. Однако есть одно ограничение: с их помощью нельзя задать начальный пароль.
Ïîäêëþ÷åíèå ê èñòî÷íèêàì äàííûõ â âèäå íåñòðóêòóðèðîâàííûõ ôàéëîâ Подключиться к неструктурированным файлам можно с помощью лишь одних команд VBScript. Операции чтения и записи в файл можно выполнять с помощью модели объектов файловой системы (FSO). Файлы можно открыть для чтения, записи или дописывания к существующему содержимому. Если файлы открыты для чтения, то данные могут читаться посимвольно, построчно, либо можно открыть весь файл и загрузить его в память. В качестве примера приведем следующий сценарий, который читает файл boot.ini на сервере Windows Server 2003; затем он вводит данные построчно и выводит их на консоль в окне сообщений, пока не дойдет до маркера конца файла, после чего выдает заключительное сообщение. Dim FSO, TheFile, Line Set FSO = CreateObject("Scripting.FileSystemObject") Set TheFile = FSO.OpenTextFile("C:\boot.ini", 1) Do While NOT TheFile.AtEndOfStream Line = TheFile.ReadLine MsgBox Line Loop MsgBox "Достигнут конец файла." Этот сценарий создает объект файловой системы из файла boot.ini. Сценарий читает строки файла и выводит их на экран до исчерпания файла. После этого появляется всплывающее окно, сообщающее о достижении конца файла.
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
771
Ïîèñê â Active Directory Иногда поиск в Active Directory представляет собой наиболее эффективный способ создания списка пользователей, групп или компьютеров организации для целей администрирования или учета. Можно провести поиск, чтобы найти конкретное значение атрибута объекта или чтобы проверить, существует ли объект, перед попыткой создания нового объекта. Например, при выполнении сценария создания нескольких сотен пользователей можно воспользоваться сценарием поиска, чтобы найти существующие объекты пользователей, имеющие такие же входные имена. Для указания совпадающей учетной записи можно возвратить имя пользователя, а сценарий может продолжать работу с остальными пользователями. Допустимо сделать и так, что если пользователь уже существует, то в качестве ссылки будет использована генерируемая ошибка, но тогда необходимо знать точный код результирующей ошибки. Для поиска в Active Directory можно использовать ADSI, но для более быстрого поиска в сценарии следует использовать интерфейс и объектную модель объектов данных ActiveX (ADO).
Îáúåêòû äàííûõ ActiveX ADO представляет собой объектную модель программирования, используемую для доступа к базам данных и/или каталогам из сценария или Web-страницы. ADO можно использовать не только для доступа к существующим записям баз данных, но и для добавления новых записей, удаления записей или модификации существующих записей. При использовании ADO для поиска в базах данных или каталогах запросы необходимо оформлять в виде обычных структурированных SQL-запросов. Нужно ли модифицировать запрос из стандартного SQL-кода — определяют конкретные базы данных, к которым получается доступ.
Ñîçäàíèå ñöåíàðèÿ ïîèñêà ñ ïîìîùüþ ADO С помощью ADO можно провести поиск во всем домене Active Directory или в отдельном объекте контейнера. Как уже было сказано, в качестве корня поиска будет использоваться атрибут ADSPath домена или контейнера. Для поиска нужно указать данные, которые должны быть возвращены, а также использовать фильтр. С помощью ADO можно выполнять различные операции с каталогами и базами данных, но для этого следует ознакомиться с документацией по ADO. Чтобы подключиться к Active Directory, используйте указанные ниже команды для вызова ADO и подготовки к созданию подключения. После определения этих параметров подключения можно открыть подключение к каталогу и строке поиска и передать в каталог требуемую информацию о каталоге. Для создания подключения к Active Directory и возвращения списка всех компьютеров домена Companyabc.com создайте сценарий с именем findpc.vvs, который содержит приведенный ниже код. Dim DomainDN, ComputerName DomainDN = "dc=companyabc,dc=com" Set oConnection = CreateObject("ADODB.Connection") oConnection.Provider = "ADsDSOObject" oConnection.Open "DS Query" Set oCommand = CreateObject("ADODB.Command")
772
Администрирование и управление Windows Server 2003 ×àñòü VI
Set oCommand.ActiveConnection = oConnection oCommand.CommandText = "Select cn from 'LDAP://" + DomainDN + "' where objectClass='computer'" Set rsComputers = oCommand.Execute Wscript.echo "Это список всех компьютеров домена." Do While NOT rsComputers.EOF ComputerName = rsComputers.Fields("cn") Wscript.echo ComputerName rsComputers.MoveNext Loop Данный сценарий можно модифицировать для любого домена Active Directory, заменив лишь значение переменной DomainDN значением атрибута отличительного имени домена, контейнера домена или организационной единицы. Приведенный выше код реализует простой поиск с помощью ADO, который можно легко модифицировать, изменив только значение CommandText. Это значение определяет объект контейнера привязки, критерий поиска и какие значения атрибутов объектов, удовлетворяющих критерию поиска, должны возвращаться в переменной или, как в данном случае, на консоль.
Ïîèñê ñ ïîìîùüþ îñíàñòêè MMC Active Directory Users and Computers Многие администраторы не знают, как создать строку поиска, чтобы оформить запрос. Для упрощения этой задачи новая и улучшенная оснастка MMC Active Directory Users and Computers для Windows Server 2003 содержит новый модуль с именем Saved Queries (Хранимые запросы). С помощью этого средства можно создавать запросы для регулярно выполняемых администраторами поисков или для задач администрирования наподобие поиска всех пользователей с конкретным значением атрибута City (Город). Чтобы воспользоваться этой функцией, прочитайте справочные страницы, связанные с оснасткой Active Directory Users and Computers.
НА ЗАМЕТКУ Текст запроса, генерируемый с помощью модуля Saved Queries, не переносим непосредственно в строку поиска ADO. Чтобы правильно сформировать строку поиска для ADO, обратитесь к документации по ADO.
Íàïèñàíèå ñöåíàðèåâ äëÿ Windows Server 2003 При написании сценариев для системы Windows Server 2003 объекты серверов можно найти в Active Directory с помощью ADSI или ADO. Для реального подключения к серверу, чтобы провести изменения или записать информацию, необходимо воспользоваться инструментальными средствами управления Windows (Windows Management Instrumentation — WMI). С помощью WMI можно получить доступ к операционной системе для сбора статистики о производительности. С помощью ADSI можно создавать, опрашивать или модифицировать объекты Active Directory через LDAP или
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
773
подключение к глобальному каталогу (GC). Аналогично, для выполнения различных задач — от удаленной перезагрузки сервера до подключения сетевых дисков и принтеров — могут использоваться средства командной строки.
Ââåäåíèå â Windows Management Instrumentation Управление системами Windows Server 2003 может осуществляться с помощью интерфейсов и объектных моделей, доступных в Windows Management Instrumentation. WMI представляет собой реализацию Microsoft системы управления предприятием на основе Web (Web-Based Enterprise Management — WBEM) — производственной инициативы, предназначенной для обеспечения лучшего управления и удаленного мониторинга сервера и сетевых устройств предприятия. WMI может применяться для доступа и манипулирования файлами сервера и файловой безопасностью и для конфигурирования сервера — например, создания общих файловых ресурсов или установки принтеров и управления службами. С помощью WMI можно также управлять приложениями наподобие терминальных служб через отдельных поставщиков WMI.
Ñîçäàíèå ïðîñòîãî ñöåíàðèÿ WMI Как и в предыдущих сценариях управления пользователями, прежде чем обращаться к объектам и манипулировать ими, необходимо знать, как подключаться, какими свойствами можно управлять и как именно ими можно управлять. Другими словами, необходимо ознакомиться с интерфейсом WMI и объектной моделью для серверов или рабочих станций. Чтобы создать простой сценарий WMI для подключения к конкретному серверу и вывода буквенных обозначений для каждого локального тома и общего объема памяти на томах, выполните следующие шаги: 1. Войдите в рабочую станцию или сервер с учетной записью с административными правами для сервера, который необходимо опросить. 2. Выберите в меню Start пункт Run. 3. Введите команду notepad.exe и щелкните на кнопке ОК. В окне блокнота введите следующий код: Set oWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}! ª \\dc1.companyabc.com\root\cimv2") Set colDisks = oWMIService.ExecQuery ("Select * from Win32_LogicalDisk") For Each oDisk In colDisks If oDisk.DriveType = 3 Then Wscript.echo oDisk.Name & vbTab & CStr(Round(oDisk.Size/1048576)) End If Next 4. Используя код из шага 3, замените ссылку с dc1.companyabc.com на полное определенное доменное имя сервера или рабочей станции. 5. Сохраните файл с именем diskinfo.vbs в каталоге c:\Scripts и закройте блокнот. 6. Выберите в меню Start пункт Run.
774
Администрирование и управление Windows Server 2003 ×àñòü VI
7. Введите команду cmd.exe и щелкните на кнопке ОК, чтобы открыть командное окно. 8. В командной строке введите c:\scripts\diskinfo.vbs и нажмите клавишу <Enter>. После этого вы должны увидеть буквенные обозначения дисков и значения их емкости. Этот сценарий можно расширить, чтобы он выводил еще и объем свободной памяти, заменив ссылку oDisk.Size на oDisk.FreeSpace. Измените этот код в сценарии, запустите его и, как говорят, “почувствуйте разницу”. Администраторам также часто бывает необходимо дистанционно останавливать или перезапускать службы на сервере. Хотя это можно сделать с помощью графического интерфейса пользователя, применение сценария WMI предоставляет дополнительную гибкость в изменении сценария для управления различными серверами или многими серверами в OU или домене. Вот, например, сценарий, подключающийся к серверу dc1.companyabc.com и останавливающий, а затем вновь запускающий службу публикации в World Wide Web (World Wide Web Publishing): Set oService = GetObject("winmgmts:{impersonationLevel=impersonate}! ª \\dc1\root\CIMV2:Win32_Service.Name=" + Chr(34) + "W3SVC" + Chr(34)) If oService.Started Then oService.StopService Wscript.echo "Служба остановлена." Wscript.sleep 5000 oService.StartService Wscript.echo "Служба перезапущена." Else Wscript.echo "Служба в настоящий момент не выполняется; перезапуск невозможен." End If Set oService = Nothing Для использования этого кода необходимо заменить ссылку dc1.companyabc.com на полностью определенное доменное имя сервера. Данный сценарий будет работать только в том случае, если на этом сервере установлена Web-служба IIS. Поскольку эта служба может остановиться не сразу, а через несколько секунд, то в сценарии вставлена команда wscript.sleep, приостанавливающая выполнение сценария на 5000 миллисекунд, то есть 5 секунд. Лучшим способом позволить службе завершиться до перезапуска является наблюдение состояния службы (запуск, выполнение, остановка, остановлена и так далее). Другим существенным улучшением может быть перечисление зависимых служб и их перезапуск с данной службой. Чтобы изменить этот сценарий для управления различными службами, замените W3SVC на имя нужной службы. Чтобы узнать правильное имя службы для использования в этом сценарии, откройте оснастку Services (Службы), откройте свойства нужной службы и найдите имя службы, приведенное вверху вкладки General (Общие). Используйте имя службы, а не отображаемое имя.
Ïðèìåðû ïðèìåíåíèÿ ñöåíàðèåâ В последующих разделах приведено несколько примеров сценариев, задействующих и комбинирующих некоторые интерфейсы и объектные модели, упомянутые в
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
775
данной главе. Эти сценарии могут быть выполнены, если их ввести в точности так, как они приведены здесь. Но эти сценарии запрашивают и возвращают значения из всего домена, поэтому их необходимо протестировать в изолированной лабораторной среде или в небольшой части производственной среды (соответственно изменив сценарии).
Ïîèñê íåíóæíûõ ãðóïïîâûõ ïîëèòèê Следующий сценарий выполняет поиск групповых политик, которые не привязаны ни к какому контейнеру домена или не нужны по какой-то другой причине. Его можно сохранить в виде .vbs-сценария (например, как OrphanedGP.vbs). Dim GP(10000,2) Set FSO = CreateObject("Scripting.FileSystemObject") Set oGPList = FSO.OpenTextFile("OrphanGP.txt",2,True) Set RootDSE = GetObject("LDAP://RootDSE") DomainNC = RootDSE.Get("RootDomainNamingContext") Set con = CreateObject("ADODB.Connection") con.Provider = "ADsDSOObject" con.Open "DS Query" Set command = CreateObject("ADODB.Command") Set command.ActiveConnection = con Command.Properties("searchscope") = 2 wscript.echo "Получение списка всех контейнеров домена..." command.CommandText = "select GPLink,Name,ADsPath from 'LDAP://" & DomainNC & "' where objectclass='organizationalunit' or objectclass='container' or objectclass='site' or objectclass='domain'" Set rs = Command.Execute wscript.echo "Создание списка всех назначенных объектов групповых политик..." i = 0 Do While NOT rs.EOF tempGPLink = rs.Fields("GPLink") GPList = ParseGPLink(tempGPLink) 'GPList возвращает строку с разделяющими символами табуляции 'Функция Split() разбирает строку и возвращает массив GPArray = Split(GPList,vbTab) For j = 0 To UBound(GPArray) GP(i,0) = "{" & Split(GPList,vbTab)(j) & "}" GP(i,1) = rs.Fields("ADsPath") i = i + 1 Next rs.MoveNext Loop Ngp = i wscript.echo "Получение списка всех объектов групповых политик..." command.CommandText = "select cn,DisplayName,name from 'LDAP://" & DomainNC & " ' where objectclass='GroupPolicyContainer'" Set rs = Command.Execute
776
Администрирование и управление Windows Server 2003 ×àñòü VI
wscript.echo "Выявление ненужных объектов групповых политик..." Do While NOT rs.EOF GPName = rs.Fields("DisplayName") If TypeName(GPName) = "String" Then OUFound = False 'Поиск GP в созданном на предыдущем шаге массиве всех назначенных GP 'Эффективнее было бы воспользоваться не массивом, а объектом 'Dictionary, но для массивов такого размера различие 'в производительности несущественно For i = 0 to Ngp - 1 If rs.Fields("name") = GP(i,0) Then OUFound = True End If Next If NOT OUFound Then wscript.echo GPName oGPList.WriteLine GPName & vbTab & rs.Fields("cn") End If End If rs.MoveNext Loop Function ParseGPLink(GPLink) 'Атрибут GPList может содержать ссылки на несколько групповых политик: '"[LDAP://CN={217E2467-F743-4300-812C-2F87FBF9AFD3},CN=Policies,CN=System, ªDC=mydomain,DC=com;2][LDAP://CN={3CEF68F7-0201-407F-87E9-DF6CF8255E2D}, ªCN=Policies,CN=System,mydomain=domain-name,DC=com;0]" 'Эта функция переформатирует значение в строку 'с разделяющими символами табуляции: '"217E2467-F743-4300-812C-2F87FBF9AFD3 3CEF68F7-0201-407F-87E9-DF6CF8255E2D" 'С такими строками работать гораздо легче Dim j, TempArray ParseGPLink = "" If TypeName(GPLink) = "String" AND Trim(GPLink) <> "" Then TempArray = Split(GPLink, "{") For j = 1 To UBound(TempArray) ParseGPLink = ParseGPLink & Left(TempArray(j), InStr(TempArray(j),"}") - 1) & vbTab Next ParseGPLink = Left(ParseGPLink, Len(ParseGPLink)-1) End If End Function
Ïîèñê óñòàíîâëåííûõ ïðîãðàììíûõ êîìïîíåíòîâ Администраторам часто бывает нужно быстро и легко просканировать компьютер или группу компьютеров, чтобы определить, установлен ли конкретный программный компонент. Хотя следующий сценарий производит поиск проигрывателя Macromedia
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
777
Flash Player, с его помощью можно сканировать компьютеры для поиска любого установленного обновления. Например, можно изменить переменную Query: Query = "SELECT * FROM Win32_QuickFixEngineering WHERE HotFixID='Q329115'" (где Q329115 — искомое обновление). Set RootDSE = GetObject("LDAP://RootDSE") DomainNC = RootDSE.Get("RootDomainNamingContext") Set ws = CreateObject("WScript.Shell") Set FSO = CreateObject("Scripting.FileSystemObject") Set oSoftwareScan = FSO.OpenTextFile("SoftwareScan.csv",2,True) Set con = CreateObject("ADODB.Connection") con.Provider = "ADsDSOObject" con.Open "DS Query" Set command = CreateObject("ADODB.Command") Set command.ActiveConnection = con Command.Properties("Sort on") = "cn" Command.Properties("searchscope") = 2 command.CommandText = "select cn,ADsPath from 'LDAP://" & DomainNC & " ' where objectclass='computer' and operatingsystem='Windows 2000 Professional'" Set rs = command.Execute Query = "SELECT * FROM Win32_Product WHERE Name='Macromedia Flash Player'" Do While NOT rs.EOF ComputerName = rs.Fields("cn") Version = "" If Online(ComputerName) Then Set WMIRef = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & ComputerName) Set colProducts = WMIRef.ExecQuery(Query) Status = "Not installed" For Each oProduct In colProducts Version = oProduct.Version Status = "Installed" Next Else Status = "Offline" End If wscript.echo ComputerName & vbTab & Status & vbTab & Version oSoftwareScan.WriteLine ComputerName & "," & Status & "," & Version ComputerName = Null Status = Null rs.MoveNext Loop oSoftwareScan.Close Function Online(HostName) 'Команда ping используется здесь для определения доступности компьютера 'Это сделано исключительно ради обеспечения совместимости с Windows 2000
778
Администрирование и управление Windows Server 2003 ×àñòü VI
'Для Windows Server 2003 доступен и должен использоваться 'класс Win32_PingStatus Dim ReturnCode, Results, Line Online = False Returncode = ws.Run("%comspec% /c ping " & HostName & ".domain-name.com -n 1 -w 500 > ping.tmp",0,"True") set Results = fso.OpenTextFile("ping.tmp",1,False) Do While NOT Results.AtEndOfStream Line = Results.ReadLine If (InStr(Line, "Reply from") > 0) AND (InStr(Line, "unreachable") = 0) Then Online = True End If Loop Results.Close Set Results = Nothing FSO.DeleteFile "ping.tmp" End Function
Ïðîâåðêà ÷ëåíñòâà â ëîêàëüíûõ ãðóïïàõ Следующий сценарий определяет членство в локальных группах. Этот сценарий вначале находит в Active Directory объект компьютера, а затем анализирует членство в группах этого объекта, производя поиск группы, в названии которой присутствует подстрока “–Computers”. Например, если существует группа с именем “Marketing– Computers”, то это означает, что компьютер принадлежит отделу маркетинга. Затем сценарий перечисляет членов локальной группы администраторов, чтобы определить, является ли уже группа “Marketing–Admins” членом локальной группы администраторов. Если это не так, то сценарий добавляет туда эту группу. Данный сценарий содержит также код для записи событий в журнал приложений при добавлении группы и при возникновении критических ошибок. Другой важной частью этого сценария является фрагмент кода, содержащий оператор Option Explicit и объявленные переменные. Это хорошая традиция, которую следует применять во всех сценариях, даже если примеры в данной главе и не содержат такой код. Оператор Option Explicit требует обязательного объявления переменных. Option Explicit Dim RootDSE, DomainNC, ws, WNetwork, CompName, Department Dim AdminGroup, AdminGroupFound, oUser, oGroup on error resume next Const EventERROR = 1, EventWARNING = 2, EventINFORMATION = 4 Set RootDSE = GetObject("LDAP://RootDSE") DomainNC = RootDSE.Get("RootDomainNamingContext") Set ws = CreateObject("WScript.Shell") Set WNetwork = Wscript.CreateObject("WScript.Network") CompName = WNetwork.ComputerName 'Определение отдела, к которому принадлежит учетная запись компьютера Department = GetDepartment(CompName)
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
779
If Department <> "" Then AdminGroup = Department & "-Admins" Else AdminGroup = "IT-Admins" 'Если компьютер не является членом никакой 'группы XXX-Computers, то он должен управляться IT End If 'Перечисление членов локальной группы администраторов Set oGroup = GetObject("WinNT://" & CompName & "/Administrators,group") AdminGroupFound = False For Each oUser in oGroup.Members If oUser.Name = AdminGroup Then AdminGroupFound = True End If Next If Err.Number <> 0 Then 'Создание события в журнале приложений и выход из сценария ws.Logevent EventERROR, "Возникла ошибка при перечислении членов локальной группы администраторов" wscript.quit End If 'Добавление группы Admin только если она не была найдена 'в локальной группе администраторов If NOT AdminGroupFound Then oGroup.Add "WinNT://" & AdminGroup & ",group" If Err.Number <> 0 Then ws.Logevent EventERROR, "Возникла ошибка при добавлении группы " & AdminGroup & " в локальную группу администраторов" Else ws.Logevent EventINFORMATION, "Группа " & AdminGroup & " успешно добавлена в локальную группу администраторов" End If End If Set oGroup = Nothing Set ws = Nothing Set WNetwork = Nothing Function GetDepartment(ComputerName) Dim oConnection, oCommand, rs, MemberOf, oGroup, oComputer, i Set oConnection = CreateObject("ADODB.Connection") oConnection.Provider = "ADsDSOObject" oConnection.Open "DS Query" Set oCommand = CreateObject("ADODB.Command") Set oCommand.ActiveConnection = oConnection oCommand.Properties("searchscope") = 2 oCommand.CommandText = "Select ADsPath,cn From 'LDAP://" & DomainNC & " ' Where name='" + ComputerName + "' and objectclass='computer'" Set rs = oCommand.Execute GetDepartment = ""
780
Администрирование и управление Windows Server 2003 ×àñòü VI If NOT rs.EOF Then Set oComputer = GetObject(rs.Fields("ADsPath")) MemberOf = oComputer.GetEx("memberOf")
If Err.Number <> 0 Then 'Атрибут MemberOf не установлен (объект не является членом какой-либо группы) Err.Clear Exit Function End If If TypeName(MemberOf) = "String" Then 'Атрибут MemberOf имеет одно значение (объект является членом одной группы) Set oGroup = GetObject("LDAP://" & MemberOf) If Instr(oGroup.cn,"-Computers") > 0 Then GetDepartment = Left(oGroup.cn, Len(oGroup.cn) - 10) End If Else 'Атрибут MemberOf имеет несколько значений (объект является членом нескольких групп) For i = 0 To UBound(MemberOf) Set oGroup = GetObject("LDAP://" & MemberOf(i)) If Instr(oGroup.cn,"-Computers") > 0 Then GetDepartment = Left(oGroup.cn, Len(oGroup.cn) - 10) Exit For End If Set oGroup = Nothing Next End If End If End Function
Îïðåäåëåíèå äîìåííûõ ïðèíòåðîâ Приведенный ниже сценарий создает список всех принтеров в Active Directory и выводит собранную информацию в текстовый файл AllPrinters.csv. Ниже представлена дополнительная информация о сценарии. •
Локальные принтеры (подключенные к компьютерам с Win9x или другими клиентскими ОС) пропускаются.
•
Сценарий создает набор записей всех серверов домена с помощью запроса LDAP.
•
Для поиска всех принтеров для каждого сервера используется другой запрос.
•
Для привязки к объектам Win32_Printer в сценарии используется WMI.
Вот полный текст сценария: Option Explicit Dim RootDSE, DomainDN, FSO, oFullLog, oConnection, oCommand, rsServers, rsPrinters
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
781
Dim Sep, PrintServer, oPrinter Set RootDSE = GetObject("LDAP://RootDSE") DomainDN = RootDSE.Get("RootDomainNamingContext") Set FSO = CreateObject("Scripting.FileSystemObject") Set oFullLog = FSO.OpenTextFile("AllPrinters.csv", 2, True) Set oConnection = CreateObject("ADODB.Connection") oConnection.Provider = "ADsDSOObject" oConnection.Open "DS Query" Set oCommand = CreateObject("ADODB.Command") Set oCommand.ActiveConnection = oConnection oCommand.Properties("searchscope") = 2 oCommand.Properties("Sort on") = "cn" oCommand.CommandText = "Select cn,ADsPath from 'LDAP://" & DomainDN & "' Where objectClass='computer' and OperatingSystem= 'Windows 2000 Server' OR OperatingSystem='Windows Server 2003'" Set rsServers = oCommand.Execute Sep = Chr(34) & "," & Chr(34) On Error Resume Next Do While NOT rsServers.EOF PrintServer = False oCommand.CommandText = "Select PrinterName,cn from '" & rsServers.Fields("ADsPath") & "' where objectClass='printQueue'" Set rsPrinters = oCommand.Execute Do While NOT rsPrinters.EOF If NOT PrintServer Then Wscript.echo rsServers.Fields("cn") PrintServer = True End If Set oPrinter = GetObject("winmgmts:{impersonationLevel=impersonate}! \\" & rsServers.Fields("cn") & "\root\cimv2:Win32_Printer.DeviceID= " & Chr(34) & rsPrinters.Fields("PrinterName") & Chr(34)) Wscript.echo vbTab & rsPrinters.Fields("PrinterName") & vbTab & txtPrinterStatus(oPrinter.PrinterStatus) oFullLog.WriteLine Chr(34) & rsServers.Fields("cn") & Sep & rsPrinters.Fields("PrinterName") & Sep & oPrinter.DriverName & Sep & oPrinter.Location & Sep & oPrinter.Description & Sep & txtPrinterStatus(oPrinter.PrinterStatus) & Chr(34) Set oPrinter = Nothing rsPrinters.MoveNext Loop Set rsPrinters = Nothing rsServers.MoveNext Loop
782
Администрирование и управление Windows Server 2003 ×àñòü VI
Set rsServers = Nothing Set oCommand = Nothing Set oConnection = Nothing oFullLog.Close Set oFullLog = Nothing Set FSO = Nothing Set RootDSE = Nothing Function txtPrinterStatus(PrinterStatus) Select Case PrinterStatus Case 1 : txtPrinterStatus = "Другой" Case 2 : txtPrinterStatus = "Неизвестный" Case 3 : txtPrinterStatus = "Простаивает" Case 4 : txtPrinterStatus = "Печатает" Case 5 : txtPrinterStatus = "Разогревается" Case Else txtPrinterStatus = "Неизвестное состояние" End Select End Function
Ñîçäàíèå ïîëüçîâàòåëåé èç äàííûõ â CSV-ôàéëå Следующий сценарий создает в пользователей в контейнере Users Active Directory. Для создания пользователей сценарий читает данные из файла Users.csv. Заполняемые атрибуты определяются в заголовке файла. Обязательными являются только два атрибута: SamAccountName (называемый также входным именем) и CN (каноническое имя). Все другие атрибуты, в том числе и пароль, не обязательны. Данные, используемые в качестве примера для этого сценария, выглядят следующим образом (если файл Users.csv открыть в блокноте): SamAccountName,CN,GivenName,SN,Initials,Password vserduchka,Vera Serduchka,Вера,Сердючка,Н,мойсекретныйпароль apugacheva,Alla Pugacheva,Алла,Пугачева,Б,мойсекретныйпароль Имена атрибутов должны быть указаны в точности так, как они определены в схеме Active Directory. Вероятно, лучшим средством для определения, какие атрибуты должны быть указаны, является ADSI Edit. Если сценарий не сможет создать пользователя, будет выведено сообщение об ошибке. Обычно причиной ошибок является неверное значение атрибута или то, что пользователь с указанным именем SamAccountName уже существует в домене. Если неверно задано хотя бы одно поле, то ошибка будет выведена для всех пользователей. И, наконец, после создания всех пользователей активируются их учетные записи. Ниже приведен полный текст сценария. Option Explicit Dim RootDSE, DomainDN, oContainer, FSO, oUserList Dim Line, Header, SamaccountnameIndex, CnIndex, PasswordIndex, AttributeValue, oUser, i Set RootDSE = GetObject("LDAP://RootDSE") DomainDN = RootDSE.Get("RootDomainNamingContext")
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
783
Set oContainer = GetObject("LDAP://CN=Users," + DomainDN) Set FSO = CreateObject("Scripting.FileSystemObject") Set oUserList = FSO.OpenTextFile("Users.csv",1,False) on error resume next Line = LCase(oUserList.ReadLine) Header = Split(Line,",") SamaccountnameIndex = –1 CnIndex = –1 PasswordIndex = –1 For i = LBound(Header) To UBound(Header) If Header(i) = "samaccountname" Then SamaccountnameIndex = i ElseIf Header(i) = "cn" Then CnIndex = i ElseIf Header(i) = "password" Then PasswordIndex = i End If Next If SamaccountnameIndex = –1 OR CnIndex = –1 Then Wscript.echo "Ошибка в заголовке: пропущено одно из обязательных полей." wscript.quit End If Do While NOT oUserList.AtEndOfStream Line = oUserList.ReadLine AttributeValue = Split(Line,",") Wscript.echo AttributeValue(CnIndex) set oUser = oContainer.Create("user","cn="& AttributeValue(CnIndex)) oUser.samAccountName = AttributeValue(SamAccountNameIndex) oUser.SetInfo If Err.Number <> 0 Then Wscript.echo vbTab + "Ошибка при создании пользователя" Else Wscript.echo vbTab + "Пользователь успешно создан" For i = LBound(Header) To UBound(Header) If i <> CnIndex AND i <> SamaccountnameIndex AND i <> PasswordIndex Then oUser.Put Header(i),AttributeValue(i) ElseIf i = PasswordIndex Then oUser.SetPassword AttributeValue(i) End If Next oUser.AccountDisabled = False oUser.SetInfo If Err.Number <> 0 Then Wscript.echo vbTab + "Ошибка при задании свойств пользователя" Err.Clear Else
784
Администрирование и управление Windows Server 2003 ×àñòü VI
Wscript.echo vbTab + "Свойства пользователя успешно заданы" End If End If Set oUser = Nothing Line = Null AttributeValue = Null Loop oUserList.Close Set oUserList = Nothing Set FSO = Nothing Set RootDSE = Nothing
Ïðîâåðêà ñâîáîäíîãî ìåñòà íà òîìàõ ñåðâåðîâ äîìåíà Следующий сценарий является расширением примера сценария WMI, приведенного ранее в данной главе. Этот сценарий просматривает в домене все серверы Windows 2000 и Windows Server 2003 и выводит объем свободной памяти и полную емкость (в мегабайтах и процентах) каждого логического диска. Для создания набора записей, описывающих все серверы домена, этот сценарий использует запрос LDAP. В нем также применяются инструментальные средства управления Windows (Windows Management Instrumentation) для демонстрации использования этой технологии, но эта же информация может быть собрана и с помощью объектной модели файловых систем (File System Object). Option Explicit Dim oRootDSE, DomainDN, FSO, oLogFile, oConnection, oCommand, rsServers Dim ComputerName, oWMIService, colDisks, oDisk Dim PercentFree Set oRootDSE = GetObject("LDAP://RootDSE") DomainDN = oRootDSE.Get("RootDomainNamingContext") Set FSO = CreateObject("Scripting.FileSystemObject") Set oLogFile = FSO.OpenTextFile("FreeSpace.csv",2,True) Set oConnection = CreateObject("ADODB.Connection") oConnection.Provider = "ADsDSOObject" oConnection.Open "DS Query" Set oCommand = CreateObject("ADODB.Command") Set oCommand.ActiveConnection = oConnection oCommand.Properties("searchscope") = 2 oCommand.CommandText = "Select ADsPath,cn From 'LDAP://" & DomainDN & _ "' Where objectClass='computer' and OperatingSystem='Windows 2000 Server' OR OperatingSystem='Windows Server 2003'" Set rsServers = oCommand.Execute On Error Resume Next Do While NOT rsServers.EOF ComputerName = rsServers.fields("cn").value
Автоматизация задач с помощью сценариев Windows Server 2003 Ãëàâà 23
785
Wscript.echo ComputerName Set oWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}! \\" & ComputerName & "\root\cimv2") Set colDisks = oWMIService.ExecQuery ("Select * from Win32_LogicalDisk") For Each oDisk In colDisks If oDisk.DriveType = 3 Then ' локальный жесткий диск PercentFree = Round(oDisk.FreeSpace/oDisk.Size*100) Wscript.echo oDisk.Name & vbTab & _ CStr(Round(oDisk.FreeSpace/1048576)) & "/" & _ CStr(Round(oDisk.Size/1048576)) & vbTab & CStr(PercentFree) & "%" oLogFile.WriteLine ComputerName & "," & oDisk.Name & _ "," & CStr(Round(oDisk.FreeSpace/1048576)) & "," & _ CStr(Round(oDisk.Size/1048576)) & "," & CStr(PercentFree) End If Next If Err.Number <> 0 Then Wscript.echo "Ошибка при сборе информации с " & ComputerName Err.Clear End If Set oWMIService = Nothing Set colDisks = Nothing rsServers.MoveNext Loop Set rsServers = Nothing Set oCommand = Nothing Set oConnection = Nothing oLogFile.Close Set oLogFile = Nothing Set FSO = Nothing
Ðåçþìå Сценарии для систем Windows Server 2003 и Active Directory могут упростить выполнение многих задач IT-администрирования. Применяя предоставленные Microsoft языки написания сценариев и множество различных программных интерфейсов и объектных моделей, можно разработать сценарий для выполнения практически любой задачи, если корректно обращаться к устройствам и объектам. В этой главе продемонстрированы лишь самые простые возможности сценариев, но мы надеемся, что нам удалось показать, как сценарии могут упростить управление IT-средой.
Ïîëåçíûå ñîâåòû •
Если в сценарии несколько раз используется команда вроде Wscript.echo, то сценарий необходимо выполнять с помощью Cscript.exe.
786
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Для определения имен каталогов атрибутов объектов и для определения, какие возможные атрибуты может содержать объект, применяйте оснастки Active Directory Users and Computers и ADSI Edit.
•
Заполняйте атрибуты с помощью переменных, экономя время с помощью сценариев, предназначенных для создания нескольких учетных записей пользователей.
•
В сценариях создания пользователей можно сразу разрешать им пользование почтой.
•
Используйте компоненты Ldifde.exe и Csvde.exe для создания объектов каталогов из простых форматированных данных, представленных в формате LDIF или CSV.
•
Для доступа и манипулирования серверными файлами и безопасностью файлов применяйте WMI.
Äîêóìåíòèðîâàíèå ñðåäû Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Ïðåèìóùåñòâà äîêóìåíòèðîâàíèÿ
•
Äîêóìåíòèðîâàíèå ïðîåêòèðîâàíèÿ è ïëàíèðîâàíèÿ
•
Äîêóìåíòèðîâàíèå ìèãðàöèè
•
Èíôðàñòðóêòóðà Active Directory
•
Ñåòåâàÿ èíôðàñòðóêòóðà
•
Äîêóìåíòèðîâàíèå àäìèíèñòðèðîâàíèÿ è ñîïðîâîæäåíèÿ
•
Äîêóìåíòàöèÿ ïî àâàðèéíîìó âîññòàíîâëåíèþ
•
Äîêóìåíòèðîâàíèå ïðîèçâîäèòåëüíîñòè
•
Äîêóìåíòàöèÿ ïî áåçîïàñíîñòè
•
Ó÷åáíàÿ äîêóìåíòàöèÿ
ÃËÀÂÀ
24
788
Администрирование и управление Windows Server 2003 ×àñòü VI
Важность документирования в среде Windows Server 2003 упоминалась во многих предыдущих главах. В этой главе рассматриваются различные типы документации и обсуждаются преимущества их применения — некоторые из них очевидны, другие нет. Существует несколько основных типов документации: •
Хронология/планирование (кто какое решение принимал).
•
Поддержка и сопровождение (для помощи в сопровождении аппаратного и программного обеспечения сети).
•
Политики (соглашения уровня служб).
•
Обучение (конечных пользователей или администраторов).
Очень важно, чтобы любая разработанная документация просматривалась другими руководителями организации с целью проверки, что она удовлетворяет и их потребностям, и просто для получения данных из других источников. Должны быть также протестированы и “проработаны” документы, описывающие технические процедуры. После такого просмотра документы становятся более полезными и более аккуратными. Например, документ с описанием создания сервера, который прошел через этот процесс (то есть просмотрен IT-менеджером и сетевым администратором), имеет большую вероятность быть полным и полезным в том случае, если возникнет необходимость пересоздания описанного в нем сервера. Документация, не являющаяся хронологической и предназначенная для поддержки сетевой среды или для знакомства с политиками компании, должна периодически пересматриваться, дабы обеспечить ее актуальность и соответствие текущим корпоративным политикам и процессам. Дисциплина создания эффективной документации, удовлетворяющей требованиям соответствующего персонала поддержки и управления, является ценной разработкой компании и может иметь существенное влияние. Материал этой главы поможет вам составить впечатление о диапазоне различных документов, которые могут оказаться ценными, а какие — критичными для организации.
Ïðåèìóùåñòâà äîêóìåíòèðîâàíèÿ Некоторые преимущества документирования очевидны и осязаемы, другие же могут быть трудноуловимыми. Процесс фиксирования информации на бумаге повышает уровень анализа и просмотра документируемой темы, что помогает лучше уяснить цели и содержание документа. Кроме того, этот процесс облегчает командную работу и сотрудничество в организации, а также обмен идеями между ее отделами. Например, документ по сопровождению сервера Exchange, написанный администратором Exchange, может быть просмотрен менеджером по сбыту, для которого важна способность компании посылать почтовые сообщения существующим и потенциальным клиентам. Кроме того, этот документ должен просмотреть менеджер по информационным технологиям, чтобы убедиться, что описанный в нем процесс сопровождения соответствует его интересам, например, удовлетворяет жестким соглашениям об уровне обслуживания (Service Level Agreement — SLA). Понятно, что документация с четко определенными целями хорошо организована и полна, а процесс ее просмотра или утверждения должен способствовать повышению общего профессионализма организации и ее базы знаний. В последующих разделах
Документирование среды Windows Server 2003 Ãëàâà 24
789
рассматриваются некоторые другие преимущества профессионального документирования среды Windows Server 2003.
Óïðàâëåíèå çíàíèÿìè Ясно, что правильное документирование позволяет организации лучше организовывать и управлять своими данными и интеллектуальной собственностью. Вместо того чтобы держать политики и процедуры компании в десятке различных мест, например, в отдельных файлах для каждого отдела, или, что еще хуже, в головах отдельных работников, объединение этой информации в логические группы может оказаться весьма полезным. Проектная документация, в которой расписаны решения, принятые относительно миграции Windows Server 2003, может собрать в одно место и резюмировать ключевые положения и решения, а также бюджетные соображения, вопросы, касающиеся времени и тому подобные моменты. И если позднее возникнут вопросы, то на эту тему будет существовать лишь один документ. Аналогично, если будет создано и зафиксировано соглашение уровня работы со службами, доступное всем заинтересованным сторонам, то пользователи сети будут иметь очень ясное представление, чего они могут ожидать от инфраструктуры Windows Server 2003 в терминах календарных сроков и запланированных периодов простоя. Документ, описывающий конкретные детали конфигурации какого-либо сервера или типа серверов, может оказаться очень полезным для менеджера другого офиса компании при принятии решения о закупках. Документы также должны быть легко доступными, чтобы при необходимости их можно было найти; особенно это касается документации по аварийному восстановлению. Кроме того, удобно иметь их в различных форматах, например, в бумажном виде, в определенном каталоге локальной сети или даже в intranet-сети.
CОВЕТ Размещайте документацию в различных местах, где она будет легко доступна для авторизованных пользователей — например, в intranet-сети, на сервере SharePoint Portal Server, в службе Windows SharePoint, в общедоступной папке или в бумажном варианте.
Просто обеспечив централизованный доступ к этим документам, организация может облегчить определение эффектов изменений среды и отслеживание этих изменений. Частью потребности процесса управления знаниями является управление изменениями, чтобы при доступности информации каждому работнику изменения в нее могли вносить только отдельные уполномоченные лица.
Ôèíàíñîâûå âûãîäû Надлежащее документирование Windows Server 2003 может потребовать времени и увеличить затраты на инфраструктуру и проект. Часто бывает трудно оценить стоимость документирования проекта. Однако, глядя на такие документы, как сценарии сопровождения или аварийного восстановления, в некоторых случаях вполне очевидно, что создание документации выгодно и в финансовом смысле, например, при разработке сценариев сопровождения или аварийного восстановления. Например, в ор-
790
Администрирование и управление Windows Server 2003 ×àñòü VI
ганизации, в которой время простоя может стоить тысячи долларов в минуту, легко подсчитать отдачу вложений на создание документации по аварийному восстановлению и сопровождению. Аналогично, в быстро растущей компании, регулярно набирающей персонал и устанавливающей новые серверы, протестированная документация по созданию серверов и обучению администраторов также может принести непосредственные и ощутимые преимущества. Хорошо продуманная и профессиональная документация по проектированию и планированию может помочь организации избежать дорогостоящих ошибок в реализации или процессе миграции, например, при покупке лишнего количества лицензий на серверы или при покупке лишних серверов.
Áàçèðîâàíèå Базирование (baselining) является процессом записи состояния системы Windows Server 2003, чтобы в дальнейшем можно было определить любые изменения в ее производительности. Базирование также относится к общей производительности сети, включая и каналы глобальной сети, но в этих случаях для записи информации могут потребоваться специальные программы и средства (наподобие сетевого анализатора пакетов). Базовый документ системы Windows Server 2003 фиксирует состояние сервера после его внедрения в промышленной среде и может содержать статистику наподобие использования памяти, страничной организации памяти, пропускной способности дисковой подсистемы и многого другого. В дальнейшем эта информация помогает администратору или соответствующему IT-персоналу сравнивать работу системы с ее первоначальным состоянием.
Óñòðàíåíèå íåïîëàäîê Документация по устранению неполадок полезна и для определения процессов, рекомендуемых компанией для разрешения технических вопросов, и для документирования результатов реальных действий по устранению неполадок. Часто в компаниях ведутся базы данных и паспорта неисправностей для записи времени запроса о помощи, последующих действий и их результатов. Эта информация должна быть доступна для соответствующей службы поддержки, чтобы они могли узнать способ разрешения проблемы, если она возникнет вновь. Организации могут также документировать методологии устранения неполадок в целях обучения, а также для гарантии, что предприняты конкретные шаги по практическому повышению качества обслуживания пользователей.
Äîêóìåíòèðîâàíèå ïðîåêòèðîâàíèÿ è ïëàíèðîâàíèÿ В главе 2 подробно рассмотрены типы документации, необходимой в процессе проектирования и планирования. Эта документация крайне важна в начале работы организации над новым проектом, когда хронологически фиксируется, какие решения были приняты и почему, и обеспечивается согласие всех заинтересованных сторон.
Документирование среды Windows Server 2003 Ãëàâà 24
791
Äîêóìåíòàöèÿ ïî ïðîåêòèðîâàíèþ Первым шагом по внедрению среды Windows Server 2003 является разработка и утверждение проекта. Документирование проекта способствует его успеху. В проектной документации фиксируются решения, сделанные во время процесса проектирования, которые в дальнейшем будут служить справочником при тестировании, внедрении и сопровождении. Ниже представлены основные компоненты проектной документации. •
Цели и задачи проекта.
•
Основание или причина разработки.
•
Подход, который будет применен для реализации решения.
•
Подробности конечного состояния проекта.
Цели и задачи иногда бывает на удивление трудно сформулировать. Их нужно детализировать и конкретизировать в степени, достаточной для определения желаемых результатов, но не опускаясь на слишком низкий уровень. Например, “уменьшение времени простоя” — слишком расплывчатое понятие, чтобы рассматривать его в качестве функциональной цели; гораздо более конкретной будет формулировка “внедрение кластеризации серверов с помощью Windows Server 2003 Enterprise Edition с целью уменьшения времени простоя до пяти минут или менее в случае отказа одного сервера”. Включение повесток дня совещаний и сеансов мозгового штурма, приведших к решениям, входящих в состав конечного состояния проекта, обеспечивает основу для дальнейшей разработки в документе подробного проектирования. Например, решение может быть принято просто “потому, что так хочет руководитель IT-отдела”, что может повлиять на состояние среды после миграции. Другие решения могут появиться после многочасовых дебатов над частными вопросами и для получения “правильного” ответа требуют технических исследований. Фиксирование этого уровня информации может оказаться крайне полезным в будущем при возникновении проблем с производительностью или обсуждении дополнительных изменений в сети. В зависимости от аудитории документа описание конечного реализуемого состояния может быть очень обобщенным или содержащим более конкретные конфигурации каждого сервера. Однако рекомендуется, чтобы проектный документ не включал пошаговые процедуры или другие детали реализации процесса. Такой уровень детализации в большинстве случаев лучше реализуется в специальных конфигурациях или учебной документации, о чем пойдет речь далее в этой главе.
Äîêóìåíòèðîâàíèå ìèãðàöèè Документация по миграции может быть создана одновременно с документацией по проектированию или вскоре после нее, чтобы обеспечить схему миграции Windows Server 2003. Она может быть создана также после завершения этапа тестирования, в зависимости от наличия времени и ресурсов. Если этот документ создается вскоре после создания проектной документации, то он может потребовать изменений после этапа прототипирования или тестирования, дабы более аккуратно отображать процесс миграции.
792
Администрирование и управление Windows Server 2003 ×àñòü VI
НА ЗАМЕТКУ Результаты тестирования проекта на этапе прототипирования или опытной эксплуатации могут отличаться от шагов и процедур настоящей миграции. В этом случае потребуется провести редактирование документации с планом миграции, чтобы учесть эти изменения.
Ниже приведено содержание плана миграции Windows Server 2003: План миграции Windows Server 2003 Цели Подход Роли Процесс Этап I — проектирование и планирование Этап II — прототип Этап III — опытный этап Этап IV — реализация Этап V — поддержка Процесс миграции Подготовка Active Directory Windows NT Windows 2000 Сводка ресурсов миграции График проекта Обучение Windows Server 2003 Администрирование и сопровождение
Ïëàíû ïðîåêòà План проекта важен для более сложных миграций и может быть полезен для управления небольшими проектами, даже миграциями отдельных серверов. Задачи должны быть расположены в порядке их выполнения, наряду с приблизительными сроками выполнения (с точностью до полудня), так как план проекта, описывающий почасовое выполнение проекта, очень трудно выполнить. Существуют средства, подобные Microsoft Project, которые облегчают подготовку планов проектов (рис. 24.1) и позволяют выделять задачам один или несколько ресурсов и определяют продолжительность выполнения и связи с основными предшествующими задачами. План проекта может также предоставить первоначальную оценку количества часов трудозатрат каждого работника и соответствующих затрат при использовании внешних консультантов. Можно легко создавать сценарии типа “что, если…”, просто добавляя людей в более сложные задачи или отсекая необязательные стадии, и просматривать эффект влияния этих действий на бюджет. Обратите внимание на замечательную идею просмотра исходного плана проекта после завершения всех его действий (базовое состояние) — для оценки его аккуратности. Многие организации упускают этот шаг из виду и теряют возможность обучения на процессах планирования для лучшей подготовки к следующему разу.
Документирование среды Windows Server 2003 Ãëàâà 24
793
Ðèñ. 24.1. Пример плана проекта
Ðàçðàáîòêà ïëàíà òåñòèðîâàíèÿ Тщательное тестирование необходимо для успешного выполнения проекта реализации. В плане тестирования приводится подробное описание необходимых для тестирования ресурсов (оборудование, программное обеспечение и лабораторный персонал), выполняемых тестов или процедур и целей тестов или процедур. При разработке плана тестирования важно подключать представителей всех аспектов сети. Это обеспечит включение в план тестирования всех аспектов среды Windows Server 2003 или проекта и оценки их влияния.
Ïðîöåäóðû ìèãðàöèè ñåðâåðîâ Высокоуровневые процедуры миграции должны разрабатываться во время процесса проектирования и планирования и утверждаться на этапе прототипа/тестирования. Первоначальная документация по миграции также должна рассматривать средства, нужные для миграции данных, пользователей и приложений, а также фазы выполнения этих процессов. Вначале может быть создан черновик документации, а после повторного тестирования процесса он может быть проверен на аккуратность. После завершения составления эта информация может сэкономить большое количество времени, если, например, необходимо мигрировать несколько серверов.
CОВЕТ Процедуры миграции сервера должны быть описаны таким образом, чтобы по ним могли выполнить реальную миграцию даже менее опытные сотрудники.
794
Администрирование и управление Windows Server 2003 ×àñòü VI
Могут быть описаны следующие процедуры: •
Детали аппаратной конфигурации сервера.
•
Версия Windows Server 2003 для каждого сервера.
•
Пакеты обновлений (SP) и оперативные исправления, устанавливаемые на каждый сервер.
•
Службы (подобные DNS и DHCP) для включения или отключения соответствующих настроек.
•
Устанавливаемые приложения (например, антивирусные программы и SQL Server) и их необходимые настройки.
•
Настройки безопасности.
•
Шаги, необходимые для миграции служб и данных на новый сервер (серверы).
•
Шаги, необходимые для тестирования новой конфигурации и проверки всех ее функций.
•
Шаги, необходимые для вывода из промышленной эксплуатации старых серверов.
Ïðîöåäóðû ìèãðàöèè ðÿäîâûõ êîìïüþòåðîâ Как и в случае документирования процесса миграции сервера, процесс миграции рядового компьютера должен обсуждаться на фазе проектирования и планирования и отражаться в документации по миграции. В некоторых миграциях на Windows XP изменения могут быть минимальными, тогда как другие миграции могут потребовать существенных изменений. Например, для одной машины может потребоваться частичная модернизация до Windows XP, а в другой потребуется замена аппаратных компонентов или полная переустановка системы. Что конкретно документируется, зависит от организации; однако рекомендуется документирование следующих вопросов: •
Список аппаратных компонентов.
•
Метод (методы) инсталляции (наподобие служб удаленной инсталляции, программ работы с образами сторонних разработчиков и установки сетевого программного обеспечения).
•
Основные устанавливаемые приложения.
•
Конфигурация безопасности.
•
Используемые шаблоны.
•
Языковые опции.
•
Соображения доступности.
Ïðîöåäóðû ìèãðàöèè ïîëüçîâàòåëåé Для использования преимуществ Windows Server 2003 необходимо перенести в другие системы или каталоги информацию о пользователях и сопутствующую информацию (имя пользователя, пароль, контактная информация). Процедуры миграции пользователей должны рассматриваться на этапах проектирования и планирования проекта.
Документирование среды Windows Server 2003 Ãëàâà 24
795
Информация о пользователе может существовать во многих различных местах наподобие домена Active Directory, приложений и так далее, и может оказаться противоречивой в зависимости от места и способа ее хранения. Процедуры миграции информации о пользователе необходимо документировать для каждого отдельного местоположения. Например, если некоторых пользователей нужно переносить из другой операционной системы или из нескольких лесов, потребуется документировать отдельные процедуры для каждого процесса. Еще одной ситуацией, подлежащей документированию, является миграция профилей и рабочих столов пользователей. Хотя часть этой информации может загромождать сценарии миграции рабочих столов, все-таки фиксирование этих процедур важно для обеспечения, что когда клиент войдет в систему после миграции, все его настройки будут существовать, и у него не возникнет проблем с используемыми приложениями. Это соображение очень важно для мобильных пользователей. Например, нужно ли будет мобильным пользователям возвращаться в офис для изменения или миграции настроек? Сохранятся ли эти изменения при следующем входе в систему?
Ñïèñêè âûïîëíåíèÿ В зависимости от переносимых данных процесс миграции зачастую может быть длительным. В процессе миграции может весьма пригодиться разработка высокоуровневых и подробных списков выполнения. Высокоуровневые списки определяют состояние миграции в каждый момент процесса. Подробные списки гарантируют согласованное выполнение всех шагов. Это крайне важно, если процесс повторяется для нескольких сайтов. Вот пример списка пунктов создания сервера Windows Server 2003: Задача Выполнение Проверка BIOS и оборудования Проверка конфигурации RAID Установка Windows Server 2003 Enterprise Edition Конфигурирование Windows Server 2003 Enterprise Edition Установка исправлений безопасности Установка средств поддержки Установка консоли восстановления системы Включение сервера в домен Установка антивирусной программы Установка и конфигурирование агента резервного копирования Применение прав, шаблонов и политик Установка и конфигурирование Smart UPS Подпись: Дата:
Примечание
Èíôðàñòðóêòóðà Active Directory Active Directory является одной из основных служб среды Windows Server 2003. Поэтому документирование инфраструктуры AD представляет собой критический компонент среды. Имеется много относящихся к AD аспектов, которые требуют документирования, например:
796
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Структуры лесов и доменов: имена DNS, имена NetBIOS, режимы работы и отношения доверия.
•
Имена и расположение контроллеров доменов (DC) и серверов глобального каталога (GC).
•
Размещение перемещаемых ролей с одним мастером (FSMO) на DC и GC.
•
Сайты, связи сайтов, стоимости связей и мосты связей сайтов.
•
Топология организационных единиц (OU).
•
Элементы специальных схем (например, создаваемых приложениями).
•
Группы безопасности и списки распределения.
•
Информация DNS, встроенная в AD.
•
Безопасность AD.
•
Конфигурации и структура объектов групповых политик (GPO).
Эта информация может оказаться очень полезной при выполнении повседневных операций, а также при устранении неполадок, связанных с AD, наподобие задержки репликации или проблем с входом в систему.
Ñåòåâàÿ èíôðàñòðóêòóðà Документирование конфигурации сети важно при проектировании интегрируемых в сеть технологий, при управлении связанными с сетью службами наподобие DNS, при администрировании различных областей сети и при устранении неполадок. Сетевые среды обычно изменяются не так сильно, как инфраструктуры серверов. Но все же важно поддерживать эту информацию в актуальном и аккуратном состоянии, периодически просматривая и анализируя ее.
Äîêóìåíòèðîâàíèå èíôðàñòðóêòóðû ãëîáàëüíîé ñåòè Документация конфигурации сети включает и связность инфраструктуры глобальной сети (Wide Area Network — WAN). Могут документироваться следующие вопросы: •
Контактные имена поставщика услуг Internet, в том числе контактная информация службы технической поддержки.
•
Тип подключения (например, ретрансляция кадров, ISDN, OC-12).
•
Скорость соединения.
•
Согласованная скорость передачи информации (Committed Information Rate — CIR).
•
Оконечные конфигурации, в том числе используемые маршрутизаторы.
Сети предприятий могут содержать множество различных типов каналов WAN, с различными скоростями и CIR. Эта документация полезна не только для понимания структуры среды, но и для устранения неполадок в случае возникновения проблем связности, репликации и тому подобных.
Документирование среды Windows Server 2003 Ãëàâà 24
797
Äîêóìåíòèðîâàíèå ñåòåâûõ óñòðîéñòâ Сетевые устройства, подобные брандмауэрам, маршрутизаторам и коммутаторам, используют собственные операционные системы. Кроме того, для некоторых устройств нужно документировать и их конфигурации. Некоторые устройства позволяют сохранить дамп конфигурации в текстовом файле, который можно использовать во всей документации, а другие поддерживают методы получения информации с помощью Web. В самых худших случаях администраторы должны документировать конфигурацию вручную. Конфигурации сетевых устройств изменяются редко (возможно, исключая брандмауэры). Если изменение все же происходит, оно должно быть документировано в журнале изменений, и должна быть обновлена документация по сетевой инфраструктуре. Это позволяет администраторам аккуратно документировать среду, а также предоставляет быстрый документированный способ воссоздания нужных конфигураций в случае сбоев.
НА ЗАМЕТКУ Рекомендуется составлять пошаговые процедуры восстановления каждого сетевого устройства. Эта информация может минимизировать время простоя и усилия по администрированию.
Äîêóìåíòèðîâàíèå êîíôèãóðàöèè (êàê âíà÷àëå) Документация с конфигурацией, которую часто называют конфигурацией “как вначале” (as-built), содержит подробное описание конфигурации только что созданной системы Windows Server 2003. Этот документ содержит важную информацию, необходимую для повторного создания сервера. Ниже представлен шаблон документации созданной системы Windows Server 2003: Введение Целью данной документации созданной системы Windows Server 2003 является помощь опытному сетевому администратору или инженеру в восстановлении сервера в случае отказа оборудования. Этот документ содержит экранные снимки и параметры конфигурации сервера сразу после его создания. Если в этом документе параметры явно не определены, то предполагается, что они установлены по умолчанию. Здесь не описывается полное аварийное восстановление с пошаговыми процедурами для сборки сервера заново. Чтобы этот документ был полезен и в качестве руководства по восстановлению, его необходимо обновлять при изменении параметров конфигурации. Конфигурация системы Сводка оборудования Дисковая конфигурация Локальная дисковая конфигурация Сводка по системе Диспетчер устройств Конфигурация RAID Конфигурация Windows Server 2003 TCP/IP Подключения локальных сетевых адаптеров
798
Администрирование и управление Windows Server 2003 ×àñòü VI
Конфигурация безопасности Службы Процедуры блокировки (список пунктов) Антивирусная конфигурация Список общих ресурсов Приложения и конфигурации
Äîêóìåíòèðîâàíèå àäìèíèñòðèðîâàíèÿ è ñîïðîâîæäåíèÿ Документирование администрирования и сопровождения может быть критичным для поддержки надежности сетевой среды. Эти документы помогают администратору отдельного сервера или группы серверов организовать и отслеживать выполнение различных шагов, которые необходимо выполнить для обеспечения работоспособности системы, за которую он отвечает. Они также облегчают обучение нового персонала и уменьшают объем изменений и связанные с ними риски. Обратите внимание, что, как уже было сказано, системы Windows Server 2003 могут выполнять в сети несколько различных функций: файловые серверы, серверы печати, Web-серверы, серверы обмена сообщениями, терминальные серверы и серверы удаленного доступа. Необходимые процедуры сопровождения серверов могут слегка различаться в зависимости от их функций и важности для сети. Одним из ключевых компонентов для документирования администрирования или сопровождения является подробное дневное расписание с указанием отдельных выполняемых процедур. Как было сказано в главе 22, необходимо выполнять определенные ежедневные, еженедельные, ежемесячные и ежеквартальные процедуры. Эти процедуры, наподобие еженедельного архивирования журнала событий, должны быть документированы, чтобы гарантировать их четкую определенность и частоту их выполнения.
Äîêóìåíòû ñ ïîøàãîâûìè ïðîöåäóðàìè Документация по администрированию и сопровождению содержит значительный объем документированных процедур. Эти документы могут оказаться весьма полезными для сложных или нерегулярно выполняемых процессов. Процедуры могут варьироваться от технических процессов, описывающих каждый шаг, до административных процессов, помогающих уяснить роли и ответственности.
Ïîëèòèêè Хотя документы политик могут быть неинтересными для чтения, в трудных ситуациях они могут оказаться лучшими друзьями администратора. Хорошо продуманная, полная и утвержденная документация по политикам четко определяет, кто и за что ответственен в каждой конкретной ситуации. Но необходимо реально оценивать, какие политики необходимо документировать, а для каких это излишне — например, документируйте политики, описывающие, когда и где в серверы должны устанавливаться исправления, новые аппаратные компоненты или программы.
Документирование среды Windows Server 2003 Ãëàâà 24
799
Äîêóìåíòû ñî ñïèñêàìè âûïîëíåíèÿ Документация по администрированию и сопровождению может быть объемной, и списки выполнения могут быть краткими напоминаниями по содержащимся в ней процессам и процедурам. Разработайте подробные списки выполнения, которые помогут администраторам выполнять их регулярные и нерегулярные задачи. Графики с выделенными ежедневными, еженедельными, ежемесячными и ежеквартальными задачами помогают поддерживать работоспособность среды Exchange. Кроме того, эти функции списков являются отличными средствами аудита.
Ïðîöåäóðíûå äîêóìåíòû Процедурные документы могут существенно облегчить выполнение сложных процессов. Они могут описывать каждый шаг технических процессов или расписывать роли и ответственности в процессах администрирования. Для большинства процессов администрирования — таких как тестирование нового исправления для важного приложения, проверка добавления нового сервера в сеть или включение в расписание времени простоя — достаточно диаграмм от Microsoft Visio или аналогичного продукта.
Äîêóìåíòàöèÿ ïî àâàðèéíîìó âîññòàíîâëåíèþ Если выбирать один тип документации, действительно необходимой для сети, то это, конечно, политики и процедуры аварийного восстановления. Каждая организация должна пройти через процесс составления различных аварийных сценариев. Например, организации, расположенные в Калифорнии, должны больше внимания уделять землетрясениям, нежели организации, расположенные во Флориде. Каждая аварийная ситуация может быть опасна по-своему. Поэтому важно определить каждый возможный сценарий и начать планировать способы минимизации последствий этих аварий. Не менее важен анализ, каким образом время неготовности из-за аварии может повлиять на компанию (репутация, время, производительность, затраты, потери прибыли или дохода), и определение сумм, инвестируемых в средства нейтрализации или минимизации таких эффектов. Имеется несколько различных видов документации аварийного восстановления. Без документации подобного рода восстановление в лучшем случае будет трудным. Вот список вопросов, которые необходимо рассмотреть при документировании процедур аварийного восстановления: Краткая сводка или введение Сценарии аварийного восстановления Советы по аварийному восстановлению Планирование и проектирование аварий Возможность продолжения бизнеса и реагирования Реагирование на опасности в рабочее время Члены команды восстановления Ответственности команды восстановления Оценка ущерба
800
Администрирование и управление Windows Server 2003 ×àñòü VI
Реагирование на опасность в нерабочее время Ответственности команды восстановления Стратегия восстановления Координаты необходимого оборудования Дерево решений аварийного восстановления Восстановление программного обеспечения Восстановление оборудования Аварийное восстановление сервера Подготовка Документирование Управление программами Управление знаниями Резервное копирование сервера Конфигурирование клиентского программного обеспечения Восстановление сервера Сборка оборудования сервера Действия после восстановления Аварийное восстановление Active Directory Соглашения об уровне сервиса при аварийном восстановлении План аварийного восстановления Exchange Полный отказ RAID 5 Полный отказ RAID 1 Полный отказ системы Отказы NIC и RAID-контроллеров Обучение персонала и практика аварийного восстановления
Ïëàíèðîâàíèå àâàðèéíîãî âîññòàíîâëåíèÿ Первым шагом процесса аварийного восстановления является разработка формального плана аварийного восстановления. Этот план, хотя и требует времени на разработку, в случае опасной ситуации служит руководством для всей организации. Должны быть рассмотрены сценарии таких аварий, как пропажа питания, отказы жестких дисков и даже землетрясения. Хотя невозможно разработать сценарии для всех потенциальных аварий, все же полезно разработать план восстановления для различных уровней аварий. Рекомендуется, чтобы в организациях поощрялись открытые обсуждения возможных сценариев и шагов, необходимых для восстановления в каждом случае. Необходимо включить представителей от всех отделов, поскольку каждый отдел имеет в случае аварии свои собственные приоритеты. План аварийного восстановления должен охватывать всю организацию и в основном определять, что необходимо для восстановления нормального продолжения производства после аварии.
Ðåçåðâíîå êîïèðîâàíèå è âîññòàíîâëåíèå Процедуры резервного копирования охватывают не только копирование данных на ленту или другие носители, но и множество других задач, включая расширенное восстановление системы, автономное хранение данных и сроки их хранения. Эти задачи должны быть тщательно документированы, чтобы можно было представить, какие методологии резервного копирования реализованы и как их можно выполнить. Могут документироваться пошаговые процедуры, руководства, политики и прочее.
Документирование среды Windows Server 2003 Ãëàâà 24
801
Документация по резервному копированию должна периодически просматриваться и проверяться, особенно после любых изменений в конфигурации. В противном случае эта документация может устареть и лишь добавить работу и проблемы при попытках восстановления данных. Документация по восстановлению данных дополняет документацию по резервному копированию. Эта документация должна указывать, где хранятся скопированные данные и способы восстановления при различных типах сбоев (например, отказ жесткого диска, сбой системы, внешняя авария). Как и в случае документации по копированию данных, документация по восстановлению данных может иметь вид пошаговых руководств, политик, часто задаваемых вопросов (FAQ) и списков выполняемых действий. Конечно, при необходимости документы по восстановлению должны просматриваться и изменяться.
Ìîíèòîðèíã è äîêóìåíòèðîâàíèå ïðîèçâîäèòåëüíîñòè Мониторинг обычно не считается частью документирования аварийного восстановления. Однако механизмы предупреждения могут обнаружить возникшие проблемы и привлечь к ним внимание. Механизмы предупреждения могут предоставить предупредительные средства для определения возможности возникновения аварии. Документирование механизмов предупреждения и действий при возникновении предупреждений может сократить время простоя и администрирования.
Ïîäõâàò ôóíêöèé Организации, применяющие технологии или техники подхвата функций неисправных узлов наподобие кластеризации или балансировки сетевой нагрузки (Network Load Balancing — NLB), будут лучше себя чувствовать при наличии документации, касающейся подхвата функций. Наличие процедур быстрого отката и запуска системы после перераспределения нагрузки поможет избежать ненужных неприятностей. Эти документированные процедуры должны быть тщательно протестированы и проверены в лабораторных условиях, чтобы они аккуратно отражали процесс восстановления каждой системы.
Ïðîöåäóðû óïðàâëåíèÿ èçìåíåíèÿìè Изменения среды могут происходить в организации постоянно, но часто эти изменения либо плохо документируются, либо отсутствуют процедуры для проведения этих изменений. IT-персонал, не ответственный за изменения, может забывать о них, что может негативно повлиять на другие процедуры администрирования или сопровождения. Управление документированием изменениями предназначено для распространения одних и тех же знаний по всему IT, для управления, когда и как проводятся изменения, и для минимизации ущерба от некорректных или незапланированных изменений. В результате документирование процедур и изменений должно касаться процессов запроса и утверждения изменений, высокоуровневых процедур тестирования, самих процедур изменений и всех процедур отката на случай возникновения проблем.
802
Администрирование и управление Windows Server 2003 ×àñòü VI
Äîêóìåíòèðîâàíèå ïðîèçâîäèòåëüíîñòè Документирование информации, связанной с производительностью, является непрерывным процессом в силу постоянного изменения характеристик производства. Этот тип документации начинается с согласования целей, существующих политик и соглашений об уровне сервиса для организации. После четкого определения всех деталей этих областей можно определить базовые значения производительности с помощью системного монитора, диспетчера операций Microsoft (Microsoft Operations Manager — MOM) или средств сторонних разработчиков (наподобие PerfMon и BMC Patrol). Базовые значения производительности охватывают характеристики, связанные с производительностью: объем используемой памяти, средняя загрузка процессора и прочее; они также иллюстрируют работу среды Windows Server 2003 при различных нагрузках. После документирования и осмысления базовых значений производительности информация, регистрируемая средствами мониторинга и относящаяся к производительности, должна периодически анализироваться. Точнее, необходим как минимум еженедельный, если не ежедневный, анализ паттернов и тенденций. Этот анализ может обнаружить присутствующие и потенциальные узкие места и обеспечить предупредительные действия для максимально эффективной работы системы.
Ðåãèñòðàöèÿ ïîâñåäíåâíûõ äåéñòâèé Хотя системный монитор может регистрировать данные производительности и обеспечивать составление отчетов с помощью других продуктов наподобие Microsoft Excel, все же для мониторинга и составления отчетов о функционировании администраторам лучше использовать продукты наподобие MOM. Например, MOM может управлять и обеспечивать мониторинг нескольких систем и выдавать графические отчеты с настраиваемыми уровнями детальности.
Îò÷åòû äëÿ ðóêîâîäñòâà Отчеты для руководства, содержащие данные о производительности, должны быть краткими и точными, но все же высокоуровневыми. Руководителям не нужен большой объем данных по производительности; им важно увидеть тенденции, шаблоны и любые возможные проблемные области. Эта крайне полезная информация обеспечивает руководству определенный уровень понимания, чтобы можно было принять решения, необходимые для максимально эффективной работы систем. Например, администраторы обнаруживают и сообщают руководству, что если текущие тенденции использования процессора Exchange Server будут продолжаться с той же скоростью, увеличиваясь на 5% в месяц, то через 10 или менее месяцев потребуются дополнительные процессоры. Тогда руководство может прочитать этот отчет, более подробно исследовать вопрос на протяжении нескольких следующих месяцев, а потом решить, вкладывать ли деньги в покупку дополнительных процессоров. Если будет принято решение о покупке дополнительных процессоров, то у руководства будет больше времени на подбор их количества, мощности и стоимости, вместо того чтобы потенциально затратить больше средств на покупку процессоров на основе короткого сообщения.
Документирование среды Windows Server 2003 Ãëàâà 24
803
Òåõíè÷åñêèå îò÷åòû Информация технических отчетов о производительности гораздо более подробна, чем сообщения, предназначенные для руководства. Приводятся детальные данные по многим различным компонентам и аспектам системы. Например, могут быть приведены значения множества различных счетчиков использования дисковой подсистемы. Кроме того, должен быть также включен анализ паттернов и тенденций для отображения хронологической информации и решения о планировании будущих потребностей.
Äîêóìåíòàöèÿ ïî áåçîïàñíîñòè Администраторы легко могут понять важность документирования настроек и других конфигураций безопасности, но такая документация может снизить эффективность механизмов безопасности в среде Windows Server 2003. И все же документирование механизмов безопасности и соответствующих конфигураций жизненно важно для администрирования, сопровождения и в случаях возможных нарушений безопасности. Как и в случае многих других документов по сетевой среде, эти документы могут оказать существенную помощь любому, кто пытается извне или изнутри получить несанкционированный доступ к среде. Поэтому документация по безопасности и многие другие формы документации, в том числе сетевые диаграммы, конфигурации и так далее, должны тщательно охраняться для минимизации риска нарушения безопасности. Ниже приводятся некоторые связанные с безопасностью области, которые необходимо документировать. •
Политики аудита, в том числе пересмотры.
•
Пакеты обновлений (SP) и индивидуальные обновления.
•
Сертификаты и центры сертификации.
•
Конфигурации брандмауэров и proxy-серверов.
•
Конфигурации антивирусных программ.
•
Политики управления доступом, в том числе права доступа NTFS.
•
Шифрованная файловая система (Encrypting File System — EFS).
•
Политики паролей (длина, надежность и срок действия).
•
Политики, относящиеся к GPO.
•
Безопасность системного реестра.
•
Процедуры обнаружения брешей в безопасности.
•
Процедуры блокировки.
Óïðàâëåíèå èçìåíåíèÿìè Хотя документирование политик и процедур по защите системы от внешних угроз безопасности является крайне важным, необходимо также создать внутренние процедуры и документы. Разработка, документирование и внедрение процесса контроля изменений поможет защитить систему от внутренних изменений с вполне благими намерениями.
804
Администрирование и управление Windows Server 2003 ×àñòü VI
В средах с несколькими администраторами зачастую интересы одного администратора влияют на интересы другого. Например, какой-либо администратор может изменить конфигурацию, чтобы ограничить размер тома для одного из подразделений. Если это изменение не будет документировано, то другой администратор может потратить много времени, пытаясь выяснить причину жалобы одного из пользователей этого подразделения. Установление процесса контроля изменений, документирующего такие изменения, позволяет устранить недоразумения и напрасные затраты ресурсов. Процесс контроля изменений должен включать процесс тщательного тестирования для уменьшения риска возникновения проблем в промышленной среде.
Ðåãèñòðàöèÿ ïîâñåäíåâíûõ äåéñòâèé Сетевая среда может иметь множество защитных механизмов, но если не просматривать выдаваемую ими информацию, например, журналы и события, то безопасность среды ослабляется. Средства мониторинга и управления (вроде MOM) могут помочь объединить эту информацию в периодически генерируемый отчет. Этот отчет может оказаться ценным средством для постоянной оценки сетевой безопасности. Отчеты должны просматриваться ежедневно и должны содержать множество деталей для анализа администраторами. Например, можно настроить диспетчер MOM так, чтобы он выдавал отчет только по событиям, наиболее важным для поддержания безопасности среды.
Îò÷åòû äëÿ ðóêîâîäñòâà Следует информировать руководство обо всех несанкционированных проникновениях или попытках взлома системы безопасности. Технические подробности, необходимые администраторам, руководству обычно не нужны. Поэтому отчеты по безопасности для руководства должны содержать только самую необходимую статистику и объяснения возможных рисков. Затем руководство может усилить безопасность среды, изменив деловую политику и приняв финансовые решения.
Ó÷åáíàÿ äîêóìåíòàöèÿ Учебная документация может охватывать буквально тысячи вариантов. Например, организация может иметь учебную документацию для процедур сопровождения и администрирования, установки и конфигурирования новых технологий, обычных задач, выполняемых конечным пользователем, способов использования различных сетевых компонентов, будущих технологий и многого другого. Эта документация должна соответствовать текущим учебным процедурам и должна помочь в определении, какие тренировки будут необходимы в будущем.
Òåõíè÷åñêîå îáó÷åíèå Администраторы несут ответственность за надлежащее управление сетевой средой. Поэтому они должны быть технически подготовленными для разрешения различных вопросов наподобие сопровождения и устранения неполадок. Учебная документация должна указывать, почему производится изучение технологий, и как эти
Документирование среды Windows Server 2003 Ãëàâà 24
805
технологии относятся к сетевой среде, а также содержать пошаговые и практические процедуры для выполнения этих задач.
Îáó÷åíèå êîíå÷íûõ ïîëüçîâàòåëåé Учебные материалы и другие виды документации для конечных пользователей обеспечивают пользователей средствами изучения приложений, способами подключения сетевых дисков, способами нахождения информации и прочими сведениями. После завершения обучения конечных пользователей учебная документация может стать замечательным справочником.
Ïîëèòèêè èñïîëüçîâàíèÿ ñèñòåìû Чтобы иметь контроль над использованием системы, для организации важно реализовать политики использования системы. Политики могут быть установлены как для конечных пользователей, так и для IT-персонала. Политики для конечных пользователей могут включать описание поддерживаемых в сети приложений, запрещение играть в игры на локальной машине или в сети и описание конкретных шагов, которые должны выполнить пользователи для получения технической поддержки. С другой стороны, политики IT-персонала могут включать описания, когда устанавливать интервалы репликации базы данных или указывать, что действия по регулярному сопровождению системы могут выполняться только по субботам, между 5:00 и 9:00 утра.
Ðåçþìå Можно документировать большинство, если не все, аспекты сетевой среды Windows Server 2003. Однако типы документации, которые будут необходимы для среды, различаются для разных организаций. Вообще, документирование среды является важным аспектом сети и может помогать во всех аспектах администрирования, сопровождения, поддержки, устранения неполадок, тестирования и проектирования.
Ïîëåçíûå ñîâåòû •
Просматривайте документацию и утверждайте ее у других руководителей организации, чтобы она удовлетворяла и их нуждам, да и просто для того, чтобы получать информацию из других источников. Кроме того, документы, описывающие технические процедуры, должны быть протестированы и практически проверены.
•
Объединяйте и централизуйте документацию организации.
•
Документируйте политики и процедуры компании по вопросам безопасности и сопровождения.
•
Тщательно обдумывайте, планируйте и проектируйте документацию во избежание дорогостоящих ошибок в процессах внедрения или миграции, наподобие покупки слишком большого количества серверов или лицензий на них.
806
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Фиксируйте и документируйте базовое состояние сервера Windows Server 2003, чтобы в дальнейшем можно было распознать любые изменения в его производительности.
•
Используйте средства, подобные Microsoft Project, для облегчения создания планов проектов, возможности назначения задачам ресурса или ресурсов и назначения продолжительности выполнения задач и их связи с предшествующими задачами.
•
Создавайте документацию по аварийному восстановлению, содержащую пошаговые процедуры воссоздания каждого сервера и сетевого устройства для минимизации времени простоя и администрирования.
•
Документируйте ежедневные, еженедельные, ежемесячные и ежеквартальные задачи сопровождения, предназначенные для поддержания работоспособности систем.
•
Используйте документацию для облегчения обучения.
•
Документируйте деловые и технические политики организации.
Èíòåãðàöèÿ äèñïåò÷åðà îïåðàöèé Microsoft ñ Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
×òî òàêîå äèñïåò÷åð îïåðàöèé Microsoft
•
Êàê ðàáîòàåò MOM
•
Àðõèòåêòóðà MOM
•
Èñïîëüçîâàíèå MOM
•
Çíàêîìñòâî ñ ïàêåòàìè óïðàâëåíèÿ
•
Òðåáîâàíèÿ êîìïîíåíòîâ MOM
•
Äîïîëíèòåëüíûå êîíöåïöèè MOM
•
Áåçîïàñíîñòü MOM
•
Ïðèìåðû ïðîåêòèðîâàíèÿ óñïåøíûõ ðåàëèçàöèé MOM
ÃËÀÂÀ
25
808
Администрирование и управление Windows Server 2003 ×àñòü VI
×òî òàêîå äèñïåò÷åð îïåðàöèé Microsoft Диспетчер операций Microsoft (Microsoft Operations Manager — MOM) 2000 SP1 предлагает очень удобный подход к мониторингу и управлению сетевых сред на основе Windows Server 2003 и Windows 2000. За счет объединения событий MOM, мониторинга производительности и средства предупреждения MOM можно обнаруживать проблемы прежде, чем они станут критическими. MOM обеспечивает просмотр критических событий в реальном времени и разумно подыскивает для них статьи из базы знаний Microsoft Knowledge. При этом непонятно выглядящие идентификаторы событий связываются с известными проблемами и непосредственно ссылаются на технические справочные статьи базы знаний Microsoft Knowledge, содержащие советы по устранению неполадок и решению проблем. MOM проводит мониторинг Windows-серверов и приложений, используя стандартные службы Windows: инструментальные средства управления Windows (Windows Management Instrumentation — WMI) и журналы событий Windows. Кроме того, MOM дает возможность составления отчетов, что позволяет сетевым администраторам отслеживать происходящие в сетях проблемы и тенденции. Отчеты могут составляться автоматически, снабжая сетевых администраторов быстрым, оперативным и наглядным представлением данных по производительности серверов. Диспетчер MOM интегрируется с системой Windows Server 2003 и управляет ею. Он может также использоваться с Windows 2000 Server или в смешанных средах, обеспечивая автоматический мониторинг жизненно важных функций сети. Этот тип функциональности полезен для сокращения времени простоя и эффективно использует вложения в Windows Server 2003. В общем, MOM является отличным способом обретения предупредительного, а не по следам событий, контроля над смешанной средой Windows Server 2003/Windows 2000. В данной главе в основном описывается определение MOM как службы в сети Windows Server 2003. В ней приводится конкретный анализ работы MOM и представлены лучшие практические советы по проектированию MOM. Кроме того, в этой главе приведены примеры проектов Windows Server 2003, обеспечивающие реальный подход к функционированию и использованию MOM.
Êàê ðàáîòàåò MOM MOM представляет собой систему мониторинга на основе событий и данных по производительности, с помощью которой возможно широкомасштабное управление серверами, выполняющими критические функции. Организации со средними и крупными вложениями в серверы Windows Server 2003 или Windows 2000 могут убедиться, что MOM предоставляет беспрецедентные возможности для работы с десятками тысяч сообщений, ежедневно записываемых в журналы. В своей простейшей форме MOM выполняет две функции: обработку записанных событий и данных по производительности и вывод предупреждений и автоматическое выполнение ответных действий на основе этих данных.
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
809
Îáðàáîòêà ñîáûòèé è äàííûõ î ïðîèçâîäèòåëüíîñòè MOM управляет сетями Windows Server 2003 с помощью объединения событий и сбора данных по производительности. Он регистрирует события приложений, системы и безопасности во всей сети Windows Server 2003 и записывает их в единую базу данных. Как MOM собирает и обрабатывает информацию и реагирует на нее — определяют правила обработки. Правила обработки MOM описывают реакцию на входящие события и позволяют MOM реагировать на них автоматически — либо следуя предопределенному сценарию обработки проблемы (например, отказ жесткого диска) с помощью предопределенного действия (выдача предупреждения, выполнение команды или сценария), либо объединяя множество событий в одно событие, соответствующее группе взаимосвязанных событий. Правила обработки также позволяют MOM автоматически определять, какие события важны для сетевого администратора, сводя к минимуму затраты на администрирование.
Ãåíåðàöèÿ ïðåäóïðåæäåíèé è îòâåòíûõ äåéñòâèé Правила обработки MOM могут генерировать предупреждения на основе отмеченных критических событий или замеренных пороговых значений производительности. Например, отказ в работе вентилятора может породить простое предупреждение, а сбой в работе базы данных порождает более сложное предупреждение, связанное со службами базы данных SQL, в которой произошла ошибка, и Web-страницами IIS, на которые влияет доступность базы данных. Предупреждения можно сконфигурировать на запуск ответных действий: посылки почтовых сообщений, сообщений на пейджер, ловушек простого протокола управления сетью (Simple Network Management Protocol — SNMP) и сценариев извещения администраторов о потенциальных проблемах. MOM может быть сконфигурирован для извещения различных IT-групп. Например, предупреждение, сформированное при сбое базы данных, может послать почтовое сообщение в справочную службу и почтовое сообщение и сообщение на пейджер администратору базы данных. Короче говоря, в этом отношении MOM является полностью настраиваемым и может быть модифицирован для удовлетворения большинства требований к предупреждениям.
Àðõèòåêòóðà MOM MOM состоит в основном из четырех базовых компонентов: базы данных, сервера доступа к данным, консолидатора/диспетчера агентов и агентов MOM. MOM специально спроектирован масштабируемым и, следовательно, может быть сконфигурирован для удовлетворения нужд компании любого размера. Эта гибкость является следствием того, что все компоненты MOM могут либо находиться на одном сервере, либо быть распределенными на многих серверах. Microsoft разделяет компоненты с помощью распределенной многозвенной архитектуры, основанной на стандартной сетевой модели OSI, сжатой в данном случае до слоев представления, бизнес-логики и данных. Каждый слой модели соответствует компонентам MOM, как показано на рис. 25.1.
810
Администрирование и управление Windows Server 2003 ×àñòü VI
Ñëîé ïðåäñòàâëåíèÿ Îò÷åòû
Êîíñîëü MMC/Web
Ñëîé áèçíåñ-ëîãèêè Ñåðâåð äîñòóïà ê äàííûì
Êîíñîëèäàòîð
Àãåíòû
Ñëîé äàííûõ
Áàçà äàííûõ
Èñòî÷íèêè äàííûõ
Ðèñ. 25.1. Архитектура диспетчера операций Microsoft Компоненты слоя презентации состоят из консоли администратора MOM, Webконсоли и средства составления отчетов. Слой бизнес-логики составляют консолидатор/диспетчер агентов, сервер доступа к данным и агенты. И, наконец, база данных и источники данных образуют слой данных. Каждый из этих различных компонентов выполняет отдельные функции MOM. Сценарии проектирования MOM часто включают разделение этих компонентов на несколько серверов. Например, компонент базы данных может быть установлен на специально выделенном сервере, а сервер доступа к данным и консолидатор могут находиться на другом сервере. Дополнительные подробности этих концепций описаны далее в этой главе, в разделе “Примеры проектирования успешных реализаций MOM”.
НА ЗАМЕТКУ В пакете обновлений Service Pack 1 для MOM 2000 кроме исправления обнаруженных ошибок добавлены дополнительные возможности: новые пакеты управления, а также поддержка иностранных языков и более тесная интеграция со сторонними программами мониторинга.
Êàê MOM õðàíèò ðåãèñòðèðóåìûå äàííûå В качестве центрального хранилища всех собранных данных MOM использует базу данных Microsoft SQL Server. Эти данные представляют собой все журналы событий и данные по производительности, собранные со всех наблюдаемых компьютеров. В этой базе данных также хранятся все сценарии, используемые правилами пакетов управления (management pack). Эта база данных должна быть установлена в виде отдельного от MOM компонента, но физически при необходимости может располагаться на том же сервере. Правильные SQL-процедуры и сопровождение этой базы данных являются критичными для правильной работы MOM.
НА ЗАМЕТКУ Для целей тестирования с MOM может использоваться база данных MSDE, удовлетворяющая потребностям MOM в хранении данных. Однако в производственной среде настоятельно рекомендуется использовать базу данных SQL, поскольку с применением базы данных MSDE связаны некоторые существенные ограничения.
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
811
Ðîëü ñåðâåðà äîñòóïà ê äàííûì â MOM Сервер доступа к данным (Data Access Server — DAS) является компонентом MOM, предназначенным для сообщения с базой данных MOM. Он обрабатывает все транзакции данных между базой данных и всеми другими службами MOM. DAS используется большинством запросов на чтение информации из базы данных (единственным серьезным исключением является составление отчетов), а также всеми запросами на запись данных в базу.
Êîíñîëèäàòîð Консолидатор (consolidator) предназначен для контроля и обновления данных по всем наблюдаемым компьютерам в базе данных MOM. Он поставляет все обновления агентов клиентов, которые включают обновление всех правил или параметров конфигурации наблюдаемых компьютеров. Он также поставляет в DAS все данные с наблюдаемых компьютеров.
Çàäà÷è àãåíòîâ ìîíèòîðèíãà ñèñòåìû Агенты (agent) представляют собой компоненты мониторинга, установленные на каждом управляемом компьютере. Они используют журналы регистрируемых событий и значения счетчиков производительности и обрабатывают их на основе правил пакетов управления, установленных на компьютере.
Ñîçäàíèå àäìèíèñòðàòèâíûõ ðàçãðàíè÷åíèé ñ ïîìîùüþ ãðóïï êîíôèãóðàöèè Для логического разделения территориальных и организационных подразделений MOM применяет концепцию конфигурационных групп (configuration group). Конфигурационные группы позволяют администраторам изменять размер архитектуры MOM или политически организовывать администрирование MOM. Каждая конфигурационная группа состоит из следующих компонентов: •
Одна база данных.
•
Один или более консолидатор/диспетчер агентов (CAM).
•
Один или более сервер доступа к данным (DAS).
•
Наблюдаемые агенты.
Как будет сказано позднее в данной главе, в разделе “Примеры проектирования успешных реализаций MOM”, MOM может масштабироваться для удовлетворения нужд организаций различных размеров. Для небольших организаций все компоненты MOM могут быть установлены на одном сервере с одной конфигурационной группой, как показано на рис. 25.2. С другой стороны, в крупных организациях распределение компонентов MOM по различным серверам позволяет организациям настраивать их архитектуру MOM, как показано на рис. 25.3. Несколько конфигурационных групп обеспечивают балансировку нагрузки и отказоустойчивость инфраструктуры MOM. Организации могут ус-
812
Администрирование и управление Windows Server 2003 ×àñòü VI
тановить несколько консолидаторов, серверов доступа к данным или диспетчеров агентов в стратегических точках, чтобы распределить между ними нагрузку.
НА ЗАМЕТКУ Общее правило работы с конфигурационными группами таково: начните с одной конфигурационной группы и добавляйте следующие группы только в случае абсолютной необходимости. Меньшее количество конфигурационных групп уменьшает затраты на администрирование, пересоздание правил и выполнение других излишних действий. Ïðîñòîé ñåðâåð/ïðîñòàÿ êîíôèãóðàöèîííàÿ ãðóïïà Íàáëþäàåìûå óçëû
Áàçà äàííûõ Êîíñîëü MMC/Web
Ñåðâåð MOM
Ðèñ. 25.2. Простая конфигурационная группа Àðõèòåêòóðà MOM ñ íåñêîëüêèìè êîíôèãóðàöèîííûìè ãðóïïàìè Ñåðâåð MOM 2
Ñåðâåð MOM 1
Êîíñîëü MMC/Web
Áàçà äàííûõ
Êîíñîëü MMC/Web
Íàáëþäàåìûå óçëû
Ðèñ. 25.3. Несколько конфигурационных групп
Áàçà äàííûõ
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
813
Èñïîëüçîâàíèå MOM Пользоваться диспетчером MOM довольно просто. Он может быть сконфигурирован с помощью двух наборов консолей: оснастки Microsoft Management Console (MMC) и Web-консоли. С помощью этих консолей можно получить доступ ко всем действиям MOM. После разворачивания среды MOM для мониторинга системы необходимо сделать совсем немного; легко даже забыть, что MOM уже внедрен. Настоящая ценность системы проявляется при извещении администратора об обнаружении критического системного события.
Óïðàâëåíèå è ìîíèòîðèíã ñ ïîìîùüþ MOM Как упоминалось в предыдущем разделе, для конфигурирования и просмотра настроек MOM могут использоваться два метода. Первый подход — с помощью оснастки MMC, устанавливаемой с MOM. Администраторы могут легко просматривать иерархическую древовидную структуру и конфигурировать правила, группы извещений и параметры конфигурации, как показано на рис. 25.4. Кроме основной консоли MMC, можно использовать Web-консоль администрирования с Web-браузером, подобным Microsoft Internet Explorer (версии 4.01 или выше), которая позволяет просматривать и конфигурировать наиболее важную информацию MOM. С помощью Web-консоли, показанной на рис. 25.5, администраторы могут просматривать состояние наблюдаемых систем, имея возможность назначать действия и изменять извещения. Кроме того, возможен доступ к соответствующей базе знаний.
Ðèñ. 25.4. Оснастка MMC MOM
814
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðèñ. 25.5. Web-консоль MOM
Ñîñòàâëåíèå îò÷åòîâ â MOM MOM содержит множество заранее сконфигурированных отчетов и диаграмм. Отчеты дают возможность администраторам быстро оценить состояние систем и сетевых служб. Они также помогают администраторам осуществлять мониторинг сетей на основе данных об их производительности. Отчеты могут выдаваться по запросу или по графику. MOM может также генерировать отчеты в формате HTML, которые можно опубликовать на Web-сервере и просматривать любым Web-браузером, как показано на рис. 25.6. Поставщики могут также создавать в своих пакетах управления дополнительные отчеты.
Ðèñ. 25.6. Web-отчеты
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
815
Ìîíèòîðèíã ïðîèçâîäèòåëüíîñòè Другой важной функцией MOM является возможность мониторинга и наблюдения параметров производительности сервера. MOM может быть сконфигурирован для мониторинга основных пороговых значений производительности с помощью правил, установленных для сбора предопределенных данных по производительности — например, зависимости использования памяти и процессора от времени. Можно сконфигурировать правила, выдающие предупреждения и запускающие действия при достижении или превышении указанных пороговых значений производительности, позволяя сетевым администраторам заняться возможными проблемами с оборудованием. Данные о производительности могут просматриваться из консоли MOM или из Web-консоли, как показано на рис. 25.7.
Ðèñ. 25.7. Пример данных по производительности
Çíàêîìñòâî ñ ïàêåòàìè óïðàâëåíèÿ Диспетчер MOM был бы неэффективен, если бы он только собирал вслепую информацию из журналов событий. Многие администраторы могут подтвердить, что некоторые зарегистрированные в журнале события и данные по производительности на первый взгляд кажутся серьезными, но потом оказывается, что их можно спокойно проигнорировать. Но бывает и так, что невинно выглядящие события могут быть симптомами завуалированных критических проблем. Основная ценность MOM связана с его возможностью интеллектуально обрабатывать эти данные и при обнаружении опасных симптомов запускать предупреждающие ответные действия. Например, если какой-либо идентификатор события окажется связанным с фрагментацией виртуальной памяти, то MOM может быть заранее запрограммирован для сообщения об этом факте и обеспечения разумного отклика и последовательности действий, смягчающих упомянутую проблему. Эти заранее составленные интеллектуальные ответы программируются в пакетах управления MOM.
816
Администрирование и управление Windows Server 2003 ×àñòü VI
Пакет управления (management pack) представляет собой заранее сконфигурированные правила, определяющие обработку MOM данных, которые поступают с наблюдаемых компьютеров. Пакеты управления содержат также информацию базы знаний о возможных причинах и способах реагирования на некоторые события. Только что установленный MOM содержит стандартный список пакетов управления, охватывающий все критические службы Windows: •
Windows 2000/2003.
•
Active Directory.
•
Служба репликации файлов (File Replication Service — FRS).
•
Система доменных имен (Domain Name System — DNS).
•
Служба Internet-имен Windows (Windows Internet Naming Service — WINS).
•
Информационные службы Internet (Internet Information Services — IIS).
•
Протокол динамической конфигурации хостов (Dynamic Host Configuration Protocol — DHCP).
•
Сервер маршрутизации и удаленного доступа (Routing and Remote Access Server — RRAS).
•
Служба транзакций Microsoft (Microsoft Transaction Service — MTS).
•
Служба очередей сообщений Microsoft (Microsoft Message Queuing — MSMQ).
•
Координатор распределенных транзакций Microsoft (Microsoft Distributed Transaction Coordinator — MSDTC).
•
Сервер управления системами (Systems Management Server — SMS).
•
Диспетчер операций Microsoft (Microsoft Operations Manager — MOM).
•
Терминальный сервер (Terminal Server).
•
Microsoft Windows NT 4.0 (системные журналы ОС).
В Microsoft доступны и дополнительные пакеты управления, предназначенные для приложений. Эти пакеты управления разработаны экспертами в соответствующих областях (например, Microsoft SQL или Microsoft Exchange 2000). Как и стандартные пакеты управления, пакеты управления приложений содержат заранее составленные правила и информацию базы знаний, предназначенную для мониторинга и управления приложениями, выполняющимися на серверах Windows 2000 и Windows Server 2003. Для множества приложений управления предприятием доступны и дополнительные пакеты управления от других поставщиков наподобие NetIQ. Вот список пакетов управления приложений, разработанных Microsoft: •
Exchange 5.5/2000/2003.
•
SQL Server 2000.
•
SQL Server 7.0.
•
Application Center 2000.
•
Internet Security and Acceleration (ISA) Server 2000.
•
Proxy Server 2.0.
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
817
•
Site Server 3.0.
•
Commerce Server 2000.
•
SNA Server 4.0.
•
Host Integration Server (HIS) 2000.
•
Сервер порталов SharePoint Portal Server 2003.
•
Среда Microsoft .NET Framework.
•
Балансировка сетевой нагрузки (Network Load Balancing).
•
Кластеры Windows Server.
•
Сервер идентификации и объединения Microsoft (Microsoft Identity Integration Server — MIIS) 2003.
Компания Microsoft постоянно обновляет и добавляет новые пакеты управления в качестве части инициативы динамических систем (Dynamic Systems Initiative — DSI) Microsoft. Эти пакеты управления можно загрузить из каталога пакетов управления по адресу http://www.microsoft.com/mom/downloads/managementpacks/default.asp. Необходимо всегда использовать самые последние версии пакетов управления, поскольку они включают множество улучшений и обновлений первоначального кода. На самом деле их первоначальная редакция на компакт-диске не содержит основные пакеты управления для Windows 2003 или Exchange 2003. Поэтому загружать и обновлять пакеты управления нужно обязательно. Другие поставщики аппаратного и программного обеспечения также создают свои собственные пакеты управления с предопределенными правилами, извещениями и действиями. Эти поставщики тоже предоставляют знания о своих продуктах, предназначенные для помощи в быстром устранении проблем сетевыми администраторами. Кроме того, администраторы могут создавать свои собственные правила и извещения или перенастраивать существующие.
Èíòåãðàöèÿ ñ ñóùåñòâóþùèìè ñðåäñòâàìè óïðàâëåíèÿ Управление сетью — концепция не новая. Простое управление различных сетевых узлов довольно длительное время выполнялось с помощью простого протокола управления сетью (Simple Network Management Protocol — SNMP). Часто бывает так, что в организации уже присутствуют простые или даже сложные системы, которые используют протокол SNMP для выполнения мониторинга системы и системного управления сетью различной степени. MOM можно сконфигурировать для интеграции с этими сетевыми системами и инфраструктурами управления. Можно создать специальные соединители для обеспечения двусторонних потоков информации между обоими средствами управления. MOM может отслеживать ловушки SNMP на устройствах, поддерживающих SNMP, а также генерировать ловушки SNMP, поставляющие информацию сторонним инфраструктурам управления сетью. Кроме того, MOM с помощью протокола syslog может напрямую отслеживать события Unix-систем.
818
Администрирование и управление Windows Server 2003 ×àñòü VI
Ðàñøèðåííûå ïàêåòû óïðàâëåíèÿ Диспетчер MOM был специально разработан для разработки и применения в его инфраструктуре различных оснасток пакетов управления, называемых расширенными пакетами управления (Extended Management Packs — XMP). Это обеспечивает возможность масштабирования развертывания MOM в различные специализированные приложения. Например, мониторинг специализированных программ баз данных сторонних разработчиков может проводиться с помощью XMP, специально созданного для реагирования на критерии, специфичные для этого приложения, например, на идентификаторы событий, означающие возможное разрушение базы данных. В свою очередь, разработчики программного и аппаратного обеспечения могут создавать свои собственные пакеты управления, расширяющие возможности управления MOM. Пакеты XMP расширяют возможности управления MOM за пределы приложений, созданных специально для Microsoft. Каждый пакет управления содержит набор правил и знаний о продукте, необходимых для поддержки этих продуктов. В настоящее время разработаны XMP для следующих продуктов (и еще большее их число находится в стадии разработки): •
Novell NetWare.
•
Linux.
•
Compaq Insight Manager.
•
Oracle RDBMS.
•
Антивирусные пакеты от Trend, McAfee и Norton.
•
Средства управления от Tivoli, MicroMuse, Hewlett-Packard и NetIQ.
Ñðåäñòâà íàáîðà ðåñóðñîâ MOM 2000 Resource Kit Для MOM существует несколько наборов ресурсов, предназначенных для улучшения возможностей мониторинга и управления сетевой средой. Вот некоторые из этих средств: • Монитор состояния сервера (Server Status Monitor — SSM). Позволяет выполнять простой мониторинг рабочего и нерабочего состояния небольших групп серверов, аналогично мониторингу SNMP с помощью продуктов наподобие HP OpenView’s Network Node Manager (диспетчер сетевых узлов HP OpenView). •
RunMOMScript. Позволяет тестировать сценарии, созданные для работы с правилами MOM. Оно выполняет каждый сценарий в точности так же, как MOM, позволяя выполнить эффективное тестирование.
•
Pocket MOM. Средство для Pocket PC, позволяющее управление средой MOM непосредственно с карманных устройств Pocket PC.
•
Соединитель MOM-Tivoli. Позволяет сосуществование среды MOM 2000 SP1 со средой Tivoli Enterprise Console (TEC).
•
EventSim. Средство эмуляции событий тестирует пакеты управления MOM, моделируя в MOM возникновение событий Windows и загрузку и тестирование среды правил событий MOM.
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
819
•
ConfigureEventLogs. Позволяет выполнять массовое конфигурирование нескольких серверов, обслуживаемых MOM.
•
MOM DTS. Средство Microsoft Operations Manager Data Transformation Services Package (Пакет служб преобразования данных диспетчера операций Microsoft) позволяет выгружать данные из производственной базы данных MOM в отдельную автономную базу данных. Это позволяет долговременное хранение событий сервера и данных о производительности.
Òðåáîâàíèÿ êîìïîíåíòîâ MOM Каждый компонент MOM накладывает свои требования к проектированию, и, прежде чем приступить к проектированию MOM, нужно ознакомиться с этими факторами. Необходимо учесть требования к аппаратному и программному обеспечению, а также факторы, касающиеся отдельных компонентов MOM, наподобие учетных записей служб и требований резервного копирования.
Òðåáîâàíèÿ ê àïïàðàòíîìó îáåñïå÷åíèþ Аппаратное обеспечение, необходимое для работы MOM, является критическим компонентом функционирования, надежности и общей производительности MOM. Нет ничего хуже, чем превышение возможностей нового сервера спустя лишь несколько месяцев после его установки. Производственный стандарт обычно предусматривает, что любой установленный производственный сервер после внедрения должен находиться в рабочем состоянии три-четыре года. Это время можно продлить, но все мы, к сожалению, знаем, что вложения в оборудование обычно являются краткосрочными, и для обеспечения его соответствия существующим потребностям его надо часто заменять. Покупка менее дорогого сервера может сэкономить деньги на небольшой строк, однако увеличить затраты, связанные с временем и готовностью, устранением неполадок и администрированием. С учетом этого ниже приводятся минимальные рекомендуемые Microsoft требования к любому серверу, выполняющему MOM 2000: •
Процессор Pentium III с частотой 550 МГц.
•
5 Гб свободной дисковой памяти.
•
512 Мб оперативной памяти (ОЗУ).
Эти рекомендации годятся только для самых небольших развертываний MOM и должны рассматриваться как минимальные требования для оборудования, на котором работает MOM. При определении размера серверов для развертывания MOM должны учитываться будущие расширения и соответствие аппаратуры.
Òðåáîâàíèÿ ê ïðîãðàììíîìó îáåñïå÷åíèþ MOM может быть установлен на Windows Server 2003 или на Windows 2000 с Service Pack 2 или выше. Для новых развертываний MOM настоятельно рекомендуется установить Windows Server 2003, чтобы воспользоваться преимуществами всех новых возможностей операционной системы (в конце концов, эта книга посвящена Windows Server 2003).
820
Администрирование и управление Windows Server 2003 ×àñòü VI
НА ЗАМЕТКУ MOM может быть установлен только на Windows Server 2003 версий Enterprise или DataCenter (в Windows 2000 — Advanced Server или DataCenter). Стандартная редакция Windows Server 2003 не поддерживает установку MOM.
База данных для MOM должна быть базой данных Microsoft SQL Server 2000 (или выше). База данных может быть установлена на том же сервере, что и MOM, или на отдельном сервере — эта концепция будет более подробно рассмотрена в последующих разделах. Хотя технически возможна работа MOM и с MSDE (базой данных для разработчиков), все-таки для информации MOM настоятельно рекомендуется использование более устойчивой базы данных SQL. Сам диспетчер MOM должен быть установлен на рядовой сервер в домене Active Directory Windows Server 2003 (или Windows 2000), но не на контроллер домена, поскольку эта установка физически не будет выполнена. Чаще всего рекомендуется устанавливать MOM на отдельном сервере или наборе отдельных выделенных рядовых серверов, которые не выполняют никаких других отдельных приложений. Ниже представлены другие факторы, важные для успешной реализации MOM: •
В среде, использующей любые узлы Windows NT, нужно инсталлировать WINS.
•
Если организация хочет иметь возможность создания специализированных отчетов, использующих возможность составление отчетов MOM, то необходимо инсталлировать Microsoft Access 2000 или выше.
•
Уведомления по электронной почте требуют наличия Microsoft Outlook 98 или выше.
Ó÷åòíûå çàïèñè ñëóæáû MOM Консолидатор и серверные компоненты доступа к данным MOM требуют использования выделенной учетной записи службы. Для этих служб может использоваться одна и та же учетная запись, что, вообще-то, и рекомендуется. Но по соображениям безопасности теоретически возможно использовать две различные учетные записи служб из различных доменов. Однако этот подход имеет и недостаток: каждая учетная запись службы, обращающейся к базе данных SQL, требует отдельной лицензии доступа к клиенту (CAL) SQL.
Ðåçåðâíîå êîïèðîâàíèå MOM Как и большинство технических реализаций, MOM содержит несколько ключевых компонентов, требующих регулярных резервных копирований на случай аварийного восстановления. Нужно выполнять резервные копирования состояния системы и системного диска каждого сервера MOM, чтобы обеспечить возможность быстрого восстановления конфигурационной информации MOM. Возможность резервного копирования данных из систем MOM обеспечивают специальные подключаемые модули для программ резервного копирования, написанные конкретно для диспетчера операций Microsoft. В настоящее время большинство крупных производителей программ резервного копирования прилагают к своим продуктам модули подобного рода, и вполне разумно интегрировать эти компоненты в структуру MOM.
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
821
Кроме того, необходимо регулярно копировать наиболее критическую часть MOM — базу данных SQL — с помощью специального подключаемого модуля для стандартной программы резервного копирования, которая может эффективно выполнять оперативные резервные копирования баз данных SQL. Если интеграция этих специализированных утилит резервного копирования в развернутый диспетчер MOM невозможна, придется периодически размонтировать базу данных MOM и выполнять автономные резервные копирования. В любом случае важность резервных копирований в среде MOM переоценить попросту невозможно.
Àãåíòû MOM Агенты MOM развертываются на всех наблюдаемых серверах во время процесса конфигурирования MOM. Эти агенты могут быть сконфигурированы на автоматическую инсталляцию на все серверы Windows Server 2003 и Windows 2000 конкретного сегмента сети домена, на основе правил управляемого компьютера. Эти правила используют имя компьютера и домена из NetBIOS, позволяя выбрать систему, на которой будет автоматически установлен клиент. Для указания диапазона компьютеров можно использовать обобщенные символы (wildcards). В некоторых ситуациях, например, при мониторинге через брандмауэр, требуется ручная установка этих компонентов.
НА ЗАМЕТКУ Установка агентов возможна для учетных записей служб MOM, имеющих права локального администратора на сервере, на котором они устанавливаются. Если применение этих прав, даже временное, невозможно, MOM нужно установить вручную, пользуясь учетной записью, обладающей этими правами.
Äîïîëíèòåëüíûå êîíöåïöèè MOM Простота установки и относительная легкость использования MOM часто скрывают возможную сложность его внутренних компонентов. Этой сложностью, однако, можно управлять — если обладать достаточными знаниями некоторых дополнительных концепций проектирования и реализации MOM.
Ñðàâíåíèå ñåðâåðîâ DCAM è D-DCAM Как уже упоминалось, компоненты MOM могут быть размещены на нескольких серверах для распределения и балансировки нагрузки. Это разделение позволяет серверам MOM выступать в трех потенциальных “видах”, в зависимости от содержащихся на этих серверах компонентов MOM. Вот три типа серверов MOM: •
Сервер базы данных. Сервер базы данных MOM является просто рядовым сервером, на котором установлен SQL Server 2000 для базы данных MOM. На этом сервере не установлены никакие другие компоненты MOM. Компонент SQL Server 2000 должен быть установлен с опциями по умолчанию и с учетной записью службы SQL. Учетная запись службы, кроме всех других учетных записей служб, используемых DAS и консолидатором, требует использования лицензии доступа клиента (CAL).
822
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Сервер DCAM. Также известен как просто DCAM. Этот тип сервера назван по имени компонента MOM, используемого сервером. На DCAM находятся компоненты DAS, консолидатора и диспетчера агентов. Кроме того, на этом же сервере находятся консоль и пользовательский интерфейс. По сути дела, DCAM является сервером MOM без базы данных и часто используется в больших реализациях MOM, имеющих выделенный сервер базы данных. Часто в таких конфигурациях несколько серверов DCAM используются в одной конфигурационной группе, чтобы обеспечить масштабируемость и наблюдение нескольких узлов.
•
Сервер D-DCAM. Сервер D-DCAM представляет собой сервер MOM, содержащий все роли MOM, в том числе и базы данных. Следовательно, конфигурации односерверного MOM используют один D-DCAM для всех операций MOM, кроме составления отчетов.
Íåñêîëüêî êîíôèãóðàöèîííûõ ãðóïï Как было определено ранее, конфигурационная группа MOM представляет собой логическую группировку наблюдаемых серверов, управляемых одной базой данных SQL MOM, одним или несколькими DCAM и имеющую уникальное имя конфигурационной группы. Каждая созданная конфигурационная группа действует полностью отдельно от других конфигурационных групп, хотя они могут быть сконфигурированы для пересылки извещений друг другу. Концепция пересылки сообщений между конфигурационными группами позволяет масштабировать MOM за искусственные границы, а заодно значительно увеличивает возможности объединения сред MOM. Однако необходимо учитывать некоторые скрытые неудобства. Поскольку каждая конфигурационная группа полностью изолирована от других, то, следовательно, каждая из них должна быть сконфигурирована вручную с индивидуальными параметрами. Например, в средах с большим количеством специальных правил такое ручное конфигурирование может породить большие объемы излишней работы по созданию, администрированию и устранению неполадок в нескольких конфигурационных группах.
Êîíôèãóðàöèîííûå ãðóïïû íà îñíîâå òåððèòîðèàëüíîãî äåëåíèÿ На основе факторов, описанных в предыдущем разделе, лучше всего разворачивать MOM в нескольких конфигурационных группах. Однако в некоторых ситуациях лучше не делить среду MOM на несколько конфигурационных групп, если подобного деления можно избежать. Наиболее распространенной причиной деления на конфигурационные группы MOM является деление по территориальному признаку. В ситуациях с перегруженными или ненадежными каналами глобальной сети (WAN), возможно, стоит разделить большие “острова” связности WAN на отдельные конфигурационные группы. Однако простое распределение между медленными каналами WAN — это еще не причина для создания отдельных конфигурационных групп. Например, небольшие сайты с несколькими серверами не требуют создания отдельной конфигурационной
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
823
группы MOM, связанным с ней программным и аппаратным обеспечением и затратами на администрирование. Но если в распределенной, обычно хорошо связной географической области находятся много серверов, то в этом случае можно создать конфигурационную группу. Например, некоторая организация может быть поделена на несколько сайтов по всей территории США, но она может принять решение для деления среды MOM на отдельное конфигурационные группы для восточного и западного побережий, что будет грубо соответствовать инфраструктуре WAN этой организации. Небольшие сайты, не являющиеся сильно связными, но все же достаточно большие для создания их собственных конфигурационных групп, должны иметь свой собственный мониторинг событий, чтобы не пересылать данные по WAN во время пиковых загрузок сети. Однако отрицательной стороной этого подхода является увеличение времени реакции на критические события.
Êîíôèãóðàöèîííûå ãðóïïû íà îñíîâå ïîëèòè÷åñêîãî äåëåíèÿ èëè ïðèíöèïîâ áåçîïàñíîñòè Менее распространенный метод деления на конфигурационные группы MOM — по политическому делению или по принципам безопасности. Например, может оказаться необходимым выделить в отдельную конфигурационную группу финансовые серверы — для защиты финансовой среды и возможности создания отдельного коллектива администраторов. Если администрирование в организации не локализовано, можно создать конфигурационные группы для политического выделения управления MOM в отдельные сферы управления. Это поможет предоставить каждой зоне наблюдения MOM отдельную модель безопасности и позволит применять пересылку сообщений для обмена информацией между различными конфигурационными группами. Как уже упоминалось, наиболее эффективной средой MOM является одиночная конфигурационная группа, которая минимизирует объем излишней работы по настройке, администрированию и устранению неполадок. Следовательно, по возможности необходимо избегать искусственного деления MOM по политическим признакам или по принципам безопасности.
Óñòàíîâêà ðàçìåðà áàçû äàííûõ Похоже, что все новые технологии потребляют огромные объемы дисковой памяти, и MOM в этом смысле не является исключением. В зависимости от нескольких факторов, наподобие типа регистрируемых данных, продолжительности хранения этих данных и объема обслуживающих базу данных процедур, размер базы данных MOM, если его не контролировать, может расти огромными темпами. Microsoft рекомендует объем тома с базой данных в 5 Гб, хотя настоятельно рекомендуется оставить достаточно места на расширение базы данных. Например, в организации может оказаться нужным хранить информацию о событиях в течение более длительного времени, что повлечет за собой экспоненциальное увеличение размера базы данных.
824
Администрирование и управление Windows Server 2003 ×àñòü VI
Îöåíêà ðàçìåðà áàçû äàííûõ MOM Для интересующихся мы приведем формулу, используемую Microsoft для оценки размера базы данных MOM, которая показывает приблизительный объем дисковой памяти, требуемый базе данных. Учтите, что к результатам, полученным с помощью этой формулы, необходимо добавить 40%, поскольку индексирование MOM требует 40% свободного места на томе с базой данных. (((e * s) 1440) g) где: e — общее количество событий, событий безопасности, счетчиков производительности и неподавляемых предупреждений в минуту; s — средний размер в килобайтах каждого события, счетчика и предупреждения; 1440 — количество минут в сутках; g — интервал обслуживания (в днях). Важно следить за размером базы данных, чтобы он не вырос далеко за приемлемые границы. Как было сказано, для правильного выполнения индексирования MOM требует как минимум 40% свободного места на томе с базой данных, и чрезвычайно важно, чтобы база данных не выросла слишком большой, что может повлиять на ее производительность. Для уменьшения размера базы данных MOM можно выполнить следующие действия: •
Архивируйте собранные данные. Чем чаще архивируются старые данные, тем, понятно, меньше база данных. При разрастании базы данных MOM может появиться необходимость в архивировании старых данных на другой носитель. Однако недостатком этого подхода является то, что отчеты будут содержать хронологию только до момента последней архивации. Следует подобрать верный баланс между жестким расписанием архивации и разрастанием базы данных.
•
Измените интервал обслуживания. Как видно из представленной выше формулы, уменьшение интервала обслуживания базы данных существенно уменьшает размер базы данных. Например, установка интервала обслуживания в несколько дней может существенно снизить требования к дисковой памяти и увеличить непротиворечивость базы данных. Следовательно, установка регулярного интервала обслуживания является ключом к эффективной стратегии сопровождения базы данных.
MOM может быть сконфигурирован и на мониторинг себя самого, выдавая предупреждения о проблемах с базой данных и достижении пределов емкости. Этот тип стратегии настоятельно рекомендуется, так как MOM может регистрировать информацию о событиях быстрее, чем избавляться от нее.
Ïðåäåëû åìêîñòè Как и у любой системы, у MOM также есть некоторые жесткие ограничения, которые необходимо учитывать перед началом развертывания. Выход за эти границы может стать причиной создания новых конфигурационных групп и, следовательно, должен быть включен в проектный план. Вот эти пределы:
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
825
•
Одна база данных на конфигурационную группу. MOM оперирует с помощью не распределенного, а централизованного сбора данных. Все журналы событий, счетчики производительности и предупреждения посылаются в одну централизованную базу данных, так что для одной конфигурационной группы может существовать только одна база данных SQL. Поэтому для базы данных MOM настоятельно рекомендуется разработка стратегии резервного копирования и высокой готовности, защищающей ее от выхода из строя.
•
Шесть DCAM на конфигурационную группу. В MOM жестко закодирован предел в шесть серверов DCAM на конфигурационную группу. Если размер пула наблюдаемых серверов становится более шести DCAM, то для выполнения всего мониторинга среды потребуется добавить еще одну конфигурационную группу. Любая конфигурационная группа с шестью DCAM будет скорее ограничена размером и пропускной способностью базы данных, которая в этом случае должна быть огромной.
•
700 агентов на DCAM. Каждый DCAM теоретически может поддерживать до 700 наблюдаемых агентов на каждый сервер DCAM. Однако в большинстве конфигураций лучше ограничить количество агентов на DCAM до 200, хотя при необходимости эти ограничения могут быть подняты, если имеется более надежное оборудование.
•
30 экземпляров консолей на DCAM. MOM ограничивает количество экземпляров Web-консолей и консолей MMC администратора до 30 на DCAM.
Ìàñøòàáèðîâàíèå ñðåäû MOM MOM является масштабируемым в том смысле, что в нескольких конфигурационных группах может быть сконфигурирована возможность пересылки предупреждений друг другу. Кроме того, в пределах конфигурационных групп может быть установлено несколько серверов DCAM для обеспечения более тонкой масштабируемости в каждой конфигурационной группе. Эти факторы позволяют масштабировать MOM для организаций всех видов и размеров. MOM основывается на нескольких слоях масштабируемости. В небольших развертываниях достаточного одного сервера D-DCAM. При увеличении количества наблюдаемых серверов можно разделить базу данных и добавить дополнительные серверы DCAM, приблизительно по одному на каждые 100 развернутых агентов. Это можно продолжать до развертывания шести серверов DCAM в конфигурационной группе, как показано на рис. 25.8. Если достигнуты физические пределы конфигурационной группы, или если организация вынуждена добавить еще одну конфигурационную группу по соображениям безопасности либо по территориальным или политическим соображениям, достигается предел масштабируемости MOM. Деление на несколько конфигурационных групп позволяет организации масштабировать развертывание MOM за пределы физических ограничений самой конфигурационной группы.
826
Администрирование и управление Windows Server 2003 ×àñòü VI
Áàçà äàííûõ Ñåðâåð áàçû äàííûõ DCAM
DCAM
DCAM
DCAM
DCAM DCAM
Ðèñ. 25.8. Несколько серверов DCAM
Èçáûòî÷íîñòü ñèñòåìû Помимо масштабируемости, встроенной в MOM, в компоненты среды встроено и резервирование. Для понимания резервирования MOM важно умение внедрять резервирование MOM и правильно размещать компоненты MOM. Разворачивание в конфигурационной группе нескольких серверов DCAM позволяет среде достичь определенного уровня резервирования. Если на одном сервере DCAM произошел сбой, то другой сервер DCAM из конфигурационной группы подхватывает функции компонентов консолидатора, DAS и менеджера агентов для наблюдаемой сервером среды. Если готовность системы очень важна, то по этой причине для достижения определенного уровня резервирования лучше включить в среду несколько серверов DCAM, как показано на рис. 25.9. Поскольку в одной конфигурационной группе может быть только одна база данных MOM, значит, база данных является нерезервированной точкой отказа (single point of failure) и должна быть защищена от сбоев. Применение кластеризации Windows Server 2003 или средств сторонних разработчиков повышения отказоустойчивости баз данных SQL помогает уменьшить риск отказа базы данных MOM.
Áåçîïàñíîñòü MOM Безопасность становится первоочередной необходимостью, к которой нельзя больше относиться несерьезно. Безопасность, присущая Windows Server 2003, полностью зависит от служб, имеющих к нему доступ; в этой связи необходимо выполнять аудит безопасности всех систем, обращающихся к серверам за информацией. Эта концепция верна и для систем управления, поскольку они собирают конфиденциальную информацию с каждого сервера предприятия. В эту конфиденциальную информацию входят и потенциально секретные журналы событий, с помощью которых можно взломать систему. Поэтому к обеспечению безопасности инфраструктуры MOM следует отнестись со всей ответственностью.
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
827
Ñåðâåð MOM/ Îò÷åòû MMC/Web-êîíñîëü Áàçà äàííûõ SQL-ñåðâåð MOM Ñåðâåð MOM
Ñåðâåð MOM DCAM1
\\SQL
Ñåðâåð MOM DCAM2
\\IIS
\\Exchange
Ðèñ. 25.9. Подхват функций в MOM
Ôèçè÷åñêàÿ çàùèòà MOM Кроме безопасности программного обеспечения, одной из наиболее важных форм безопасности является реальная физическая безопасность. Необходимо физически защитить серверы MOM, поместив их за закрытыми дверями, и необходимо сократить доступ к информации входа в систему, дабы защитить содержащуюся в среде критическую информацию. Эту концепцию невозможно переоценить, так как физической защитой пренебрегают чаще всего, хотя она является одним из наиболее критичных компонентов безопасной инфраструктуры. Кроме физической защиты, серверы MOM необходимо тщательно заблокировать на уровне ОС для предотвращения несанкционированного доступа. Сюда входит создание сложных паролей для учетных записей служб и применение свежих пакетов обновлений и исправлений системы безопасности с помощью средств автоматического обновления Windows Server 2003, чтобы поддерживать безопасность и актуальность среды. Кроме того, администрирование безопасности MOM может быть упрощено за счет создания группы Active Directory для контроля администрирования MOM. Этой группе можно предоставить права администратора серверов MOM и добавлять пользователей в качестве членов этой группы. Упрощение администрирования безопасности часто повышает и саму безопасность, поскольку после устранения проблем администраторам необходимо выполнять меньше действий.
Çàùèòà àãåíòîâ MOM Каждый сервер, содержащий агент MOM и пересылающий события серверам DCAM MOM, имеет особые требования к безопасности. Необходимо установить защиту на серверном уровне, которая более подробно обсуждалась в главе 12, и обеспе-
828
Администрирование и управление Windows Server 2003 ×àñòü VI
чить условия для сбора данных MOM. Весь трафик между компонентами MOM — агентами, серверами DCAM и базой данных — автоматически защищается с помощью встроенных средств шифрования. Кроме того, в средах с высокими требованиями к безопасности потребуется рассмотреть вопрос использования технологий шифрования, подобных IPSec, чтобы шифровать идентификаторы событий, пересылаемые между агентами и серверами MOM, и защитить пакеты MOM от подглядывания. Более подробную информацию об установке IPSec можно найти в главе 13.
Òðåáîâàíèÿ ê áðàíäìàóýðó Серверы MOM, развернутые через брандмауэр, налагают дополнительные условия, которые также необходимо учитывать. Необходимо специально открыть на брандмауэре стандартный порт 1270, используемый для коммуникаций MOM, чтобы MOM мог через него обмениваться данными. Кроме того, серверы MOM могут быть специально сконфигурированы на работу в конфигурации брандмауэра буферной зоны (DMZ), если есть соответствующий доступ из DMZ к наблюдаемым серверам.
Çàùèòà ó÷åòíûõ çàïèñåé ñëóæá Кроме вышеупомянутых мер, безопасность среды MOM может быть повышена добавлением нескольких учетных записей служб для работы с различными компонентами MOM. Например, можно сконфигурировать DAS и консолидатор так, чтобы они использовали отдельные учетные записи служб, что обеспечит дополнительный уровень защиты на случай компрометации одной учетной записи. Однако этому подходу присущ один недостаток: база данных SQL для каждой учетной записи службы, имеющей к ней доступ, требует дополнительного CAL.
Ïðèìåðû ïðîåêòèðîâàíèÿ óñïåøíûõ ðåàëèçàöèé MOM Для многих средних по размеру реализаций Windows Server 2003 и Windows 2000 эффективным решением для предупредительного управления является одна конфигурационная группа и один сервер MOM. Однако в некоторых ситуациях для удовлетворения специальных потребностей организации лучше развернуть несколько серверов MOM, конфигурационных групп и агентов. В последующих разделах приведены примеры некоторых распространенных сценариев проектирования наилучших вариантов MOM.
Êîíôèãóðàöèÿ ñ îäíèì ñåðâåðîì MOM Компания XYZ представляет собой организацию с 500 пользователями, расположенную в одном месте в городе Рено, штат Невада. Во всей организации развернут один домен Active Directory Windows Server 2003 с именем companyxyz.com. Все рядовые серверы работают под управлением Windows Server 2003 и выполняют множество специальных функций: Active Directory, DNS, DHCP, WINS, почтовая служба Exchange 2000 и несколько других программных продуктов сторонних разработчиков.
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
829
Из-за недавнего повышения частоты сбоев сервера и программного обеспечения было принято решение развернуть диспетчер операций Microsoft 2000, чтобы обеспечить уровень предупредительного управления, который в обычном состоянии в этой организации был бы невозможен. Общее количество наблюдаемых серверов в среде компании XYZ равно 46, и поэтому было принято решение о разворачивании одного сервера D-DCAM в одной конфигурационной группе MOM, поскольку это наиболее эффективный и рациональный проект для разворачивания MOM в таком объеме. Под сервер, выполняющий все действия MOM, была выбрана стандартная производственная машина с повышенной устойчивостью и резервированием и большим количеством свободной дисковой памяти для базы данных. В качестве операционной системы был инсталлирован Windows Server 2003, а также компоненты базы данных SQL Server 2000. После успешного завершения установки ОС и базы данных было запущено специальное средство, входящее в состав MOM — Prerequisite Checker (Проверка необходимых условий) — для проверки, готова ли система для установки MOM. После успешного выполнения этой проверки был установлен и сконфигурирован MOM 2000, расположенный на одном сервере MOM. В домене AD была создана одна учетная запись службы, используемая для компонентов DAS и консолидатора MOM. Были установлены и сконфигурированы все нужные стандартные пакеты управления наподобие DNS и DHCP. Кроме того, были закуплены и установлены дополнительные пакеты управления, например, для Exchange 2000. Начала вырисовываться форма окончательного проекта MOM для компании XYZ, приведенная на рис. 25.10. Íàáëþäàåìûå óçëû
Áàçà äàííûõ Ñåðâåð MOM òèïà D-DCAM
Ðèñ. 25.10. Структура MOM компании XYZ После успешного завершения установки сервера MOM были написаны специальные правила для работы с отдельными компонентами, уникальными для среды компании XYZ. Были сконфигурированы настройки предупреждений, так что при возникновении проблем извещалась выбранная группа администраторов. В результате выполнения выбранного проекта MOM компания XYZ чувствует, что при необходимости она может легко масштабировать свое внедрение MOM на гораздо
830
Администрирование и управление Windows Server 2003 ×àñòü VI
большее количество серверов. Компания осведомлена о том, что одна база данных MOM является нерезервированной точкой отказа, но считает, что она выбрала для своей организации лучшее и наиболее экономное решение.
Êîíôèãóðàöèÿ ñ íåñêîëüêèìè ñåðâåðàìè MOM Компания ABC представляет собой большую многонациональную корпорацию с 10 000 пользователями, находящимися на различных континентах. Основные места концентрации пользователей находятся в Нью-Йорке, Лондоне и Токио, а, кроме того, по всему миру рассеяны другие филиалы меньших размеров. Каждое из основных отделений уже содержит от 100 до 200 серверов, а меньшие филиалы содержат меньшие количества серверов, не более 10 в каждом. Установленные серверы — это смесь серверов Windows Server 2003 и Windows Server 2000, но иногда в среде встречаются серверы на базе Windows NT, Novell NetWare и Linux. В силу своей распределенной природы, компания ABC состоит из нескольких поддоменов Active Directory Windows Server 2003, находящихся в одном лесу Active Directory. Структура леса компании ABC, показанная на рис. 25.11, состоит из поддоменов na.companyabc.com, eu.companyabc.com и asia.companyabc.com, а все эти поддомены находятся в одном содержащем их фиктивном домене companyabc.com. companyabc.com
asia.companyabc.com
na.companyabc.com
eu.companyabc.com
Ðèñ. 25.11. Лес компании ABC В силу потери производительности, которую вызывает время неготовности любого сервера в компании ABC, этой организации нужна платформа управления предприятием для достижения требуемого высокого уровня готовности. Для выполнения этой задачи был выбран диспетчер операций Microsoft. Поскольку сетевая среда компании логически и географически разделена на три отдельные зоны, было принято решение использовать три конфигурационных группы MOM для каждого географического местоположения и организовать пересылку предупреждений между всеми конфигурационными группами. Конфигурационными группами выбраны Азия, Европа и Северная Америка, и они сконфигурированы для управления не только локальными серверами-концентраторами, но и всеми серверами в ближайших к ним меньших филиалах (через глобальную сеть).
Интеграция диспетчера операций Microsoft с Windows Server 2003 Ãëàâà 25
831
Каждая конфигурационная группа создана с тремя серверами DCAM, чтобы обеспечить резервирование и управление примерно 300 серверами в области действия конфигурационной группы каждого местоположения. Кроме серверов DCAM, в каждой конфигурационной группе был установлен надежный, с полным резервированием сервер базы данных с большим объемом дисковой памяти для обработки данных, принятых из этой конфигурационной группы. На каждом сервере MOM установлены Windows Server 2003 и соответствующие компоненты MOM. Была сконфигурирована раздельная защита, и в каждом местоположении был предоставлен контроль над соответствующей конфигурационной группой с помощью использования отдельных групп безопасности Active Directory из каждого домена, которым был предоставлен контроль над различными компонентами MOM в своей конфигурационной группе. В силу большого количества и разнообразия приложений, установленных в среде компании ABC, число пакетов управления, добавленных в MOM, было соответственно велико. Кроме дополнительных пакетов Microsoft и нескольких XMP, закупленных у NetIQ, были использованы стандартные пакеты управления. Так было обеспечено управление различными операционными системами, развернутыми по всей среде. В случае отказа DCAM среда MOM компании ABC будет продолжать работать, так как его нагрузку возьмут на себя два других DCAM той же конфигурационной группы. Кроме того, между тремя конфигурационными группами была конфигурирована пересылка предупреждений, что помогло централизовать администрирование между континентами.
Ðåçþìå Диспетчер операций Microsoft 2000 был испытан в сетях Windows 2000 и доказал свою ценность для предупредительного обнаружения потенциальных проблем с сервером, прежде чем они смогут перерасти в отказ сервера. MOM для Windows Server 2003 увеличивает встроенную надежность ОС и обеспечивает больший контроль над большими распределенными серверными средами. Кроме того, понимание компонентов MOM, их логической структуры и конфигурации и другие вопросы размещения MOM могут помочь организации лучше реализовать преимущества, которые MOM может дать среде Windows Server 2003.
Ïîëåçíûå ñîâåòû •
При определении размера серверов для развертывания MOM учитывайте возможные будущие расширения и соответствие оборудования.
•
Используйте для MOM базу данных Microsoft SQL Server 2000 (или выше), а не MSDE.
•
Держите инсталляцию MOM на отдельном сервере или наборе отдельных выделенных рядовых серверов, на которых не выполняется никакое другое отдельное приложение.
•
В средах, использующих узлы Windows NT, используйте WINS.
832
Администрирование и управление Windows Server 2003 ×àñòü VI
•
Для создания специализированных отчетов с помощью средства составления отчетов MOM применяйте Microsoft Access 2000.
•
Для применения уведомлений по электронной почте используйте Microsoft Outlook 98.
•
Начните с одной конфигурационной группы и добавляйте дополнительные конфигурационные группы только тогда, когда это абсолютно необходимо.
•
Используйте для MOM выделенную учетную запись службы.
•
Используйте под базу данных том объемом не менее 5 Гб, в зависимости от необходимого срока хранения событий.
•
Следите за размером базы данных MOM, чтобы он не выходил за приемлемые рамки.
•
Архивируйте собранные данные.
•
Измените интервал обслуживания для жесткого учета ограничений на объем памяти и поддержания согласованности базы данных.
•
Сконфигурируйте MOM для выполнения мониторинга самого себя.
Òåõíîëîãèè óäàëåííîãî è ìîáèëüíîãî äîñòóïà
 ÝÒÎÉ ×ÀÑÒÈ... 26. Óäàëåííûé è ìîáèëüíûé äîñòóï 27. Òåðìèíàëüíûå ñëóæáû Windows Server 2003
×ÀÑÒÜ
VII
Удаленный и мобильный доступ Ãëàâà 26
Óäàëåííûé è ìîáèëüíûé äîñòóï
 ÝÒÎÉ ÃËÀÂÅ... •
Âîçìîæíîñòè è ñëóæáû ìàðøðóòèçàöèè è óäàëåííîãî äîñòóïà Windows Server 2003
•
Àðõèòåêòóðà ñëóæáû ìàðøðóòèçàöèè è óäàëåííîãî äîñòóïà
•
Âèðòóàëüíàÿ ÷àñòíàÿ ñåòü â Windows Server 2003
•
Âàðèàíòû àóòåíòèôèêàöèè äëÿ ñèñòåìû RRAS
•
Ïðîòîêîëû VPN
•
Âûáîð ìåæäó PPTP è L2TP/IPSec
•
Óñòàíîâêà è íàñòðîéêà ìàðøðóòèçàöèè è óäàëåííîãî äîñòóïà
•
Êîíôèãóðèðîâàíèå êëèåíòîâ óäàëåííîãî äîñòóïà
•
Ñðåäñòâà è óòèëèòû RRAS
•
Ïðèìåíåíèå âîçìîæíîñòåé ñðåäñòâà ïðîâåðêè ïîëèòèê èçîëÿöèè
•
Ñöåíàðèè óäàëåííîãî äîñòóïà
ÃËÀÂÀ
26
835
836
Технологии удаленного и мобильного доступа ×àñòü VII
Internet с каждым годом все разрастается, и соответственно возрастает необходимость полноценной работы вне офиса. Компании постоянно ищут недорогие альтернативные методы подключения своих удаленных и мобильных пользователей и удаленных офисов, не жертвуя производительностью или безопасностью. Служба маршрутизации и удаленного доступа (Routing and Remote Access — RRAS) Microsoft Windows Server 2003 предлагает интегрированные многопротокольные службы маршрутизации и удаленного доступа для компьютеров с Microsoft Windows: многопротокольные службы маршрутизации LAN-LAN, LAN-WAN, виртуальную частную сеть (Virtual Private Network — VPN) и трансляцию сетевых адресов (Network Address Translation — NAT). С помощью RRAS компании могут предоставлять услуги удаленного доступа своим удаленным и мобильным пользователям; эта служба работает с множеством аппаратных платформ и сетевых адаптеров, а также с различными типами носителей данных: Ethernet, FDDI, ATM, Frame Relay, xDSL и кабельные модемы. Кроме того, RRAS является расширяемой службой, обеспечивая программный интерфейс приложений (Application Programming Interface — API), с помощью которого сторонние разработчики могут создавать специализированные сетевые решения.
Âîçìîæíîñòè è ñëóæáû ìàðøðóòèçàöèè è óäàëåííîãî äîñòóïà Windows Server 2003 Операционная система Windows Server 2003 основана на возможностях маршрутизации и удаленного доступа, введенных в Windows NT 4.0 и Windows 2000. Маршрутизация и удаленный доступ в Windows Server 2003 содержит сочетание всех возможностей и служб из предыдущих версий серверов Windows. В Windows NT 4. 0 были введены следующие возможности: •
Протокол маршрутизации RIP версии 2 для IP.
•
Протокол маршрутизации Open Shortest Path First (OSPF) для IP.
•
Маршрутизация с коммутацией по запросу и маршрутизация по запрашиваемым или постоянным каналам глобальной сети: аналоговый телефон, ISDN или сквозной протокол туннелирования (Point-to-Point Tunneling Protocol — PPTP).
•
Обнаружение маршрутизатора с протоколом управляющих сообщений Internet (Internet Control Message Protocol — ICMP).
•
Клиент службы удаленной аутентификации пользователей по коммутируемым линиям (Remote Authentication Dial-In User Service — RADIUS).
•
Фильтрация IP- и IPX-пакетов.
•
Поддержка PPTP для межмаршрутизаторных VPN-соединений.
•
Средство администрирования маршрутизации и удаленного доступа и утилита командной строки Routemon.
Удаленный и мобильный доступ Ãëàâà 26
837
В Windows 2000 появились следующие возможности: •
Многопротокольная служба маршрутизации и удаленного доступа, которая может одновременно выполнять маршрутизацию IP, IPX и AppleTalk.
•
Протокол управления группами Internet (Internet Group Management Protocol — IGMP) и поддержка многоадресатных границ.
•
Трансляция сетевых адресов (Network Address Translation — NAT), упрощающая сетевые подключения к Internet небольшого или домашнего офиса (SOHO) с помощью компонентов адресации и преобразования имен.
•
Протокол туннелирования уровня 2 (Layer 2 Tunneling Protocol — L2TP) с поддержкой протокола защиты данных в Internet (Internet Protocol Security — IPSec) для межмаршрутизаторных VPN-соединений и удаленного доступа.
•
Маршрутизация по запросу с возможностью маршрутизации IP и IPX по запрашиваемым или постоянным каналам глобальной сети, подобным аналоговым телефонным линиям, ISDN, или по VPN-соединениям, использующим PPTP или L2TP c IPSec.
•
Интеграция RRAS, обеспечивающая возможность интеграции брандмауэра с функциями RRAS и NAT.
Эволюция RRAS в Windows Server 2003 продолжается за счет добавления новых возможностей. Вот некоторые возможности службы маршрутизации и удаленного доступа для Windows 2000 и Windows Server 2003: •
Коммутация по запросу с помощью двухточечного протокола по линиям Ethernet (Point-to-Point Protocol over Ethernet — PPPoE).
•
Интеллектуальная служба фоновой передачи данных (Background Intelligent Transfer Service — BITS).
•
Технология NAT Traversal с использованием универсального Plug and Play (Universal Plug and Play — UPnP).
•
Проверка политик изоляции (Quarantine Policy Check).
•
Улучшенные средства администрирования и управления, использующие оснастку Microsoft Management Console (MMC) или средство командной строки Netsh.
Äâóõòî÷å÷íûé ïðîòîêîë ïî êîììóòèðóåìûì ïî çàïðîñó ñåòÿì Ethernet Средство PPPoE Dial-On-Demand предоставляет возможность использования двухточечного протокола по сетям Ethernet (Point-to-Point Protocol over Ethernet — PPPoE) в сетевых соединениях с вызовом по запросу, что позволяет применять PPPoE вместе с RRAS NAT для подключения к Internet. PPPoE позволяет серверу RRAS подключиться к Internet по обычной широкополосному носителю — одиночной линии DSL, беспроводному устройству или кабельному модему. Все пользователи, подключенные через Ethernet, совместно используют общее соединение.
838
Технологии удаленного и мобильного доступа ×àñòü VII
Èíòåëëåêòóàëüíàÿ ñëóæáà ôîíîâîé ïåðåñûëêè äàííûõ âåðñèè 1.5 Интеллектуальная служба фоновой пересылки данных (Background Intelligent Transfer Service — BITS) представляет собой фоновый механизм пересылки файлов и диспетчер очередей. Пересылка файлов с помощью BITS регулируется с целью минимизировать ее влияние на сетевую производительность системы при пересылке больших объемов данных. Кроме того, запросы на пересылку данных сохраняются между отключениями сети и перезагрузками рабочих станций до завершения передачи файла. Приложение, выдавшее запрос на передачу файла, извещается о ее завершении. Эта возможность позволяет выполнять фоновые низкоприоритетные операции загрузки, не влияя на пропускную способность пользователя. В версии BITS 1.5 появились возможности низкоуровневой поддержки клиента с помощью перераспределения, поддержки выгрузки файлов и необязательные возможности улучшенной выгрузки. Фоновая выгрузка файлов требует наличия серверного приложения BITS, которое включено в Windows Server 2003 и доступно для перераспределения на серверы на базе Windows 2000.
NAT Traversal ñ èñïîëüçîâàíèåì Universal Plug and Play Технология NAT Traversal была спроектирована, чтобы дать возможность сетевым приложениям обнаруживать наличие локального устройства NAT. NAT Traversal предоставляет приложениям средства создания отображений портов на локальные устройства NAT: совместное использование подключения к Internet (Internet Connection Sharing — ICS) и другие шлюзовые устройства Internet, поддерживающие UPnP. Приложения могут обнаружить внешний IP-адрес и автоматически сконфигурировать отображение портов для перенаправления пакетов из внешнего порта NAT во внутренний порт, используемый сетевым приложением. Независимые поставщики программного обеспечения (Independent Software Vendors — ISVs) могут использовать эту возможность для разработки приложений, создающих отображения портов на устройства NAT, которые поддерживают UPnP.
Ïðîâåðêà ïîëèòèê èçîëÿöèè В недрах набора ресурсов Windows 2003 Resource Kit содержится подключаемая утилита Remote Quarantine Client (Клиент удаленной изоляции). Это средство предоставляет администраторам возможность проверки наличия в удаленных системах исправлений и обновлений, сканировать вирусы и изолировать системы для их очистки и обновления, прежде чем позволить им доступ к сети. Средство проверки политик изоляции предоставляет администраторам средства, необходимые для уменьшения риска занесения в сеть вирусов и сетевых червей удаленными пользователями, обеспечивая последнее состояние удаленных систем со всеми исправлениями и обновлениями.
Удаленный и мобильный доступ Ãëàâà 26
839
Àðõèòåêòóðà ñëóæáû ìàðøðóòèçàöèè è óäàëåííîãî äîñòóïà Служба маршрутизации и удаленного доступа построена на последовательности агентов коммуникации и управления, транспортных протоколов, ретрансляторов и API-интерфейсов. Эти компоненты были созданы, а затем на протяжении нескольких лет расширены и усовершенствованы для предоставления безопасной, эффективной и надежной коммуникационной системы для связей клиент-сервер и сервер-сервер в сетевой среде Windows. На рис. 26.1 приведена подробная диаграмма различных компонентов, описывающая все компоненты, о которых идет речь в данном разделе, и их роли в коммуникационной системе. Àãåíò SNMP
Óïðàâëÿþùèå ïðèëîæåíèÿ API óïðàâëåíèÿ
Äèñïåò÷åð äèíàìè÷åñêîãî èíòåðôåéñà AAA
Äèñïåò÷åð ñîåäèíåíèé (ïðîòîêîëû óïðàâëåíèÿ PPP)
Äèñïåò÷åð Äèñïåò÷åð IPX-ìàðø- IPX-ìàðøðóòèçàòîðà ðóòèçàòîðà
Ïðîòîêîëû îäíîíàïðàâëåííîé ìàðøðóòèçàöèè
Ïðîòîêîëû ìíîãîàäðåñíîé IP-ìàðøðóòèçàöèè
Äèñïåò÷åð òàáëèöû ìàðøðóòèçàöèè
Äèñïåò÷åð ìíîãîàäðåñíûõ ãðóïï
TAPI
API ìàðøðóòèçàöèè
Ïîëüçîâàòåëü ßäðî N DIS
Ôèëüòðàöèÿ IP
Îäíîíàïðàâëåííûé IP-ðåòðàíñëÿòîð
Ìíîãîàäðåñíûé IP-ðåòðàíñëÿòîð
IPXðåòðàíñëÿòîð
IPXôèëüòðàöèÿ
Îáîëî÷êà NDIS Îáîëî÷êà NDIS WAN Miniport L2TP
PPTP
Async
Ethernet X25
ISDN
Ðåòðàíñëÿöèÿ êàäðîâ
TA
FDDI
ATM
X25…
Ðèñ. 26.1. Служба маршрутизации и удаленного доступа
Àãåíò SNMP äëÿ RRAS RRAS, входящий в состав Windows Server 2003, поддерживает простой протокол управления сетью (Simple Network Management Protocol — SNMP) и его информационные базы управления (Management Information Base — MIB). Агент SNMP обеспечивает мониторинг и информационные извещения для систем управления SNMP. Агент SNMP, как основа удаленной и мобильной связи, является критическим компонентом для обеспечения надежности и управляемости RRAS.
Óïðàâëÿþùèå ïðèëîæåíèÿ Управляющие приложения RRAS — это оснастка Routing and Remote Access (Маршрутизация и удаленный доступ) и утилита командной строки Netsh. Эти приложения
840
Технологии удаленного и мобильного доступа ×àñòü VII
представляют собой утилиты, помогающие организациям облегчить администрирование средой удаленной и мобильной связи.
Àóòåíòèôèêàöèÿ, àâòîðèçàöèÿ è ó÷åò “Аутентификация, авторизация и учет” (Authentication, Authorization, and Accounting — AAA) представляет собой набор компонентов, обеспечивающих аутентификацию, авторизацию и учет в RRAS, если эта служба сконфигурирована как поставщик аутентификации Windows или поставщик учета Windows. Если RRAS сконфигурирована как поставщик аутентификации или учета для RADIUS, то локальные компоненты AAA не используются. Компоненты AAA используются также службой аутентификации Internet (Internet Authentication Service — IAS).
Äèñïåò÷åð äèíàìè÷åñêîãî èíòåðôåéñà (Mprdim.dll) Компонент диспетчера динамического интерфейса (Dynamic Interface Manager) поддерживает интерфейс вызова удаленных процедур (Remote Procedure Call — RPC) для управляющих функций SNMP, используемых утилитами управления, подобными оснастке Routing and Remote Access. Он взаимодействует с диспетчером подключений для пересылки информации о подключениях с коммутацией по запросу и информации о конфигурации диспетчерам маршрутизаторов (диспетчер IP-маршрутизатора и диспетчер IPX-маршрутизатора). Диспетчер динамического интерфейса также загружает информацию конфигурации из реестра Windows Server 2003. Кроме того, он управляет всеми интерфейсами маршрутизации, то есть интерфейсом локальной сети, интерфейсом постоянного подключения с коммутацией по запросу и интерфейсом IP-к-IP.
Äèñïåò÷åð ïîäêëþ÷åíèé Компоненты диспетчера подключений (Connection Manager) управляют устройствами WAN и устанавливают подключения с помощью TAPI. Диспетчер подключений также взаимодействует с управляющими протоколами PPP, включая и расширяемый протокол аутентификации (Extensible Authentication Protocol — EAP), а также реализует Multilink и протокол выделения частотного диапазона (Bandwidth Allocation Protocol — BAP).
Ïðîãðàììíûé èíòåðôåéñ ïðèëîæåíèé òåëåôîíèè Программный интерфейс приложений телефонии (Telephony Application Programming Interface — Telephony API или TAPI) предоставляет независимые от оборудования службы для создания, мониторинга и завершения подключений. TAPI используется диспетчером подключений для создания или получения подключений с коммутацией по запросу.
Удаленный и мобильный доступ Ãëàâà 26
841
Äèñïåò÷åð IP-ìàðøðóòèçàòîðà (Iprtmgr.dll) Компонент диспетчера IP-маршрутизатора (IP Router Manager) получает информацию о конфигурации от диспетчера динамического интерфейса. Он загружает и передает информацию о конфигурации протоколам IP-маршрутизации, поддерживаемым Windows Server 2003 — RIP для IP и OSPF. Он также передает информацию о конфигурации фильтрации IP-пакетов драйверу IP-фильтрации, а также передает информацию конфигурации IP-маршрутизации ретранслятору IP-пакетов в протоколе TCP/IP. Диспетчер IP-маршрутизатора также ведет базу данных всех интерфейсов IPмаршрутизации. Кроме того, он инициирует подключения с коммутацией по запросу для протоколов маршрутизации, общаясь с диспетчером динамического интерфейса.
Äèñïåò÷åð IPX-ìàðøðóòèçàòîðà (Ipxrtmgr.dll) Диспетчер IPX-маршрутизатора (IPX Router Manager) получает информацию о конфигурации от диспетчера динамического интерфейса и ведет базу данных всех интерфейсов IPX-маршрутизации. Он также передает информацию о конфигурации фильтрации IPX-пакетов драйверу IPX-фильтрации, а также передает информацию о конфигурации IPX-маршрутизации ретранслятору IPX-пакетов. Диспетчер IPXмаршрутизатора загружает и передает информацию о конфигурации протоколам IPXмаршрутизации (RIP для IPX, SAP для IPX). Кроме того, он инициирует подключения с коммутацией по запросу для протокола маршрутизации, взаимодействуя с диспетчером динамического интерфейса.
Ïðîòîêîëû ìàðøðóòèçàöèè îäíîíàïðàâëåííûõ ñîîáùåíèé RRAS предоставляет следующие четыре протокола маршрутизации однонаправленных сообщений: •
RIP для IP (RIP for IP — Iprip2.dll). RIP для протокола IP-маршрутизации использует маршруты, обнаруженные RIP for IPX, с помощью диспетчера таблицы маршрутизации (Route Table Manager). Он также использует Winsock для передачи и приема трафика RIP for IP и экспортирует API-интерфейсы управления для поддержки баз MIB и управляющих приложений с помощью диспетчера IP-маршрутизатора.
•
Протокол маршрутизации OSPF (Ospf.dll). Протокол маршрутизации OSPF использует маршруты, обнаруженные OSPF, с помощью диспетчера таблицы маршрутизации (Route Table Manager). Он применяет Winsock для передачи и приема трафика OSPF, а также экспортирует API-интерфейсы управления для поддержки баз MIB и управляющих приложений с помощью диспетчера IPмаршрутизатора.
•
RIP для IPX (RIP for IPX — ipxrip.dll). Протокол маршрутизации RIP for IPX использует маршруты, обнаруженные RIP for IPX, с помощью диспетчера таблицы маршрутизации (Route Table Manager). Он применяет Winsock для передачи и приема трафика RIP for IPX. Он также экспортирует API-интерфейсы управления для поддержки MIBs и управляющих приложений с помощью диспетчера IP-маршрутизатора.
842 •
Технологии удаленного и мобильного доступа ×àñòü VII
SAP для IPX (SAP for IPX — ipxrip.dll). Протокол маршрутизации SAP for IPX использует маршруты, обнаруженные SAP for IPX, с помощью диспетчера таблицы маршрутизации (Route Table Manager). Он применяет Winsock для передачи и приема трафика SAP for IPX, а также экспортирует API-интерфейсы управления для поддержки MIBs и управляющих приложений с помощью диспетчера IP-маршрутизатора.
Ïðîòîêîëû ìíîãîàäðåñàòíîé IP-ìàðøðóòèçàöèè В качестве протокола многоадресатной IP-маршрутизации служба RRAS использует протокол IGMP (версий 1, 2 и 3). IGMP передает информацию членства в многоадресатных группах диспетчеру многоадресатных групп (Multicast Group Manager). Он также использует Winsock для передачи и приема трафика IGMP и экспортирует APIинтерфейсы управления для поддержки баз MIB и управляющих приложений с помощью диспетчера многоадресатных групп.
Äèñïåò÷åð òàáëèöû ìàðøðóòîâ (Rtm.dll) Диспетчер таблицы маршрутов (Route Table Manager) ведет таблицу маршрутов пользователей для всех маршрутов из всех возможных источников. Он предоставляет API-интерфейсы для добавления, удаления и нумерации маршрутов, используемых протоколами маршрутизации. Кроме того, диспетчер таблицы маршрутов использует только наилучшие маршруты к соответствующему драйверу ретранслятора. Наилучшие маршруты — это маршруты с наименьшим уровнем привилегий (для IPмаршрутов) и с наименьшими метриками. Наилучшие маршруты заносятся в таблицу переадресации IP и в таблицу переадресации IPX.
Äèñïåò÷åð ìíîãîàäðåñàòíûõ ãðóïï Диспетчер многоадресатных групп (Multicast Group Manager) обеспечивает все членство в многоадресатных группах и передает элементы многоадресатной переадресации (Multicast Forwarding Entries — MFEs) многоадресатному IP-ретранслятору. Он также отражает групповое членство между протоколами многоадресатной IPмаршрутизации.
Äðàéâåð IP-ôèëüòðàöèè (Ipfltdrv.sys) Драйвер IP-фильтрации получает информацию о конфигурации от диспетчера IP-маршрутизатора и применяет IP-фильтры, после того как IP-ретранслятор найдет маршрут.
Îäíîíàïðàâëåííûé IP-ðåòðàíñëÿòîð Однонаправленный IP-ретранслятор (IP Unicast Forwarder), являющийся компонентом протокола TCP/IP (Tcpip.sys), получает информацию о конфигурации от диспетчера IP-маршрутизатора. Он содержит таблицу переадресации IP — таблицу наи-
Удаленный и мобильный доступ Ãëàâà 26
843
лучших маршрутов, полученных от диспетчера таблицы маршрутов. Он может также инициировать подключения с коммутацией по запросу и ретранслировать однонаправленный трафик IP.
Ìíîãîàäðåñàòíûé IP-ðåòðàíñëÿòîð Многоадресатный IP-ретранслятор (IP Multicast Forwarder), являющийся компонентом протокола TCP/IP (Tcpip.sys), содержит элементы многоадресатной переадресации данных, полученные от протоколов многоадресатной IP-маршрутизации с помощью диспетчера многоадресатных групп. Он получает многоадресатный трафик и передает новую информацию об источниках или группах диспетчеру многоадресатных групп. Кроме того, он ретранслирует многоадресатные IP-пакеты.
Äðàéâåð IPX-ôèëüòðàöèè (Nwlnkflt.sys) Драйвер IPX-фильтрации получает информацию о конфигурации от диспетчера IPX-маршрутизатора и применяет IPX-фильтры, после того как драйвер IPX-ретранслятора найдет маршрут.
Äðàéâåð IPX-ïåðåàäðåñàöèè (Nwlnkfwd.sys) Драйвер IPX-переадресации получает информацию о конфигурации от диспетчера IPX-маршрутизатора и также содержит таблицу IPX-переадресации — таблицу наилучших маршрутов, полученную от диспетчера таблицы маршрутов. Драйвер IPXретранслятора может инициировать подключение с коммутацией по запросу, а также ретранслировать трафик IPX.
Âèðòóàëüíàÿ ÷àñòíàÿ ñåòü â Windows Server 2003 Виртуальная частная сеть (Virtual Private Network — VPN) представляет собой расширение частной сети, использующее каналы разделяемых или общедоступных сетей, подобных Internet. VPN позволяет пересылать данные по Internet между двумя компьютерами способом, моделирующим сквозной частный канал. В виртуальной частной сети, показанной на рис. 26.2, создается сквозной канал, или туннель (tunnel); это достигается за счет инкапсуляции или обертывания данных в заголовок, который содержит информацию о маршрутизации, позволяющую передавать данные по Internet. Для обеспечения конфиденциальности в частном канале применяется шифрование данных; перехваченные пакеты данных, проходящие по Internet, невозможно прочитать, если не знать нужные ключи шифрования. Технология VPN обеспечивает корпорации недорогим масштабируемым решением для удаленного доступа к информационным ресурсам корпорации. VPN-соединения позволяют удаленным пользователям безопасно подключаться через Internet к своим корпоративным сетям. Удаленные пользователи обращаются к ресурсам так, как будто они физически подключены к корпоративной локальной сети.
844
Технологии удаленного и мобильного доступа ×àñòü VII
Web-ñåðâåð
Ìîáèëüíûé ðàáîòíèê
Êîíòðîëëåð äîìåíà
Internet VPN-ñåðâåð
CK-ñåðâåð
Óäàëåííûé ðàáîòíèê
Ðèñ. 26.2. Организация виртуальной частной сети с помощью Internet
Êîìïîíåíòû, íåîáõîäèìûå äëÿ ñîçäàíèÿ VPN-ñîåäèíåíèÿ Соединение виртуальной частной сети требует наличия VPN-клиента и VPNсервера. Безопасность соединения между клиентом и сервером обеспечивается с помощью шифрования, которое устанавливает туннель, как показано на рис. 26.3. Intranet
Internet
VPN-ñåðâåð
Òóííåëü VPN
VPN-êëèåíò
Ðèñ. 26.3. Установление VPN-туннеля между клиентом и сервером
VPN-êëèåíò VPN-клиент — это компьютер, инициирующий VPN-подключение к VPN-серверу. Это может быть удаленный компьютер, установивший VPN-соединение, или маршрутизатор, установивший межмаршрутизаторное VPN-соединение. Создавать VPN-соединение для удаленного доступа к системе Windows Server 2003 могут клиенты Microsoft операционных систем Windows NT 4.0, Windows 9x, Windows 2000 и Windows XP.
Удаленный и мобильный доступ Ãëàâà 26
845
Компьютеры с Windows NT Server 4.0, Windows 2000 Server и Windows Server 2003, на которых функционирует RRAS, могут создать межмаршрутизаторные VPNсоединения с VPN-сервером Windows Server 2003. VPN-клиентами могут также быть любые клиенты PPTP или L2TP, разработанные вне Microsoft и использующие IPSec.
VPN-ñåðâåð VPN-сервер — это компьютер, принимающий VPN-подключения от VPN-клиентов. Он может обеспечить VPN-соединение удаленного доступа или межмаршрутизаторное VPN-соединение. Имя или IP-адрес VPN-сервера должны быть распознаваемыми, а также видимыми через корпоративные брандмауэры.
Òóííåëüíûå è VPN-ñîåäèíåíèÿ Туннель — это часть соединения, в которой инкапсулированы данные. VPNсоединение — это часть соединения, в которой данные зашифрованы. Инкапсуляция данных вместе с шифрованием обеспечивает безопасное VPN-соединение.
НА ЗАМЕТКУ Туннель, созданный без шифрования, не является VPN-соединением, поскольку конфиденциальные данные посылаются через Internet незашифрованными, и их можно легко прочитать.
Èíôðàñòðóêòóðà Internet/intranet Для установки VPN-соединения требуется разделяемая или общедоступная объединенная сеть. В Windows Server 2003 транзитная объединенная сеть всегда является IPсетью, включающей Internet и внутреннюю IP- intranet-сеть корпорации.
Âàðèàíòû àóòåíòèôèêàöèè äëÿ ñèñòåìû RRAS Аутентификация в любой сетевой среде является критическим компонентом, выполняющим проверку, можно ли предоставить доступ к сетевым ресурсам лицу, запрашивающему доступ. Аутентификация представляет собой важный компонент инициативы безопасности Windows Server 2003. Windows Server 2003 может аутентифицировать пользователя, подключающегося через удаленного доступ, с помощью различных PPP-протоколов аутентификации: •
Протокол аутентификации паролей (Password Authentication Protocol — PAP).
•
Протокол аутентификации с предварительным согласованием вызова (Challenge Handshake Authentication Protocol — CHAP).
•
Протокол аутентификации с предварительным согласованием вызова Microsoft (Microsoft Challenge Handshake Authentication Protocol — MS-CHAP).
•
MS-CHAP версии 2 (MS-CHAP v2).
•
Расширяемый протокол аутентификации с поддержкой алгоритма Message Digest 5 (Extensible Authentication Protocol-Message Digest 5 — EAP-MD5).
•
Расширяемый протокол аутентификации – безопасность транспортного уровня (Extensible Authentication Protocol-Transport Level Security — EAP-TLS).
846
Технологии удаленного и мобильного доступа ×àñòü VII
Ïðîòîêîëû àóòåíòèôèêàöèè äëÿ ñîåäèíåíèé PPTP Для соединений PPTP только три протокола аутентификации (MS-CHAP, MS-CHAP v2 и EAP-TLS) обеспечивают механизм генерации одинаковых ключей шифрования и на VPN-клиенте, и на VPN-сервере. Сквозное шифрование Microsoft (Microsoft Pointto-Point Encryption — MPPE) использует этот ключ для шифрования всех данных PPTP, передаваемых по VPN-соединению. MS-CHAP и MS-CHAP v2 являются протоколами аутентификации, использующими пароли. В отсутствие сервера центра сертификации (Certificate Authority — CA) или смарткарт настоятельно рекомендуется использовать MS-CHAP v2, так как он предоставляет более надежный протокол аутентификации, чем MS-CHAP. MS-CHAP v2 предоставляет также взаимную аутентификацию, позволяющую VPN-серверу аутентифицировать VPN-клиент, а VPN-клиенту аутентифицировать VPN-сервер. Если нужно использовать протокол аутентификации, использующий пароли, то лучше применять надежные пароли (длиннее восьми символов), содержащие случайную смесь букв верхнего и нижнего регистра, цифр и знаков пунктуации. Для использования надежных пользовательских паролей можно использовать групповые политики Active Directory.
Ïðîòîêîëû àóòåíòèôèêàöèè EAP-TLS Протокол EAP-TLS (Extensible Authentication Protocol-Transport Level Security — Расширяемый протокол аутентификации – безопасность транспортного уровня) создан для применения с инфраструктурой сертификатов, использующей сертификаты пользователей или смарт-карты. С помощью EAP-TLS VPN-клиент отправляет на аутентификацию свой сертификат пользователя, а VPN-сервер посылает на аутентификацию сертификат компьютера. Это наиболее надежный метод аутентификации, поскольку в нем не задействованы пароли. Могут использоваться и сторонние CA, если сертификат в справочнике компьютеров IAS-сервера содержит назначение сертификата аутентификации сервера (Server Authentication certificate purpose), известное также как использование сертификата (certificate usage) или политика выпуска сертификатов (certificate issuance policy). Назначение сертификата идентифицируется с помощью идентификатора объекта (Object Identifier — OID). Если OID для аутентификации сервера выглядит как 1.3.6.1.5.5.7.3.1, то сертификат пользователя, установленный на клиенте удаленного доступа Windows 2000 должен содержать назначение сертификата аутентификации клиента (OID 1.3.6.1.5.5.7.3.2).
Ïðîòîêîëû àóòåíòèôèêàöèè äëÿ ñîåäèíåíèé L2TP/IPSec Для соединений L2TP/IPSec можно применять любой прокол аутентификации, поскольку аутентификация выполняется после установления безопасного соединения между VPN-клиентом и VPN-сервером, называемого контекстом безопасности (Security Association — SA) IPSec. Для обеспечения надежной аутентификации пользователей рекомендуется использовать протокол MS-CHAP v2 или EAP-TLS.
Удаленный и мобильный доступ Ãëàâà 26
847
Âûáîð íàèëó÷øåãî ïðîòîêîëà àóòåíòèôèêàöèè Организации уделяют очень мало внимания выбору наиболее подходящего протокола аутентификации для использования в своих VPN-соединениях. Во многих случаях причиной неверного выбора является нехватка знаний об отличиях между различными протоколами аутентификации. В других случаях повышенная безопасность не выбрана в качестве части решений организации по протоколам аутентификации из-за стремления к упрощению. В любом случае рекомендуется придерживаться следующих положений, которые предназначены для помощи в выборе наилучшего протокола аутентификации для VPN-соединений: • Если в организации используются смарт-карты или существует инфраструктура сертификатов, выпускающая сертификаты пользователей, то и для PPTP-, и для L2TP-соединений настоятельно рекомендуется использовать протокол аутентификации EAP-TLS. В этом случае он является наилучшим и наиболее безопасным выбором. Обратите внимание, что EAP-TLS поддерживается только VPNклиентами, работающими под управлением Windows XP и Windows 2000. • Если нужно применять протокол аутентификации, использующий пароли, используйте MS-CHAP v2 и групповую политику использования надежных паролей. Хотя MS-CHAP v2 не является столь же надежным протоколом безопасности, как EAP-TLS, он поддерживается компьютерами, работающими под Windows XP, Windows 2000, Windows NT 4.0 с Service Pack 4 и выше, Windows Me, Windows 98 и Windows 95 с обновлением производительности и безопасности Windows Dial-Up Networking 1.3 или выше.
Ïðîòîêîëû VPN PPTP и L2TP являются коммуникационными стандартами, используемыми для управления туннелями и инкапсуляции личных данных. Важно помнить, что для образования VPN-соединения данные, передаваемые по туннелю, должны быть зашифрованы. Windows Server 2003 включает оба протокола туннелирования PPTP и L2TP. Для установления туннеля и клиент, и сервер этого туннеля должны использовать одинаковый протокол туннелирования. Технология туннелирования может быть основана на протоколе туннелирования либо уровня 2 (Layer 2), либо уровня 3 (Layer 3), которые соответствуют эталонной модели взаимодействия открытых систем (Open System Interconnection — OSI). Протоколы уровня 2 соответствуют уровню данных и используют в качестве единицы обмена кадры. PPTP и L2TP являются протоколами туннелирования уровня 2, инкапсулирующими пересылаемую по Internet информацию в кадры PPP. Протоколы уровня 3 соответствуют сетевому уровню и используют пакеты. Режим туннеля IPSec является протоколом туннелирования уровня 3, инкапсулирующим IP-пакеты перед отправкой по Internet в дополнительный IP-заголовок.
Òóííåëèðîâàíèå â ñåòåâîé ñðåäå Windows Server 2003 Для технологии туннелирования уровня 2 (PPTP и L2TP) туннель похож на сеанс; оба конца туннеля должны принять туннель и обменяться переменными конфигурации наподобие назначения адресов или параметров шифрования и сжатия. В боль-
848
Технологии удаленного и мобильного доступа ×àñòü VII
шинстве случаев данные, пересылаемые по туннелям, посылаются с помощью протокола пересылки дейтаграмм. В качестве механизма управления туннелем используется протокол поддержки туннеля. Технологии туннелирования уровня 3 обычно предполагают, что все конфигурационные параметры определены заранее, зачастую вручную. Для этих протоколов этап поддержки туннеля может отсутствовать. Однако для протоколов уровня 2 (PPTP и L2TP) туннель нужно создавать, сопровождать и затем отключать. После установления туннеля можно передавать туннелируемые данные. Клиент или сервер туннеля использует для подготовки данных к передаче протокол пересылки данных по туннелю. Например, как показано на рис. 26.4, если туннельный клиент посылает информацию туннельному серверу, то туннельный клиент вначале добавляет к полезной информации заголовок протокола передачи данных по туннелю. Затем клиент посылает полученную инкапсулированную информацию по сети Internet, которая направляет ее к туннельному серверу. Туннельный сервер принимает пакеты, удаляет заголовок протокола передачи данных по туннелю и ретранслирует содержащуюся в пакетах информацию в сеть назначения. Информация, посылаемая от туннельного сервера туннельному клиенту, обрабатывается аналогично.
Ïîëåçíàÿ èíôîðìàöèÿ
Çàãîëîâîê ïåðåäà÷è
VPN-ñåðâåð
Òóííåëü
Internet VPN-êëèåíò
Ðèñ. 26.4. Туннелирование информации по VPN-соединению
Ñêâîçíîé ïðîòîêîë òóííåëèðîâàíèÿ Сквозной протокол туннелирования (PPTP) является протоколом уровня 2, инкапсулирующим кадры PPP в IP-дейтаграммы для передачи через Internet. PPTP можно использовать для удаленного доступа и межмаршрутизаторных VPN-соединений. Он использует соединение TCP для поддержки туннеля и модифицированную версию обобщенной инкапсуляции маршрутизации (Generic Routing Encapsulation — GRE) для инкапсуляции туннелируемых данных в кадры PPP. Полезная информация из инкапсулированных кадров PPP может быть зашифрована и/или сжата. На рис. 26.5 показана структура пакета PPTP, содержащего данные пользователя.
Ïðîòîêîë òóííåëèðîâàíèÿ óðîâíÿ 2 Протокол туннелирования уровня 2 (Layer 2 Tunneling Protocol — L2TP) является комбинацией сквозного протокола туннелирования (PPTP) и переадресации уровня 2 (Layer 2 Forwarding — L2F) — технологии, предложенной компанией Cisco Systems, Inc. L2TP инкапсулирует кадры PPP, пересылаемые по сетям IP, X.25, Frame Relay и ATM. Полезная информация из инкапсулированных кадров PPP может быть зашифрована и/или сжата. При передаче через Internet кадры L2TP инкапсулируются в сообщения протокола пользовательских дейтаграмм (User Datagram Protocol — UDP), как показано на рис. 26.6.
Удаленный и мобильный доступ Ãëàâà 26
849
Çàøèôðîâàíî
Çàãîëîâîê Çàãîëîâîê IP GRE
Ïîëåçíàÿ èíôîðìàöèÿ PPP
Çàãîëîâîê PPP
Êàäð PPP
Ðèñ. 26.5. Структура пакета PPTP Ñîîáùåíèå UDP
Çàãîëîâîê Çàãîëîâîê Çàãîëîâîê IP L2TP UDP
Çàãîëîâîê PPP
Ïîëåçíàÿ èíôîðìàöèÿ PPP
Êàäð PPP
Êàäð L2TP
Ðèñ. 26.6. Структура пакета L2TP Кадры L2TP содержат сообщения поддержки соединения L2TP и туннелируемые данные. Сообщения поддержки соединения L2TP содержат только заголовок L2TP. Туннелируемые данные L2TP содержат заголовок PPP и полезную информацию PPP. Полезная информация PPP может быть зашифрована и/или сжата с помощью стандартных методов шифрования и сжатия PPP. В Windows Server 2003 соединения L2TP не шифруют PPP с помощью сквозного шифрования Microsoft (Microsoft Point-to-Point Encryption — MPPE). Вместо этого шифрование обеспечивается с помощью заголовка и концевика инкапсуляции защищаемой информации (Encapsulating Security Payload — ESP) средства IP Security (IPSec).
IP Security Средство IP Security (протокол защиты данных в Internet, IPSec) было разработано как сквозной механизм обеспечения безопасности при передаче данных по протоколу IP. Архитектура IPSec, показанная на рис. 26.7, включает заголовок аутентификации для верификации целостности данных и информацию защиты инкапсуляции, предназначенную для обеспечения и целостности данных, и шифрования данных. Для обеспечения конфиденциальности IPSec предоставляет две важных функции: шифрование данных и целостность данных. IPSec использует для обеспечения аутентификации и целостности без шифрования заголовок аутентификации (Authentication Header —
850
Технологии удаленного и мобильного доступа ×àñòü VII
AH), а для обеспечения аутентификации и целостности наряду с шифрованием — инкапсуляцию защищаемой информации (Encapsulating Security Payload — ESP). При использовании IPSec ключ защиты известен только отправителю и получателю. Если данные аутентификации прошли проверку на допустимость, то получатель знает, что информация поступила от отправителя, и она не изменена во время пересылки. Ñîîáùåíèå UDP
Çàãîëîâîê Çàãîëîâîê Çàãîëîâîê IP L2TP UDP
Çàãîëîâîê PPP
Ïîëåçíàÿ èíôîðìàöèÿ PPP
Êàäð PPP
Êàäð L2TP
Ðèñ. 26.7. Структура и архитектура пакета IPSec
Âûáîð ìåæäó PPTP è L2TP/IPSec При развертывании VPN на базе Windows Server 2003 среди многих вопросов вам придется решить и такой: использовать L2TP/IPSec или PPTP. VPN-клиент Windows XP и Windows 2000 и серверные компьютеры по умолчанию поддерживают и L2TP/IPSec, и PPTP. Оба этих протокола для начальной инкапсуляции данных применяют PPP, а затем добавляют дополнительные заголовки для передачи данных по Internet. PPTP и L2TP предоставляют также логический механизм пересылки информации PPP и обеспечивают туннелирование, или инкапсуляцию, так что информацию пакетов PPP можно передавать через Internet с помощью любого протокола. Для выполнения аутентификации пользователей и конфигурирования протокола и PPTP, и L2TP используют процесс соединения PPP. Между протоколами PPTP и L2TP имеется несколько различий. Во-первых, при использовании PPTP шифрование данных начинается после завершения процесса соединения PPP, что означает, что используется аутентификация PPP. При использовании L2TP/IPSec шифрование данных начинается до процесса соединения PPP с помощью безопасного соединения IPSec. Во-вторых, соединения PPP используют MPPE — поточный шифр, основанный на алгоритме шифрования RC-4 Ривеста-Шамира-Альдемана (Rivest-Shamir-Aldeman — RSA) и использует 40-, 56- или 128-битные ключи шифрования. Поточные шифры шифруют данные, рассматривая их как поток битов. Соединения L2TP/IPSec используют стандарт шифрования данных Data Encryption Standard (DES) — блочный шифр, использующий либо 56-битный ключ для DES, либо три 56-битных ключа для 3-DES. Блочные шифры шифруют данные отдельными блоками (в случае DES — 64-битными блоками). И, наконец, соединения PPTP требуют только аутентификации на уровне пользователя по протоколу аутентификации PPP. Соединения L2TP/IPSec тре-
Удаленный и мобильный доступ Ãëàâà 26
851
буют ту же самую аутентификацию на уровне пользователя, а также аутентификацию на уровне компьютера, использующую сертификаты компьютеров.
Ïðåèìóùåñòâà L2TP/IPSec ïåðåä PPTP Хотя количество пользователей PPTP существенно превышает количество пользователей L2TP/IPSec, все же в силу более высокого уровня безопасности, обеспечиваемого L2TP/IPSec, а также ряда других его преимуществ, организации, которые желают повысить безопасность удаленных соединений, начинают применять в качестве своего стандарта удаленного и мобильного доступа VPN-сети с L2TP/IPSec. Ниже описаны преимущества использования L2TP/IPSec по сравнению с PPTP. •
IPSec обеспечивает аутентификацию данных каждого пакета (свидетельство, что данные посланы авторизованным пользователям), целостность данных (свидетельство, что данные не были модифицированы при пересылки), защиту от повторной передачи (предотвращение повторной передачи потока перехваченных пакетов) и конфиденциальность данных (предотвращение интерпретации перехваченных пакетов без наличия ключа шифрования). PPTP обеспечивает только конфиденциальность данных каждого пакета.
•
Соединения L2TP/IPSec обеспечивают более надежную аутентификацию, требуя и аутентификацию на уровне компьютера с помощью сертификатов, и аутентификацию на уровне пользователя с помощью протокола аутентификации PPP.
•
Пакеты PPP, пересылаемые во время аутентификации на уровне пользователя, не пересылаются незашифрованными, поскольку процесс соединения PPP для L2TP/IPSec происходит после установления защмщеннных соединений IPSec. Данные, пересылаемые при аутентификации PPP для некоторых протоколов аутентификации PPP, могут быть перехвачены и использованы для проведения автономных атак по словарю и определения паролей пользователей. Если данные, пересылаемые при аутентификации PPP, зашифрованы, то автономные атаки по словарю возможны только после успешной дешифровки зашифрованных пакетов.
Ïðåèìóùåñòâà PPTP ïåðåä L2TP/IPSec Несмотря на то что L2TP/IPSec считается более безопасным, чем сеанс VPN по PPTP, все же есть серьезные причины, по которым организации могут выбрать PPTP, а не L2TP/IPSec. Ниже представлены преимущества PPTP по сравнению L2TP/IPSec. •
PPTP не требует наличия инфраструктуры сертификатов. Для работы L2TP/IPSec нужна инфраструктура сертификатов для выпуска сертификатов компьютеров на компьютер VPN-сервера (или другой сервер аутентификации) и все компьютеры VPN-клиентов.
•
PPTP можно использовать на всех настольных платформах Windows (Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition (ME), Windows 98 и Windows 95 с обновлением производительности и безопасности Windows Dial-Up Networking 1.3). Единственными клиентами, поддерживающими L2TP/IPSec и использование сертификатов, являются VPN-клиенты на платформах Windows XP и Windows 2000.
852
Технологии удаленного и мобильного доступа ×àñòü VII
IPSec функционирует на уровне ниже стека TCP/IP. Этот уровень управляется политикой безопасности каждого компьютера и установленным защищенным соединением между отправителем и получателем. Эта политика состоит из набора фильтров и связанных с ними правил безопасности. Если IP-адрес, протокол и номер порта пакета удовлетворяют условиям фильтра, то к пакету применяется соответствующее правило безопасности.
Óñòàíîâêà è íàñòðîéêà ìàðøðóòèçàöèè è óäàëåííîãî äîñòóïà В отличие от большинства сетевых служб Windows Server 2003, RRAS невозможно установить или удалить с помощью оснастки Add or Remove Programs (Установка и удаление программ) панели управления. После установки Windows Server 2003 служба RRAS автоматически устанавливается в отключенном состоянии. Для включения и конфигурирования службы маршрутизации и удаленного доступа войдите в систему с учетной записью, имеющей полномочия локального администратора. Затем выполните следующие шаги: 1. Выберите в меню Start (Пуск) пункт ProgramsÖAdministrative ToolsÖRouting and Remote Access (ПрограммыÖАдминистрированиеÖМаршрутизация и удаленный доступ), как показано на рис. 26.8.
Ðèñ. 26.8. Запуск средства администрирования маршрутизации и удаленного доступа 2. Для локального компьютера щелкните правой кнопкой мыши на пиктограмме сервера и выберите в контекстном меню пункт Configure and Enable Routing and Remote Access (Конфигурирование и включение маршрутизации и удаленного доступа), как показано на рис. 26.9.
Удаленный и мобильный доступ Ãëàâà 26
853
Ðèñ. 26.9. Конфигурирование и включение маршрутизации и удаленного доступа 3. Для удаленного компьютера щелкните правой кнопкой мыши на пиктограмме Server Status (Состояние сервера) и выберите в контекстном меню пункт Add Server (Добавить сервер). На странице свойств Add Server выберите сервер, который необходимо добавить. Затем щелкните правой кнопкой мыши на пиктограмме удаленного сервера и выберите в контекстном меню пункт Configure and Enable Routing and Remote Access (Конфигурирование и включение маршрутизации и удаленного доступа). 4. На странице приветствия мастера установки маршрутизации и удаленного доступа щелкните на кнопке Next (Далее). 5. Выберите вариант специальной конфигурации, а затем щелкните на кнопке Next. 6. В мастере установки сервера маршрутизации и удаленного доступа выберите опции, которые необходимо сконфигурировать (рис. 26.10). 7. После выполнения всех шагов мастера на основе выбранных опций будет включен и сконфигурирован маршрутизатор удаленного доступа. Для конфигурирования других возможностей воспользуйтесь оснасткой Routing and Remote Access.
Êîíôèãóðèðîâàíèå êëèåíòîâ óäàëåííîãî äîñòóïà В среде сетевого удаленного доступа компонент сервера — это только половина конфигурации, и для завершения создания среды защищенного мобильного доступа нужно правильно сконфигурировать клиенты удаленного доступа. В системах клиентов удаленного доступа имеется много различий, которые делают важным выбор корректной конфигурации клиента. Клиентская система может базироваться на различных операционных системах: Windows 95/98, Windows NT4, Windows 2000 или Windows XP, либо Macintosh, UNIX либо даже на системе из Internet-кафе или киоска в аэропорту. Конфигурация клиентской системы также может различаться в зависимости от типа передаваемой инфор-
854
Технологии удаленного и мобильного доступа ×àñòü VII
мации: обычная электронная почта, пересылка файлов или пересылка информации базы конфиденциальных данных.
Ðèñ. 26.10. Выбор опций установки в мастере установки сервера маршрутизации и удаленного доступа В данном разделе описываются доступные технологии и решения, которые необходимо принять, чтобы выбрать правильную конфигурацию клиентских систем удаленного доступа.
Êîíôèãóðèðîâàíèå VPN-êëèåíòà Если VPN-клиентов в организации немного, то соединения можно сконфигурировать вручную для каждого клиента. Для среды с сотней или более VPN-клиентов удаленного доступа имеет смысл выполнить автоматическое конфигурирование удаленного доступа. Вот некоторые проблемы, которые могут возникнуть при автоматическом конфигурировании VPN-соединений в большой среде: •
В организации имеются различные настольные клиенты на базе Windows.
•
Конечные пользователи выполняют конфигурирование с ошибками.
•
VPN-соединение может потребовать конфигурирования двойной коммутации, при котором пользователь должен вначале подключиться по наборному соединению к Internet, а потом создать VPN-соединение с сетью intranet организации.
Решить все эти вопросы, связанные с конфигурированием, можно с помощью диспетчера подключений (Connection Manager), который обладает следующими возможностями: •
Утилита дозвона диспетчера подключений (Connection Manager Client Dialer).
•
Набор инструментов администрирования диспетчера подключений (Connection Manager Administration Kit).
•
Службы точки подключения (Connection Point Services).
Удаленный и мобильный доступ Ãëàâà 26
855
Óòèëèòà äîçâîíà äèñïåò÷åðà ïîäêëþ÷åíèÿ Утилита дозвона диспетчера подключений (Connection Manager — CM) представляет собой программу, устанавливаемую на каждом клиенте удаленного доступа. Она предназначена для расширения базовых возможностей работы по наборным соединениям. CM упрощает конфигурирование клиента для пользователей, предоставляя им перечисленные ниже возможности. •
Выбор из списка используемых телефонных номеров на основе их физического расположения.
•
Использование пользовательской графики, пиктограмм, сообщений и справочных файлов.
•
Автоматическое создание наборного соединения перед созданием VPNсоединения.
•
Выполнение пользовательских действий во время различных стадий процесса соединения, например, действий перед подключением и после него.
Настраиваемый пакет утилиты дозвона CM (профиль CM) представляет собой самораспаковывающийся исполняемый файл, созданный с помощью набора инструментов администрирования диспетчера подключений (Connection Manager Administration Kit). Профиль CM можно разослать пользователям VPN на компакт-дисках, электронной почтой, через Web-сайт или общий файловый ресурс. Профиль CM автоматически конфигурирует нужные наборные и VPN-соединения. Он не требует наличия специальной версии Windows и может выполняться на следующих платформах: Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition и Windows 98.
Íàáîð èíñòðóìåíòîâ àäìèíèñòðèðîâàíèÿ äèñïåò÷åðà ïîäêëþ÷åíèÿ Набор инструментов администрирования диспетчера подключений (Connection Manager Administration Kit — CMAK) позволяет администраторам заранее сконфигурировать внешний вид и поведение CM. Используя CMAK, программа дозвона и подключения позволяет пользователям подключаться к сети с помощью только определенных для них средств подключения. Кроме того, CMAK позволяет администраторам создавать профили, настраивающие пакет установки диспетчера подключений (Connection Manager Installation package), который рассылается пользователям удаленного доступа.
Ñëóæáû òî÷êè ïîäêëþ÷åíèÿ Службы точки подключения (Connection Point Services — CPS) позволяют автоматически распространять и изменять пользовательские телефонные книги. Эти телефонные книги содержат один или несколько элементов точек присутствия (Point of Presence — POP), где каждая POP содержит телефонный номер, предоставляющий информацию доступа по наборному соединению для точки доступа в Internet. Телефонные книги содержат полный список POP, что дает возможность удаленным пользователям при их передвижении подключаться к различным точкам доступа в Internet. CPS может также автоматически изменять телефонную книгу при изменениях списка POP.
856
Технологии удаленного и мобильного доступа ×àñòü VII
CPS состоит из двух компонентов: •
Phone Book Administrator (Администратор телефонных книг). Средство создания и сопровождения базы телефонных данных и опубликования новой информации телефонных книг в службе телефонных книг.
•
Phone Book Service (Служба телефонных книг). Расширение Microsoft службы информации Internet (Internet Information Services — IIS), выполняющееся на сконфигурированном для работы с IIS сервере Windows Server 2003. Служба телефонных книг автоматически проверяет текущую телефонную книгу и при необходимости загружает ее обновление.
Набор администрирования диспетчера подключений (Connection Manager Administration Kit — CMAK) и служба точек подключения (Connection Point Service — CPS) по умолчанию не устанавливаются в системе Windows Server 2003. Для установки CMAK и CPS выполните следующие действия: 1. Выберите в меню Start пункт Control PanelÖAdd or Remove Programs (Панель управленияÖУстановка и удаление программ). 2. Щелкните на пиктограмме Add/Remote Windows Components (Установка и удаление компонентов Windows). 3. На экране мастера компонентов Windows дважды щелкните на строке Management and Monitoring Tools (Средства управления и наблюдения). 4. Отметьте строки Connection Manager Administration Kit и Connection Point Service. 5. Щелкните на кнопке ОК, а затем на кнопке Next, чтобы завершить установку компонентов. По завершении щелкните на кнопке Finish (Готово).
Åäèíûé äîñòóï Возможность единого доступа (Single Sign-on — SSO) позволяет пользователям удаленного доступа создавать подключение удаленного доступа к организации и входить в домен организации, пользуясь одним и тем же набором полномочий. Для доменной инфраструктуры Active Directory системы Windows имя пользователя/пароль или смарт-карта используется и для аутентификации, и для авторизации подключения удаленного доступа, и для аутентификации и входа в домен Windows. Единый доступ можно включить, выбрав опцию Logon by Using Dial-Up Networking (Вход с помощью наборного доступа) на странице свойств входа в систему Windows XP и Windows 2000, а затем выбрав наборное или VPN-соединение для подключения к организации. Для VPN-соединений пользователь должен сначала подключиться к Internet, прежде чем создать VPN-соединение. После создания подключения к Internet можно установить VPN-соединение и выполнить вход в домен.
Âëèÿíèå NAT Traversal íà óëó÷øåíèå óäàëåííîãî ïîäêëþ÷åíèÿ NAT Traversal представляет собой набор возможностей, позволяющих сетевым приложениям обнаружить, что они работают через устройство NAT, узнать свой внешний IP-адрес и сконфигурировать отображение портов для переадресации пакетов из внеш-
Удаленный и мобильный доступ Ãëàâà 26
857
него порта NAT к внутреннему порту, используемому приложением. Этот процесс выполняется автоматически, так что пользователю не нужно конфигурировать отображения портов вручную. NAT Traversal основан на обнаружении и управлении протоколами, которые входят в спецификации, определенные форумом Universal Plug and Play Forum. Форум UPnP имеет рабочий комитет, предназначенный для определения протоколов управления шлюзовыми устройствами Internet и определения служб для этих устройств. NAT и NAT Traversal будут не нужны при переходе на протокол IPv6, который обеспечивает каждому клиенту глобально маршрутизируемый IP-адрес. Важность NAT Traversal состоит в возможности клиента с частным адресом L2TP/IPSec получить доступ к системе RRAS. В Windows 2000 протокол L2TP/IPSec присутствует, но редко используется удаленными пользователями, так как лица, подключающиеся к Internet, часто подключаются через общедоступного поставщика частных адресов, использующего NAT. Например, когда пользователь подключается к Internet из отеля, аэропорта, по беспроводному подключению Internet-кафе и тому подобным способом, поставщик хостов подключения к Internet обычно не предоставляет общедоступный IP-адрес. Вместо этого поставщик использует Network Address Translation, эффективно обеспечивая пользователя частным адресом 10.x.x.x за прокси-сервером. В Windows 2000 клиент L2TP/IPSec не может выйти из частного адресного пула. В Windows Server 2003 технология NAT Traversal позволяет клиенту L2TP/IPSec с частным адресом маршрутизироваться за пределы частной адресной зоны и таким образом обрести VPN-связь. Многие организации перешли на новую ОС Windows Server 2003 специально для того, чтобы установить технологию NAT Traversal системы RRAS.
Ñðåäñòâà è óòèëèòû RRAS Для службы маршрутизации и удаленного доступа Windows Server 2003 доступно несколько инструментальных средств и утилит. Следующие утилиты позволяют администраторам сконфигурировать и получить информацию для учета, аудита и устранения неполадок RRAS: • Оснастка MMC Routing and Remote Access. • Средство командной строки Netsh. • Регистрация в журналах аутентификации и учета. • Регистрация в журналах событий. • Трассировка.
Îñíàñòêà MMC Routing and Remote Access Оснастка Routing and Remote Access (Маршрутизация и удаленный доступ), показанная на рис. 26.11, находится в папке Administrative Tools (Администрирование) и представляет собой основное средство управления для конфигурирования RRAS в Windows Server 2003. Оснастка RRAS содержит последовательность плавающих окон, которые отображают строки таблицы или статистику. После вывода плавающего окна его можно перемещать по всему экрану, и оно всегда находится над окном оснастки Routing and Remote Access. В табл. 26.1 приведен список плавающих окон оснастки Routing and Remote Access, а также их местоположение.
858
Технологии удаленного и мобильного доступа ×àñòü VII
Ðèñ. 26.11. Администрирование RRAS с помощью оснастки Routing and Remote Access Òàáëèöà 26.1. Ïëàâàþùèå îêíà îñíàñòêè Routing and Remote Access Плавающее окно
Местоположение
Описание
TCP/IP information (Информация о TCP/IP)
IP Routing/General/Interface (IP-маршрутизация/Общие/ Интерфейс)
Глобальная статистика TCP/IP, наподобие количества маршрутов и принятых и отправленных байтов.
Multicast bounda ries (Многоадресатные границы)
IP Routing/General/Interface (IP-маршрутизация/Общие/ Интерфейс)
Содержимое многоадресатных границ TCP/IP.
Multicast statistics (Многоадресатная статистика)
IP Routing/General (IP-маршрутизация/Общие)
Статистика по группам, например, количество полученных многоадресатных пакетов.
Address translations (Трансляции адресов)
IP Routing/General/Interface (IP-маршрутизация/Общие/ Интерфейс)
Содержимое кэша протокола преобразования адресов (Address Resolution Protocol — ARP).
IP addresses (IP-адреса)
IP Routing/General/Interface (IP-маршрутизация/Общие/ Интерфейс)
IP-адреса, назначенные интерфейсом маршрутизации.
IP routing table (Таблица IP-маршрутизации)
IP Routing/General/Static Routes (IP-маршрутизация/Общие/ Статические маршруты)
Содержимое таблицы IP-маршрутизации.
RRAS Clients (Клиенты RRAS)
Remote Access Clients (Клиенты удаленного доступа)
Список клиентских подключений, включающий локальные и удаленные адреса и порты TCP.
UDP listener ports Ports (Порты) (Порты слушателя UDP)
Список портов UDP, которые прослушивает маршрутизатор.
Areas (Области)
Список сконфигурированных областей OSPF.
IP Routing/OSPF (IP-маршрутизация/OSPF)
Удаленный и мобильный доступ Ãëàâà 26
859
Окончание табл. 26.1 Плавающее окно
Местоположение
Описание
Link state database (База данных состояния канала)
IP Routing/OSPF (IP-маршрутизация/OSPF)
Содержимое базы данных состояния канала OSPF.
Neighbors (OSPF) (Соседи (OSPF))
IP Routing/OSPF (IP-маршрутизация/OSPF)
Список соседних OSPFмаршрутизаторов и их состояние.
Virtual interfaces (Виртуальные интерфейсы)
IP Routing/OSPF (IP-маршрутизация/OSPF)
Список сконфигурированных виртуальных интерфейсов и их состояние.
Neighbors (RIP) (Соседи (RIP))
IP Routing/RIP (IP-маршрутизация/RIP)
Список соседних RIPмаршрутизаторов.
DHCP Allocator information (Информация о назначениях DHCP)
IP Routing/NAT/Basic Firewall (IP-маршрутизация/NAT/ Базовый брандмауэр)
Статистика о количестве и типах принятых и отправленных сообщений DHCP.
DNS Proxy information (Информация о DNS Proxy)
IP Routing/Network Address Translation (IP-маршрутизация/ Трансляция сетевых адресов)
Статистика о количестве и типах принятых и отправленных сообщений DNS.
Mappings (Отображения)
Содержимое таблицы отображеIP Routing/NAT/Basic Firewall/ Interface (IP-маршрутизация/NAT/ ний Network Address Translation. Базовый брандмауэр/Интерфейс)
Group table (Таблица групп)
IP Routing/IGMP (IP-маршрутизация/IGMP)
Общий список групп, обнаруженных с помощью протокола маршрутизации IGMP.
Interface group table (Таблица групп интерфейсов)
IP Routing/IGMP/Interface (IP-маршрутизация/IGMP/ Интерфейс)
Список групп интерфейсов, обнаруженных с помощью протокола маршрутизации IGMP.
IPX parameters (Параметры IPX)
IPX Routing/General (IPX-маршрутизация/Общие)
Глобальная статистика IPX, наподобие количества маршрутов и служб, полученных пакетов и переадресованных пакетов.
IPX routing table (Таблица маршрутизации IPX)
IPX Routing/Static Routes (IPX-маршрутизация/ Статические маршруты)
Содержимое таблицы маршрутизации IPX.
IPX service table (Таблицы служб IPX)
IPX Routing/Static Services (IPX-маршрутизация/ Статические службы)
Содержимое таблицы служб SAP.
RIP parameters (Параметры RIP)
IPX Routing/RIP for IPX (IPX-маршрутизация/RIP для IPX)
Глобальная статистика протокола RIP for IPX.
SAP parameters (Параметры SAP)
IPX Routing/SAP for IPX (IPX-маршрутизация/SAP для IPX)
Глобальная статистика протокола SAP for IPX.
860
Технологии удаленного и мобильного доступа ×àñòü VII
Ñðåäñòâî êîìàíäíîé ñòðîêè Netsh Netsh представляет собой средство командной строки для написания сценариев, предназначенных для конфигурирования сетевых компонентов Windows Server 2003 на локальных или удаленных компьютерах. Кроме того, Netsh в системе Windows Server 2003 позволяет сохранять конфигурационный сценарий в текстовом файле для его архивирования или конфигурирования других серверов. Netsh инсталлируется вместе с операционной системой Windows Server 2003. Netsh является оболочкой, которая с помощью своих вспомогательных DLLбиблиотек может поддерживать различные компоненты Windows Server 2003. Вспомогательные DLL-библиотеки расширяют возможности Netsh, предоставляя дополнительные команды для наблюдения или конфигурирования отдельных сетевых компонентов Windows Server 2003. Каждая вспомогательная DLL-библиотека Netsh предоставляет контекст или группу команд для конкретного сетевого компонента. В каждом контексте могут существовать подконтексты; например, в контексте маршрутизации существуют подконтексты IP и IPX, предназначенные для группирования команд IP- и IPX-маршрутизации. Ниже представлен список опций командной строки Netsh. •
–a <ФайлПсевдонимов>. Указывает используемый файл псевдонимов. Файл псевдонимов содержит список команд Netsh и их псевдонимов, позволяющий вместо команд Netsh применять соответствующие им псевдонимы. С помощью файлов псевдонимов можно отображать на команды Netsh другие команды, которые, возможно, более знакомы по другим платформам.
•
–c <Контекст>. Указывает контекст команды, соответствующий установленной вспомогательной DLL-библиотеки.
•
Команда. Указывает команду Netsh, которую необходимо выполнить.
•
–f <ФайлСценария>. Указывает, что должны быть выполнены все команды Netsh из файла ФайлСценария.
•
–r <Имя или IP-адрес удаленного компьютера>. Указывает, что команды Netsh должны выполняться на удаленном компьютере, заданном именем или IPадресом.
Команды Netsh можно сокращать, если это не порождает двусмысленности. Например, команда ro ip s hint эквивалентна команде routing ip show interface. Команды Netsh могут быть глобальными или зависящими от контекста. Глобальные команды можно выдавать в любом контексте и использовать для функций Netsh общего назначения. Команды, зависящие от контекста, меняются в зависимости от контекста. Глобальные команды Netsh перечислены в табл. 26.2. Netsh может работать в двух режимах: оперативный (Online) и автономный (Offline). В оперативном режиме команды Netsh выполняются сразу после ввода. В автономном режиме команды, вводимые в командной строке Netsh, накапливаются и выполняются в пакетном режиме с помощью глобальной команды commit. Глобальная команда flush отменяет пакетные команды. Команды Netsh можно выполнить и с помощью сценария. Сценарий можно запустить с помощью опции –f или выполнив из командного окна Netsh глобальную команду exec.
Удаленный и мобильный доступ Ãëàâà 26
861
Òàáëèöà 26.2. Êîìàíäû Netsh Команда
Описание
..
Поднимается выше на один уровень контекста.
? или help
Отображает оперативную подсказку.
show version
Отображает текущую версию Windows и утилиты Netsh.
show netdlls
Отображает текущую версию установленных вспомогательных DLL-библиотек утилиты Netsh.
add helper
Добавляет вспомогательную DLL-библиотеку утилиты Netsh.
delete helper
Удаляет вспомогательную DLL-библиотеку утилиты Netsh.
show helper
Отображает установленные вспомогательные DLL-библиотеки утилиты Netsh.
cmd
Создает командное окно.
online
Переводит текущий режим в оперативный.
offline
Переводит текущий режим в автономный.
set mode
Переводит текущий режим в оперативный или автономный.
show mode
Отображает текущий режим.
flush
Отменяет все изменения, выполненные в автономном режиме.
commit
Применяет изменения, выполненные в автономном режиме.
set audit-logging
Включает или выключает средства регистрации в журнал.
show audit-logging
Отображает текущие параметры записи информации аудита.
set loglevel
Устанавливает уровень записываемой в журнал информации.
show loglevel
Отображает уровень записываемой в журнал информации.
set machine
Конфигурирует компьютер, на котором выполняются команды Netsh.
show machine
Отображает компьютер, на котором выполняются команды Netsh.
exec
Выполняет файл сценария, содержащего команды Netsh.
quit или bye или exit
Выходит из утилиты Netsh.
add alias
Добавляет псевдоним для существующей команды.
delete alias
Удаляет псевдоним для существующей команды.
show alias
Отображает все определенные псевдонимы.
dump
Записывает конфигурацию в текстовый файл.
popd
Команда выталкивания контекста из стека в сценарии.
pushd
Команда помещения контекста в стек в сценарии.
Команда dump может использоваться для генерации сценария, выполняющего снимок текущей конфигурации RRAS. Эта команда генерирует текущую конфигурацию с помощью команд Netsh. Сгенерированный сценарий можно использовать для конфигурирования нового сервера RRAS или модификация текущего сервера.
862
Технологии удаленного и мобильного доступа ×àñòü VII
Для службы маршрутизации и удаленного доступа Netsh содержит следующие контексты: •
ras — конфигурирование удаленного доступа с помощью команд контекста ras.
•
aaa — конфигурирование компонента AAA, используемого службой маршрутизации и удаленного доступа и службой аутентификации в Internet, с помощью команд контекста aaa.
•
routing — конфигурирование маршрутизации IP и IPX с помощью команд контекста routing.
•
interface — конфигурирование интерфейсов вызова по запросу с помощью команд контекста interface.
Ðåãèñòðàöèÿ â æóðíàëå àóòåíòèôèêàöèè è ó÷åòà Служба маршрутизации и удаленного доступа может регистрировать информацию аутентификации и учета для попыток подключений по протоколу PPP. Эта регистрация не зависит от событий, фиксируемых в системном журнале событий, и может помочь в прослеживании использования удаленного доступа и попыток аутентификации. Регистрация аутентификации и учета полезна в плане устранения проблем, связанных с политиками удаленного доступа. При регистрации записываются результаты всех попыток аутентификации, а также применений политики удаленного доступа. Информация аутентификации и учета хранится в конфигурируемом файле (или файлах) журнала, хранящемся в папке %systemroot%\System32\LogFiles. Файлы журнала хранятся в формате службы аутентификации Internet (Internet Authentication Service — IAS) или в формате базы данных, что позволяет программам анализа баз данных напрямую читать файл журнала. Регистрация в журнал может быть сконфигурирована для нужного типа активности (действия по учету или аутентификации). Параметры файла журнала могут быть сконфигурированы из свойств объекта Local File (Локальный файл) в папке Remote Access Logging (Регистрация удаленного доступа) оснастки Routing and Remote Access.
Ðåãèñòðàöèÿ ñîáûòèé RRAS системы Windows Server 2003 выполняет также обширную регистрацию ошибок в системном журнале ошибок. Информацию из журналов событий можно использовать для устранения проблем с маршрутизацией или удаленным доступом. Доступны следующие четыре уровня регистрации: •
Регистрация только ошибок (по умолчанию).
•
Регистрация ошибок и предупреждений.
•
Регистрация максимального объема информации.
•
Отключение регистрации событий.
Удаленный и мобильный доступ Ãëàâà 26
863
Уровень регистрации событий можно установить на вкладках General (Общие) следующих страниц свойств: •
IP Routing/General (IP-маршрутизация/Общие).
•
IP Routing/NAT/Basic Firewall (IP-маршрутизация/NAT/Базовый брандмауэр).
•
IP Routing/OSPF (IP-маршрутизация/OSPF).
•
IP Routing/IGMP (IP-маршрутизация/IGMP).
•
IPX Routing/General (IPX-маршрутизация/Общие).
•
IPX Routing/RIP for IPX (IPX-Маршрутизация/RIP for IPX).
•
IPX Routing/SAP for IPX (IPX-маршрутизация/SAP for IPX).
НА ЗАМЕТКУ Запись событий в журнал отнимает системные ресурсы, поэтому при выявлении сетевых проблем ею следует пользоваться экономно. После выявления проблемы переустановите уровень регистрации в стандартное значение (регистрация только ошибок).
Òðàññèðîâêà RRAS системы Windows Server 2003 предоставляет широкие возможности трассировки, которыми можно воспользоваться для устранения проблем в сложных сетях. Включив трассировку файлов, можно записывать внутренние переменные компонентов, вызовы функций и взаимодействия компонентов. Трассировка файлов для записи в файлы трассировочной информации может быть включена в различных компонентах RRAS. Включение трассировки файлов требует изменения настроек в системном реестре Windows Server 2003.
ВНИМАНИЕ! Не редактируйте реестр без крайней необходимости. Редактор реестра обходит стандартные ограничения, позволяя вносить настройки, которые могут повредить систему или даже потребовать переустановки Windows.
Для трассировки доступны все установленные протоколы и компоненты маршрутизации, и каждый из них можно представить в виде подключа наподобие OSPF и RIPV2. Как и регистрация аутентификации и учета, трассировка потребляет системные ресурсы; следовательно, при выявлении сетевых проблем ею надо пользоваться экономно. После завершения трассировки или выявления проблемы немедленно отключите трассировку. Не оставляйте включенной трассировку в многопроцессорных системах. Трассировочная информация может быть сложной и подробной. Зачастую эта информация может пригодиться только инженерам службы поддержки Microsoft или сетевым администраторам, являющимся экспертами в применении службы маршрутизации и удаленного доступа Windows Server 2003. Для включения трассировки файлов для всех компонентов выполните следующие действия: 1. Запустите редактор regedit.exe и найдите следующий ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\<Компонент> (<Компонент> соответствует компоненту, для которого нужно включить трассировку файлов).
864
Технологии удаленного и мобильного доступа ×àñòü VII
2. Выберите компонент, для которого нужно включить трассировку файлов. 3. Щелкните правой кнопкой мыши на строке EnableFileTracing, выберите в контекстном меню пункт Modify (Изменить) и присвойте параметру значение 1 (по умолчанию оно равно 0). 4. Для выбранного компонента при необходимости измените дополнительные параметры: Для задания местоположения трассировочного файла щелкните правой кнопкой мыши на строке FileDirectory, выберите в контекстном меню пункт Modify и введите путь местоположения файла журнала. Имя файла журнала является именем компонента, для которого включается трассировка. По умолчанию файлы журналов находятся в каталоге %windir%\Tracing. Чтобы установить уровень трассировки файлов, щелкните правой кнопкой мыши на строке FileTracingMask, выберите в контекстном меню пункт Modify и введите значение уровня трассировки. Уровень трассировки может быть задан числом от 0 до 0xFFFF0000. По умолчанию уровень трассировки файлов установлен в 0xFFFF0000 (то есть максимальный). Чтобы задать максимальный размер для файла журнала, щелкните правой кнопкой мыши на строке MaxFileSize, выберите в контекстном меню пункт Modify и введите размер файла журнала. По умолчанию это значение равно 0x00100000, или 64 Кб.
Ïðèìåíåíèå âîçìîæíîñòåé ñðåäñòâà ïðîâåðêè ïîëèòèê èçîëÿöèè Наиболее важным средством в наборе ресурсов (Resource Kit) Windows Server 2003 для сред удаленного доступа является подключаемый модуль проверки политик изоляции. Если специально не обратить внимание на эти шедевры, скрытые в недрах набора ресурсов, их вполне можно и не заметить. Средство проверки политик изоляции позволяет администратору запретить пользователю VPN прямой доступ к сети до выполнения проверки, что система пользователя удовлетворяет минимальным сетевым требованиям. Проверка политик может подтвердить применение последних исправлений безопасностей к удаленной системе и недавнее сканирование системы на наличие вирусов и червей. Если система не проходит проверку, то она изолируется, и может быть инициирована дополнительная политика для проведения соответствующих обновлений, сканирования на вирусы и очистки перед подключением удаленной системы к производственной сети. Если система проходит проверку политик, то ей разрешается подключение к сети.
Êàê ðàáîòàåò ïðîâåðêà ïîëèòèê èçîëÿöèè Проверка политик изоляции работает вместе с диспетчером подключений и выполняется после подключения, инициируя сценарий сетевой политики сразу после верной аутентификации удаленного пользователя в сети, но перед реальным подключением пользователя к производственной сети. Сценарий сетевой политики выполняет проверки в клиентской системе удаленного доступа и верифицирует, что система
Удаленный и мобильный доступ Ãëàâà 26
865
удовлетворяет политикам безопасности организации по обновлению исправлений и требованиям к очистке вирусов. После успешного выполнения сценария и удовлетворения удаленной системой требований сетевой политики системе разрешается доступ в сеть. Если сценарий завершается неудачей, то удаленному пользователю запрещается доступ к производственной сети, и обычно он перенаправляется на Web-страницу организации, где описано, как пользователи могут привести свои системы в соответствие с политиками организации. Это может включать перенаправление пользователя на сценарий, который выполняет соответствующие обновления и сканирование вирусов, необходимые для обновления удаленной системы и выполнения последующей попытки входа в производственную сеть. Файлы средства проверки политик изоляции Quarantine Policy Check — rqc.exe, rqs.exe и rqs_setup.exe — находятся в наборе ресурсов Windows 2003 Resource Kit. После запуска RRAS на сервере Windows 2003 для обеспечения доступа клиентам VPN и/или клиентам наборных соединений администратор может выполнить пакетный файл rqs_setup, который “устанавливает” агент сервера rqs. Агент rqs устанавливается на удаленных системах и действует как компонент удаленного административного контроля для процессов проверки изоляции и проверки достоверности.
Êîìïîíåíòû êîíòðîëÿ èçîëÿöèè è òðåáîâàíèÿ ê ñèñòåìå Чтобы иметь возможность использовать средства проверки политик изоляции, в сети должна выполняться служба Windows Active Directory, чтобы можно было активировать групповые политики для управления проверками изоляции. Хотя имеется возможность установки сервера Windows 2003 RRAS в домене Windows NT4 и применения системных политик для проверки функциональности средства проверки политик изоляции, в данной книге, ориентированной на Windows 2003, предполагается, что в среде организации уже реализована служба Active Directory, и что все политики являются групповыми политиками из Active Directory. Ниже перечислены компоненты, необходимые для включения политик изоляции. •
Среда Windows Active Directory (чтобы проверять политики изоляции с помощью групповых политик).
•
Сервер маршрутизации и удаленного доступа (RRAS) Windows 2003.
•
Созданные и активированные политики проверки политик изоляции.
•
Сервер RADIUS, совместимый с проведением изоляции (не обязательно).
•
Клиенты удаленного доступа, совместимые с проведением изоляции.
Клиентами удаленного доступа, поддерживающими проверку политик изоляции, являются: • Системы Windows Server 2003. •
Системы Windows Server 2000.
•
Рабочие станции Windows XP Professional.
•
Рабочие станции Windows 2000 Professional.
•
Рабочие станции Windows Millennium и Windows 98 Second Edition (с некоторыми ограничениями).
866
Технологии удаленного и мобильного доступа ×àñòü VII
НА ЗАМЕТКУ Хотя системы Windows Millennium и Windows 98 Second Edition поддерживаются клиентом проверки политик изоляции, в эти системы невозможно внедрить политики изоляции, поскольку данные версии Windows не поддерживают групповые политики Windows 2003. Без возможности обязательного выполнения политик все преимущества внедрения проверки политик изоляции сильно ограничены. Рекомендуется, чтобы на удаленных клиентских системах использовались версии Windows 2000 либо XP Professional или хотя бы Windows 2000/2003 Server.
Óñòàíîâêà óòèëèòû RQS.EXE íà ñåðâåð RRAS Для выполнения проверок политик изоляции загрузите и установите набор ресурсов Windows 2003 Resource Kit на сервер Windows 2003, который будет сервером RRAS организации. Windows 2003 Resource Kit можно загрузить по адресу: http://www.microsoft.com/windowsserver2003/downloads/default.mspx После установки набора ресурсов для выполнения проверок политик изоляции необходимы три файла: RQS.EXE, RQC.EXE и RQS_Setup.BAT. После проверки наличия этих файлов выполните следующие действия: 1. Запустите блокнот, выбрав в меню Start пункт Run (Выполнить), введя Notepad и щелкнув на кнопке OK. Загрузите в блокнот файл RQS_Setup.BAT. 2. Найдите в файле строку Version1\0, выбрав в меню Edit (Правка) пункт Find (Найти). В результате должна быть найдена строка REG ADD %ServicePath% /v AllowedSet /t REG_MULTI_SZ /d QScript1.0a. 3. Удалите REM в начале этой строки, чтобы она стала активной командой. 4. Сохраните файл, выбрав в меню File (Файл) пункт Save (Сохранить) и выйдите из программы, выбрав в меню File пункт Exit (Выход). 5. Введите в командной строке команду RQS_Setup /install, чтобы сконфигурировать параметры реестра, необходимые для правильной работы программы проверки политик изоляции. Команда RQS_Setup /install устанавливает все необходимые файлы в папку c:\system32\RAS в системе сервера.
НА ЗАМЕТКУ Команда RQS_Setup /install не запускает службу агента изоляции удаленного доступа, и служба агента изоляции удаленного доступа не конфигурируется на автоматический запуск. Для работы этого агента необходимо перед его запуском запустить службу RRAS.
После установки и конфигурирования параметров системного реестра RQS потребуется создать файл сценария и профиль CM и установить их на удаленных клиентских системах.
НА ЗАМЕТКУ Чтобы удалить программу RQS.EXE , введите в командном окне команду RQS_Setup /remove, и файл установки удалит параметры, добавленные в реестр во время процесса инсталляции.
Удаленный и мобильный доступ Ãëàâà 26
867
Ñîçäàíèå ôàéëà ñöåíàðèÿ äëÿ âûïîëíåíèÿ ïîñëå ïîäêëþ÷åíèÿ Во время процесса проверки политики изоляции выполняется сценарий проверки состояния параметров системы удаленного клиента. В зависимости от результатов выполнения этого сценария удаленная система либо подключается к сети, либо изолируется для последующих обновлений системы. Файл сценария может быть настроен на проверку конкретных системных переменных или параметров, свидетельствующих о состоянии установки исправлений, проверок и обновлений антивирусных программ и так далее. Здесь приведен пример файла сценария. При выполнении пакетного файла ему передаются переменные %1, %2, %3 и %4. В следующем разделе “Создание профиля изоляции диспетчера подключения” значения этих переменных будут выделены жирным шрифтом. @echo off REM Этот файл должен быть сохранен под именем script.bat echo echo echo echo
Подключение RAS = %1 Туннельное подключение = %2 Домен = %3 Имя пользователя = %4
set MYSTATUS= REM REM REM REM REM REM REM REM REM REM REM REM
Проверка, включен ли брандмауэр Internet Connection Firewall. Если включен (успех), то ICFCHECK присваивается 1. Если выключен (неудача), то ICFCHECK присваивается 2. Проверка, выполняется ли вирусный сканер и имеет ли он корректно установленную сигнатуру файла. Если выполняется (успех), то VIRCHECK присваивается 1. Если выключен (неудача), то VIRCHECK присваивается 2. В зависимости от результатов тестирования — выполнение Rqc.exe.
if "%ICFCHECK%" == "2" goto :TESTFAIL if "%VIRCHECK%" == "2" goto :TESTFAIL rqc.exe %1 %2 7250 %3 %4 Version1 REM REM REM REM REM REM
%1 = %DialRasEntry% %2 = %TunnelRasEntry% 7250 — это порт TCP, который слушает Rqc.exe %3 = %Domain% %4 = %UserName% Version1 — это строка версии сценария
if "%ERRORLEVEL%" == "0" ( set MYERRMSG=Успех! ) else if "%ERRORLEVEL%" == "1" ( set MYERRMSG=Невозможно подключение к шлюзу удаленного доступа. Поддержка изоляции может быть отключена.
868
Технологии удаленного и мобильного доступа ×àñòü VII
) else if "%ERRORLEVEL%" == "2" ( set MYERRMSG=Доступ запрещен. Установите профиль диспетчера подключений по адресу http://www.companyabc.com/VPNDenied.htm и повторите попытку. ) else ( set MYERRMSG=Неизвестная ошибка. Клиент будет находиться в режиме изоляции. ) echo %MYERRMSG% goto :EOF :TESTFAIL echo echo Ваш компьютер не прошел проверку сетевой совместимости. echo Либо не включен Internet Connection Firewall, либо у вас echo установлен неверный вирусный сканер с текущей загруженной echo сигнатурой файла. Информацию о конфигурации и установки echo этих компонентов см. по адресу echo http://www.companyabc.com/remote_access_tshoot.htm. echo :EOF Это просто пример того, что может вывести на экран файл script.bat во время процесса подключения. Этот пакетный файл может быть настроен на конкретные потребности организации.
Ñîçäàíèå ïðîôèëÿ èçîëÿöèè äèñïåò÷åðà ïîäêëþ÷åíèÿ После создания пакетного файла сценария необходимо создать новый профиль изоляции диспетчера подключений (Connection Manager — CM) с помощью набора администрирования диспетчера подключений (Connection Manager Administration Kit — CMAK) Windows 2003. Профиль CM будет частью конфигурации диспетчера подключений для доступа удаленных клиентов, предписывающей удаленной клиентской системе запустить файл script.bat и подготовить информацию, которую сможет проверить сервер проверок политик изоляции, чтобы подтвердить, что удаленная система может подключиться к сети. CMAK является Windows-компонентом Windows Server 2003. Для установки CMAK выполните следующие действия: 1. Выберите в меню Start пункт SettingsÖControl PanelÖAdd/Remove Programs (Панель управленияÖУстановка и удаление программ). 2. Щелкните на пиктограмме Add/Remove Windows Components (Установка и удаление компонентов Windows) в левой панели. 3. Найдите в списке строку Management and Monitoring Tools (Средства управления и наблюдения) и щелкните на кнопке Details (Состав). 4. Выберите строку Connection Manager Administration Kit (Набор администрирования диспетчера подключений), щелкните на кнопке ОК, а затем на кнопке Next, чтобы установить компонент. 5. В завершение щелкните на кнопке Finish.
Удаленный и мобильный доступ Ãëàâà 26
869
После того как CMAK будет установлен, в профиле, который будут распространен на удаленные клиентские системы, необходимо сконфигурировать специальное действие. Для конфигурирования специального действия выполните перечисленные ниже шаги. 1. Запустите CMAK, выбрав в меню Start пункт ProgramsÖAdministrative ToolsÖ Connection Manager Administration Kit (ПрограммыÖСредства администрированияÖНабор администрирования диспетчера подключения). 2. На экране приветствия щелкните на кнопке Next. 3. На экране Service Profile Selection (Выбор профиля службы) выберите New Profile (Создание нового профиля) и щелкните на кнопке Next. 4. В поле Service and File name (Имя службы и файла) введите описательное название для сервера (например, CompanyABC Connection) и имя файла (например, cmprof), а затем щелкните на кнопке Next. 5. Если у вас есть имя области, введите его, иначе выберите пункт Do Not Add A Realm Name To The User Name (Не добавлять имя области к имени пользователя) и щелкните на кнопке Next. 6. Если у вас есть существующий профиль, выберите слияние профилей; иначе просто щелкните на кнопке Next. 7. Поскольку обычно профили диспетчера подключений предназначены для защиты VPN-подключений, в окне поддержки VPN установите флажок Phone Book From This Profile VPN (Телефонный справочник из этого профиля), в разделе Server Name Or IP Address (Имя или IP-адрес VPN-сервера) введите имя сети VPN, к которой будет получать доступ удаленный клиент, и щелкните на кнопке Next. 8. Только что созданный профиль появится на экране VPN Entries (Элементы VPN). Здесь можно отредактировать любые настройки или просто щелкнуть на кнопке Next. 9. Если будет применяться статический телефонный справочник, введите его в поле Phone Book File location (Местоположение файла телефонного справочника), в противном случае оставьте отметку пункта Automatically Download Phone Book Updates (Автоматически загружать обновления телефонного справочника) и щелкните на кнопке Next. 10. Если на предыдущем экране вы не ввели имя файла телефонного справочника, введите имя телефонного справочника, например, pbook, а в поле Connection Point server name (Имя сервера точки подключения) введите URL-адрес сервера. Щелкните на кнопке Next. 11. На экране Dial-up Networking entries (Элементы телефонной сети) появится только что созданный профиль. Сейчас можно изменить любые его параметры или просто щелкнуть на кнопке Next. 12. Если необходимо изменить таблицы маршрутизации, введите файл маршрутизации, иначе просто щелкните на кнопке Next.
870
Технологии удаленного и мобильного доступа ×àñòü VII
13. Если для удаленного подключения необходима настройка прокси-сервера, введите параметры на странице Automatic Proxy Confirmation (Подтверждение автоматической работы прокси-сервера); иначе просто щелкните на кнопке Next. 14. И, наконец, чтобы сконфигурировать Custom Actions for the Quarantine Policy Check (Специальные действия для проверки политики изоляции), щелкните на кнопке New (Создать) — появится страница New Custom Action (Создание специального действия). 15. Введите описание (например, Quarantine Policy Check), выполняемый файл (например, script.bat) и параметры (%DialRasEntry% %TunnelRasEntry% %Domain% %UserName%). Для типа действия (Action type) выберите Post-connect (После подключения), в списке Run this custom action for (Выполнять это специальное действие для) выберите вариант All Connections (Всех подключений) и установите флажки в нижней части страницы. Конфигурация будет выглядеть примерно так, как показано на рис. 26.12. После завершения щелкните на кнопке ОК.
Ðèñ. 26.12. Конфигурация нового специального действия для проверки изоляции 16. Щелкните на кнопке Next, чтобы перейти на экран Logon Bitmap (Изображение на входном экране), и либо введите новое изображение, либо оставьте предложенное по умолчанию, а затем щелкните Next. 17. На экране Phone Book Bitmap (Изображение для телефонного справочника) либо введите новое изображение, либо оставьте предложенное по умолчанию и щелкните Next. 18. На странице Icons (Пиктограммы) выберите новые пиктограммы или оставьте предложенные по умолчанию и щелкните на кнопке Next. 19. Выберите команду меню для нового ярлыка или оставьте предложенную по умолчанию и щелкните на кнопке Next. 20. Выберите новый справочный файл или оставьте предложенный по умолчанию, после чего щелкните на кнопке Next.
Удаленный и мобильный доступ Ãëàâà 26
871
21. Введите строку вызова службы поддержки и информации, например, Для получения справки звоните в справочную службу корпорации: (510) 555-1234, чтобы пользователи, у которых возникли проблемы, могли воспользоваться этим номером для получения помощи. Щелкните на кнопке Next. 22. Если в системах пользователей не установлен диспетчер подключений Connection Manager v1.3, то можно выбрать опцию Installation (Установка), в результате чего вместе с профилем будет установлен и Connection Manager v1.3. Щелкните на кнопке Next. 23. Во время входной регистрации может отображаться текстовый файл с предупреждениями организации: замечания и секретности, безопасности, правильном использовании и тому подобная информация. Введите имя этого файла (или оставьте поле пустым) и щелкните на кнопке Next. 24. Если нужно запускать дополнительные файлы, щелкните на кнопке Add (Добавить) и укажите файл rqc.exe из каталога \Program Files\Windows Resource Kits\Tools\. Щелкните на кнопке Next. 25. Щелкните на кнопке Advanced customization (Дополнительная настройка), а затем на кнопке Next, чтобы присвоить настроечному файлу уникальное значение. В примере создания файла RQS_Setup.bat авторизованными версиями были Version 0, Version 1 и Test. Если вы планируете разрешить работу этому диспетчеру подключений, введите в качестве значения вариант наподобие Test, как показано на рис. 26.13. Щелкните на кнопке Apply (Применить), а затем на кнопке Next. Запустится сеанс DOS, который сконфигурирует параметры диспетчера подключений. 26. По окончании щелкните на кнопке Finish.
Ðèñ. 26.13. Экран дополнительной настройки После создания профиля CM необходимо файлы, хранящиеся на сервере RRAS в каталоге \Program Files\Cmak\Profiles\cmprof, распространить удаленным пользователям, обращающимся к сети. Для развертывания файлов профиля CM можно использовать любые средства распространения программ, например, групповые политики,
872
Технологии удаленного и мобильного доступа ×àñòü VII
установку входных сценариев или сервер управления системами Microsoft (Systems Management Server — SMS).
Çàïóñê ïðîôèëÿ CM íà ñèñòåìàõ êëèåíòîâ ñ óäàëåííûì äîñòóïîì После создания с помощью CMAK профиля CM и распространения его на системах клиентов с удаленным доступом необходимо запускать созданный исполняемый файл (файл cmprof.exe в случае создания файла в разделе “Создание профиля изоляции диспетчера подключения”). При выполнении этот файл устанавливает системный профиль диспетчера подключений, который создает пиктограмму подключения на удаленной системе. Когда удаленные пользователи инициализируют пиктограмму подключения к сети, у них появляется информация, введенная в мастере конфигурирования CMAK. В примере, рассмотренном в разделе “Создание профиля изоляции диспетчера подключения”, пользователь увидит экран, похожий на показанный на рис. 26.14. Если параметры пользователя удаленного доступа не удовлетворяют настройкам, определенным в файле script.bat, то вход пользователя будет остановлен, а сеанс пользователя будет изолирован до выполнения действия. Это действие, в зависимости от того, что было указано в CMAK, может отсылать пользователей на Web-сайт, где им будет предложено позвонить в справочную службу, либо устанавливать определенные исправления и обновления, либо автоматически просканировать, очистить и обновить удаленную систему.
Ðèñ. 26.14. Подключение к сети пользователя удаленного доступа
Удаленный и мобильный доступ Ãëàâà 26
873
Ñöåíàðèè óäàëåííîãî äîñòóïà Для демонстрации применения маршрутизации и удаленного доступа в среде предприятия была создана пара сценариев. Последующие два сценария описывают доступ мобильных и домашних пользователей к RRAS и среду RRAS межсайтовой связи.
Óäàëåííûå ìîáèëüíûå è äîìàøíèå ïîëüçîâàòåëè Пользователи с удаленным доступом, подключающиеся из дома или отеля, имеют несколько вариантов подключения. Эти варианты зависят от имеющегося в наличии аппаратного подключения и версии настольной операционной системы Windows. Ниже приводится список некоторых вариантов, доступных удаленным мобильным и домашним пользователям: •
Удаленный доступ по наборному соединению. Удаленные и мобильные пользователи могут получить доступ к корпоративным сетевым ресурсам, подключившись к RRAS-серверу по наборному соединению. Клиент дозвона, показанный на рис. 26.15, инициирует соединение с RRAS-сервером для аутентификации пользователя, а затем предоставляет доступ к intranet-сети корпорации.
Ðèñ. 26.15. Окно набора номера для подключения к RRAS-серверу •
Терминальные службы Windows (Windows Terminal Services — WTS). Терминальные службы Windows предоставляют удаленным и мобильным пользователям доступ к Windows-программам, выполняющимся под управлением Windows Server 2003. С помощью WTS пользователи могут запускать программы, открывать и сохранять файлы и пользоваться корпоративными сетевыми ресурсами, как будто они установлены на их локальных компьютерах. WTS Windows Server
874
Технологии удаленного и мобильного доступа ×àñòü VII
2003 также разрешает пользователям доступ к их локальным дискам для передачи файлов, доступ к последовательным устройствам и возможность печати на своих локальных принтерах. Удаленные домашние пользователи могут получить доступ к WTS-серверу с помощью прямого наборного соединения, браузера Internet Explorer (с подключаемым модулем поддержки ActiveX) и клиента терминального сервера Windows. Терминальные службы подробно рассматриваются в главе 27. •
VPN-соединение. Удаленные и мобильные пользователи, имеющие доступ к Internet, могут создавать VPN-соединения для удаленного подключения к intranet-сети корпорации. Удаленный доступ по VPN устраняет необходимость в междугородных звонках для подключения к корпоративным RASсерверам. Удаленные клиенты могут создавать VPN-соединения со своим корпоративным офисом с помощью подключения к своим локальным поставщикам услуг Internet. Программное обеспечение VPN создает в Internet виртуальную частную сеть между дозванивающимся пользователем и корпоративным VPN-сервером. VPN-клиенты могут выбрать подключение с помощью PPTP или L2TP или задать автоматический выбор подключения, как показано на рис. 26.16. Как упоминалось ранее в этой главе, PPTP поддерживается многими настольными платформами Windows, но не обеспечивает защиту на уровне, предоставляемом L2TP/IPSec. Протокол L2TP/IPSec обеспечивает более высокий уровень целостности данных и безопасности, но требует наличия инфраструктуры сертификатов.
Ðèñ. 26.16. Выбор типа подключения: PPTP, L2TP или автоматическое
Удаленный и мобильный доступ Ãëàâà 26
875
Ìåæñàéòîâûå ñîåäèíåíèÿ С помощью VPN-соединений организации также могут устанавливать маршрутизируемые и защищенные соединения через Internet с территориально удаленными офисами или другими организациями. Маршрутизируемое VPN-соединение по Internet логически работает как выделенный канал WAN. Ниже приводятся два метода применения VPN для подключения локальных сетей к удаленным сайтам: •
Использование выделенных линий для подключения к филиалам. Вместо того чтобы использовать дорогостоящий выделенный канал между филиалами, оба RRAS-сервера филиалов могут использовать для подключения к Internet локальный выделенный канал и локального поставщика услуг Internet. Программное обеспечение VPN использует локальные подключения к поставщику услуг Internet и саму сеть Internet для создания виртуальной частной сети между серверами филиалов.
•
Использование коммутируемой линии для подключения к филиалам. Вместо инициирования RRAS-сервером междугородного звонка к другому RRASсерверу, для установления соединения по Internet сервер каждого филиала может дозвониться к локальному поставщику услуг Internet. Программное обеспечение VPN использует подключение к Internet для создания VPN между серверами филиалов через Internet, как показано на рис. 26.17.
Îôèñ â Êîëîðàäî
Îôèñ â Êàëèôîðíèè DSL
VPN-ñåðâåð
ISP
Internet
ISP
DSL
VPN-ñåðâåð
Ðèñ. 26.17. Использование Internet для создания соединения между филиалами В обоих случаях службы, соединяющие филиалы с Internet, являются локальными. Офисные маршрутизаторы, выполняющие роль VPN-серверов, должны быть подключены к локальному поставщику услуг Internet по выделенной линии. Этот VPN-сервер должен прослушивать входящий VPN-трафик 24 часа в сутки.
Ðåçþìå Удаленная и мобильная связь расширилась за последние годы, поскольку теперь в расширенный офис входят отели, аэропорты, клиентские сайты, студенческие городки и большое число беспроводных пользователей. В связи с расширением сети, из которой пользователям необходимо подключаться к среде Windows Server 2003, для ор-
876
Технологии удаленного и мобильного доступа ×àñòü VII
ганизаций становится крайне важным повышение безопасности, надежности, совместимости и производительности. Служба маршрутизации и удаленного доступа (RRAS) Windows Server 2003 содержит все усовершенствования, включенные в эту технологию в последних редакциях серверов Windows, а также несколько новых технологий, дополнительно расширяющих возможности этой технологии. Хотя раньше служба RRAS могла и не удовлетворять всем потребностям организации, теперь она предоставляет очень надежный набор инструментов, технологий и утилит для реализации, поддержки, мониторинга и управления средой действительно мобильных коммуникаций предприятия.
Ïîëåçíûå ñîâåòû •
Используйте протокол аутентификации EAP-TLS для подключений и по PPTP, и по L2TP.
•
Если применяются смарт-карты или существует инфраструктура сертификатов, выпускающая сертификаты пользователей, используйте EAP-TLS.
•
Если нужно использовать протокол аутентификации, применяющий пароли, используйте протокол MS-CHAP v2 и создавайте с помощью групповых политик надежные пароли.
•
Используйте IPSec для обеспечения аутентификации данных каждого пакета (свидетельство, что данные посланы авторизованным пользователям), целостности данных (свидетельство, что данные не были модифицированы при пересылке), защиты от повторной передачи (предотвращение повторной передачи потока перехваченных пакетов) и конфиденциальности данных (предотвращение интерпретации перехваченных пакетов без наличия ключа шифрования).
•
Соединения L2TP/IPSec обеспечивают более надежную аутентификацию, требуя и аутентификацию на уровне компьютера с помощью сертификатов, и аутентификацию на уровне пользователя с помощью протокола аутентификации PPP.
•
PPTP не требует наличия инфраструктуры сертификатов. L2TP/IPSec требует наличия инфраструктуры сертификатов для выпуска сертификата компьютеру VPN-сервера (или сервера аутентификации) и компьютерам всех VPN-клиентов.
•
Используйте PPTP для версий Windows, предшествующих Windows 2000 и Windows XP.
•
Для среды с сотней или более VPN-клиентов удаленного доступа автоматически конфигурируйте решение удаленного доступа с помощью набора администрирования диспетчера управления.
•
Экономно применяйте регистрацию в журналах для выявления сетевых проблем, так как регистрация действий удаленного доступа потребляет системные ресурсы.
•
Для сведения к минимуму риска занесения в сеть вирусов и червей пользователями удаленного доступа используйте утилиту проверки клиентов изоляции из набора ресурсов Windows, чтобы гарантировать, что удаленные системы будут удовлетворять минимальным политикам обновления в организации.
•
Не оставляйте включенной трассировку в многопроцессорных системах.
Òåðìèíàëüíûå ñëóæáû Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Çà÷åì íóæíû òåðìèíàëüíûå ñëóæáû
•
Êàê ðàáîòàþò òåðìèíàëüíûå ñëóæáû
•
Èñïîëüçîâàíèå âîçìîæíîñòåé òåðìèíàëüíûõ ñëóæá
•
Ïëàíèðîâàíèå òåðìèíàëüíûõ ñëóæá
•
Ðàçâåðòûâàíèå òåðìèíàëüíûõ ñëóæá
•
Íàñòðîéêà òåðìèíàëüíûõ ñëóæá
•
Óñòàíîâêà ñåðâåðà ëèöåíçèðîâàíèÿ òåðìèíàëüíûõ ñëóæá
•
Óñòàíîâêà è íàñòðîéêà îòêàçîóñòîé÷èâûõ òåðìèíàëüíûõ ñëóæá
•
Îáåñïå÷åíèå áåçîïàñíîñòè òåðìèíàëüíûõ ñëóæá
•
Ïîäãîíêà è îïòèìèçàöèÿ ñðåä òåðìèíàëüíûõ ñëóæá
•
Ïîääåðæêà òåðìèíàëüíûõ ñëóæá
•
Äîñòóï ê òåðìèíàëüíîìó ñåðâåðó
ÃËÀÂÀ
27
878
Технологии удаленного и мобильного доступа ×àñòü VII
Терминальные службы Windows Server 2003 представляют собой клиентсерверную систему, позволяющую клиентам запускать удаленные приложения или управлять сервером с любого узла, где есть клиент терминального сервера и доступ к сети. Требует ли клиент в сеансе терминального сервера наличия доступа ко всей среде удаленного компьютера или ему просто нужно запустить отдельные приложения — терминальный сервер выполняет всю обработку и использует свои аппаратные ресурсы. В простом сеансе терминального сервера клиент посылает только сигналы клавиатуры и мыши и принимает видеоизображения, что требует лишь небольшой загрузки сети. Для более серьезных сеансов с обилием мультимедийных возможностей терминальные службы предоставляют поддержку видеоизображений в реальном цвете, а также поддержку перенаправления аудиосигналов, локального принтера, COMпорта и локального диска для облегчения пересылки данных между клиентом и сервером через единый сетевой порт. Терминальные службы также обеспечивают переназначение локального часового пояса, что позволяет пользователям получать отметки времени в почтовых сообщениях и файлах относительно их местоположения. Реализация терминальных служб может предоставлять службы удаленного администрирования, но ее можно использовать и как централизованный сервер приложений, уменьшая таким образом необходимость в развертывании мощных рабочих станций для конечных пользователей, которым редко бывает нужна высокая производительность локальных рабочих станций. Реализация терминальных служб может также повысить производительность сети для передачи сообщений в предприятии, при выполнении приложений баз данных, а также других многозвенных приложений, сокращая объем сетевого трафика, который должен обрабатываться каждым прикладным сервером и сетевым устройством. Кроме того, в результате применения терминальных служб можно снизить затраты на поддержку настольных приложений, ограничиваясь установкой обновлений приложений и исправлений безопасности лишь на терминальном сервере и не посещая каждую рабочую станцию. В данной главе будут рассмотрены планирование, реализация, управление и сопровождение систем терминальных служб Windows Server 2003. Здесь будут описаны не только новые возможности, добавленные в Windows Server 2003, но и способы применения этих новых технологий для улучшения услуг удаленного доступа для пользователей, а также администрирования и управления для сетевых администраторов.
Çà÷åì íóæíû òåðìèíàëüíûå ñëóæáû Терминальные службы являются универсальным продуктом, внедрение которого позволяет удовлетворить различным требованиям производства. Администраторы могут применять их для удаленного администрирования сервера, а пользователи могут запускать удаленные приложения и использовать удаленные сетевые ресурсы. И пользователи локальной сети (LAN), и удаленные пользователи, подключенные через Internet, могут обратиться к терминальным службам и получить с их помощью в терминальном сеансе доступ к отдельному приложению или всей среде рабочего стола. Поддержка пользовательского рабочего стола может быть также предоставлена пользователям во время выполнения сеансов терминального сервера или при работе пользователей на компьютерах с Windows XP Professional с включенной возможностью Remote Desktop.
Терминальные службы Windows Server 2003 Ãëàâà 27
879
НА ЗАМЕТКУ Windows XP Professional содержит усеченную версию терминальных служб Windows Server 2003, которую можно включить и использовать для удаленного администрирования или удаленного доступа к консоли рабочей станции.
И, наконец, терминальные службы могут быть реализованы поставщиками служб приложений (Application Service Provider — ASP) для создания управляемых служб приложений, на которые могут подписаться клиенты. Это устраняет необходимость покупки для каждого бизнес-приложения оборудования и программного обеспечения сервера и его дальнейшего сопровождения.
Óäàëåííûé ðàáî÷èé ñòîë äëÿ àäìèíèñòðèðîâàíèÿ В качестве средства удаленного администрирования технология терминальных служб дает администраторам возможность выполнять администрирование сервера с серверной консоли или с любого другого сервера или рабочей станции, на которой установлен клиент терминальных служб. Эта возможность упрощает администрирование для IT-отделов, позволяя персоналу выполнять его работу практически с любой консоли, подключенной к сети. Это может уменьшить время реагирования ITперсонала для заполнения карточки неисправности, связанной с доступом к сетевым ресурсам или с управлением учетными записями пользователей. Задачи сопровождения серверов наподобие просмотра журналов или сбора данных о производительности сервера могут быть выполнены непосредственно с этого клиента. Приложения и их обновления могут быть установлены во время сеанса терминального сервера, но это можно сделать только тогда, когда эта инсталляция не затрагивает инсталляцию компонентов Windows, или когда у пользователей запущены сеансы терминальных серверов. Рекомендуется установка приложений с локальной консоли сервера, но если приложение необходимо инсталлировать удаленно, то чтобы запустить сеанс, нужно подключиться к консоли сервера.
ВНИМАНИЕ! Избегайте установки приложений, особенно служб Windows Server 2003 и компонентов Windows, из сеанса терминального сервера. Таким образом вы сможете избежать блокировки сеанса терминального сервера терминалов без возможности восстановления.
Òåðìèíàëüíûå ñëóæáû äëÿ ïîëüçîâàòåëåé ëîêàëüíîé ñåòè Предоставление терминальных служб в распоряжение пользователей локальной сети выгодно по многим причинам. Можно уменьшить расходы компании на оборудование, можно упростить доступность приложений и управление лицензиями, и можно повысить производительность сети. Поскольку терминальный сеанс на самом деле является сеансом виртуального рабочего стола, выполняющимся на терминальном сервере, то все пользователи терми-
880
Технологии удаленного и мобильного доступа ×àñòü VII
нального сервера выполняют приложения на этом терминальном сервере, задействуя его мощность и уменьшая нагрузку на локальную рабочую станцию. Это может продлить срок действия устаревших машин и продолжить использование их процессоров, памяти и дисков. С точки зрения сопровождения рабочих столов терминальный сервер можно установить и использовать как вторичное средство обеспечения доступа пользователей к их приложениям в случае возникновения проблем с этими приложениями на локальных рабочих станциях. Этот подход может показаться излишним, но обеспечение вторичных средств доступа к приложениям может быть жизненно необходимым для продуктивной работы пользователей и повышения дохода компании, если сопровождающий персонал отсутствует или не может устранить проблемы, связанные с приложениями конечных пользователей. Предоставление централизованных приложений пользователям локальной сети с помощью терминальных служб может упростить управление приложениями, уменьшив количество машин, на которых должны проводиться модернизации приложений, обновления безопасности и оперативные исправления. Поскольку все приложения выполняются на терминальном сервере, то изменения необходимо проводить только на нем, но при этом эти изменения становятся доступными для всего коллектива пользователей. Таким образом, изменения могут проводиться одновременно для всех пользователей терминального сервера.
Òåðìèíàëüíûå ñëóæáû äëÿ ïîääåðæêè óäàëåííûõ ïîëüçîâàòåëåé Терминальные службы могут использоваться для предоставления поддержки приложений конечных пользователей в сеансе терминального сервера. Во время работы пользователей в сеансе терминального сервера администратор может сконфигурировать возможности удаленного управления или присутствия для просмотра или полного взаимодействия с сеансом пользователя. Эту возможность можно применять для обучения пользователей, поддержки приложений или проведения изменений в конфигурации наподобие установки принтера или подключения к общим сетевым файловым ресурсам. Эта возможность может существенно снизить потребность в администраторах, работающих в обычные рабочие дни, так как из единственного места может быть оказана помощь многим пользователям.
НА ЗАМЕТКУ Для совместимости с политиками безопасности и конфиденциальности многих организаций в терминальных службах Windows Server 2003 предусмотрена возможность полного отключения функции удаленного управления. Либо вместо полного отключения этой функции для всех пользователей терминальные службы можно сконфигурировать так, чтобы предоставить пользователям возможность выбора, позволять или нет администраторам взаимодействовать с их сеансом терминального сервера.
Терминальные службы Windows Server 2003 Ãëàâà 27
881
Òåðìèíàëüíûå ñëóæáû äëÿ ïîñòàâùèêîâ ñëóæá ïðèëîæåíèé Терминальные службы, выполняющиеся в режиме терминального сервера, обеспечивают доступ к приложениям и службам пользователям, находящимся в любом месте. Компании, предоставляющие услуги фирмам с помощью собственных приложений, могут стандартизовать и предоставить работу со своими приложениями исключительно с помощью терминальных служб Windows Server 2003 и таким образом получить все преимущества, описанные в предыдущих разделах о локальных сетях и удаленных пользователях. Дополнительной выгодой для этих компаний является то, что терминальные службы снижают необходимость доставки носителей с приложениями каждому клиенту, а конечным пользователям может быть предоставлена невиданная до этого поддержка. Поставщики служб приложений, предоставляющие доступ клиентам к нескольким приложениям, с помощью терминальных служб могут обслуживать сотни и тысячи пользователей из различных организаций, взимая плату за использование приложений или использование времени терминального сеанса.
НА ЗАМЕТКУ Windows Server 2003 не предоставляет стандартный механизм формирования отчетов для вывода данных сеансов терминального сервера. Однако некоторую ценную информацию можно собрать с помощью фильтрации журнала событий безопасности для событий входов и выходов пользователей (пользуясь утилитой составления отчетов по лицензиям терминальных служб lsreport.exe из набора ресурсов Windows Server 2003 Resource Kit) и объединения этой информации с данными, собранными через журналы производительности, настроенные на мониторинг счетчиков сеансов терминального сервера. Для этого можно воспользоваться оснасткой Performance (Производительность) консоли MMC, входящей в состав Windows Server 2003. Важно также заметить, что диспетчер операций Microsoft (MOM) и некоторые сторонние решения для терминальной службы предоставляют дополнительные возможности составления отчетов.
Êàê ðàáîòàþò òåðìèíàëüíûå ñëóæáû Терминальные службы предоставляют клиент-серверный сеанс, создающий виртуальный рабочий стол в едином окне клиента, которое эмулирует истинную среду локального рабочего стола. Клиенты терминальных служб выполняют приложения на терминальном сервере, в основном используя перенаправление сигналов клавиатуры и мыши, поэтому мощность процессора в клиентской системе почти не задействуется. Программа клиента терминальных служб взаимодействует с терминальным сервером, перенаправляя ему сигналы клавиатуры и мыши с локальной рабочей станции. Эти команды посылаются терминальному серверу через единый порт TCP (3389), для чего требуется лишь небольшая часть пропускной способности сети. На самом деле загрузка сети настолько невелика, что клиенты терминального сервера могут подключаться к нему даже по модемным соединениям со скоростью 28,8 Кбит/с. Для более сложных терминальных сеансов, использующих дополнительные возможности наподобие перенаправления портов, количества цветов более 256, пересылки файлов и 128-битное шифрования, рекомендуются линии с более высокими скоростями.
882
Технологии удаленного и мобильного доступа ×àñòü VII
Ðåæèìû ðàáîòû Терминальные службы Windows Server 2003 могут выполняться в двух различных режимах. Один называется режимом удаленного рабочего стола для администрирования (Remote Desktop for Administration mode), а другой — режимом терминального сервера (Terminal Server mode).
Ðåæèì óäàëåííîãî ðàáî÷åãî ñòîëà äëÿ àäìèíèñòðèðîâàíèÿ Режим удаленного рабочего стола для администрирования терминальных служб входит в состав Windows Server 2003 и устанавливается вместе с ним; его необходимо лишь включить. Это облегчает развертывание автоматизированного необслуживаемого сервера, позволяя администратору развертывать серверы, которыми после завершения установки их операционных систем можно управлять удаленно. С помощью этого режима можно также управлять бесконсольным сервером, что уменьшает потребность в памяти для каждой серверной стойки. Вместо приобретения коммутаторов, мониторов, клавиатур и мышей потребуется лишь закупить дополнительную память для серверов. Режим удаленного рабочего стола для администрирования ограничивает количество терминальных сеансов до двух, и подключаться к этим сеансам могут только локальные администраторы. Для работы сервера в режиме терминальных служб не требуются дополнительные лицензии, что позволяет администраторам удаленно выполнять почти все действия по управлению серверами. Хотя по умолчанию терминальные службы устанавливаются, включать этот режим не обязательно. Некоторые организации склонны рассматривать терминальные службы как источник нежелательного риска для безопасности и предпочитают оставлять их выключенными. Эту функцию легко выключить во всем лесу Active Directory с помощью параметра групповой политики, запрещающего пользователям и группам подключаться к терминальным серверам, расположенным в контейнерах, к которым применяется политика. Этот режим доступен во всех версиях Windows Server 2003, а также в Windows XP Professional.
Ðåæèì òåðìèíàëüíîãî ñåðâåðà Режим терминального сервера позволяет любому авторизованному пользователю подключиться к серверу и запустить с клиентской рабочей станции одиночное приложение или полный сеанс рабочего стола. Выполнение терминальных служб в этом режиме требует приобретения лицензии на доступ клиента (Client Access License — CAL) терминального сервера для каждого одновременного подключения. Для управления этими CAL необходимо выделить сервер лицензирования терминальных служб, отслеживающий лицензии терминального сервера. Служба сервера лицензирования терминальных служб может быть установлена на любом сервере Windows Server 2003 версий Enterprise или DataCenter. Для выполнения этой службы на сервере лицензирования не обязательно включать терминальные службы в каком-либо режиме.
Терминальные службы Windows Server 2003 Ãëàâà 27
883
НА ЗАМЕТКУ Чтобы быстро получить информацию о лицензии клиента на клиентском компьютере, воспользуйтесь средством из набора ресурсов Windows Server 2003 Resource Kit под названием Terminal Server Client License Dump (Дамп клиентской лицензии терминального сервера) (TscTst.exe).
Установка приложений для режима терминального сервера требует строгой последовательности, чтобы обеспечить надлежащее выполнение каждого приложения во многих сеансах пользователей. Некоторые приложения могут не быть приспособлены для выполнения на терминальном сервере; в этих случаях необходимо выполнять специальные сценарии совместимости приложений терминального сервера, предназначенные для обеспечения корректной работы этих приложений. Каждое приложение терминального сервера настоятельно рекомендуется тщательно протестировать, прежде чем устанавливать его в производственной среде терминального сервера.
НА ЗАМЕТКУ Режим терминального сервера не доступен в редакции Windows Server 2003 Web edition.
Òåðìèíàëüíûå ñëóæáû íà ñòîðîíå êëèåíòà В состав Windows XP Professional входит усеченная версия терминальных служб, называемая удаленным рабочим столом (Remote Desktop). Удаленный рабочий стол позволяет пользователям подключаться к рабочей станции XP и удаленно управлять ею, выполняя приложения, которые обычно могут выполняться на этой машине только локально. Эта возможность позволяет пользователям, частично работающим на дому, подключаться к рабочей стации компании для выполнения работы или проверки электронной почты на специально сконфигурированной для этого рабочей станции. Терминальные службы на стороне клиента можно использовать в качестве и средства администрирования — для установки программ на рабочей станции конечного пользователя с удаленной машины. Кроме того, с их помощью можно войти в среду рабочего стола пользователя для удаленного конфигурирования параметров профиля.
Óäàëåííûé ïîìîùíèê Удаленный помощник (Remote Assistance) — средство, новое для Windows Server 2003 и Windows XP Professional. Эта возможность разрешает пользователям запрашивать помощь доверяемого друга или администратора, чтобы тот помог справиться с возникшими проблемами или настройкой рабочего стола. При этом конечный пользователь имеет возможность управлять уровнем участия удаленного помощника. Удаленному помощнику может быть разрешено переговариваться с конечным пользователем, просматривать рабочий стол или удаленно управлять рабочим столом. Во время сеансов удаленной помощи и конечный пользователь, и удаленный помощник могут получить управление клавиатурой и мышью. Удаленная помощь использует при работе протокол удаленного рабочего стола (Remote Desktop Protocol — RDP), применяемый терминальными службами.
884
Технологии удаленного и мобильного доступа ×àñòü VII
Ïîäêëþ÷åíèå óäàëåííîãî ðàáî÷åãî ñòîëà Подключение удаленного рабочего стола (Remote Desktop Connection) — это переименованный улучшенный клиент терминального сервера. Данный полнофункциональный клиент позволяет конечному пользователю управлять параметрами сеанса терминального сервера вроде перенаправления локального диска, аудиосистемы и портов, а также предоставляет дополнительные настройки наподобие выполнения только одной программы или автоматического входа в систему. Информация подключения удаленного рабочего стола может быть сохранена, а затем использована для подключения к терминальным серверам с ранее определенными спецификациями сеанса.
Èñïîëüçîâàíèå âîçìîæíîñòåé òåðìèíàëüíûõ ñëóæá Хотя некоторые применения терминальных служб уже упоминались, в данном разделе будут рассмотрены возможности усовершенствования простых сеансов терминального сервера.
Ïåðåíàïðàâëåíèå ëîêàëüíûõ ðåñóðñîâ Терминальные службы позволяют клиенту терминального сервера перенаправить многие локальные ресурсы, так, чтобы их можно было легко использовать в сеансе терминального сервера. В сеансах терминального сервера можно сделать доступными последовательные порты и порты принтера, что дает пользователю возможность посылать задания печати терминального сервера на локально сконфигурированные принтеры, а также получать из сеанса терминального сервера доступ к последовательным устройствам, например, к модемам. Аудиоданные могут быть перенаправлены из сеанса на локальные звуковые карты, чтобы звуки терминального сеанса были слышимы из локальных динамиков. Кроме того, можно перенаправить и буфер обмена Windows, что позволяет вырезать и вставлять информацию между сеансом терминального сервера и консолью локальной рабочей станции. Каждое из этих перенаправлений ресурсов работает только в том случае, если эти конфигурации поддерживаются операционной системой и клиентом терминальной службы (ТС) на рабочей станции конечного пользователя. Некоторые из этих перенаправлений локальных ресурсов требуют для их правильного применения модификации или переконфигурации пользователя. Ниже описаны некоторые часто встречающиеся изменения.
Ïåðåíàïðàâëåíèå äèñêîâîãî ïðèâîäà Локальнее дисковые приводы можно перенаправить в сеансы ТС, и они будут видимы в проводнике Windows как сетевые диски, называемые согласно правилу “буква локального диска on (на) имя компьютера” — например, “C on workstation5”. Здесь нет уровней дробления: перенаправляются все локальные диски, в том числе привод гибкого диска и привод компакт-дисков. Для доступа к такому диску из графического окна просто просмотрите содержимое диска, как если бы он был локальным или сетевым диском. Доступ к этому диску из командного окна требует некоторых знаний.
Терминальные службы Windows Server 2003 Ãëàâà 27
885
В командном окне ссылка на перенаправленные локальные диски выглядит так: \\tsclient\Буква_диска. С помощью такого UNC можно создать оглавление каталогов, но для пересылки файлов или быстрого просмотра клиент должен отобразить этот локальный дисковый ресурс на букву сетевого диска. Для этого выполните следующие шаги: 1. Откройте командное окно. 2. Введите команду net use * \\tsclient\c, где локальный диск C: — это диск, к которому необходимо получить доступ из командного окна. Локальный диск автоматически отображается на первую доступную букву диска, начиная с Z: и далее в обратном алфавитном порядке. 3. В командной строке введите Z: и нажмите клавишу <Enter>, чтобы выполнить прямое подключение к отображенному локальному диску и начать его использовать. 4. После завершения работы с этим ресурсом отключите диск, набрав команду net use Z: /delete, где диск Z: — это локальный отображенный диск. 5. Закройте командное окно.
ВНИМАНИЕ! В описанных выше шагах упоминается машина с именем tsclient. Это имя не нужно заменять на реальное учетное имя машины. Сеанс терминального сервера распознает дисковые ресурсы локальной машины только из командного окна терминального сеанса tsclient, поэтому не пытайтесь заменить его на реальное имя машины.
Ïåðåíàïðàâëåíèå ïðèíòåðà С помощью терминальных служб, входящих в Windows Server 2003, можно также перенаправить локально определенные печатающие устройства. Это относится к принтерам, непосредственно подключенным к клиентской рабочей станции, а также к сетевым принтерам. Когда клиент открывает сеанс ТС, сконфигурированный на перенаправление принтеров и LPT-портов, терминальный сервер пытается установить каждый принтер для использования в сеансе ТС. Если локальное печатающее устройство использует драйвер принтера, имеющийся в наличии в Windows Server 2003, принтер автоматически устанавливается и конфигурируется в соответствии с настройками, сконфигурированными на рабочем столе конечного пользователя. Если локальное печатающее устройство использует сторонний драйвер, то установить и сконфигурировать принтер в сеансе ТС придется вручную. Для установки таких принтеров конечный пользователь должен иметь соответствующие полномочия. Если запрашивается порт, необходимо указать правильный порт клиентской рабочей станции. Этот порт называется имякомпьютера:ПортX, где ПортX служит для описания типа порта — например, workstation1:lpt1.
Ïåðåíàïðàâëåíèå ëîêàëüíîãî ÷àñîâîãî ïîÿñà Терминальный сервер Windows Server 2003 поддерживает перенаправление локального часового пояса. Это позволяет клиенту терминального сервера подключаться из другого часового пояса, чтобы время сеанса отражало локальное время — тогда пользователи не запутаются во времени, особенно при просмотре почтовых сообщений.
886
Технологии удаленного и мобильного доступа ×àñòü VII
Ñåðâåð êàòàëîãà ñåàíñîâ Сервер каталога сеансов (Session Directory server) вводит новый уровень отказоустойчивости при управлении сеансами терминального сервера. Терминальный сервер позволяет сеансу оставаться активным даже при отключении клиента. Это позволяет пользователям при случайных нарушениях сетевой связи между клиентом и сервером восстановить соединение и продолжить прерванный сеанс с того места, где они остановились. Пользователи могут отключиться от сеанса вручную, уходя на обед или совещание. Когда пользователь вернется, ему потребуется лишь подключиться к терминальному серверу, и сеанс возобновится. Во многих средах с большим количеством поддерживаемых пользователей применяются кластерные фермы терминальных серверов с балансировкой сетевой нагрузки для равномерного распределения нагрузки сеансов между несколькими серверами. Если пользователь такой фермы по своей воле или в результате сбоя отключается от сеанса кластеризованного терминального сервера, возможно, что после возобновления подключения пользователь подключится к другому узлу кластера и начнет новый сеанс. Это происходит потому, что информация о сеансе не разделяется между узлами кластера. С помощью сервера каталога сеансов задействованные узлы кластера терминальных серверов посылают информацию о сеансах серверу каталога сеансов, где она и хранится. Если терминальный сервер входит в состав кластера, использующего сервер каталога сеансов, то он периодически посылает на этот сервер список активных сеансов. Когда пользователь подключается к кластеру терминальных серверов, чтобы начать сеанс, то один из узлов терминального сервера проверяет с помощью сервера каталога сеансов, нет ли у пользователя активного сеанса на другом узле кластера терминальных серверов. Если активный сеанс найден, пользователь перенаправляется на нужный сервер для продолжения прерванного сеанса, иначе сеанс запускается на узле, который первым откликнулся на запрос. Служба сервера каталога сеансов устанавливается на всех серверах Windows Server 2003 версий Enterprise и DataCenter. Чтобы начать с ней работать, потребуется лишь настроить эту службу на автоматический запуск. Узлы кластера терминальных серверов должны быть сконфигурированы на участие в кластере ТС и на посылку информации о сеансе серверу каталога сеансов. Эта настройка может быть выполнена по всему предприятию с помощью диспетчера терминальных серверов или групповых политик, применяемых к объектам компьютеров терминальных серверов. Кроме того, в целях безопасности каждый терминальный сервер, использующий сервер каталога сеансов, необходимо сделать членом локальной группы Session Directory Computers (Компьютеры каталога сеансов) на сервере каталога сеансов.
CОВЕТ Для повышения производительности и снижения риска перекрывания сеансов ТС сконфигурируйте все узлы терминальных серверов в кластере для ограничения каждого пользователя лишь одним сеансом ТС. Это можно сделать с помощью групповой политики или оснастки Terminal Services Configuration (Настройка терминальных служб, TSC).
Терминальные службы Windows Server 2003 Ãëàâà 27
887
Äåòàëüíîå óïðàâëåíèå ñåàíñîì С добавлением в терминальные службы множества замечательных возможностей в них также появилась возможность детального управления настройкой сеансов ТС администраторами серверов. Администратор ТС может управлять, ограничивать и перезаписывать все возможности, доступные сеансу ТС конечного пользователя. Параметры администрирования, настроенные с помощью групповых политик или оснастки Terminal Services Configuration, могут перекрыть большинство настроек, конфигурируемых пользователями. Это может принести немалую выгоду терминальному серверу, освобождая его от затраты ценных ресурсов на возможности, не востребованные на предприятии, например, перенаправление аудиоданных или разрешение с большим числом цветов. Обладая возможностью подробного администрирования, администратор ТС может также повысить безопасность сервера ТС, запросив более стойкое шифрование для сеансов или настроив терминальный сервер на выполнение в режиме Full Security (Полная безопасность).
Äîñòóï ê êîíñîëè òåðìèíàëüíîãî ñåðâåðà Клиенты терминальных служб можно настроить на удаленный доступ к консоли терминального сервера. Это повышает возможности удаленного администрирования, позволяя администратору выполнять задачи, которые раньше можно было выполнить только с консоли локального сервера. Например, администратор может просматривать всплывающие на консоли сообщения или устанавливать программы для терминального сервера. Несмотря на возможность доступ к консоли для просмотра всплывающих сообщений, администратор ТС должен применять журнал событий для просмотра всех ошибок или предупреждений, которые могли быть зарегистрированы на терминальном сервере.
Îòêàçîóñòîé÷èâîñòü òåðìèíàëüíîãî ñåðâåðà В терминальных службах Windows 2000 узлы ТС можно было кластеризовать за счет балансировки сетевой нагрузки (Network Load Balancing — NLB), предназначенной для распределения клиентской нагрузки между несколькими серверами. В Windows Server 2003 эта возможность существенно улучшена с помощью сервера каталога сеансов при использовании в какой-либо конфигурации NLB для нескольких терминальных серверов.
НА ЗАМЕТКУ Терминальные службы Windows Server 2003 могут использоваться вместе со службой кластеров Microsoft (MSCS), но обычно это не рекомендуется из-за ограничений масштабируемости и повышенной управляемости. Microsoft не поддерживает применение и MSCS, и NLB на одних и тех же серверах, и терминальная служба, использующая MSCS, не обеспечивает подхвата функций сеанса.
888
Технологии удаленного и мобильного доступа ×àñòü VII
Ïëàíèðîâàíèå òåðìèíàëüíûõ ñëóæá Чтобы обеспечить наиболее успешное развертывание проекта терминальных служб, перед производственным внедрением должно быть проведено тщательное и всестороннее планирование и тестирование. На проектирование реализации терминальных служб влияют разнообразные критерии: использование ресурсов приложениями, требования безопасности, физическое размещение, доступ к сети, лицензирование, отказоустойчивость и информация о том, как пользователи будут применять терминальный сервер.
Ïëàíèðîâàíèå ðåæèìà óäàëåííîãî ðàáî÷åãî ñòîëà äëÿ àäìèíèñòðèðîâàíèÿ Если терминальные службы не представляют угрозы для безопасности, рекомендуется на всех внутренних серверах разрешить их удаленное администрирование, включив режим удаленного рабочего стола для администрирования. Для серверов в сетях Internet и демилитаризованных зонах (DMZ) терминальные службы также можно использовать, но доступ к ним будет ограничен предопределенными раздельными IPадресами, использующими списки доступа брандмауэра для защиты от несанкционированных попыток входа в терминальный сервер. Кроме того, потребуется организовать тщательный мониторинг таких серверов, дабы не допустить попыток несанкционированного доступа к системе.
Ïëàíèðîâàíèå ðåæèìà òåðìèíàëüíîãî ñåðâåðà Режим терминального сервера может потребовать значительного объема планирования. Поскольку этот режим используется для предоставления конечным пользователям доступа к приложениям, то ключевыми компонентами, которые должны быть протестированы перед производственной эксплуатацией, являются спецификации оборудования сервера и совместимость приложений.
Òðåáîâàíèÿ ïîëüçîâàòåëåé Важно определить требования пользователей на основе типичных схем применения, количества пользователей, одновременно имеющих доступ к системе, и количества приложений, которые требуется выполнять. Например, чем больше приложений будут запускать пользователи в сеансах, тем большая мощность процессора потребуется серверу для оптимизации производительности сеанса. В среднем пользователь терминального сервера, работающий с одним приложением, использует за один сеанс 10 Мб оперативной памяти и редко больше 3% общего процессорного времени сервера. Более серьезный пользователь, выполняющий одновременно три или более приложений, может потребовать 40 Мб оперативной памяти, а то и гораздо больше, в зависимости от используемых приложений и возможностей. Применяйте диспетчер терминальных служб и консоль системного монитора производительности для проверки использования памяти и сбора статистики использования. Здесь важно не перегрузить
Терминальные службы Windows Server 2003 Ãëàâà 27
889
сервер до такого состояния, что производительность снизится до уровня, не оправдывающего полученную экономию. На работу системы под различными нагрузками влияет также пропускная способность, необходимая каждому пользователю терминального сервера.
Ïðèìåíåíèå àíòèâèðóñîâ ñ òåðìèíàëüíûìè ñëóæáàìè Точно так же, как антивирусные программы уровня операционной системы (ОС) требуются на стандартных серверах, антивирусное программное обеспечение необходимо и на терминальных серверах. При выборе антивирусного продукта выбирайте продукты, сертифицированные для работы на терминальных серверах Windows Server 2003. Для развертываний в режиме терминального сервера инсталлируйте антивирусные программы после установки терминального сервера, чтобы сканирование работало для всех сеансов терминального сервера. Следуйте указаниям по установке, приведенным в разделе “Установка приложений для терминального сервера” далее в данной главе.
Ìîäåðíèçàöèè òåðìèíàëüíîãî ñåðâåðà Проведение модернизаций терминальных серверов может оказаться запутанным делом и должно выполняться с особой осторожностью. Прежде чем применять обновления или исправления операционной системы на производственном терминальном сервере, они должны быть тщательно протестированы на изолированном лабораторном сервере. Для этого процесса необходимо знать, как правильно тестировать приложение до и после изменения, чтобы убедиться, что это обновление не порождает никаких проблем, а в некоторых случаях — и что добавлены нужные возможности. Если необходимо модернизировать операционную систему терминального сервера до следующей версии, то во время процесса модернизации может возникнуть множество проблем. Приложения в следующей версии могут работать неверно, так как важные системные файлы могут полностью отличаться. Возможны даже существенные изменения драйверов принтеров, что может привести к существенному снижению производительности или даже отказу в работе. И, наконец, необходимо учесть, что существующий терминальный сервер мог быть изменен таким образом, что модернизация становится невозможной — в этом случае потребуется полное восстановление из резервной копии.
НА ЗАМЕТКУ При проведении модернизаций должны быть доступны планы полного аварийного восстановления и отката версий. В этом случае, если возникнут проблемы, администратору не нужно будет создавать такой план на ходу, что гарантирует, что не будет пропущен ни один важный шаг.
Лучший практический совет, обеспечивающий успешное проведение модернизаций терминальных серверов, выглядит следующим образом: заменяйте существующие серверы заново созданными терминальными серверами с последними обновлениями. Это предполагает пересоздание всех общих файловых ресурсов и печатающих уст-
890
Технологии удаленного и мобильного доступа ×àñòü VII
ройств и использование самых свежих совместимых драйверов для поддержки всех клиентов. По возможности избегайте модернизации терминального сервера с Windows NT 4.0, дабы не приводить к конфликтам драйверов и приложений. Модернизация терминальных серверов Windows 2000 до Windows Server 2003 выполняется довольно легко. И все же, чтобы модернизация операционной системы терминального сервера прошла максимально безболезненно, лучше заменить существующий сервер на новый. При необходимости выполните сборку старого сервера с нуля и разверните заново всю производственную среду, если оборудование все еще удовлетворяет требованиям производительности.
Ôèçè÷åñêîå ðàçìåùåíèå òåðìèíàëüíûõ ñåðâåðîâ Размещайте терминальные серверы там, где к ним легче получить доступ клиентам, которые в основном ими пользуются. Кроме того, для оптимизации сетевой производительности попробуйте разместить терминальные серверы в том же самом сегменте сети, что и другие серверы, которые могут использоваться клиентами в своих сеансах: контроллеры доменов, серверы баз данных и почтовые серверы, как показано на рис. 27.1. Таким образом можно уменьшить сетевой трафик и повысить производительность терминального сервера. Однако если безопасность важнее производительности, лучше поместить систему терминального сервера между клиентом и серверами, чтобы получился барьер между внешними и внутренними ресурсами. Ñåòü êëèåíòà
Êëèåíò 1 òåðìèíàëüíîãî ñåðâåðà
Ñåòü ñåðâåðà
Òåðìèíàëüíûé ñåðâåð
Nic1
Êëèåíò 2 òåðìèíàëüíîãî ñåðâåðà
Ïî÷òîâûé ñåðâåð
Nic2
Ñåðâåð áàçû äàííûõ
Ðèñ. 27.1. Снижение сетевого трафика с помощью терминальных служб
Терминальные службы Windows Server 2003 Ãëàâà 27
891
Ïëàíèðîâàíèå ðàçìåùàåìûõ íà ñåðâåðå ïðèëîæåíèé По возможности выбирайте приложения, протестированные и сертифицированные Microsoft на возможность работы на терминальных серверах Windows Server 2003. Если на терминальных серверах нужно выполнять приложение сторонних разработчиков, запустите (если это имеет смысл) необходимые сценарии проверки совместимости, поставляемые с Windows Server 2003, а также просмотрите информацию от производителя по установке приложения на терминальном сервере Windows Server 2003. Сертифицированные или совместимые приложения должны иметь возможность одновременного выполнения на сервере нескольких экземпляров одного и того же приложения в виде независимых процессов. Полностью протестируйте приложения, чтобы выяснить их возможности и требования к ресурсам.
Òðåáîâàíèÿ ê ñåòè Для эффективного выполнения сеансов терминального сервера необходима достаточная пропускная способность сети. Терминальному серверу нужен сетевой доступ к каждому клиенту терминального сервера, а также ко всем другим серверам, к которым обращается клиент во время сеанса. Для достижения оптимальной производительности многозвенных приложений установите на терминальном сервере две или более сетевых карт и сконфигурируйте сервер так, чтобы одна их них использовалась исключительно для подключения клиентов терминального сервера, а другая (или другие) — для связи с серверами приложений.
Îòêàçîóñòîé÷èâîñòü òåðìèíàëüíîãî ñåðâåðà Среда отказоустойчивого терминального сервера может быть создана с помощью балансировки сетевой нагрузки Windows Server 2003 или другой аппаратной технологии балансировки нагрузки. При использовании стороннего решения балансировки нагрузки удостоверьтесь, что оно поддерживает возможность подхвата функций сеанса сервером каталога сеансов или обеспечивает аналогичное решение. Это увеличивает доступность сервера, а также дает администраторам возможность удаления конкретного терминального сервера из производственной эксплуатации, не влияя на доступность среды терминального сервера. Помните, что если сеанс терминального сервера отключается в результате сбоя терминального сервера, включенного в балансировку сетевой нагрузки, то прерванный сеанс теряется, и если не используется сервер каталога сеансов, то на одном из оставшемся узлов терминального сервера должен быть запущен совершенно новый сеанс. Кроме того, модернизации и исправления должны независимо проводиться на каждом из узлов кластера.
НА ЗАМЕТКУ Конфигурирование NLB и советы по ее установке описаны в главе 31.
892
Технологии удаленного и мобильного доступа ×àñòü VII
Ëèöåíçèðîâàíèå òåðìèíàëüíîãî ñåðâåðà Терминальные службы, развернутые в режиме терминального сервера, требуют приобретения лицензий на доступ клиентов (Client Access License — CAL) для каждого клиентского устройства или сеанса. Кроме того, в сети должен быть доступен сервер лицензирования терминальных служб (Terminal Services License server), который выделяет упомянутые лицензии на доступ клиентов и управляет ими. Когда терминальный сервер устанавливает сеанс работы с клиентом, он сверяется с сервером лицензирования терминальных служб для проверки, имеет ли данный клиент лицензию. Если клиент еще не имеет лицензии, она выделяется ему. Для установки лицензий на сервер лицензирования ТС вначале должен быть инсталлирован и активизирован сервер лицензирования терминальных служб. Для активизации сервера лицензирования ТС может быть запущен мастер, автоматизирующий процесс, хотя администратор может предпочесть активизировать сервер с помощью Web-формы или получения ключа активизации по телефону (с кодом 800) в службу Microsoft Clearing House. Если терминальный сервер не может обнаружить в сети сервер лицензирования ТС, он все же разрешает подключение нелицензированным клиентам. Работа без связи с сервером лицензирования может продолжаться 120 дней, а затем сервер прекращает обслуживание сеансов терминального сервера. Вот почему так важно установить в сети сервер лицензирования ТС как можно скорее — по крайней мере, до внедрения терминальных серверов в производственную эксплуатацию. Если серверы работают в режиме удаленного рабочего стола для администрирования терминальных служб, то CAL не требуются, поэтому не требуется и сервер лицензирования ТС.
Ðàçâåðòûâàíèå òåðìèíàëüíûõ ñëóæá После тщательного планирования развертывания терминальных служб на предприятии можно приступить к их установке. После этапа планирования развертывания терминальных служб можно установить и настроить службы и приложения, а затем протестировать их с привлечением IT-персонала или выделенной тестовой группы. После тестирования и верификации всех функций и приложений терминальный сервер можно запустить в производственную эксплуатацию конечными пользователями или клиентами. В пошаговых инструкциях в последующих разделах среда рабочего стола применяет стандартное меню Start (Пуск) Windows Server 2003. Чтобы проверить, доступно ли в текущем режиме меню Start, выполните следующие шаги: 1. Щелкните правой кнопкой мыши на кнопке Start и выберите в контекстном меню пункт Properties (Свойства). 2. На вкладке Start Menu (Меню “Пуск”) отметьте строку Start Menu (Меню “Пуск”), как показано на рис. 27.2, затем щелкните на кнопке ОК.
Терминальные службы Windows Server 2003 Ãëàâà 27
893
Ðèñ. 27.2. Настройка системного меню Start
Àêòèâèçàöèÿ óäàëåííîãî ðàáî÷åãî ñòîëà äëÿ àäìèíèñòðèðîâàíèÿ Узел удаленного рабочего стола для администрирования терминальных служб по умолчанию устанавливается на всех серверах Windows Server 2003 и требует лишь активизации. Для активизации этой возможности выполните следующие шаги: 1. Войдите в нужный сервер с полномочиями локального администратора. 2. Щелкните на кнопке Start (Пуск), щелкните правой кнопкой мыши на пиктограмме My Computer (Мой компьютер), а затем выберите в контекстном меню пункт Properties (Свойства). 3. Перейдите на вкладку Remote (Удаленные сеансы) и в разделе Remote Desktop (Дистанционное управление рабочим столом) установите флажок Allow Users to Connect Remotely to This Computer (Разрешить удаленный доступ к этому компьютеру), как показано на рис. 27.3. 4. Откроется диалоговое окно Remote Sessions (Удаленные сеансы), сообщающее, что для использования удаленного рабочего стола учетные записи не должны иметь пустые пароли; щелкните на кнопке ОК для продолжения. 5. Щелкните на кнопке ОК на странице System Properties.
Àêòèâèçàöèÿ óäàëåííîãî ïîìîùíèêà Для конфигурирования удаленной помощи выполните перечисленные ниже шаги. 1. Войдите в нужный сервер с полномочиями локального администратора. 2. Щелкните на кнопке Start, щелкните правой кнопкой мыши на пиктограмме My Computer и выберите в контекстном меню пункт Properties.
894
Технологии удаленного и мобильного доступа ×àñòü VII
Ðèñ. 27.3. Разрешение пользователям удаленного подключения к системе 3. Перейдите на вкладку Remote и в разделе Remote Assistance (Удаленный помощник) установите флажок Turn On Remote Assistance and Allow Invitations to Be Sent from this Computer (Разрешить отправку приглашения удаленному помощнику). 4. Щелкните на кнопке Advanced (Дополнительно), чтобы указать, будет ли разрешено удаленное управление, и чтобы установить политику срока действия для приглашений удаленной помощи, как показано на рис. 27.4. 5. Щелкните на кнопке ОК в окне Advanced, а затем на кнопке ОК на странице System Properties.
Ðèñ. 27.4. Разрешение удаленного управления на компьютере
Терминальные службы Windows Server 2003 Ãëàâà 27
895
Удаленный помощник для учетных записей компьютеров доменов можно сконфигурировать с помощью оснастки Group Policy. Следующие два параметра находятся в папке Computer Configuration\Administrative Templates\System\Remote Assistance (рис. 27.5). •
Solicited Remote Assistance (Запрошенный удаленный помощник). Этот параметр содержит те же самые опции, которые доступны на странице свойств Remote System, уже описанной в этой главе. Используйте этот параметр для настройки стандартов удаленной помощи на нескольких рабочих станциях и серверах.
•
Offer Remote Assistance (Предложенный удаленный помощник). Этот параметр можно задать только с помощью Group Policy. Он позволяет предопределенному “помощнику” предложить сеанс удаленной помощи с другой удаленной станции сети. Включение этого параметра все равно оставляет возможность конечному пользователю разрешать или запрещать сеансы, а также устанавливать уровень разрешенного удаленного помощника.
Ðèñ. 27.5. Административные шаблоны Group Policy для удаленного помощника
Óñòàíîâêà òåðìèíàëüíûõ ñëóæá â ðåæèìå òåðìèíàëüíîãî ñåðâåðà Для установки терминальных служб в режиме терминального сервера администратор терминального сервера может воспользоваться мастером Configure Your Server Wizard (Мастер конфигурирования сервера) следующим образом: 1. Войдите в нужный сервер с полномочиями локального администратора. 2. Вставьте в привод компакт-диск Windows Server 2003 и закройте все автоматически открывающиеся окна. 3. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖConfigure Your Server Wizard (Все программыÖАдминистрированиеÖМастер конфигурирования сервера), как показано на рис. 27.6.
896
Технологии удаленного и мобильного доступа ×àñòü VII
Ðèñ. 27.6. Выбор мастера конфигурирования сервера 4. На экране приветствия мастера щелкните на кнопке Next (Далее). 5. Проверьте, что выполнены все шаги, указанные на странице Preliminary Steps (Предварительные шаги) и щелкните на кнопке Next. 6. На странице Server Role (Роль сервера), показанной на рис. 27.7, выберите в списке строку Terminal Server (Терминальный сервер) и щелкните на кнопке Next. 7. На странице Summary of Selections (Сводка выбранных опций) в сводке должна отображаться строка Install Terminal Server (Инсталлировать терминальный сервер). Если это так, щелкните на кнопке Next.
Ðèñ. 27.7. Выбор установки терминальных служб на странице Server Role
Терминальные службы Windows Server 2003 Ãëàâà 27
897
8. В появившемся окне с предупреждением, что в процессе установки сервер должен быть перезапущен, щелкните на кнопке ОК. 9. После перезапуска системы войдите в нее с той же учетной записью, какая была использована для установки терминального сервера. 10. После завершения процесса входа в систему появляется окно помощи терминального сервера с прямыми ссылками на перечни терминальных серверов. Закройте это окно или сверните его, чтобы просмотреть информацию позднее. 11. Когда появится сообщение мастера конфигурирования сервера, что сервер теперь является терминальным сервером (This Server Is Now a Terminal Server), щелкните на кнопке Finish (Готово), чтобы завершить установку.
Óñòàíîâêà ïðèëîæåíèé äëÿ òåðìèíàëüíîãî ñåðâåðà После установки терминального сервера на нем можно инсталлировать приложения. Приложения, установленные до терминального сервера, для некоторых пользователей могут функционировать некорректно. Приложения должны устанавливаться на терминальных серверах только в том случае, если сервер находится в режиме Application Install (Установка приложений). Администратор может перевести сервер в режим установки, открыв через панель управления или из командной строки оснастку Add/Remove Programs (Установка и удаление программ). После завершения установки приложения администратор может просто закрыть окно Add/Remove Programs или из командной строки вернуть сервер в режим Execute (Выполнение). Режим выполнения позволяет пользователям использовать приложения из сеансов терминального сервера. Для изменения режима введите в командной строке: •
Change user /Install перед установкой приложения.
•
Change user /Execute после установки приложения.
•
Change user /Query чтобы узнать, в каком режиме работает сервер.
Некоторые приложения содержат специальные инструкции для установки на терминальном сервере, другие же требуют лишь выполнения сценариев проверки совместимости приложения. Компания Microsoft протестировала некоторые приложения сторонних разработчиков (например, Eudora Version 4) на предмет совместимости с терминальным сервером и предоставляет сценарий проверки совместимости приложения, который необходимо выполнить после установки этих программ на терминальном сервере. Предлагаемые сценарии проверки совместимости находятся в каталоге %SystemRoot%\Application Compatibility Scripts\install, где %SystemRoot% — каталог, содержащий файлы операционной системы. Перед развертыванием приложений на терминальном сервере проконсультируйтесь с документацией разработчика приложения.
898
Технологии удаленного и мобильного доступа ×àñòü VII
Íàñòðîéêà òåðìèíàëüíûõ ñëóæá Терминальные службы Microsoft Windows Server 2003 можно конфигурировать с помощью нескольких инструментальных средств, входящих в состав операционной системы. Это дает администраторам возможность выбора способа управления терминальными службами на предприятии. Поскольку функции многих инструментов, описанных в последующих разделах, перекрываются, то их функции управления и администрирования будут описаны ниже. После знакомства с каждым их этих инструментов вы сможете решить, какие из них больше соответствуют вашим потребностям.
Local Security Policy Оснастка Local Security Policy (Локальная политика безопасности) в приложении к терминальным службам достаточно ограничена, но все же очень мощная. Для терминальных служб можно задать только два параметра: Allow Logon Through Terminal Services (Разрешить вход в систему через терминальные службы) и Deny Logon Through Terminal Services (Запретить вход в систему через терминальные службы). Эти параметры находятся в папке Security Settings \ Local Policies \ User Rights Assignment. По умолчанию входить в систему через терминальные службы имеют право только группы локальных администраторов (Local Administrators Remote Desktop Users) и пользователей удаленного рабочего стола (Remote Desktop Users).
Computer Management В реализации терминальных служб на обособленном или рядовом сервере пользовательские настройки терминального сервера можно сконфигурировать с помощью средства Computer Management (Управление компьютером). В разделе Local Users and Groups (Локальные пользователи и группы) можно путем редактирования страниц свойств пользователей настроить параметры терминального сервера: местоположение профиля, входной сценарий и полномочия удаленного управления. Поскольку эти конфигурации индивидуальны для всех пользователей, то их администрирование является весьма утомительным и неэффективным занятием.
НА ЗАМЕТКУ Настройки терминального сервера, сконфигурированные с помощью средства Computer Management, перекрывают клиентские настройки.
Страницы свойств пользователей для настройки терминального сервера расположены на вкладках Sessions (Сеансы), Environment (Среда), Remote Control (Удаленное управление) и Terminal Services Profile (Профиль терминальных служб), которые показаны на рис. 27.8. Параметры профиля терминальной службы для пользователя состоят из пути профиля, домашнего каталога и доступа на вход в терминальный сервер. Остальные вкладки рассматриваются в разделе “Оснастка Terminal Services Configuration (Tscc.msc)”. Для запуска средства Computer Management выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖComputer Management (Все программыÖ АдминистрированиеÖУправление компьютером).
Терминальные службы Windows Server 2003 Ãëàâà 27
899
Ðèñ. 27.8. Вкладка Terminal Services Profile оснастки Active Directory Users and Computers консоли MMC
Îñíàñòêà Active Directory Users and Computers (Dsa.msc) Для управления параметрами пользователей домена терминального сервера используйте оснастку Active Directory Users and Computers консоли MMC, которая доступна на всех контроллерах доменов и компьютерах с установленными средствами администрирования Windows Server 2003. Задаваемые здесь пользовательские настройки похожи на параметры, заданные с помощью Computer Management, но они применяются к учетным записям пользователей доменов. Дополнительная информация о настройке пользовательских параметров терминального сервера приведена в последующих разделах.
Îñíàñòêà Terminal Services Configuration (Tscc.msc) Оснастка MMC Terminal Services Configuration (Конфигурация терминальных служб) по умолчанию устанавливается на всех серверах. С ее помощью можно изменить лишь локальную конфигурацию терминального сервера. Это средство содержит два раздела: Connections (Подключения) и Server Settings (Параметры сервера). Эти настройки устанавливаются на уровне сервера и перекрывают пользовательские настройки.
900
Технологии удаленного и мобильного доступа ×àñòü VII
Ðàçäåë Server Settings Этот раздел оснастки MMC Terminal Services Configuration позволяет сконфигурировать семь политик: •
Delete Temporary Folders on Exit (Удалять при выходе временные папки). Этот параметр позволяет удалить все временные папки сеанса при выходе пользователя из терминального сеанса. Он работает только тогда, когда включен (то есть установлен в Yes) параметр использования временных папок сеанса.
•
Use Temporary Folders per Session (Использовать временные папки сеанса). Терминальный сервер создает временные папки для каждого сеанса. Отключение этого параметра приводит к тому, что все сеансы терминального сервера используют одни и те же временные папки.
•
Licensing (Лицензирование). Терминальный сервер поддерживает режим лицензирования устройств и сеансов. Выберите нужный режим для своих терминальных серверов.
•
Active Desktop (Активный рабочий стол). Этот параметр позволяет пользователям работать в сеансах терминального сервера в активном режиме. Отключение этого параметра сберегает ресурсы сервера, уменьшая объем серверной обработки и пропускной способности сети, требуемой для вывода на экраны сеансов содержимого активного рабочего стола.
•
Permission Compatibility (Совместимость полномочий). Этот параметр предлагает выбрать либо вариант Full Security (Полная безопасность), либо Relaxed Security (Ослабленная безопасность). Здесь необходимо сделать выбор с учетом того, к каким ресурсам пользователи должны иметь доступ, чтобы правильно выполнять приложения, установленные на терминальном сервере. Ослабленный режим создан для поддержки старых приложений.
•
Restrict Each User to One Session (Ограничить каждого пользователя только одним сеансом). Этот параметр создан для поддержки использования сервера каталога сеансов с кластерами терминальных серверов. Этот параметр, разрешая выполнение только одного сеанса на кластер, позволяет пользователям повторно подключиться к корректному узлу, выполняющему прерванный сеанс. Если может существовать только один сеанс, пользователь не может восстановить подключение не к тому сеансу.
•
Session Directory (Каталог сеансов). Этот параметр должен быть включен, если терминальный сервер является частью кластера; он посылает данные сеанса серверу каталога сеансов для управления разорванными терминальными сеансами.
Ðàçäåë Connections В разделе Connections оснастки Terminal Services Configuration администратор может сконфигурировать следующие опции терминального сервера: временные ограничения сеансов, максимальное количество сеансов, политики перенаправления ресурсов, полномочия удаленного контроля, параметры входа в систему, параметры шифрования, уровни полномочий приложения, а также может ли пользователь выполнять только одно приложение или работать в сеансе полного рабочего стола.
Терминальные службы Windows Server 2003 Ãëàâà 27
901
На странице свойств объекта подключения терминального сервера можно задавать опции конфигурации на восьми вкладках: •
General (Общие). На этой вкладке администратор ТС может задать нужный уровень шифрования клиента. Слабое шифрование запускает сеансы ТС с 56битным шифрованием; шифрование, совместимое с клиентом, позволяет клиенту подключиться к серверу с максимально доступным уровнем шифрования; сильное шифрование выполняет сеансы ТС с максимальным шифрованием, с которым может справиться сервер ТС; и, наконец, шифрование, совместимое с FIPS — это стандарт, применяемый правительством США.
НА ЗАМЕТКУ Если клиентская рабочая станция не поддерживает 128-битное шифрование и должен быть установлен пакет сильного шифрования, то после этого потребуется переустановить клиентское программное обеспечение, чтобы иметь возможность воспользоваться повышенным уровнем шифрования.
•
•
Logon Settings (Параметры входа в систему). На этой вкладке можно установить параметры мандата входа пользователя. Терминальный сервер может входить в сеансы с помощью предопределенной пользовательской учетной записи, либо можно воспользоваться входной информацией, предоставленной клиентом. Можно установить флажок, чтобы сервер всегда запрашивал пароль — эта возможность повышает безопасность. Sessions (Сеансы). Набор параметров конфигурации на вкладке Sessions, показанной на рис. 27.9, позволяет установить временные пределы для активных, разорванных и простаивающих сеансов. Задание предельного времени для простаивающих и разорванных сеансов помогает освободить ресурсы сервера и повысить его производительность.
Ðèñ. 27.9. Параметры конфигурации на вкладке Sessions
902
Технологии удаленного и мобильного доступа ×àñòü VII
•
Environment (Среда). На этой вкладке можно задать, чтобы сеанс выполнял только одно приложение, в отличие от сеанса полного рабочего стола.
•
Remote Control (Удаленное управление). На этой вкладке можно задать опции удаленного контроля, чтобы они не противоречили политикам конфиденциальности организации, однако обеспечивали требуемые функции администрирования.
•
Client Settings (Параметры клиента). Вкладка Client Settings используется для задания, какие локальные ресурсы клиента можно сделать доступными в сеансе терминального сервера для повышения функциональности или безопасности среды. Например, некоторые организации требуют, чтобы данные хранились только на локальных файловых серверах, то есть чтобы было отключено отображение локальных дисков и принтеров клиента — тогда пользователи не смогут сохранять данные на своих рабочих станциях или, что еще хуже, выгружать зараженные вирусами файлы в сеть терминального сервера.
•
Network Adapter (Сетевой адаптер). Эта вкладка ограничивает количество подключений к терминальному серверу, а также указывает один сетевой адаптер для конкретного объекта подключения терминального сервера.
•
Permissions (Права доступа). На этой вкладке указывается, кто может иметь доступ и/или администрировать конкретный объект подключения терминального сервера.
НА ЗАМЕТКУ Настройки конфигурации, установленные с помощью оснастки Terminal Services Configuration, перекрывают настройки, указанные для пользователей и клиентов.
Group Policy äëÿ òåðìèíàëüíîãî ñåðâåðà Group Policy содержит несколько параметров пользователей и компьютеров терминального сервера, предназначенных для настройки сеансов терминального сервера в Active Directory. Администратор терминального сервера может изменить существующие групповые политики или создать новые групповые политики для управления конфигурациями терминальных серверов на уровне сайта, домена или организационной единицы Active Directory. Отдельные политики терминального сервера применяются к пользователям индивидуально или на основе их членства в группах. Group Policy — рекомендуемый метод стандартизации конфигураций терминальных служб во всей Active Directory, поскольку при этом становится возможным централизованное администрирование конфигураций пользователей и серверов. Ввиду того, что в групповой политике могут быть указаны очень многие параметры терминального сервера, то ниже приводится список с указаниями, где можно найти настройки терминального сервера: •
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Allow Logon Through Terminal Services (Разрешить вход в систему через терминальные службы)
Терминальные службы Windows Server 2003 Ãëàâà 27
903
Deny Logon Through Terminal Services (Запретить вход в систему через терминальные службы) •
Computer Configuration\Administrative Templates\Windows Components\Terminal Services Здесь можно задать почти все настройки терминального сервера. Эти настройки перекрывают конфигурации пользователей и клиентов, а также перекрывают настройки, указанные в разделе конфигурации пользователей Group Policy.
•
User Configuration\Administrative Templates\Windows Components\Terminal Services В этом разделе можно задать параметры сеанса пользователя. Эти настройки перекрывают конфигурации пользователей и клиентов.
Простым и эффективным способом управления GPO для серверов терминальных служб является создание OU для терминальных серверов и применение GPO к этому OU. Включение режима обработки переброса Computer Configuration \ Administrative Templates \ System \ Group Policy \ User Group Policy (Конфигурация компьютера\Административные шаблоны\Система\Групповые политики\Групповые политики пользователей) очень важно, если нужно задействовать параметры GPO, зависящие от пользователей. Обработка переброса может быть настроена либо на слияние, либо на замену. Слияние позволяет объединять существующие GPO домена с GPO для терминальной службы, а замены перекрывает все другие параметры, и применяются только параметры, заданные для терминальной службы. Вот некоторые дополнительные опции конфигурации GPO, которые могут быть полезными в вашей среде: •
Автоматическое повторное подключение. Позволяет клиентам выполнить до 20 попыток повторного подключения прерванного сеанса через каждые 5 секунд.
•
Ограничение пользователей терминальных служб одним удаленным сеансом. Эта опция повышает производительность системы и может существенно уменьшить путаницу у конечных пользователей, ограничивая каждого пользователя одним сеансом.
•
Раздел шифрования и безопасности. Здесь присутствует множество полезных параметров конфигурации, таких как обязательное назначение уровней шифрования и запрос пароля во время подключения.
Óñòàíîâêà ñåðâåðà ëèöåíçèðîâàíèÿ òåðìèíàëüíûõ ñëóæá Серверы, работающие в режиме терминального сервера, требуют, чтобы сервер лицензирования терминальных служб распределял лицензии доступа клиентов. Для установки сервера ТС выполните перечисленные ниже шаги. 1. Войдите в нужный сервер с полномочиями локального администратора. 2. Вставьте в привод установочный компакт-диск Windows Server 2003 и закройте автоматически открывшиеся окна. 3. Выберите в меню Start пункт Control Panel (Панель управления).
904
Технологии удаленного и мобильного доступа ×àñòü VII
4. Найдите пиктограмму Add/Remove Programs (Установка и удаление программ) и дважды щелкните на ней. 5. Щелкните на пиктограмме Add/Remove Windows Components (Установка и удаление компонентов Windows). 6. В окне мастера компонентов Windows (Windows Component Wizard) найдите и установите флажок Terminal Server Licensing (Лицензирование терминальных серверов) и щелкните на кнопке Next. 7. На странице Terminal Server Licensing Setup (Установка лицензирования терминальных серверов) выберите, будет ли терминальный сервер распределять лицензии для текущего домена или рабочей группы либо для всего предприятия, если данный компьютер является членом леса Active Directory, и выберите соответствующий переключатель. 8. Запомните местоположение базы данных лицензирования ТС, при необходимости измените его и щелкните на кнопке Next, чтобы установить сервер лицензирования ТС. 9. После завершения установки щелкните на кнопке Finish в окне мастера компонентов Windows. 10. Закройте окно Add/Remove Programs.
Àêòèâèçàöèÿ ñåðâåðà ëèöåíçèðîâàíèÿ òåðìèíàëüíûõ ñëóæá Сервер лицензирования ТС может быть активизирован автоматически, через Webстраницу с любого компьютера с доступом в Internet либо с помощью звонка администратора (с префиксом 800) в службу Microsoft Clearing House. Сервер лицензирования активируется, связываясь с сервером Microsoft Clearing House, который посылает серверу ТС цифровой сертификат. Для активизации сервера лицензирования ТС выполните следующие шаги: 1. Войдите в нужный сервер с полномочиями локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖTerminal Server Licensing (Все программыÖАдминистрированиеÖЛицензирование терминальных серверов). 3. Щелкните правой кнопкой мыши на строке Terminal Services License server (Сервер лицензирования терминальных служб) и выберите в контекстном меню пункт Activate Server (Активизировать сервер). 4. На экране приветствия щелкните на кнопке Next. 5. Выберите необходимый метод подключения и щелкните на кнопке Next. 6. Если выбран метод подключения через Web-браузер или телефонное подключение, то для завершения активизации лицензирования ТС следуйте приведенным в окне инструкциям. После этого щелкните на кнопке Finish. 7. Если выбрана автоматическая активизация, введите соответствующую информацию о компании для посылки в Microsoft Clearing House и щелкните на кнопке Next в каждом окне.
Терминальные службы Windows Server 2003 Ãëàâà 27
905
8. После активизации сервера сбросьте флажок Start Terminal Server Client Licensing Wizard Now (Запустить мастер лицензирования клиента терминального сервера) и щелкните на кнопке Next, чтобы вернуться в консоль лицензирования ТС. Теперь сервер лицензирования ТС должен быть активизирован и готов для установки лицензий доступа клиентов.
Óñòàíîâêà ëèöåíçèé äîñòóïà êëèåíòîâ После активизации сервера лицензирования ТС необходимо установить лицензии доступа клиентов (Client Access Licenses — CAL). Windows 2000 поставляется со встроенными CAL терминальных служб, поэтому CAL для Windows 2000 уже установлены. Чтобы установить CAL для других операционных систем, выполните следующие шаги: 1. Войдите в соответствующий сервер с полномочиями локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖTerminal Server Licensing (Все программыÖАдминистрированиеÖЛицензирование терминальных серверов). 3. Щелкните правой кнопкой мыши на строке Terminal Services License server (Сервер лицензирования ТС) и выберите в контекстном меню пункт Install Licenses (Установить лицензии). 4. На экране приветствия и на экране сервера лицензирования ТС щелкните на кнопке Next, после чего мастер установки CAL попытается соединиться с сервером активизации Microsoft способом, зависящим от стандартного метода подключения. 5. После соединения мастера с сервером активизации выберите удобную для организации программу лицензирования и щелкните на кнопке Next. Например, выберите Retail (Розница), Open (Открыть) или Select Licensing from Microsoft (Выбрать лицензирование от Microsoft), как показано на рис. 27.10.
Ðèñ. 27.10. Выбор программы лицензирования для активизации
906
Технологии удаленного и мобильного доступа ×àñòü VII
6. На странице Licensing Program (Программа лицензирования) введите номер лицензии или номер соглашения для вашего пакета лицензирования и щелкните на кнопке Next. 7. На странице Program and License Information (Информация о программе и лицензии) выберите версию продукта — Windows Server 2003 или Windows 2000 — а затем выберите нужный тип лицензии: •
Windows Server 2003 Per User CAL (Лицензии пользователей Windows Server 2003). Выделяет лицензии для пользователей.
•
Windows Server 2003 Per Device CAL (Лицензии устройств Windows Server 2003). Выделяет лицензии каждому устройству, подключающемуся к сеансу терминального сервера.
•
Windows 2000 Per Device CAL (Лицензии устройств Windows 2000). Выделяет лицензии каждому устройству, подключающемуся к сеансу терминального сервера.
•
Windows 2000 Internet Connector CAL (Лицензии Internet-соединителей Windows 2000). Позволяет подключаться к терминальному серверу через Internet пользователям, не являющимся сотрудниками организации.
8. Введите количество лицензий и щелкните на кнопке Next. 9. После верификации информации о лицензии и установки CAL щелкните на кнопке Finish, чтобы закрыть мастер инсталляции CAL. Теперь, после установки лицензий, необходимо настроить каждый терминальный сервер, чтобы он использовал корректный тип лицензирования.
Íàñòðîéêà òèïà ëèöåíçèðîâàíèÿ íà òåðìèíàëüíîì ñåðâåðå В терминальных службах Windows Server 2003 предусмотрено два метода лицензирования: лицензирование устройств и лицензирование пользователей. Чтобы задать тип лицензирования терминального сервера, выполните перечисленные ниже шаги. 1. Войдите в нужный сервер с полномочиями администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖTerminal Server Configuration (Все программыÖАдминистрированиеÖНастройка терминального сервера). 3. В левой панели выберите узел Server Settings (Параметры сервера). 4. В правой панели дважды щелкните на строке Licensing setting (Настройка лицензирования). 5. В списке Licensing Mode (Режим лицензирования) выберите требуемый тип лицензирования — устройств или пользователей — соответствующий типу закупленной лицензии доступа клиентов. 6. Щелкните на кнопке ОК, чтобы изменить настройки терминального сервера.
Терминальные службы Windows Server 2003 Ãëàâà 27
907
Óñòàíîâêà è íàñòðîéêà îòêàçîóñòîé÷èâûõ òåðìèíàëüíûõ ñëóæá Надежность и производительность терминальных служб можно поддерживать и улучшать, реализовав отказоустойчивость с помощью распределения сетевой нагрузки Windows Server 2003 и/или сервера каталога сеансов Windows Server 2003.
Òåðìèíàëüíûé ñåðâåð ñ áàëàíñèðîâêîé ñåòåâîé íàãðóçêè Надежность терминальных серверов легко может быть повышена с помощью балансировки сетевой нагрузки (Network Load Balancing — NLB), которая доступна в Windows Server 2003. Создание кластеров NLB для распределения серверной нагрузки на несколько терминальных серверов не только повышает отказоустойчивость, но и позволяет администратору вывести один из серверов в автономный режим для обслуживания, не влияя на доступность среды терминальных серверов. Применение кластеров NLB вместе с сервером каталога сеансов Windows Server 2003 позволяет конечному пользователю возобновить разорванный сеанс терминального сервера, выполняющийся на узле кластера NLB. В этом случае пользователи, которые хотят закрыть сеанс и вернуться к нему позднее, могут быть уверены, что они подключатся к тому же самому сеансу. Если использовать NLB без сервера каталогов сеансов, то отключенный пользователь при попытке возобновления сеанса создаст совершенно новый сеанс на другом узле кластера. Чтобы включить в кластер NLB терминальный сервер, работающий под Windows Server 2003, выполните следующие шаги: 1. Войдите в терминальный сервер с правами на администрирование. 2. Откройте страницу свойств нужного сетевого адаптера. 3. В разделе Internet Protocol (TCP/IP) Advanced (Дополнительные сведения о протоколе Internet (TCP/IP)) добавьте к сетевому адаптеру IP-адрес кластера и два раза щелкните на кнопке ОК, чтобы вернуться на страницу свойств сетевого адаптера. 4. На вкладке General (Общие) страницы свойств сетевого адаптера установите флажок Network Load Balancing (Балансировка сетевой нагрузки). 5. Чтобы внести какие-либо изменения в параметры балансировки сетевой нагрузки, щелкните на кнопке Properties (Свойства). 6. Введите IP-адрес кластера и полное Internet-имя на странице Cluster Parameters (Параметры кластера), а на странице Host Parameters (Параметры хоста) введите номер Priority (уникальный идентификатор хоста) и выделенный IP-адрес. 7. На странице Port Rules (Правила порта) задайте правило порта, разрешающее порт TCP 3389 (RDP), и в колонке Affinity (Родственность) укажите режим фильтрации Single или Class C. Не используйте режим фильтрации None (Нет), поскольку в этом случае сеансы терминального сервера будут завершаться аварийно.
908
Технологии удаленного и мобильного доступа ×àñòü VII
8. Отключите все ненужные диапазоны портов, создав дополнительные правила портов. Пример простых правил портов терминального сервера приведен на рис. 27.11. После завершения щелкните на кнопке Next, а затем на кнопке Finish.
Ðèñ. 27.11. Выбор правил портов для системы терминального сервера Приведенные выше шаги необходимо выполнить на каждом сервере кластера, либо можно выполнить одновременную настройку всех серверов кластера с помощью диспетчера балансировки сетевой нагрузки, который будет описан в главе 31.
Êîíôèãóðèðîâàíèå ñåðâåðà êàòàëîãà ñåàíñîâ Чтобы использовать сервер каталога сеансов, должен быть создан кластер балансировки нагрузки на терминальные серверы. Это может быть кластер NLB Microsoft или кластер, созданный с помощью аппаратного устройства балансировки нагрузки. Служба сервера каталога сеансов может быть запущена с любого сервера Windows Server 2003 Enterprise или DataCenter. Для создания сервера каталога сеансов выполните описанные ниже действия. 1. Откройте оснастку Services (Службы) на сервере, который будет сервером каталога сеансов. Сервер каталога сеансов не обязательно должен выполнять терминальные службы, однако он должен функционировать на платформе Windows Server 2003 Enterprise или DataCenter. 2. Найдите службу каталогов сеансов терминальных служб (Terminal Services Session Directory service) и дважды щелкните не ней. 3. На вкладке General в разделе Startup Type (Тип запуска) измените тип запуска на Automatic (Автоматический).
Терминальные службы Windows Server 2003 Ãëàâà 27
909
4. Щелкните на кнопке Apply (Применить), чтобы применить изменения, и затем щелкните на кнопке Start (Пуск), чтобы запустить службу каталогов сеансов. Щелкните на кнопке ОК, чтобы закрыть окно служб, и закройте консоль служб. 5. После запуска службы каждый объект компьютера терминального сервера, который будет использовать сервер каталогов сеансов, необходимо добавить во вновь созданную локальную группу Session Directory Computers (Компьютеры каталогов сеансов). Это можно сделать с помощью модуля Local Users and Computers (Локальные пользователи и компьютеры) оснастки Computer Management (Управление компьютерами) на сервере каталога сеансов, который является рядовым сервером домена; либо это можно сделать с помощью оснастки Active Directory Users and Computers, если сервер каталогов сеансов является контроллером домена. Теперь необходимо сконфигурировать узлы кластера терминальных серверов, чтобы начать использовать сервер каталогов сеансов. На каждом узле кластера запустите оснастку Terminal Services Configuration, и в разделе Server Settings (Параметры сервера) сконфигурируйте следующие параметры: 1. Установите параметр Restrict Each User to One Session (Ограничить каждого пользователя только одним сеансом) в Yes (Да). 2. Активизируйте параметр Session Directory (Каталог сеансов), показанный на рис. 27.12, установив флажок Join Session Directory (Подключиться к каталогу сеансов).
Ðèñ. 27.12. Параметры каталога сеансов терминальных служб 3. Введите полностью определенные доменные имена кластера терминальных серверов и сервера каталога сеансов. 4. Выберите, будут ли пользователи возобновлять подключение к виртуальному IPадресу кластера или к реальному выделенному IP-адресу узла сервера. Рекомен-
910
Технологии удаленного и мобильного доступа ×àñòü VII
дуется подключение к виртуальному IP-адресу кластера. Но для клиентов терминального сервера Windows 2000 и Windows Server 2003 рекомендуется оставить эту опцию не включенной. 5. После этого щелкните на кнопке ОК, чтобы вернуться в оснастку Terminal Services Configuration.
Îáåñïå÷åíèå áåçîïàñíîñòè òåðìèíàëüíûõ ñëóæá Безопасность терминальных серверов необходимо обеспечить с помощью стандартных рекомендаций по безопасности и политик, определенных организацией. В дополнение к стандартам безопасности и общим корпоративным рекомендациям в организациях будет разумным рекомендовать практические советы, собранные Microsoft, а также Национальным институтом стандартов и технологий (NIST) США и Национальным агенством по безопасности (NSA). И NIST, и NSA предоставляют стандартные конфигурации блокировки безопасности и рекомендации, которые можно загрузить с Web-сайтов (http://www.nist.gov и http://www.nsa.gov, соответственно). Терминальные службы Windows Server 2003 в режиме терминального сервера могут выполняться либо в режиме совместимости с полной безопасностью (Full Security compatibility mode), либо в режиме совместимости с ослабленными полномочиями безопасности (Relaxed Security Permission compatibility mode), чтобы удовлетворить политике безопасности и требованиям к приложениям, принятым в организации. Режим совместимости полномочий был создан для обеспечения возможности блокировки среды терминального сервера, чтобы уменьшить риск ошибочной установки программ пользователями или непреднамеренного отключения терминального сервера из-за перемещения каталогов или удаления ключей в реестре. Этот режим можно использовать для большинства приложений, сертифицированных для работы на терминальном сервере. Режим ослабленной безопасности создан для поддержки устаревших приложений, требующих расширенного доступа к системному каталогу сервера и его системного реестру.
Èçìåíåíèå ïîðòà RDP Как уже упоминалось, терминальная служба использует для защищенной передачи данных протокол RDP через TCP-порт 3389. Организации, которым нужна еще большая безопасность, могут изменить стандартный порт, модифицировав следующий ключ реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\ WinStations\RDP-Tcp\PortNumber
НА ЗАМЕТКУ Подключаться к нестандартному порту могут только клиенты, работающие с RDP версии 5.1 и выше. Кроме того, после изменения порта необходимо перезапустить терминальный сервер.
Терминальные службы Windows Server 2003 Ãëàâà 27
911
Ïðîåêòèðîâàíèå çàùèòû ïåðèìåòðà Если доступ к терминальной службе производится через брандмауэр, то необходимо принять во внимание несколько соображений. Многие брандмауэры сконфигурированы на закрытие подключений после указанного периода отсутствия активности. Эта возможность, хотя сама по себе и удобная, может повлиять на терминальные службы, преждевременно отключая сеансы пользователей. Кроме того, она может потреблять ненужные ресурсы сервера или, что хуже, может препятствовать пользователям вновь подключаться к тому же сеансу. Для уменьшения влияния этой проблемы можно увеличить значения сохранения активности или перенастроить брандмауэр. Значения сохранения активности находятся в следующих ключах реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server •
Значение KeepAliveEnable (сохранение активности включено) необходимо установить в 1.
•
Значение KeepAliveInterval (интервал сохранения активности) необходимо установить в 1.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters • • •
Значение KeepAliveInterval (интервал сохранения активности) в миллисекундах. Значение KeepAliveTime (время сохранения активности) в миллисекундах. Числовое значение TcpMaxDataRetransmissions (максимальное количество повторных передач данных TCP).
Затем запустите оснастку Terminal Services Configuration (Конфигурирование терминальных служб) и в разделе Sessions (Сеансы) установите флажок Override Users Settings (Перекрывать параметры пользователей), а под ним выберите переключатель Disconnect from Session (Отключение от сеанса).
Áåçîïàñíîå ñîçäàíèå òåðìèíàëüíûõ ñåðâåðîâ При встраивании безопасности в терминальные серверы помните, что вы назначаете пользователям определенные уровни доступа к серверу. Пользователи входят в сервер и используют приложения и службы, установленные на этом сервере. Памятуя об этом, важно соблюдать баланс между предоставлением возможностей пользователю и тем, что пользователь может сделать (преднамеренно или случайно) на сервере. Иначе один сеанс может существенно повлиять на сеансы других пользователей, равно как и на весь сервер терминальных служб.
Ñåãìåíòàöèÿ ðåñóðñîâ Ресурсы терминального сервера необходимо сегментировать таким образом, чтобы пользователи могли модифицировать только отдельные параметры. На словах это просто, но требует тщательного планирования. Например, с помощью разбиения дисковой подсистемы сервера на разделы можно отдельно хранить операционную систему, журналы, приложения и профили. Каждый из этих разделов должен быть также
912
Технологии удаленного и мобильного доступа ×àñòü VII
отформатирован с помощью NTFS, чтобы иметь возможность применения нужных прав доступа. Это также облегчает работу администраторов по управлению и блокировке отдельных ресурсов. Разделу с профилями необходимо уделять особое внимание в силу природы его содержимого. Для небольших установок профили могут храниться на локальном сервере в отдельном разделе. Для больших установок профили необходимо хранить на специально выделенном для этого отдельном сервере. Это не только повышает безопасность, но и существенно увеличивает производительность. Обычно эти временные профили терминальных служб хранятся в каталоге %SystemDrive%\Documents and Settings\%Username%, даже если в сетевой среде используются перемещаемые профили. Чтобы изменить место их хранения на другой раздел, выполните следующие шаги: 1. Создайте в этом разделе папку Documents and Settings. 2. Укажите в ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\ProfileList\ProfilesDirectory Reg_Sz новое местоположение. 3. Перезапустите сервер. 4. Скопируйте профили Default (Стандартный) и All Users (Все пользователи) в новое место.
Îáåñïå÷åíèå áåçîïàñíîñòè òåðìèíàëüíîé ñëóæáû ñ ïîìîùüþ GPO Как уже упоминалось в разделе “Group Policy для терминального сервера”, обеспечивать безопасность среды терминальной службы можно и нужно с помощью GPO. Например, если приложение или отдел, работающий с конфиденциальной информацией, использует терминальную службу, то можно отключить параметр Remote Control, чтобы разрешить просматривать эти сеансы только авторизованным пользователям. С помощью GPO можно также устанавливать значения тайм-аута для отключения и позволять повторные подключения только с первоначального клиента.
Ïîäãîíêà è îïòèìèçàöèÿ ñðåä òåðìèíàëüíûõ ñëóæá Терминальный сервер можно настроить так, чтобы он обеспечивал высокопроизводительные терминальные сеансы, если оценивать количество ресурсов, требуемых каждым пользователем, и количество пользователей, которые будут работать с терминальными службами. Частое выполнение тестирования производительности терминальных серверов поможет сгенерировать аккуратную информацию об их использовании. Чтобы собрать правильные данные, необходимо выполнять тестирование производительности во время и сильной, и слабой загрузки. При необходимости увеличьте объем памяти и количество процессоров или установите дополнительные терминальные серверы. Выяснение ресурсов, необходимых пользователям, и количества пользователей поможет решить, как сформулировать требования к серверному оборудованию и определить, сколько терминальных серверов необходимо для такой нагрузки.
Терминальные службы Windows Server 2003 Ãëàâà 27
913
Ìàñøòàáèðîâàíèå òåðìèíàëüíûõ ñëóæá Терминальную службу можно масштабировать, наращивая такие ресурсы сервера, как количество серверов и объем памяти, а также увеличивая количество серверов для обработки запросов. При определении способа масштабирования необходимо также учитывать управляемость, затраты и влияние на конечных пользователей при переводе сервера в автономный режим. Например, применение большего количества маломощных серверов может увеличить объем обслуживания (обновление приложений, применение всех последних обновлений операционной системы и другие действия по сопровождению), однако если произойдет отказ сервера, то это скажется на меньшем количестве пользователей. Решение зависит от потребностей организации и других обстоятельств. Другим фактором, который необходимо учитывать, является степень гибкости, нужная организации. Использование большего количества, а не более мощных, серверов, обеспечивает большую гибкость в силу наличия избыточности, а также возможности перевода серверов в автономный режим для обслуживания. При таком сценарии важно использовать серверы с мощностью, достаточной для обработки слегка большей нагрузки, в то время, когда другие серверы в ферме будут переведены в автономный режим.
НА ЗАМЕТКУ Дополнительная информация по масштабированию терминальных служб приведена в официальном документе Microsoft “Windows Server 2003 Terminal Server Capacity and Scaling” (Мощность и масштабирование терминального сервера Windows Server 2003).
Îáåñïå÷åíèå ðåçåðâèðîâàíèÿ è ìàñøòàáèðîâàíèÿ êàòàëîãà ñåàíñîâ Применение сервера каталога сеансов в фермах терминальных служб является замечательным способом обеспечения подхвата функций для сеансов пользователей. Чтобы эта служба не была единой точкой отказа и чтобы иметь возможность масштабирования с целью удовлетворения потребностей организации в производительности, можно сконфигурировать каталог сеансов, чтобы он выполнялся как кластеризованная служба с помощью MSCS. Чтобы создать кластер для каталога сеансов, выполните следующие действия: 1. Проверьте, что режим службы сервера каталога для сеансов терминальных служб установлен в Automatic (Автоматический). 2. Убедитесь, что в конфигурации кластера серверов доступны следующие ресурсы: •
Физический диск. В дополнение к кворумному диску, кластеру понадобится общий диск для совместно используемых данных.
•
IP-адрес. Статический IP-адрес, доступный всем терминальным серверам.
•
Сетевое имя. Имя, разрешаемое со всех терминальных серверов кластера. Для всех обменов данными между терминальным сервером и сервером каталога сеансов необходим Kerberos. Прежде чем перевести ресурс сетевого имени в оперативный режим, проверьте, что установлен флажок Enable
914
Технологии удаленного и мобильного доступа ×àñòü VII Kerberos Authentication (Включить аутентификацию Kerberos) и DNS Registrations Must Succeed (Регистрации в DNS должны успешно выполняться).
3. Выберите в меню File (Файл) пункт New Ö Resource (Создать Ö Ресурс). После запуска мастера введите имя и описание и установите тип ресурса в Generic (Обобщенный). 4. Щелкните на кнопке Next и примите значения по умолчанию. 5. Определите свои зависимости. Укажите ресурсы Physical Disk (Физический диск) и Network Name (Сетевое имя). 6. Определите обобщенные параметры службы. В поле Service Name (Имя службы) укажите имя службы (TSSDIS) и установите флажок Use Network Name for Computer Name (Использовать для имени компьютера сетевое имя). 7. Сконфигурируйте репликацию системного реестра. Щелкните на кнопке Add и введите System\CurrentControlSet\Services\Tssdis\Parameters. 8. Щелкните на кнопке Finish. 9. Переведите новый ресурс службы в оперативный режим.
НА ЗАМЕТКУ Дополнительная информация по MSCS приведена в главе 31.
Îïòèìèçàöèÿ ïðîèçâîäèòåëüíîñòè òåðìèíàëüíûõ ñëóæá Оптимизация терминальных служб является достаточно трудной задачей в силу наличия сложностей в любой среде. Аппаратные ресурсы, приложения, использование, количество поддерживаемых пользователей и многие другие факторы могут повлиять на качество работы терминальной службы с пользователями. Случаи, когда одним махом можно улучшить общую производительность, редки; обычно нужен комбинированный подход. Например, с точки зрения пользователя, настройки видеоизображения, глубина цвета, перенаправление аудио, перенаправление принтеров и уровень шифрования — все это влияет на производительность системы. Вот практические советы по обеспечению максимальной эффективности работы реализации терминальной службы: •
Ограничивайте пользователей одним сеансом.
•
Прекращайте отключенные или неработающие сеансы по истечении указанного промежутка времени.
•
Используйте только драйверы принтеров, сертифицированные для Windows Server 2003.
•
Используйте приложения, сертифицированные для Windows Server 2003, и проконсультируйтесь с поставщиками по поводу оптимизации отдельных приложений.
•
Используйте диспетчер операций Microsoft (MOM) или другую программу управления операциями для наблюдения за фермой терминальных служб.
Терминальные службы Windows Server 2003 Ãëàâà 27
915
•
При развертываниях среднего масштаба и масштаба предприятия для хранения профилей пользователей используйте отдельный сервер или группу серверов с быстрой дисковой подсистемой.
•
Обдумайте использование сторонних программ блокировки всплывающих окон в Web-браузере.
•
Блокируйте Web-сайты, в которых используются большие объемы анимации. Запрещайте пользователям устанавливать такие приложения, как игры или программы улучшения внешнего вида рабочего стола, или темы.
•
Автоматизируйте удаление cookie-наборов Web-браузером.
Ìîíèòîðèíã òåðìèíàëüíîãî ñåðâåðà Для мониторинга терминальных служб и сбора статистики о сеансах можно воспользоваться оснасткой Performance (Производительность) консоли MMC. Двумя объектами производительности, связанными с терминальной службой, являются Terminal Services (Терминальные службы) и Terminal Services Session (Сеанс терминальных служб). Первый объект — Terminal Services — имеет только три счетчика: активные сеансы, неактивные сеансы и все сеансы. Сбор этих данных о сеансах и их объединение с такой информацией, как Server Memory \ Available Bytes (Память сервера\Доступно байтов) и Processor \ % Idle (Процессор\% простоя), может дать администратору ясное представление об использовании и загрузке терминального сервера. С помощью этой информации можно определить, нужно ли добавить дополнительные ресурсы или серверы, чтобы соответствовать загрузке или улучшить производительность. Одной из настроек, которую можно выполнить после анализа этих счетчиков, является реализация пределов продолжительности прерванных сеансов, чтобы освободить аппаратные ресурсы сервера от активных сеансов. Второй объект производительности — Terminal Services Session — можно использовать для мониторинга всех счетчиков, доступных для отдельного сеанса терминального сервера. С помощью этого объекта можно получить аккуратную статистическую информацию об объеме памяти и времени процессора, используемом в среднем сеансом терминального сервера. Обязательно произведите мониторинг сетевых интерфейсов на доступных пропускных способностях, чтобы обеспечить, что терминальный сервер не создает узкое место между клиентами и другими серверами.
Óïðàâëåíèå ðåñóðñàìè ñ ïîìîùüþ äèñïåò÷åðà ñèñòåìíûõ ðåñóðñîâ Windows С помощью диспетчера системных ресурсов Windows (Windows System Resource Manager — WSRM) можно ограничить использование процессора или памяти отдельным приложением. В среде терминальных служб можно назначить отдельные параметры, предназначенные не только для приложения, но и для конкретного пользователя или группы. Это помогает увеличить согласованность между сеансами пользователей и предотвратить негативное влияние необычных приложений или сеансов на другие сеансы. Более подробная информация по применению диспетчера ресурсов Windows приведена в главе 35.
916
Технологии удаленного и мобильного доступа ×àñòü VII
Ïîääåðæêà òåðìèíàëüíûõ ñëóæá Поддержка терминальных служб означает не только правильную настройку; в нее также входит поддержка конечных пользователей, установка и сопровождение приложений и защита и оптимизация настроек терминального сервера, а также другие обязанности сервера.
Èñïîëüçîâàíèå äèñïåò÷åðà òåðìèíàëüíîãî ñåðâåðà Диспетчер терминального сервера (Terminal Server Manager) предназначен для управления сеансами на терминальном сервере. С его помощью можно провести мониторинг использования процессов и ресурсов терминальным сервером на каждом сервере или каждым пользователем. Когда администратор запрашивает доступ к удаленному контролю терминальным сеансам, он должен работать в терминальном сеансе и запустить функцию удаленного контроля из диспетчера терминального сервера. С помощью этого инструмента можно также посылать сообщения пользователям активных сеансов.
Óïðàâëåíèå òåðìèíàëüíûìè ñëóæáàìè èç êîìàíäíîé ñòðîêè В состав Windows Server 2003 входит множество новых инструментов командной строки, предназначенных для обеспечения большей гибкости и работы со сценариями задач администрирования терминального сервера. Для терминальных служб введено почти 20 различных утилит командной строки. Их полный список можно увидеть в оперативной подсказке Windows Server 2003; ниже приведены лишь некоторые наиболее полезные из них: •
tskill.exe. Позволяет завершать зависшие или застрявшие процессов или приложения в любом активном сеансе без необходимости подключения к сеансу с помощью удаленного контроля.
•
Shadow.exe. Инициирует фоновый сеанс или сеанс удаленного контроля из командного окна или сценария.
•
Query.exe {Process, Session, Termserver, User}. Позволяет администратору опросить конкретный сервер, чтобы получить список текущих активных и неактивных сеансов и процессов.
•
TSShutdn.exe. Позволяет администратору удаленно остановить или перезагрузить терминальный сервер. Этот инструмент может известить существующих пользователей об оставшемся до останова времени.
Терминальные службы Windows Server 2003 Ãëàâà 27
917
Óïðàâëåíèå òåðìèíàëüíûìè ñëóæáàìè ñ ïîìîùüþ WMI В состав Windows Server 2003 входит замечательный новый компонент — поставщик Windows Management Instrumentation (WMI), предназначенный для управления терминальным сервером. Администраторы могут создавать WMI-сценарии для удаленного конфигурирования и управления терминальными серверами. Поставщик WMI позволяет выполнять администраторам почти любую задачу на терминальном сервере, которую можно было бы выполнить с помощью инструментов командной строки либо оснасток Terminal Server Manager или Terminal Services Configuration. В этом поставщике WMI доступны общие описания классов, свойств и методов — см. комментарии в файле поставщика %SystemRoot\system32\Wbem\tscfgwmi.mof.
Ïîääåðæêà è àêòèâèçàöèÿ ïîëüçîâàòåëåé òåðìèíàëüíîãî ñåðâåðà Системы Windows Server 2003 и XP Professional содержат локальную группу Remote Desktop Users (Пользователи удаленного рабочего стола). Этой группе и группе Administrators (Администраторы) можно по умолчанию входить в систему с помощью терминальных служб. При включении в домен сервера Windows Server 2003 группа Domain Users (Пользователи домена) может быть включена в локальную группу Remote Desktop Users, что дает всем пользователям домена право входить в систему с помощью терминальных служб, если есть такая необходимость. Можно ограничить круг пользователей, которые могут входить в систему с помощью терминальных служб, выполнив перечисленные ниже действия. •
Для обособленной реализации терминального сервера добавьте или удалите членов из локальной группы Remote Desktop Users, чтобы контролировать доступ входа в систему с помощью терминального сервера.
•
Для терминальных серверов в домене используйте групповую политику для управления доступом входа в систему, определив параметр Allow Logon Through Terminal Services (Разрешить вход в систему через терминальные службы), и добавьте соответствующие группы пользователей.
Если необходимо, создайте группу Domain Universal (Универсальный домен) или Global Security (Глобальная безопасность) для пользователей терминального сервера и добавьте в параметр Allow Logon Through Terminal Services (Разрешить вход в систему через терминальные службы) только эту группу.
Îòêëþ÷åíèå òåðìèíàëüíûõ ñëóæá Чтобы отключить терминальные службы, используйте локальную политику безопасности или групповую политику (в зависимости от обстоятельств), чтобы определить параметр Deny Logon Through Terminal Services (Запретить вход в систему через терминальные службы) и применить его к группе Everyone, как показано на рис. 27.13.
918
Технологии удаленного и мобильного доступа ×àñòü VII
Ðèñ. 27.13. Отключение терминальных служб с помощью оснастки Group Policy НА ЗАМЕТКУ Настройки групповой политики, определенные для терминальных служб, перекрывают настройки локальной политики безопасности, а не дополняют их.
Äèñòàíöèîííîå óïðàâëåíèå òåðìèíàëüíûì ñåàíñîì Пользователям терминального сервера может потребоваться поддержка для выполнения таких задач, как отображение на общие файловые ресурсы, инсталляция стороннего драйвера принтера или просто устранение проблем, возникших при работе в терминальном сеансе. Используя средства удаленного управления терминальных служб, администратор может взаимодействовать с пользователями в активных сеансах с доступом только на просмотр или возможностью полного дистанционного управления. Объем доступа, предоставленный администратором во время сеанса дистанционного управления, может быть установлен пользователем, однако его может задать администратор на уровне сервера. Администратор может удаленно управлять терминальным сеансом пользователя только из отдельного терминального сеанса. Команды дистанционного управления могут выдаваться с помощью диспетчера терминального сервера или средства командной строки Shadow.exe.
Ïðèìåíåíèå ïàêåòîâ îáíîâëåíèé Применение пакетов обновлений для терминального сервера следует той же стратегии, которая описана в предыдущем разделе “Установка приложений для терминального сервера”. Тестируйте все пакеты обновлений в изолированной лабораторной среде, прежде чем применять их на производственных машинах, и всегда созда-
Терминальные службы Windows Server 2003 Ãëàâà 27
919
вайте резервные копии системы, чтобы при необходимости иметь возможность выполнить откат.
Âûïîëíåíèå àâàðèéíîãî âîññòàíîâëåíèÿ íà òåðìèíàëüíîì ñåðâåðå Резервное копирование и восстановление терминального сервера следуют тем же процедурам, что и резервное копирование и восстановление обособленного сервера. Администраторы должны создавать резервные копии всех данных локальных пользователей, в том числе и профилей, и резервную копию текущего состояния системы сервера. Резервное копирование данных и состояние системы, вкупе с документацией по созданию сервера — это все, что нужно администратору для восстановления терминального сервера. Подробные шаги по созданию документации по созданию сервера и техникам резервного копирования и восстановления Windows Server 2003 описаны в главах 24, 32 и 33.
Äîñòóï ê òåðìèíàëüíîìó ñåðâåðó Терминальный сервер Windows Server 2003 доступен для обращения от различных клиентов. Это 32-разрядные клиенты на основе Windows, 16-разрядные графические клиенты на основе DOS и Web-клиенты на базе ActiveX.
Äîñòóï ê òåðìèíàëüíûì ñëóæáàì ñ ïîìîùüþ 32-ðàçðÿäíîãî Windows-êëèåíòà RDP Все версии серверов Windows Server 2003 и Windows XP Professional содержат 32разрядный клиент терминального сервера, называемый Remote Desktop Connection (Подключение к удаленному рабочему столу). Этот полнофункциональный клиент позволяет конечным пользователям настроить свои подключения на работу в полноэкранном режиме, используя такие усовершенствованные возможности, как перенаправление аудиосигналов, полноцветное видеоизображение и перенаправление локальных дисков, COM-портов и принтеров. Remote Desktop Connection можно также оптимизировать для работы по соединению со скоростью 28,8 Кбит/с. Клиентские рабочие станции низкого уровня могут бесплатно загрузить клиент RDP с Web-сайта Microsoft.
Äîñòóï ê òåðìèíàëüíûì ñëóæáàì ñ ïîìîùüþ Web-êëèåíòà Терминальные службы предоставляют Web-клиент, который легко распространить с помощью Web-браузера. Этот клиент загружается как объект ActiveX и требует лишь однократной установки. Для подключения к терминальному серверу с помощью этого клиента необходимо подключение к Web-порту Web-страницы входа в терминальный сервер, а также доступ к TCP-порту 3389 на терминальном сервере. Web-клиент все равно использует протокол доступа к удаленному рабочему столу (Remote Desktop Protocol — RDP), поддерживаемому терминальными службами Windows Server 2003.
920
Технологии удаленного и мобильного доступа ×àñòü VII
Несмотря на распространенное убеждение многих администраторов терминального сервера, система Web-сервера, содержащая страницы Web-клиентов, не обязательно должна выполняться на терминальном сервере. Если нет специальной причины для выполнения Web-сервера на терминальном сервере, то по соображениям безопасности и производительности лучше разместить Web-клиент терминального сервера на отдельном Web-сервере. Для установки клиента Web-сервера на системе Web-сервера выполните следующие шаги: 1. Выберите в меню Start пункт Control Panel. 2. Найдите пиктограмму Add/Remove Programs и щелкните на ней. 3. Щелкните на кнопке Add/Remove Windows Components. 4. Исходя из предположения, что на данном сервере еще не выполняется сервер приложений, установите флажок в позиции Application Server и щелкните на кнопке вывода подробностей. 5. Установите флажок Internet Information Services (IIS), выделите эту опцию и щелкните на кнопке вывода подробностей. 6. Найдите и установите флажок World Wide Web Service (Служба World Wide Web) и опять щелкните на кнопке вывода подробностей. 7. Установите флажок Remote Desktop Web Connection (Web-подключение к удаленному рабочему столу) и три раза щелкните на кнопке ОК, а затем на кнопке Next, чтобы начать установку. 8. После завершения установки щелкните на кнопке Finish и закройте окно Add/Remove Program. Для доступа к этой странице откройте Web-браузер и введите адрес http://servername/tsweb.
Èñïîëüçîâàíèå óòèëèòû MMC Remote Desktops (Tsmmc.msc) Remote Desktops (Удаленные рабочие столы) — эта утилита, предоставляющая способ управления несколькими сеансами терминальных служб из одного окна. Эта утилита также использует протокол RDP для подключения к серверам и рабочим станциям, однако она позволяет администраторам переключаться между терминальными сеансами, щелкая на кнопках, а не переключая окна. Кроме того, поскольку настройки консоли можно сохранять, можно установить новый терминальный сеанс одним щелчком мыши.
Óäàëåííîå ïîäêëþ÷åíèå ê êîíñîëè òåðìèíàëüíîãî ñåðâåðà Администраторы могут удаленно подключаться к консолям терминального сервера с помощью клиента подключения к удаленному рабочему столу (Remote Desktop Connection) или оснастки MMC Remote Desktops. Используя доступ к удаленной консоли, администраторы могут дистанционно войти в сервер с помощью терминальных служб, как будто они входят с этой консоли.
Терминальные службы Windows Server 2003 Ãëàâà 27
921
С помощью оснастки MMC Remote Desktops администраторы могут сконфигурировать сеансы удаленных рабочих столов, всегда подключенные к сеансу консоли терминального сервера, показанному на рис. 27.14. Это позволяет администраторам успешно удаленно устанавливать и изменять операционную систему и приложения.
Ðèñ. 27.14. Настройка оснастки администрирования для подключения к консоли ВНИМАНИЕ! Необходимо разбираться, где нужно оставить сеанс консоли начатым и/или заблокированным. Если пользователь выходит из сеанса, то выходит из сеанса и консоль. Поэтому нужна надежная информация.
Для подключения к консоли терминального сервера с помощью утилиты Remote Desktop Connection запустите из командной строки программу mstsc.exe с опцией /console, обеспечивающей доступ к консоли.
Ðåçþìå Терминальные службы Windows Server 2003 — гибкий инструмент, предоставляющий возможности администрирования и работы удаленных пользователей. В зависимости от потребностей организации, терминальные службы могут быть использованы для удаленного администрирования и поддержки конечных пользователей, а также для предоставления всех возможностей удаленного рабочего стола. Терминальные службы позволяют и пользователям, и системным администраторам одинаково просто и продуктивно выполнять свои функции из офиса или удаленно.
922
Технологии удаленного и мобильного доступа ×àñòü VII
Ïîëåçíûå ñîâåòû •
Избегайте установки приложений, особенно служб Windows Server 2003 и компонентов Windows из сеанса терминального сервера, чтобы не возникла блокировка сеанса терминального сервера без возможности восстановления.
•
Фильтруйте в журнале событий безопасности события входов и выходов пользователей и просматривайте журналы производительности.
•
Сконфигурируйте каждый из узлов кластера терминальных серверов, чтобы каждый пользователь был ограничен только одним сеансом ТС, с помощью Group Policy или оснастки настройки терминальных служб.
•
При кластеризации или балансировке нагрузки терминальных серверов Windows Server 2003 используйте сервер каталога сеансов для управления сеансами в кластере ТС.
•
Включите режим Remote Desktop for Administration на всех внутренних серверах, чтобы сделать возможным удаленное администрирование.
•
При выборе антивирусного пакета выбирайте такой, который сертифицирован для работы на терминальных серверах Windows .NET.
•
Если нужно провести модернизацию операционной системы терминального сервера, то по возможности замените сервер на заново установленный и протестируйте все приложения, а не выполняйте модернизацию на месте, чтобы избежать ошибок в работе сервера или приложений.
•
Размещайте терминальные серверы там, где к ним легче получить доступ клиентам, которые в основном ими пользуются.
•
Если возможно, выбирайте приложения, протестированные и сертифицированные Microsoft для работы на терминальных серверах Windows Server 2003.
•
Для оптимальной производительности многозвенных приложений установите на терминальном сервере две или более сетевых карт и сконфигурируйте сервер так, чтобы одна их них использовалась только для подключения клиентов терминального сервера, а остальные — для связи с серверами приложений.
•
При необходимости повышения безопасности сервера используйте групповую политику для ограничения возможностей клиента, а если необходима повышенная безопасность сети, то подумайте над тем, чтобы перевести сеансы на работу в 128-битном режиме шифрования.
Àäìèíèñòðèðîâàíèå íàñòîëüíûõ êîìïüþòåðîâ
 ÝÒÎÉ ×ÀÑÒÈ... 28. Ñðåäñòâà àäìèíèñòðèðîâàíèÿ íàñòîëüíûõ êîìïüþòåðîâ â Windows Server 2003 29. Óïðàâëåíèå ãðóïïîâûìè ïîëèòèêàìè ñåòåâûõ êëèåíòîâ
×ÀÑÒÜ
VIII
Средства администрирования настольных компьютеров… Ãëàâà 28
Ñðåäñòâà àäìèíèñòðèðîâàíèÿ íàñòîëüíûõ êîìïüþòåðîâ â Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Âàðèàíòû ðàçâåðòûâàíèÿ íàñòîëüíîãî êîìïüþòåðà
•
Êëîíèðîâàíèå ñèñòåìû ñ ïîìîùüþ ñëóæáû óäàëåííîé èíñòàëëÿöèè
•
Ñîçäàíèå îáðàçîâ Windows XP
•
Óïðàâëåíèå íîñèòåëÿìè èíñòàëëÿöèè Windows XP è âåðñèÿìè îáðàçîâ
•
Îáíîâëåíèå ñóùåñòâóþùèõ ðàáî÷èõ ñòàíöèé XP è 2000
•
Óïðàâëåíèå ïðèëîæåíèÿìè íàñòîëüíîãî êîìïüþòåðà
•
Äèñòàíöèîííîå óïðàâëåíèå íàñòîëüíûìè êîìïüþòåðàìè Windows XP
ÃËÀÂÀ
28
925
926
Администрирование настольных компьютеров ×àñòü VIII
Когда работники IT-отделов говорят об Active Directory, они обычно имеют в виду серверы, среды пользовательских приложений предприятия, инфраструктуру или безопасность. Но одной из замечательных скрытых возможностей в Active Directory и Windows Server 2003 является возможность оказания помощи администраторам клиентских систем (настольных компьютеров, ноутбуков и мобильных пользователей) в улучшении управления и администрирования клиентских систем из одного центрального места и через обычные сетевые средства. Windows Server 2003 позволяет администраторам выбрать подходящий способ администрирования, чтобы уменьшить количество задач или автоматизировать повторяющиеся задачи, а также обеспечить масштабируемость задач, что позволяет уменьшить общее количество посещений рабочих станций и связанных с ними вопросов. В данной главе рассматриваются средства администрирования и концепции, с помощью которых можно устанавливать рабочие станции Microsoft Windows XP Professional и управлять ими. Будут рассмотрены вопросы развертывания рабочих столов и поддержания операционной системы в актуальном состоянии. Кроме того, в этой главе описываются удаленное администрирование и удаленная установка приложений. Многие рассматриваемые здесь средства и концепции применимы и к рабочим станциям Windows 2000 Professional, но мы будем предполагать, что настольные компьютеры работают под Windows XP.
Âàðèàíòû ðàçâåðòûâàíèÿ íàñòîëüíîãî êîìïüþòåðà При развертывании рабочих станций в сетевой среде Microsoft Windows возможно несколько вариантов. Загрузить операционную систему можно с загрузочного диска или запустив установку с другой машины сети с помощью сетевого клиента командной строки, подобного MS Client. Некоторые из этих вариантов были переняты крупными продавцами компьютерного оборудования, но эти варианты были слишком сложны и требовали многочасового тестирования, поэтому они не прижились в небольших и средних по размеру организациях, не видящих смысла в сложных инсталляциях. Windows 2000 и Windows XP продолжают традицию Microsoft, предоставляя несколько методов развертывания настольных компьютеров.
Ðó÷íàÿ óñòàíîâêà Ручная установка Windows XP или Windows 2000 является, по-видимому, наиболее широко применяемым методом установки операционной системы. Многие администраторы и организации считают распространение образов ненадежным и непонятным. Вообще-то если в предыдущих версиях операционных систем Windows машина была инсталлирована с помощью программ распространения образов, то она всегда вела себя подозрительно, и были нередки случаи разрушения системы. Одним из преимуществ ручной установки является то, что процесс всегда начинается с чистой базовой операционной системы, на которой строится все остальное. Для ручной установки Windows XP вставьте загрузочный носитель Windows XP в соответствующее устройство и включите рабочую станцию. При загрузке с компактдиска необходимо ввести ключ, и после этого начинается установка. Пошаговые ин-
Средства администрирования настольных компьютеров… Ãëàâà 28
927
струкции установки в корневом каталоге компакт-диска с Windows XP понятны и легко выполнимы.
Àâòîíîìíàÿ óñòàíîâêà Более автоматизированным методом установки является автономная установка. Это тип установки возможен тогда, когда ответы на вопросы процесса установки выполняются автоматически, с использованием информации из файла установки или ответов. Преимущество этого подхода заключается в том, что все установку можно описать сценарием и загрузить на компакт-диск. При загрузке с этого компакт-диска начинается установка операционной системы. При назначении приложений с помощью групповой политики рабочую станцию можно очень быстро автоматически настроить и запустить в эксплуатацию. Время, необходимое для автономной установки, близко ко времени, требуемому для ручной установки, но при этом сокращается количество ошибок пользователя и отпадает необходимость следить за процессом установки. Единственное необходимое действие пользователя — запуск системы с загрузочного компакт-диска. Автономную установку можно настроить для поддержки различных типов установки и аппаратных конфигураций, указав нужную информацию в конфигурационных файлах установки.
Êëîíèðîâàíèå îáðàçîâ ðàáî÷åãî ñòîëà Образы рабочего стола — это копии работающей рабочей станции в ее текущем состоянии. Лишь несколько поставщиков программного обеспечения разработали программы, успешно применяемые для развертывания рабочих станций Windows с помощью хранимых образов.
Ñëóæáà óäàëåííîé èíñòàëëÿöèè Служба удаленной инсталляции (Remote Installation Services — RIS) используется в Windows Server 2003 для создания и развертывания образов рабочего стола Windows 2000 и Windows XP. Кроме того, имея готовый сервер Windows Server 2003, с помощью RIS можно создавать и развертывать образы этого сервера. Служба удаленной инсталляции использует некоторые средства подготовки системы, позволяя автоматизировать и стандартизировать инсталляции настольных компьютеров по всему предприятию. RIS предъявляет к клиенту некоторые требования и ограничения, но даже простая установка одного образа можно существенно упростить развертывание настольного компьютера.
Ïðîãðàììû êëîíèðîâàíèÿ îáðàçîâ ñòîðîííèõ ðàçðàáîò÷èêîâ Одним из преимуществ применения программ клонирования образов от сторонних разработчиков является то, что данные можно сжать, а загружаемые образы разбить на несколько компакт-дисков. Кроме того, более совершенные версии обеспечивают режимы “один в один” (одноадресатный) и “один в несколько” (многоадресатный).
928
Администрирование настольных компьютеров ×àñòü VIII
Ïðîãðàììû ìíîãîàäðåñàòíîãî êëîíèðîâàíèÿ Многоадресатная технология обеспечивает возможность посылки сжатых, а иногда и зашифрованных, данных нескольким клиентам единым потоком информации. Эта технология оптимизирована и требует меньшей пропускной способности сети по сравнению с индивидуальными обращениями к потоку данных того же количества клиентов. Программы многоадресатного клонирования серверов и рабочих станций позволяют администраторам воспользоваться преимуществами этой технологии и развернуть образы на нескольких сотнях рабочих станций локальной сети или во всем предприятии. Единственный ее недостаток состоит в том, что все клиенты должны простаивать, ожидая подключения и приема образа. После подключения всех клиентов образ может быть загружен одновременно на все рабочие станции.
Êëîíèðîâàíèå ñèñòåìû ñ ïîìîùüþ ñëóæáû óäàëåííîé èíñòàëëÿöèè В состав Windows Server 2003 входит средство развертывания образов серверов и рабочих станций, называемое службой удаленной инсталляции (Remote Installation Services — RIS). Появившись впервые в Windows 2000, средства развертывания RIS были несколько ограниченными, и их можно было применять только для развертывания рабочих станций Windows 2000 Professional. Начиная с Windows Server 2003, появилась возможность сохранять и развертывать по всему предприятию и образы сервера. Это позволяет администраторам конфигурировать стандартные образы и сервера, и рабочей станции, и использовать их по всему предприятию. Служба удаленной инсталляции — удобная вещь, но перед развертыванием настольных компьютеров с помощью этого средства необходимо предусмотреть этапы тестирования и планирования.
Ïëàíèðîâàíèå ðàçâåðòûâàíèé RIS Установка RIS в системе Windows Server 2003 является довольно простым процессом, но планирование использования сервера RIS может помочь обеспечить успешную реализацию. Вопросы, связанные с RIS, включают в себя решение, на сколько систем должен одновременно поставлять инсталляционные образы RIS-сервер. Кроме того, компьютеры-клиенты RIS должны поддерживать удаленную загрузку, с помощью либо загрузочного диска, либо среды выполнения до загрузки (Pre-boot Execution Environment — PXE) на совместимых системах. Поскольку RIS-серверы стараются переслать образы клиентам настолько быстро, насколько это позволяет сеть, необходимо ограничить доступ RIS-сервера к клиентам локальной сети, чтобы при загрузке образов на клиентские компьютеры RIS-сервер не загрузил каналы глобальной сети полностью. Память всегда является важным вопросом для серверов клонирования, а программы загрузки образов сторонних разработчиков сохраняют каждый образ в отдельном файле, занимающем очень много места. Хотя эти файлы образов часто довольно хорошо сжимаются, RIS хранит образы в их исходных форматах файлов, но для экономии памяти заменяет повторяющиеся файлы указателями или ссылками на них. Технология, используемая для оптимизации памяти с помощью распознавания файлов, используемых в различных образах, называется Single Instance Storage (SIS, хранение
Средства администрирования настольных компьютеров… Ãëàâà 28
929
одного экземпляра). SIS работает, замещая реальные повторяющиеся файлы точками подключения, указывающими на другие места в образе RIS. Это уменьшает общее требование к памяти RIS-сервера, позволяя создание нескольких специализированных образов, включая и сохранение на RIS-сервере образов компьютеров пользователей в качестве средства восстановления. Для оптимизации производительности доступа к образам системы необходимо инсталлировать RIS и образы RIS на физических дисках, отличных от операционной системы.
Óñòàíîâêà RIS Администратор с правами доступа локального администратора может быстро установить RIS. RIS-сервер может также входить в домен Active Directory, а кроме того, в сети должен быть доступен сервер DHCP. Для установки RIS выполните следующие шаги: 1. Войдите в RIS-сервер с учетной записью администратора домена или, по крайней мере, локального администратора. 2. Выберите в меню Start (Пуск) пункт Control Panel (Панель управления). 3. Выберите Add/Remove Programs (Установка и удаление программ). 4. Выберите Add/Remove Windows Components (Установка и удаление компонентов Windows). 5. Найдите и установите флажок Remote Installation Services (Служба удаленной инсталляции). 6. Щелкните на кнопке Next (Далее) для установки RIS, а после завершения установки щелкните на кнопке Finish (Готово). 7. Закройте все открытые окна и перезагрузите сервер.
Íàñòðîéêà RIS После перезагрузки RIS-сервера можно приступать к настройке службы. Во время начальной настройки необходимо указать место на RIS-сервере для хранения образов и выбрать несколько простых опций установки. Кроме того, во время этого процесса создается первый инсталляционный образ. Этот образ основан на первоначальной инсталляции конкретного варианта операционной системы. Например, для первого образа на RIS-сервере Windows Server 2003 может быть использован компакт-диск Windows 2000 Professional. Для настройки RIS выполните перечисленные ниже шаги. 1. Войдите в RIS-сервер с учетной записью администратора домена или, по крайней мере, локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖRemote Installation Services Setup (Все программыÖАдминистрированиеÖУстановка службы удаленной инсталляции). 3. Прочтите информацию на экране приветствия мастера RIS и убедитесь, что выполнены все требования RIS, необходимые для успешной реализации. Затем щелкните на кнопке Next.
930
Администрирование настольных компьютеров ×àñòü VIII
4. В следующем окне укажите локальный путь, где будут храниться образы RIS. Эта папка не должна находиться на системном диске и должна содержать достаточно места для хранения всех образов. Путь инсталляций не должен принадлежать загрузочному разделу или разделу с загруженной операционной системой. После указания местоположения папки щелкните на кнопке Next. 5. Окно первоначальных настроек позволяет RIS-серверу немедленно начать реагировать на запросы клиентов. По умолчанию эта опция отключена, но чтобы позволить RIS-серверу начать принимать подключения клиентов, установите флажок Respond to Client Computers Requesting Service (Отвечать на службы запросов клиентских компьютеров), а затем щелкните на кнопке Next. 6. Теперь необходимо указать местоположение исходных файлов первого образа. Эта информация будет использована для создания на сервере первого образа. Если используется компакт-диск Windows, укажите либо корень этого диска, либо каталог I386 для инсталляций на системах с процессором Intel. 7. В следующем окне укажите местоположение папки образа. По умолчанию используется имя системного каталога конкретной операционной системы, например, WINNT или WINDOWS. Щелкните на кнопке Next. В следующем окне введите понятное осмысленное имя (Friendly Descriptive name) и любой пояснительный текст (Help Text) для папки образа, а затем щелкните на кнопке Next. 8. В последнем окне, показанном на рис. 28.1, просмотрите все заданные параметры и щелкните на кнопке Finish для создания образа. После щелчка на кнопке Finish установка RIS завершается, и на сервер копируются файлы первого образа инсталляции. Во время этого процесса можно создать файл ответов автономной инсталляции, чтобы с помощью RIS-сервера автоматизировать часть инсталляции (или даже всю). После завершения этого процесса необходимо добавить две опции области действия сервера DHCP, чтобы клиенты могли находить RIS-сервер.
Ðèñ. 28.1. Создание образа RIS
Средства администрирования настольных компьютеров… Ãëàâà 28
931
Êîíôèãóðèðîâàíèå DHCP äëÿ êëèåíòîâ RIS После завершения установки RIS-сервера необходимо добавить две опции DHCP области действия сервера, чтобы RIS-сервер могли находить клиенты. Эти настройки относятся к опциям с номерами 066 и 067; они представляют собой имя хоста загрузочного сервера и имя загрузочного файла. Значение имени хоста загрузочного сервера является полностью определенным именем DNS, а имя загрузочного файла — это просто Startrom.exe. Чтобы добавить эти опции, выполните описанные ниже действия. 1. Войдите в сервер DHCP с правами доступа администратора домена. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖDHCP (Все программыÖСредства администрированияÖDHCP). 3. Раскройте строку Local DHCP Server (Локальный сервер DHCP) и выберите нужную область действия. 4. Раскройте область действия и выберите пункт Scope Options (Опции области действия). Если на данном сервере DHCP применяются несколько областей действия, а опции RIS необходимо добавить во все области действия, выберите вариант Scope Options, охватывающий все объекты. 5. Щелкните правой кнопкой мыши на строке Scope Options (Опции области действия) и выберите в контекстном меню пункт Configure Options (Настройка опций). 6. Найдите в окне Available Options (Доступные опции) номер 066, отметьте опцию Boot Server Host Name (Имя хоста загрузочного сервера) и введите полностью определенное доменное имя RIS-сервера. 7. Установите следующий параметр — 067 Bootfile Name (Имя загрузочного файла) — и введите строку RemoteInstall\Admin\I386\Startrom.com для завершения обновления DHCP для RIS. Щелкните на кнопке ОК, чтобы закрыть окно Scope Options.
Óñòàíîâêà òðåáîâàíèé êëèåíòà Чтобы удаленный клиент получил доступ к RIS-серверу, он должен иметь доступ к сети. Для работы RIS-серверов нужно, чтобы клиентские компьютеры поддерживали среду выполнения до загрузки (Pre-boot Execution Environment — PXE) или сетевую загрузку. Эта опция присутствует на многих рабочих станциях, но прежде чем начать ее использовать, ее, возможно, потребуется активизировать или выбрать во время загрузки. Для клиентских рабочих станций, не поддерживающих такую возможность, можно воспользоваться генератором дискет для удаленной загрузки (Remote Boot Floppy Generator, Rbfg.exe), чтобы создать дискету для сетевой загрузки. Программа Rbfg.exe загружается на RIS-сервер и находится в папке %systemroot%\System32\Reminst. Для создания загрузочной дискеты выполните следующие шаги: 1. Войдите в RIS-сервер с учетной записью с правами доступа администратора. 2. Вставьте в дисковод RIS-сервера чистую форматированную дискету. 3. Откройте проводник Windows и войдите в папку c:\windows\system32\reminst, а в ней найдите файл Rbfg.exe. Если файла там нет, то либо это не RIS-сервер,
932
Администрирование настольных компьютеров ×àñòü VIII
либо служба RIS еще не установлена. Если RIS не установлена, перейдите в раздел “Установка RIS” и выполните все указанные там шаги, а потом вернитесь к этому месту. 4. Когда откроется генератор дискет для удаленной загрузки Microsoft Windows (Microsoft Windows Remote Boot Disk Generator), щелкните на кнопке Create Disk (Создать диск), чтобы создать загрузочную дискету. В процессе создания загрузочной дискеты вы будете видеть нечто похожее на рис. 28.2.
Ðèñ. 28.2. Создание загрузочной дискеты для RIS
Если нужного адаптера в списке нет, можно создать загрузочную дискету другим способом. Найдите подробное описание драйвера в документации производителя карты сетевого интерфейса (Network Interface Card — NIC) или на Web-сайте. Необходимо найти драйвер TCP/IP для DOS, который может с помощью DHCP получить конфигурацию сети и выполнить удаленный файл на RIS-сервере для запуска процесса выбора образа.
Ñîçäàíèå îáðàçîâ Windows XP Если планируется использовать RIS или программы клонирования сторонних разработчиков для развертывания образов рабочего стола Windows XP, то необходимо выполнить некоторые шаги, чтобы гарантировать, несколько это возможно, отсутствие проблем в дальнейшем. В зависимости от целей, преследуемых организацией при развертывании нового образа рабочего стола, или целей создания и развертывания стандартных сборок системы, использование программ клонирования рабочих столов может сильно отличаться в различных организациях. Но в последующих разделах описаны шаги, которые необходимо выполнить для создания образа независимо от целей проекта.
Óñòàíîâêà ïðîãðàìì íàñòîëüíîãî êîìïüþòåðà Если образ RIS создается с помощью не только одного мастера администратора установки и носителя унифицированной инсталляции, то на рабочей станции Windows XP потребуется установить и все дополнительные изменения и приложения. Вначале необходимо установить операционную систему и обновить ее с помощью последнего пакета обновлений и последующих исправлений. Это поможет гарантировать надежность и безопасность операционной системы за счет подъема уровня инсталляции до последней версии с блокировкой известных уязвимостей. После обновления ОС необходимо установить приложения Microsoft и сторонних разработчиков, а потом обновить их с помощью всех исправлений вплоть до самого свежего. При необходимости запустите приложения, чтобы проверить, что завершены все шаги установки, например, регистрация, настройка или активация программы.
Средства администрирования настольных компьютеров… Ãëàâà 28
933
Ñòàíäàðòèçàöèÿ íàñòîëüíîãî êîìïüþòåðà После успешной установки и настройки операционной системы и приложений можно настроить параметры настольного компьютера, чтобы удовлетворить требованиям к развертыванию в конкретной организации. На этом этапе может понадобиться активизировать или конфигурировать программы Windows XP наподобие удаленного рабочего стола (Remote Desktop), удаленного помощника (Remote Assistance) или автоматического обновления (Automatic Update). Если в организации не применяются перемещаемые профили пользователей, то нужно настроить параметры рабочего стола: разрешение экрана, ярлыки рабочего стола и опции меню Start. После настройки рабочего стола можно (с помощью учетной записи администратора) скопировать профиль пользователя, использованный для создания настроек, в папку C:\Documents and Settings\Default User (если инсталляция Windows XP находится на диске C:).
НА ЗАМЕТКУ В состав набора ресурсов Windows 2003 Resource Kit входит утилита Delprof.exe, позволяющая сетевому администратору удалить профиль сетевого пользователя. Это средство может оказаться удобным для администраторов, которым нужно очистить дисковую память в системе, перегруженной профилями, или минимизировать риск компрометации информации, связанной с профилями. Набор ресурсов Windows 2003 Resource Kit доступен для свободной загрузки всем сетевым администраторам, имеющим легальные лицензии на Windows Server 2003. Данный подключаемый модуль доступен по адресу http://www.microsoft.com/windowsserver2003/downloads/tools/default.mspx.
После завершения настройки профиля можно сконфигурировать отдельные права пользователей — с помощью параметров в локальной политике безопасности или параметров групповой политики. Локальная безопасность и групповые политики подробно рассмотрены в главах 15, 21 и 29.
Ìèíèìèçàöèÿ îáû÷íûõ îøèáîê êëîíèðîâàíèÿ Зачастую после развертывания администраторами образа компьютера на предприятии всплывает множество досадных проблем. Например, остатки отображения дисков, локальных принтеров или точек инсталляции приложений, существенные только для лабораторного варианта создания образа, остаются в реестре и затем вносят путаницу, когда необходимо обновить или деинсталлировать приложение. Иногда мелочь наподобие окна, оставленного открытым при выходе из рабочей станции перед обновлением профиля пользователя на стандартный пользовательский профиль, после развертывания образа может принести немало хлопот или выглядеть непрофессионально. Для предотвращения мелких проблем, которые могут случиться у конечных пользователей, клиентов или управляющего персонала, которые сочтут такое развертывание ошибочным, вначале разверните образы для нескольких пробных пользователей, достаточно дотошных, чтобы выявить эти проблемы до того, как с ними столкнутся все пользователи.
934
Администрирование настольных компьютеров ×àñòü VIII
Ïðèìåíåíèå ñðåäñòâ ðàçâåðòûâàíèÿ Windows XP Windows XP содержит несколько средств, упрощающих процесс инсталляции рабочего стола за счет автоматизации действий инсталляции. Эти средства применяются к первоначальным базовым конфигурациям операционной системы для создания обобщенного образа, который можно использовать для развертывания операционной системы Windows XP. Вначале нужно запустить установленные приложения, протестировать их работу и сконфигурировать профили стандартного пользователя и всех пользователей. Кроме того, необходимо сконфигурировать и оптимизировать ОС и приложения, если это еще не было сделано. После конфигурирования и успешного тестирования компьютера нужно воспользоваться средствами развертывания Windows XP для удаления из операционной системы всей уникальной информации и автоматизации инсталляции с помощью создания информационных файлов ответов на вопросы инсталляции.
Äèñïåò÷åð óñòàíîâêè Диспетчер установки (Setup Manager, утилита setupmgr.exe) упрощает развертывание компьютеров Windows XP с помощью мастера создания сценариев, облегчающих клонирование операционной системы. После выбора конкретного метода развертывания диспетчер установки выполняет следующие задачи: •
Windows Unattended Installation (Автономная инсталляции Windows). Диспетчер установки может создать файл ответов с именем Unattend.txt для автоматизации развертывания настольных компьютеров, а также может создать точку распространения программного обеспечения, если доступен компакт-диск и указан путь назначения.
•
SysPrep Install (Инсталляция SysPrep). Этот вариант создает файл ответов sysprep.inf, используемый для образов, настроенных на запуск мастера миниустановки (если на рабочей станции была выполнена программа sysprep.exe).
•
Remote Installation Services (Служба удаленной инсталляции). Диспетчер установки можно использовать не только для создания файла ответов Remboot.sif, но и для создания на RIS-сервере образа с компакт-диска. Это означает, что на RIS-сервере можно получить базовый образ, даже не устанавливая Windows XP.
Ñðåäñòâî ïîäãîòîâêè ñèñòåìû Средство подготовки системы (System Preparation Tool) Sysprep.exe немного отличается от диспетчера установки, который автоматизирует инсталляцию, отвечая на задаваемые вопросы — тем, что оно используется на существующих рабочих станциях для удаления данных, специфичных для пользователя: зарегистрированный обладатель программы, сетевые настройки и ключевая информация о продукте. Применение этого файла перед клонированием существующей рабочей станции позволяет индивидуально настраивать образы после установки. В результате образ получается гораздо более функциональным и гибким в отношении того, как и где он может быть инсталлирован.
Средства администрирования настольных компьютеров… Ãëàâà 28
935
Для подготовки системы к клонированию с помощью sysprep.exe выполните следующие шаги: 1. Войдите в рабочую станцию Windows XP Professional, воспользовавшись учетной записью с правами доступа администратора. 2. Чтобы найти программу sysprep.exe, вставьте в привод компакт-диск Windows XP, найдите папку Support, а в ней файл Deploy.CAB. Извлеките из него все файлы, одним из которых будет sysprep.exe. Затем дважды щелкните на имени этой утилиты для ее запуска. 3. При запуске sysprep.exe появляется сообщение, что в системе могут быть выполнены некоторые изменения системы безопасности. После того как вы прочтете и поймете заявление о безопасности, щелкните на кнопке ОК. После этого вам будет предложено выключить компьютер.
Ðèñ. 28.3. Настройка параметров sysprep.exe
4. Внизу страницы измените опцию Shutdown (Остановка) на Quit (Прекращение работы), как показано на рис. 28.3. 5. Щелкните на кнопке Reseal (Запечатать), чтобы утилита SysPrep подготовила рабочую станцию для снятия образа.
НА ЗАМЕТКУ Выбор запечатывания рабочей станции и запуска мини-установки (MiniSetup) удаляет специфические настройки рабочей станции: имя машины, членство в доменах и сетевые конфигурации. Используйте опции MiniSetup и Reseal только на машинах, готовящихся как эталонные клонируемые системы.
6. Появляется окно с предупреждением, что после остановки системы SID компьютера будет сгенерирован заново. Щелкните на кнопке ОК, чтобы завершить работу SysPrep.
Óñòàíîâêà ñðåäñòâ ðàçâåðòûâàíèÿ Windows XP Средства развертывания Windows XP содержатся на носителе с инсталляцией Windows XP, в файле Deploy.CAB. Этот файл находится на компакт-диске Windows XP в подкаталоге Support\Tools корневого каталога носителя Windows XP. Простая распаковка этого файла в предназначенную для этого папку дает администратору доступ к средствам развертывания и сопутствующей документации.
Ñîçäàíèå ñïåöèàëèçèðîâàííîãî îáðàçà íàñòîëüíîãî êîìïüþòåðà äëÿ RIS При первой установке RIS-сервера может быть создан унифицированный образ системы Windows 2000 Professional, Windows XP Professional или Windows Server 2003. Часто требуется клонирование образов с уже установленными программами и выпол-
936
Администрирование настольных компьютеров ×àñòü VIII
ненными настройками. В этом случае образ можно создать из существующей эталонной системы, предназначенной для создания образа. Во избежание конфликтов имен и IP-адресов, вначале необходимо подготовить рабочую станцию к клонированию с помощью утилиты sysprep.exe, “запечатывающей” систему. Это позволяет развертывать один сконфигурированный образ на различных аппаратных конфигурациях; кроме того, можно создавать индивидуальные системные имена и уникальные сетевые настройки. Если необходимо создать специализированный образ совместимой Windowsсистемы, то на RIS-сервере должен находиться образ компакт-диска. Система готова для выгрузки образа на RIS-сервер. Для выполнения этой задачи воспользуйтесь утилитой Riprep.exe. Этот файл находится на RIS-сервере в папке RemoteInstall\Admin\I386. После того как вы найдете этот файл, скопируйте его на клонируемую машину следующим образом: 1. Войдите в клонируемую систему и запустите утилиту Riprep.exe. 2. После запуска Riprep.exe щелкните на экране приветствия на кнопке Next. 3. На следующей странице укажите имя хоста или DNS-имя сервера образов RIS и щелкните на кнопке Next. На следующей странице укажите папку, в которую нужно скопировать образ, и щелкните на кнопке Next. 4. Введите Friendly Description (Понятное описание) и, если хотите, Help Text (Пояснительный текст), а затем щелкните на кнопке Next. 5. Остановите все службы, указанные в следующем окне, щелкнув на кнопке Next. При возникновении ошибок просмотрите информацию в файле riprep.log. 6. Просмотрите все параметры на экране Settings summary (Сводка параметров), а затем два раза щелкните на кнопке Next. 7. После завершения выполнения Riprep.exe щелкните на кнопке Finish.
Ñîçäàíèå àâòîíîìíîé èíñòàëëÿöèè Если нужно развертывать Windows XP в автономном или полностью автоматизированном режиме, то для автоматизации инсталляции можно воспользоваться утилитой Setup Manager (Диспетчер установки). Для создания образа с помощью процесса автономной инсталляции выполните перечисленные ниже шаги. 1. Войдите в рабочую станцию Windows XP Professional с учетной записью с правами администратора. 2. Чтобы найти программу setupmgr.exe, вставьте в привод компакт-диск Windows XP, найдите папку Support, а в ней файл Deploy.CAB. Извлеките из него все файлы, одним из которых является setupmgr.exe. Дважды щелкните на имени этого файла для запуска утилиты. 3. В появившемся экране приветствия щелкните на кнопке Next. 4. Выберите опцию создания нового файла ответов и щелкните на кнопке Next. 5. Выберите опцию создания автономной инсталляции Windows и щелкните на кнопке Next.
Средства администрирования настольных компьютеров… Ãëàâà 28
937
6. В разделе Platform (Платформа) выберите нужную операционную систему и щелкните на кнопке Next. 7. Выберите уровень взаимодействия с пользователем, то есть предоставления пользователю возможности вмешательства в процесс инсталляции. Для большинства развертываний можно выбрать варианты Provide Defaults или Hide Pages Often. Эти варианты либо показывают все параметры инсталляции, кроме уже заполненных значений, либо скрывают из процесса инсталляции системы полностью сконфигурированные страницы инсталляции. 8. Щелкните на кнопке Next, а затем еще раз на кнопке Next, чтобы создать папку с новым дистрибутивом. 9. На следующей странице необходимо указать, будут ли копироваться инсталляционные файлы с компакт-диска или из сети. Выберите требуемый вариант и щелкните на кнопке Next. 10. Укажите локальный путь, где нужно сохранить инсталляционные файлы, и имя общего ресурса. Щелкните на кнопке Next. 11. На следующем экране ответьте на соответствующие вопросы по инсталляции и щелкайте на кнопке Next, пока не зададите или пропустите все параметры. 12. После пропуска или задания всех параметров щелкните на кнопке Finish. 13. В следующем окне укажите, где находится файл unattend.txt, который будет использоваться для передачи только что введенной информации при запуске инсталляции. 14. Щелкните на кнопке ОК, чтобы сохранить файл unattend.txt и скопировать файлы в указанное место на диске.
НА ЗАМЕТКУ Подготовка системы к клонированию с помощью программ сторонних разработчиков выполняется точно так же, как и подготовка системы с помощью sysprep.exe. Можно просто сконфигурировать систему нужным образом и запустить средство sysprep.exe для подготовки системы к клонированию. Если необходимо создать образ для сохранения в нем системы компьютера пользователя, то запускать sysprep.exe не нужно.
Óïðàâëåíèå íîñèòåëÿìè èíñòàëëÿöèè Windows XP è âåðñèÿìè îáðàçîâ Иногда администраторы предпочитают не обновлять компакт-диски носителей инсталляции или каталог I386 на серверах. Это может привести к проблемам, если понадобится восстановление системы, поскольку нехватка основных инсталляционных файлов может помешать выполнению инсталляции новых компонентов сервера или дополнительных функций сервера. Если в вашей организации носитель Windows скопирован в подкаталог I386 сервера и требуется выполнить обновление с помощью пакета обновлений, обязательно поместите в подкаталог I386 последние обновления файлов пакета обновлений, чтобы файлы, хранимые на сервере, совпадали с версиями файлов, загруженных в системе. Пакеты обновлений можно запустить с парамет-
938
Администрирование настольных компьютеров ×àñòü VIII
ром –S, в результате чего на сервер переносятся все необходимые обновленные файлы. Оперативные исправления нельзя обновлять на инсталляционном носителе, поэтому придется дождаться окончания установки машины и отправить ей оперативные исправления через сеть.
Îáíîâëåíèå îáðàçîâ íàñòîëüíûõ êîìïüþòåðîâ Создаете ли вы образы с помощью RIS или продуктов сторонних разработчиков — однажды процедуры, выполняемые после инсталляции, становятся громоздкими и длительными, и тогда необходимо обновить существующие хранимые образы. Когда Microsoft выпускает пакеты обновлений для операционных систем, она включает в новые пакеты обновлений большинство исправлений. Во время установки пакета обновлений эти предыдущие исправления могут автоматически деинсталлироваться, а файлы просто перезаписываться. При этом может случиться так, что в списке Add/Remove Programs (Установка или удаление программ) окажутся и пакет обновлений, и все его последующие выпуски. Поэтому можно упростить устранение неполадок в операционной системе, если будут установлены только исходная инсталляция операционной системы и тщательно протестированный пакет обновлений. Этот же принцип применим и тогда, когда имеются крупные обновления для приложений настольного компьютера. Чтобы поставлять наиболее надежные образы, необходимо создать новый образ с последними исправлениями приложений. Для того чтобы оценить, когда необходимо обновление образов настольного компьютера, следуйте приведенным ниже простым правилам. •
Обновляйте образы, когда появился новый крупный выпуск операционный системы (например, пакет обновлений) или новая версия.
•
Обновляйте образы, когда поставщики устанавливаемых приложений выпускают крупный пакет модернизации или исправленную версию программы.
•
Обновляйте образы, когда действия после развертывания, которые можно автоматизировать, занимают время, сравнимое со временем полного развертывания компьютера.
•
Обновляйте образы при изменениях аппаратной платформы, требующих ручных установок драйверов.
Следование этим простым правилам поможет уменьшить затраты на администрирование при работе с образами настольных компьютеров.
Îáíîâëåíèå ñóùåñòâóþùèõ ðàáî÷èõ ñòàíöèé XP è 2000 Когда на клонированных настольных компьютерах меняются настройки, необходимо обновлять образ, который будет использоваться во всех будущих сборках конфигурации системы. Будучи администратором, вы можете установить эти обновления на рабочие станции вручную, пользуясь программами локальной консоли или удаленной консоли наподобие удаленного рабочего стола Windows XP. Можно также автомати-
Средства администрирования настольных компьютеров… Ãëàâà 28
939
зировать выполнение обновлений с помощью сценариев, использующих опции инсталляции из командной строки, или с помощью создания пакетов инсталлятора Microsoft и развертывания приложения с помощью групповых политик.
Ðàçâåðòûâàíèå ïàêåòîâ îáíîâëåíèé Компания Microsoft предоставляет администраторам несколько способов развертывания на предприятии пакета обновлений для новой платформы. Пакет обновлений можно инсталлировать вручную с помощью программ локального или удаленного управления. А поскольку пакеты обновлений поставляются с пакетами MSI, пакет обновлений можно развернуть и с помощью групповых политик. И, наконец, при необходимости пакеты обновлений можно запустить из командной строки, указав параметры, задающие тихое выполнение инсталляции, то есть без вопросов и уведомлений.
Ðàçâåðòûâàíèå îïåðàòèâíûõ èñïðàâëåíèé è îáíîâëåíèé áåçîïàñíîñòè Оперативные исправления можно устанавливать вручную и индивидуально, но обычно они не предоставляют многих вариантов развертывания. Оперативные исправления можно развернуть на предприятии с помощью встроенных параметров командной строки, вызываемых из сценариев запуска или остановки компьютера, указанных в групповой политике. Для облегчения инсталляции нескольких оперативных исправлений и/или обновлений безопасности Microsoft можно воспользоваться утилитой Qchains.exe, позволяющей одновременно установить все обновления и уменьшить количество требуемых перезагрузок.
Ôóíêöèÿ àâòîìàòè÷åñêîãî îáíîâëåíèÿ Функция автоматического обновления (Auto Update) имеет возможность автоматически выполнить на сервере поиск, загрузку и установку последних обновлений операционной системы. Если IT-персонал предпочитает более автоматизированный подход к IT-управлению, он может включить возможность автоматического обновления, чтобы происходило автоматическое управление обновлениями систем, подключенных к сети. Это удобно для организаций, желающих устанавливать обновления безопасности на всех рабочих станциях. Единственная проблема с автоматическим обновлением состоит в том, что если исправление безопасности приносит в системе больше проблем, нежели пользы, потребуется выполнить откат на нескольких рабочих станциях. Хорошей привычкой будет просмотр и тестирование обновлений перед выполнением автоматической установки на нескольких системах. Устанавливайте и тестируйте автоматические обновления на одной рабочей станции, чтобы только на ней загружать обновления и тестировать конфигурацию для проверки, могут ли быть успешно применены эти обновления. После завершения и получения удовлетворительных результатов тестирования обновления можно развернуть вручную, с помощью сценариев, использующих параметры командной строки, или пакетами инсталлятора Microsoft, развертываемыми с помощью групповых политик.
940
Администрирование настольных компьютеров ×àñòü VIII
Ñëóæáà îáíîâëåíèé ïðîãðàìì Служба обновлений программ (Software Update Services — SUS) — это серверная возможность Windows Server 2003, позволяющая организациям контролировать, какие обновления автоматически загружены и установлены на клиентской рабочей станции. SUS выполняется на машине с Windows Server 2003 (или Windows 2000), выполняющей службу информации Internet (Internet Information Services). Клиенты подключаются к центральному intranet-серверу SUS и получают с него исправления безопасности и обновления. SUS не считается технологией, заменяющей существующие решения развертывания программ наподобие сервера управления системами (Systems Management Server — SMS), поскольку она поставляет только обновления операционной системы, но не пакеты обновлений или другие программные пакеты. SUS позволяет организациям управлять развертыванием исправлений безопасности по мере их возникновения. Дополнительная информация о SUS приведена в главе 12.
Óïðàâëåíèå ïðèëîæåíèÿìè íàñòîëüíîãî êîìïüþòåðà При постоянном управлении настольными компьютерами определение способа развертывания операционной системы и поддержания ее в современном состоянии является просто частью необходимого администрирования. Другим столь же важным аспектом управления рабочими столами является управление приложениями, установленными на клиентских рабочих станциях. Имеется три основных аспекта управления приложениями настольных компьютеров: установка или развертывание приложения, его настройка и обновление. Windows Server 2003 предоставляет несколько различных способов выполнения этих задач, а, кроме того, можно использовать средства и службы, доступные в компьютерах Windows XP и службах инсталляции программ, предлагаемых групповой политикой для выполнения задач управления приложениями для всех рабочих станций индивидуально. Эти задачи можно укрупнить и управлять приложениями для отдельных групп пользователей или компьютеров. В приведенном ниже списке показано, как можно использовать Windows XP и Active Directory для управления приложениями. •
Установка приложений. Приложения можно устанавливать на рабочих столах с помощью службы инсталляции программ, предоставляемой компонентом Group Policy службы Active Directory. Другие методы — это развертывание приложения с помощью сценариев включения/выключения компьютера или входа/выхода пользователя. И, наконец, приложения можно устанавливать либо вручную, либо посетив рабочую станцию и воспользовавшись локальной консолью, либо с помощью программ удаленного управления наподобие Remote Desktop (Удаленный рабочий стол) систем Windows XP и Windows Server 2003.
•
Настройка приложений. Для настройки некоторых приложений могут применяться шаблоны групповой политики. Большинство встроенных служб и приложений Windows допускают настройку с помощью групповых политик. Для остальных приложений возможна настройка с помощью групповых политики на
Средства администрирования настольных компьютеров… Ãëàâà 28
941
уровне систем или даже отдельных пользователей — для развертывания новых ключей системного реестра или обновления существующих значений ключей реестра, предназначенных для настройки. Кроме того, для конфигурирования параметров приложения можно использовать сценарии входа пользователей. •
Обновление приложений. Обновления приложений можно устанавливать с помощью групповых политик или вручную. Многие поставщики программного обеспечения предоставляют несколько способов развертывания обновлений приложения с помощью средств, доступных в Windows и Active Directory или с помощью специальных утилит управления приложением. Для определения методов управления конкретным приложением прочитайте примечания к выпускам и readme-файлы.
Óïðàâëåíèå ïðèëîæåíèÿìè ñ ïîìîùüþ Group Policy Можно довольно легко управлять приложениями с помощью Group Policy, если использовать правильные средства. Приложения могут быть развернуты с помощью функции службы установки программ групповой политики Active Directory. Приложения также могут быть развернуты из командной строки с помощью специального сценария, специфичного для компьютера или пользователя.
Óñòàíîâêà ïðîãðàìì ñ ïîìîùüþ Group Policy Развертывание приложений с помощью службы установки программ Group Policy требует, чтобы приложения были упакованы в файл пакета инсталлятора Windows (Windows Installer Package, *.MSI). При развертывании приложений для пользователей пакет можно назначить или опубликовать. При развертывании приложений на компьютеры это приложение может быть только назначено, но не опубликовано. Назначенные приложения автоматически устанавливаются при применении политики к компьютеру или пользователю. Для пользователей опубликованные приложения перечислены в оснастке Add/Remove Programs (Установка и удаление программ) панели управления. Если приложение опубликовано пользователю, то, чтобы оно автоматически установилось, ему нужно лишь открыть оснастку Add/Remove Programs и дважды щелкнуть на этом приложении. В зависимости от настройки приложения администратором при определении в Group Policy свойств развертывания приложения, приложение может быть развернуто с повышенными полномочиями и может быть настроено с помощью файлов трансформации (Transform files), которые применяются для задания критериев, обычно запрашиваемых во время ручной установки. Следующий пример создает пакет инсталляции программы для опубликования пакета администрирования Windows Server 2003 всем пользователям доменной группы Help Desk Security (Служба обеспечения безопасности). Для этого выполните следующие шаги: 1. Войдите в сервер с установленными средствами администрирования Windows Server 2003. Войдите с учетной записью, имеющей права на выгрузку файлов в указанную общедоступную папку, а также права на обновление нужного объекта групповой политики.
942
Администрирование настольных компьютеров ×àñòü VIII
2. Вставьте в привод носитель Windows Server 2003 и найдите на нем в каталоге I386 файл AdminPak.MSI. 3. Скопируйте файл AdminPak.MSI в общедоступное место в сети, откуда можно запустить инсталляцию. В данном примере пусть это будет \\Server7\software. 4. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖActive Directory Users and Computers (Все программыÖАдминистрированиеÖПользователи и компьютеры Active Directory). Если вы не можете найти нужную консоль, запустите через окно Run (Запуск программы) консоль MMC.exe и добавьте требуемую оснастку. 5. Выберите домен, щелкните на нем правой кнопкой мыши и выберите в контекстном меню пункт Properties (Свойства). 6. Перейдите на вкладку Group Policy (Групповая политика) и выберите из списка нужную политику. Поскольку политика домена не применяется к группе администраторов, лучше всего создать отдельную политику с настройками, применяемыми к администраторам, имеющим членство в других группах. 7. Щелкните на кнопке Properties (Свойства), чтобы открыть страницы свойств Group Policy (Group Policy property). 8. Перейдите на вкладку Security (Безопасность) и щелкните на кнопке Add (Добавить). Введите имя группы справочной службы (Help Desk) и щелкните на кнопке ОК. 9. Выберите в списке безопасности группу Help Desk и щелкните на кнопке Allow (Разрешить) для полномочия Apply Policy (Применить политику). 10. Щелкните на кнопке ОК, чтобы обновить средства безопасности политики. 11. Вернувшись на страницу свойств групповых политик домена, выберите политику и откройте ее, щелкнув на кнопке Edit (Редактировать). 12. Разверните раздел Computer Configuration (Настройка компьютера) и выберите узел Software Settings (Параметры программ). 13. Разверните узел Software Settings, щелкните правой кнопкой мыши на пиктограмме Software Installation (Установка программ) и выберите в контекстном меню пункт New Package (Создать пакет). 14. Найдите файл MSI, выберите его и щелкните на кнопке Open (Открыть). 15. Поскольку этот пакет применяется к конфигурации компьютера, выберите либо вариант Assigned (Назначенный), либо Advanced (Дополнительно), как показано на рис. 28.4. При выборе варианта Assigned дополнительные свойства можно скорректировать позже, выбрав пакет и изменив настройки на страницах свойств пакета.
Ïðèìåíåíèå ïðîãðàìì ñîçäàíèÿ ïàêåòîâ ïðèëîæåíèé îò ñòîðîííèõ ðàçðàáîò÷èêîâ Чтобы иметь возможность пользоваться службой инсталляции программ Group Policy, приложение должно быть доступно для инсталляции в виде пакета инсталлятора Windows (Windows Installer Package). Многие поставщики программного обеспече-
Средства администрирования настольных компьютеров… Ãëàâà 28
943
ния включают в поставку файл инсталлятора, но для старых приложений администратору придется создать файл пакета самостоятельно. Доступно несколько приложений создания пакетов продуктов от сторонних разработчиков. Чтобы найти список программ создания пакетов, выполните поиск в Internet по ключевым словам “MSI packager” или “Windows installer packager”.
Ðèñ. 28.4. Выбор варианта развертывания программного пакета
Ðó÷íàÿ óñòàíîâêà ïðèëîæåíèé Если старые приложения невозможно оформить в виде пакета или какое-либо приложение необходимо установить лишь на нескольких рабочих станциях, то проще всего развернуть такие приложения вручную. Windows Server 2003 и Windows XP предоставляют несколько способов выполнения этой задачи. Как всегда, администратор может установить приложение с локальной системной консоли, но ясно, что для этого необходимо посетить рабочую станцию. Чтобы установить приложения с помощью удаленного доступа к локальной консоли, администратор может воспользоваться службой удаленного рабочего стола (Remote Desktop) для индивидуального выполнения операций или службой удаленной помощи (Remote Assistance), если конечный пользователь авторизует подключение.
Äèñòàíöèîííàÿ óñòàíîâêà ñ ïîìîùüþ óäàëåííîãî ðàáî÷åãî ñòîëà Для удаленной установки приложений с помощью удаленного рабочего стола администратор должен быть членом группы администраторов данной системы. При подключении к рабочей станции XP сеанс работающего в ней пользователя прекращается, поэтому этот вариант можно использовать, только предварительно известив конечного пользователя, чтобы он смог сохранить нужные данные. Для подключения к рабочей станции XP с помощью удаленного рабочего стола нужно просто открыть соединение с удаленным рабочим столом через пункт меню All ProgramsÖAccessoriesÖCommunication (Все программыÖСтандартныеÖСвязь), ввести полностью определенное системное имя компьютера и щелкнуть на кнопке Connect (Подключение).
944
Администрирование настольных компьютеров ×àñòü VIII
Äèñòàíöèîííàÿ óñòàíîâêà ñ ïîìîùüþ ñðåäñòâà óäàëåííîãî ïîìîùíèêà Используя функцию удаленного помощника, администратор может помочь конечному пользователю, на рабочей станции которого нужно установить какую-либо программу, но у которого нет необходимых для этого прав. Например, конечному пользователю может понадобиться установить на его рабочей станции программу связи с карманным ПК. В таком случае он может запросить удаленную помощь администратора. При правильно сконфигурированных настройках удаленного помощника — либо в групповой политике, либо на локальной рабочей станции — администратор после подключении может получить контроль над консолью. После этого он может открыть оснастка Add/Remove Program (Установка и удаление программ) панели управления, указав с помощью опции Run As (Выполнить как) учетную запись с административными полномочиями, а затем установить программу, не выводя пользователя из системы.
Äèñòàíöèîííîå óïðàâëåíèå íàñòîëüíûìè êîìïüþòåðàìè Windows XP Чтобы выполнять на какой-либо рабочей станции задачи администрирования, подобные установке новых аппаратных компонентов или настройке параметров пользовательского профиля, не заданных в настройках групповой политики, администраторы могут воспользоваться средствами, которые предоставляет Windows Server 2003 и Windows XP. С помощью удаленного рабочего стола можно не только дистанционно устанавливать программное обеспечение, но и конфигурировать практически все то же, что и с локальной консоли. Единственное ограничение — невозможно контролировать настройки BIOS. Соответственно, если при выполнении удаленной перезагрузки BIOS сконфигурирована так, что сначала опрашивается привод гибких дисков, то система может и не перезапуститься, если в приводе находится дискета. В этом случае придется физически посетить рабочую станцию. Начиная с Windows Server 2003 и Windows XP, для выполнения некоторых системных задач, относящихся как к программному, так и аппаратному обеспечению, можно воспользоваться консолью управления компьютером (Computer Management). Появились новые возможности: добавление новых аппаратных компонентов с помощью сканирования изменений в оборудовании, добавление новых учетных записей пользователей и локальных общих ресурсов и возможность манипулирования системными службами. Это очень мощное средство удаленного администрирования.
Èñïîëüçîâàíèå ïîäêëþ÷àåìîãî ìîäóëÿ óäàëåííîãî óïðàâëåíèÿ äëÿ îñíàñòêè Active Directory Users and Computers Важным подключаемым модулем для Windows Server 2003 для администраторов клиентских систем является подключаемый модуль удаленного управления для осна-
Средства администрирования настольных компьютеров… Ãëàâà 28
945
стки Active Directory Users and Computers. Это средство дает администратору возможность щелкнуть правой кнопкой мыши в Active Directory MMC на учетной записи компьютера и выбрать в контекстном меню удаленное администрирование системы. На самом деле это средство запускает подключение к этой системе Terminal Services/Remote Desktop (Терминальные службы/Удаленный рабочий стол). Подключаемый модуль удаленного управления для оснастки Active Directory Users and Computers доступен для свободной загрузки всем сетевым администраторам, имеющим легальные лицензии на Windows 2003, по адресу: http://www.microsoft.com/windowsserver2003/downloads/featurepacks/default.mspx
Èñïîëüçîâàíèå ñðåäñòâà ïîäêëþ÷åíèÿ ê óäàëåííîìó ðàáî÷åìó ñòîëó äëÿ Windows Server 2003 Другим средством, обеспечивающим возможность удаленного управления клиентскими системами и серверами, является средство подключения к удаленному настольному компьютеру (Remote Desktop Connection), которое поставляется вместе с серверами Windows Server 2003 и рабочими станциями Windows XP, а также доступно для свободной загрузки. В отличие от подключаемого модуля удаленного управления для оснастки Active Directory Users and Computers, который требует запуска консоли Active Directory Users and Computers MMC, средство подключения к удаленному настольному компьютеру может запускаться независимо. После запуска средства сетевой администратор получает возможность дистанционного доступа и контроля к любому настольному компьютеру или серверу, на котором включено средство Remote Desktop или терминальный службы. Средство подключения к удаленному настольному компьютеру для Windows Server 2003 доступно для свободной загрузки всем сетевым администраторам, имеющим легальные лицензии на Windows Server 2003, по адресу: http://www.microsoft.com/windowsserver2003/downloads/featurepacks/default.mspx
Ðåçþìå Для управления настольными компьютерами в среде Active Directory Windows Server 2003 компания Microsoft предоставляет несколько средств и вариантов администрирования, позволяющих упростить и масштабировать эти задачи. Применение инструментальных средств Windows Server 2003, наряду со службами, присутствующими на платформе рабочей станции наподобие Windows XP, предоставляет администраторам несколько вариантов управления настольными компьютерами, полностью устраняющих необходимость физического посещения рабочих станций, за исключением первоначального развертывания образа рабочей станции.
946
Администрирование настольных компьютеров ×àñòü VIII
Ïîëåçíûå ñîâåòû •
Для повышения производительности клонирования устанавливайте образы службы удаленной инсталляции на физических дисках, не содержащих операционную систему.
•
Перед созданием образа настольного компьютера проверьте, что после установки операционной системы применены все пакеты обновлений и последние исправления.
•
Перед клонированием существующей рабочей станции используйте утилиту Sysprep.
•
Применяйте опции MiniSetup и Reseal только на эталонных машинах, предназначенных для клонирования.
•
Обновляйте образы при появлении нового выпуска операционной системы, пакета обновлений или при появлении новой версии.
•
Обновляйте образы, когда поставщики приложений рабочего стола выпускают крупный пакет модернизации или исправленную версию программы.
•
Обновляйте образы, когда действия после развертывания, которые можно автоматизировать, занимают время, сравнимое со временем полного развертывания компьютера.
•
Обновляйте образы при изменениях аппаратной платформы, требующих ручной установки драйверов.
•
Используйте средство Qchains.exe, чтобы упростить установку нескольких оперативных исправлений Microsoft и/или обновлений безопасности и установить все обновления сразу без необходимости множества перезагрузок.
•
Просматривайте и тестируйте обновления, прежде чем выполнить автоматическую установку на нескольких системах.
Óïðàâëåíèå ñåòåâûìè êëèåíòàìè ñ ïîìîùüþ ãðóïïîâûõ ïîëèòèê
 ÝÒÎÉ ÃËÀÂÅ... •
Èñïîëüçîâàíèå âîçìîæíîñòåé ãðóïïîâûõ ïîëèòèê
•
Ïðîñòîå àäìèíèñòðèðîâàíèå äëÿ ðàçâåðòûâàíèÿ ãðóïïîâûõ ïîëèòèê
•
Îáùèå ðåêîìåíäàöèè ïî óïðàâëåíèþ êëèåíòàìè ñ ïîìîùüþ ãðóïïîâûõ ïîëèòèê
•
Èñïîëüçîâàíèå ãðóïïîâûõ ïîëèòèê äëÿ óïðàâëåíèÿ îáíîâëåíèÿìè è ïàò÷àìè ñèñòåìû
•
Ðåàëüíûå ñöåíàðèè óïðàâëåíèÿ ñ ïîìîùüþ ãðóïïîâûõ ïîëèòèê
ÃËÀÂÀ
29
948
Администрирование настольных компьютеров ×àñòü VIII
Организации, применяющие возможности групповых политик Windows Server 2003, уже оценили реальный потенциал использования политик для управления пользователями настольных и мобильных компьютеров, повышения сетевой безопасности, внедрения процедур управления исправлениями и выполнения периодических работ по обслуживанию во всем предприятии. Создание зеркальных копий данных на серверах, запрещение пользователям загрузки неавторизованных программ и создание на серверах резервных копий всего состояния настольных компьютеров и их конфигураций (профилей) — все это обеспечивает безопасность, защиту и выполнение специальных настроек среды каждой рабочей станции. Более того, применяя с помощью групповой политики системные стандарты к конкретным пользователям, группам или сайтам Active Directory, можно удовлетворить различные потребности организации. Различным группам и отдельным работникам любой организации нужны различные уровни доступа и контроля сетевых ресурсов. Средства управления групповыми политиками можно использовать таким образом, чтобы предоставить каждой конкретной рабочей станции возможности, соответствующие разнообразным функциональным требованиям компании. В данной главе наше внимание будет сконцентрировано на способах применения групповых политик к пользователям и группам на основе их конкретных потребностей и целей. Кроме общих практических советов, в этой главе приводятся рекомендации по применению групповых политик для управления конкретными типами сетевых пользователей.
Èñïîëüçîâàíèå âîçìîæíîñòåé ãðóïïîâûõ ïîëèòèê Возможности групповых политик используются для доставки стандартного набора безопасности, управления, правил и опций пользователям и рабочим станциям при их аутентификации в домене. Кроме того, их можно использовать для настройки всего — от входных сценариев и перенаправления папок до активизации возможностей настольных компьютеров и запрета пользователям устанавливать программы на сетевых рабочих станциях. С помощью Windows Server 2003 и приложений наподобие Microsoft Office групповые политики можно использовать для управления доступными параметрами и опциями при конфигурировании и настройке приложений. Данный раздел поможет сетевым администраторам разобраться в групповых политиках, их функциях и характеристиках при управлении применением политик.
Óïðàâëåíèå ãðóïïîâûìè ïîëèòèêàìè Для управления групповыми политиками администраторы должны понимать, что групповые политики применяются только к клиентским системам Windows 2000, клиентским системам Windows XP, серверным системам Windows 2000 и серверным системам Windows Server 2003. Для доступа и управления групповыми политиками Windows администраторы могут использовать оснастку Group Policy, входящую в группу программ Administrative Tools (Средства администрирования) контроллера домена Windows. Еще одним, более мощным, вариантом управления групповыми политиками из Windows Server 2003 яв-
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
949
ляется применение консоли управления групповыми политиками (Group Policy Management Console — GPMC), которая подробно описана в главе 21. Базовая оснастка Group Policy Management (Управление групповыми политиками) предоставляет администраторам стандартную консоль управления с помощью встроенных средств управления сервера Windows. С помощью стандартного метода доступа к групповым политикам администраторам становится доступен единый интерфейс для доступа, управления и настройки политик с помощью стандартных опций и функций, доступных во встроенных средствах Windows. Пользуясь консолью управления групповыми политиками, администраторы получают более легкий доступ и улучшенные возможности управления групповыми политиками, которые существенно превышают стандартные возможности, доступные в средствах администрирования, встроенных в оснастку Management. GPMC также предоставляет усовершенствованные функции и опции для планирования и тестирования реализаций групповых политик до их развертывания и применения в Windows-домене.
НА ЗАМЕТКУ Для управления групповыми политиками с помощью средства GPMC в домене Windows 2000 необходимо установить GPMC на настольном компьютере Windows XP управляемого домена.
GPMC необходимо установить в системе Windows Server 2003 или Windows XP. Пакет GPMC.msi можно загрузить по адресу: http://www.microsoft.com/Windowsserver2003/downloads/featurepacks После установки он появляется в меню Start (Пуск), в группе программ Administrative Tools (Средства администрирования) под названием Group Policy Management.
ВНИМАНИЕ! Поскольку групповые политики могут существенно повлиять на пользователей, то любая реализация групповых политик должна быть протестирована с помощью средства результирующего набора политик (Resultant Set of Policies) в режиме планирования. Обратитесь в раздел “Работа с результирующим набором политик”, чтобы почерпнуть дополнительную информацию о тестировании групповых политик и использовании средства управлении групповыми политиками в режиме моделирования.
Ïîíÿòèå î ïîëèòèêàõ è íàñòðîéêàõ При работе с групповыми политиками доступны два метода проведения изменений в локальных рабочих станциях: с помощью настроек и с помощью политик. В любом случае изменения проводятся с помощью локального реестра машины, на которой они применяются. С помощью настроек локально применяются такие изменения в опциях, как обои, хранители экрана и параметры программ. С помощью политик в системном реестре проводятся изменения, которые влияют на безопасность и ключи реестра, защищенные списками управления доступом (Access Control List — ACL). Хотя при работе с приложениями групповые политики перекрывают параметры настроек, политика не перезаписывает ключи настроек настройками, установленными в локальной системе пользователями рабочей станции. Это означает, что если по-
950
Администрирование настольных компьютеров ×àñòü VIII
литика создана, сконфигурирована и применена, а затем удалена, то снова возвратятся настройки, установленные локальным пользователем до применения политики. Это делает политики мощным средством в ситуациях, когда сетевой администратор хочет управлять некоторыми аспектами клиентских приложений, либо желает, чтобы что-либо, к чему обращается пользователь, не изменялось. С помощью политик можно запретить конечным пользователям изменять внешний вид, конфигурацию или функциональность элемента, к которому применена политика.
Ãðóïïîâûå ïîëèòèêè è øàáëîíû áåçîïàñíîñòè Одной из наиболее важной возможностей для уменьшения объема администрирования при работе с групповыми политиками является применение шаблонов безопасности. Шаблоны безопасности являются мощным предопределенным набором опций безопасности, доступным от компании Microsoft для применения групповых политик в специальных областях или программных компонентах, доступных для пользователей сети. В зависимости от типа пользователей и необходимой среды эти шаблоны могут оказаться удобным средством создания и применения параметров конфигурации к компонентам, уже заранее определенным в шаблоне. Доступные в стандартной инсталляции Windows Server 2000 и Windows Server 2003, эти шаблоны можно загрузить и импортировать в объекты групповых политик (GPO), где их либо можно реализовать в исходном виде, либо модифицировать для удовлетворения конкретных потребностей в той области, в которой применяется шаблон. Однако шаблоны являются замечательной отправной точкой для сетевых администраторов, желающих получить базовую конфигурацию какого-либо программного компонента клиентской рабочей станции или параметров безопасности. С помощью шаблонов можно также сконфигурировать такие параметры, как политики учетных записей, параметры журналов событий, локальные политики, права доступа к системному реестру, права доступа к файлам и папкам и параметры клиента Exchange Server 2003.
Îïðåäåëåíèå ïîðÿäêà ïðèìåíåíèÿ При применении групповых политик каждый объект политики применяется в специальном порядке. Компьютеры и пользователи, чьи учетные записи находятся ниже в дереве AD, могут наследовать политики, примененные на более высоких уровнях Active Directory. Политики должны применяться к объектам в AD в следующем порядке: •
Локальная политика безопасности.
•
Объекты групповых политик сайтов.
•
Объекты групповых политик доменов.
•
Объекты групповых политик организационных единиц.
•
Объекты групповых политик вложенных OU вплоть до OU, которой принадлежит компьютер или пользователь.
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
951
Если к конкретному объекту AD — например, сайту или OU — применяются несколько GPO, то они применяются в порядке, обратном к указанному. Это означает, что первым применяется GPO, указанный последним, и при возникновении конфликтов параметры высших GPO перекрывают параметры низших.
Èíòåðâàëû îáíîâëåíèÿ ãðóïïîâûõ ïîëèòèê При применении групповых политик они обновляются и применяются через регулярные запланированные промежутки времени после загрузки компьютера и входа пользователя в домен. По умолчанию групповые политики на рабочих станциях и рядовых серверах домена обновляются через каждые 90 минут. Если необходим более детальный контроль над интервалом обновления групповой политики, он может быть сконфигурирован для каждой групповой политики с помощью изменения этого времени в конфигурации политики. Пользуясь GPMC, можно настроить интервалы обновления, войдя в политику домена и выбрав один из следующих вариантов: •
Computer ConfigurationÖAdministrative TemplatesÖSystemÖGroup Policy (Конфигурация компьютераÖШаблоны администрированияÖСистемаÖГрупповые политики) — для изменения интервала обновления политик компьютеров и контроллеров доменов.
•
User ConfigurationÖAdministrative TemplatesÖSystemÖGroup Policy (Конфигурация пользователейÖШаблоны администрированияÖСистемаÖГрупповые политики) — для изменения интервала обновления политик пользователей.
Изменения, проведенные в существующих или вновь созданных GPO, применяются при выполнении циклов обновления. Однако для следующих параметров политики применяются только во время входа в систему или при загрузке рабочей станции домена, в зависимости от параметров конфигурации GPO: •
Установка программного обеспечения, сконфигурированная в политиках компьютеров.
•
Установка программного обеспечения, сконфигурированная в политиках пользователей.
НА ЗАМЕТКУ При работе с параметрами приложений можно сконфигурировать и настроить интервалы обновления, чтобы удовлетворить требованиям среды. Однако лучше оставить стандартный интервал обновления, если только нет явных требований его модификации.
Ïðîñòîå àäìèíèñòðèðîâàíèå äëÿ ðàçâåðòûâàíèÿ ãðóïïîâûõ ïîëèòèê Теперь, имея базовое понимание функций и терминологии групповых политик, можно рассмотреть их применение и влияние индивидуальных реализаций на конфигурацию групповых политик.
952
Администрирование настольных компьютеров ×àñòü VIII
Администраторы могут воспользоваться этой информацией для освоения наиболее употребительных методов применения полномочий к групповым политикам для целей управления и средств тестирования реализаций групповых политик до их развертывания в промышленной среде.
НА ЗАМЕТКУ В данном разделе рассмотрены некоторые практические рекомендации по управлению групповыми политиками. Дополнительная и более подробная информация находится в справочной информации по управлению групповыми политиками в Windows Server 2000 и Windows Server 2003.
Äåëåãèðîâàíèå ïðàâ óïðàâëåíèÿ ãðóïïîâûìè ïîëèòèêàìè Для управления и манипулирования групповыми политиками важно делегировать надлежащие права администраторам. Например, в крупных организациях полномочия на редактирование политик на уровне домена обычно имеет очень небольшая группа пользователей. Однако если нужны специальные требования для администрирования таких приложений, как клиент Exchange, то с помощью консоли управления групповыми политиками можно назначить права доступа к конкретным областям. При создании специальных прав доступа с помощью GPMC администраторы могут делегировать контроль другим администраторам для управления следующими областями Group Policy: •
Создание GPO.
•
Создание фильтров WMI.
•
Полномочия на фильтры WMI.
•
Полномочия на чтение и изменение отдельных GPO.
•
Полномочия на отдельные местоположения, с которыми связаны GPO (они называются областью управления (Scope Of Management — SOM)).
Для облегчения назначения прав доступа объектам GPO администраторы могут воспользоваться мастером делегирования управления.
Ðàáîòà ñ ðåçóëüòèðóþùèì íàáîðîì ïîëèòèê Новое средство GPMC предоставляет администраторам дополнительную функцию — результирующий набор политик (Resultant Set of Policies — RSoP) — для планирования и тестирования реализаций групповых политик до их применения к рабочим станциям и пользователям домена. Применяя RSoP в режиме планирования, администраторы могут моделировать внедрение конкретной групповой политики, оценить результаты тестирования, провести нужные изменения, а затем вновь протестировать внедрение. После того как RSoP покажет корректность GPO, администратор может создать резервную копию конфигурации GPO и импортировать ее в промышленную среду.
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
953
Для запуска RSoP в режиме моделирования щелкните правой кнопкой мыши на узле Group Policy Modeling (Моделирование групповых политик) в моделируемом лесу и выберите в контекстном меню пункт Group Policy Modeling Wizard (Мастер моделирования групповых политик). Этот мастер позволяет вводить медленные каналы, конфигурацию переброса, фильтры WMI и другие параметры конфигурации. Каждое моделирование представлено своим собственным отчетом в виде подузла под узлом Group Policy Modeling.
CОВЕТ Поскольку ошибки в параметрах групповой политики могут повлиять на связь пользователей и клиентских серверов, каждую реализацию групповой политики до ее применения необходимо протестировать с помощью средства RSoP в режиме планирования.
Óïðàâëåíèå íàñëåäîâàíèåì ãðóïïîâûõ ïîëèòèê Для более полного использования возможностей наследования групповых политик помните следующее: •
Изолируйте серверы в их собственных OU: создайте OU серверов с понятным названием и поместите все серверы, не являющиеся контроллерами доменов, в эти OU под общим OU серверов. Если с помощью групповых политик выполняется продвижение программного обеспечения на уровне домена или на уровне над OU сервера, и не установлена опция обязательного применения, то OU сервера можно сконфигурировать с установленной опцией блокировки наследования политик. В результате серверы не будут получать продвижения программного обеспечения, примененные на уровнях выше их OU.
•
Как можно реже используйте опции блокировки наследования политик и обязательного применения, чтобы не усложнять устранение неполадок в групповых политиках.
Ðåçåðâíîå êîïèðîâàíèå, âîññòàíîâëåíèå, êîïèðîâàíèå è èìïîðò ãðóïïîâûõ ïîëèòèê Одним из новых главных усовершенствований в управлении групповыми политиками является возможность резервного копирования (или экспорта) данных Group Policy в файл. С помощью функции резервного копирования из GPMC любую политику можно протестировать в лабораторной среде, а затем экспортировать в файл для развертывания в промышленном домене. При резервном копировании групповой политики копируются только данные, относящиеся к самой этой политике. Другие объекты Active Directory, которые могут быть связанными с GPO — например, индивидуальные фильтры WMI или политики безопасности TCP/IP — не копируются из-за сложностей, связанных с восстановлением этих областей. После завершения резервного копирования администраторы могут восстановить данные Group Policy в том же самом месте для восстановления правильной функциональности после ошибочного конфигурирования или случайного удаления групповых политик.
954
Администрирование настольных компьютеров ×àñòü VIII
Возможность импорта GPMC также позволяет администраторам взять файл с экспортированной Group Policy и импортировать эти данные в место, отличное от исходного. Эта возможность применима даже тогда, когда между доменами нет доверия. Импорт файлов Group Policy можно выполнить, используя файлы из различных доменов, между доменами леса или внутри одного домена. Эта возможность наиболее удобна при перемещении GPO из тестовой среды в промышленную среду и исключает необходимость повторного ручного создания параметров политики, протестированных в лабораторной среде. Другой полезной функцией управления групповыми политиками является копирование GPO. Если администратор сконфигурировал сложную групповую политику и применил эти настройки к конкретной организационной единице (OU) домена, то эта групповая политика может быть скопирована и дублирована для применения в другой OU. При выполнении функции копирования создается новая групповая политика. Затем эта новая политика может быть перенесена и применена в новом месте.
Îáùèå ðåêîìåíäàöèè ïî óïðàâëåíèþ êëèåíòàìè ñ ïîìîùüþ ãðóïïîâûõ ïîëèòèê Существуют общие правила, которым необходимо следовать при применении групповых политик для управления сетевыми клиентами. В данном разделе приводятся практические советы, о которых нужно помнить при проектировании решений групповых политик в большинстве ситуаций. Здесь также приведены некоторые полезные советы по применению инсталляций программного обеспечения и перенаправления папок.
Ïîääåðæàíèå óïðàâëÿåìîñòè ãðóïïîâûõ ïîëèòèê Очень часто мы убеждаемся, что простое решение — это лучшее решение. Поскольку групповые политики в Windows Server 2003 предоставляют такой широкий спектр настроек потребностей сетевых клиентов, то по мере создания политик в попытках управления средой она может стать слишком громоздкой. Чтобы избежать излишней сложности решений групповых политик, учтите следующие рекомендации: •
Применяйте осмысленные соглашения по именованию. При присвоении имен политик, создаваемых в среде, придерживайтесь соглашений по именованию, которые позволят легко понять назначение политик. Windows Server 2003 не запрещает наличие одинаковых имен для двух политик, но это может внести путаницу. Кроме того, простые имена политик облегчают создание и поиск неполадок с помощью инструментального средства Resultant Set of Policy (RSoP).
•
Как можно реже применяйте опции блокирования наследования политик (Block Policy Inheritance) и запрета переопределения (No Override). Эти возможности являются замечательными инструментами для применения групповых политик, но только в организациях со строгой иерархической структурой и
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
955
в организациях с распределенным администрированием. Кроме того, они могут затруднить устранение неполадок в политиках. •
Отключайте неиспользуемые части объектов групповых политик (GPO). Если в политике применяется только конфигурация пользователя, то конфигурацию компьютера нужно отключить. И наоборот: если проводятся изменения только в конфигурации компьютера, можно отключить конфигурацию пользователям. Это может ускорить процесс загрузки и входа в систему для сетевых клиентов, к которым относится эта политика.
•
Избегайте междоменных назначений политик. Опять-таки, для ускорения процесса загрузки и входа в систему пользователи должны получать свои назначения политик из своего собственного домена. Этот совет особенно важен для управления удаленными пользователями.
Óïðàâëåíèå óñòàíîâêîé êëèåíòñêèõ ïðîãðàìì Если в организации необходимо проводить установки программ, которые используют работу по расписанию, инвентаризацию, составление отчетов или инсталляцию по глобальной сети (WAN), то нужно добавить в свой арсенал управления сервер управления системами (Systems Management Server — SMS). Но если требуются лишь простые сценарии установки и развертывания программного обеспечения, то для выполнения этих функций можно использовать групповые политики. При развертывании программного обеспечения на сетевых клиентах учтите следующие положения: •
Назначайте или публикуйте программное обеспечение в высокоуровневых объектах Active Directory. Поскольку по умолчанию настройки групповой политики применяются и к дочерним контейнерам, то проще назначить или опубликовать приложения, привязав объект групповой политики к родительской организационной единице или домену. Для более тонкого контроля над тем, где будет установлено программное обеспечение, используйте элементы контроля доступа (Access Control Entry — ACE) объекта групповой политики.
•
Назначайте или публикуйте программное обеспечение лишь один раз для каждого объекта групповой политики. Для упрощения управления и устранения неполадок знание того, что каждый инсталляционный пакет связан с одной групповой политикой и, наоборот, каждая политика связана с одним программным обеспечением, поможет в дальнейшем избежать путаницы. Также не назначайте и не публикуйте программное обеспечение и в конфигурации компьютера, и в конфигурации пользователя объекта групповой политики.
•
Переупаковывайте существующие программы. Поскольку программы устанавливаются через групповые политики с помощью пакетов инсталлятора Microsoft Windows (Microsoft Windows Installer — MSI), то необходимо переупаковать программы, скомпилированные с помощью Setup.exe. Многие сторонние поставщики предлагают утилиты для разработки инсталляций в формате, родном для Windows.
•
Указывайте категории приложений. Использование категорий облегчает пользователям поиск приложений в оснастке Add/Remove Programs (Установ-
956
Администрирование настольных компьютеров ×àñòü VIII
ка и удаление программ) панели управления. Можно определить такие категории приложений, как “Инженерные приложения”, “Маркетинговые приложения” и так далее.
Ïðèìåíåíèå ïåðåíàïðàâëåíèÿ ïàïîê Перенаправление папок можно использовать, чтобы перенаправить некоторые специальные папки на настольных компьютерах сетевых клиентов в специальные места в сети. Специальные папки — это папки наподобие My Documents (Мои документы), расположенные в каталоге Documents and Settings. Перенаправление папок является полезным расширением Group Policy, применяемым в некоторых ситуациях, описываемых далее в данной главе. Ниже представлены некоторые базовые правила по применению этого расширения Group Policy. •
Предоставьте создание папок системе. Если вы создаете папки самостоятельно, им не будут назначены корректные полномочия.
•
Не перенаправляйте папку My Documents в домашний каталог. Это возможно, однако этой возможностью следует пользоваться, только если в организации развернуты домашние каталоги. Перенаправление в домашний каталог доступно только для обратной совместимости.
•
Включите кэширование на стороне клиента. Это необходимо для пользователей с портативными компьютерами.
•
Синхронизируйте автономные файлы перед входом в систему. Эта возможность перенаправления папок должна быть всегда включенной, чтобы обеспечить доступность текущих файлов автономно работающим пользователям.
•
Используйте полностью определенные (UNC) пути. Например, используйте путь \\сервер\общий_ресурс. Хотя можно использовать и пути наподобие c:\имя_папки, этот путь может не существовать на всех целевых сетевых клиентах, и тогда перенаправление не сможет быть выполнено.
Èñïîëüçîâàíèå ãðóïïîâûõ ïîëèòèê äëÿ óïðàâëåíèÿ îáíîâëåíèÿìè è èñïðàâëåíèÿìè ñèñòåìû Поскольку исправления и обновления безопасности появляются регулярно, одним из главных преимуществ групповых политик является централизованное развертывание опций, доступных для распространения обновлений и исправлений. С помощью групповых политик и формата пакетов инсталляции Microsoft MSI, доступного для большинства обновлений, программные обновления можно развернуть из централизованного места административного распространения в заранее определенный набор рабочих станций, заданный в параметрах GPO.
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
957
Ðàçâåðòûâàíèå îïöèé ïðè îáíîâëåíèè ñåòåâûõ êëèåíòîâ С помощью групповых политик сетевые клиентские системы можно модернизировать и обновлять исправлениями с помощью одного из следующих трех методов развертывания: •
Назначение компьютерам. Этот метод установки добавляет программный пакет на рабочую станцию, и он становится доступен при перезапуске рабочей станции. С помощью этого варианта возможно регулярное обновление систем.
•
Назначение пользователям. При назначении инсталляционного пакета пользователям ярлыки приложения помещаются на рабочий стол профиля пользователя и в меню Start. При запуске этих ярлыков будет запущена установка приложения.
CОВЕТ При использовании вариантов назначения приложения либо только компьютерам, либо только пользователям в случае деинсталляции пакета Group Policy автоматически вновь назначает инсталляцию этому пользователю или компьютеру.
•
Опубликование инсталляции. Это наиболее распространенный метод развертывания обновлений программного обеспечения на клиентских системах. При опубликовании программного пакета пакет инсталляции появляется в группе Add/Remove Programs (Установка и удаление программ) панели управления локального настольного компьютера. Затем пользователи могут запустить инсталляцию, выбрав это обновление.
Каждый из этих методов позволяет сетевым администраторам продвигать MSIпакеты обновлений программного обеспечения на сетевые рабочие станции из центрального расположения или административного пункта инсталляции (Administrative Installation Point) на рабочие станции или пользователям в сети.
ВНИМАНИЕ! Не назначайте одновременно варианты обновления и пользователям, и компьютерам. Назначение обоих вариантов может привести к конфликту при установке обновлений и к возможной порче инсталляции или обновления приложения при их применении.
Ðàçâåðòûâàíèå îáíîâëåíèé êëèåíòîâ Как и в случае всех аспектов Group Policy, существует много вариантов и опций конфигурации развертывания обновлений. Независимо от типа продвигаемого пакета обновлений возможно применение некоторых основных практических советов, которые могут облегчить и упростить проведение обновлений: •
Программные пакеты должны быть оформлены в формате MSI-пакетов. Групповые политики поддерживают продвижение только этого формата. Существуют сторонние приложения, с помощью которых администратор может создавать специализированные MSI-пакеты для развертывания программного обеспечения любого типа, а также программ с заранее определенными вариантами инсталляции.
958
Администрирование настольных компьютеров ×àñòü VIII
•
Настраивайте продвижение программного обеспечения на максимально высоких уровнях в домене. Если продвижение распространяется на несколько групп или организационных единиц, то обновление программного обеспечения необходимо сконфигурировать на продвижение на уровне домена. Если обновление программного обеспечения продвигается только в несколько групп или одну организационную единицу, либо если продвигаются несколько пакетов обновлений, то сконфигурируйте продвижение на уровне группы или организационной единицы.
•
Настраивайте продвижения программного обеспечения в конфигурацию компьютеров, а не в конфигурацию пользователей. В этом случае если пользователи входят в несколько компьютерных систем, обновления не будут применяться более одного раза.
•
При продвижении обновлений в несколько расположений используйте технологию, подобную распределенной файловой системе (Distributed File System — DFS), чтобы инсталляции программного обеспечения устанавливались из пакетов и источников, наиболее близких к обновляемому клиенту.
Ïðîäâèæåíèå îáíîâëåíèé êëèåíòîâ Имея несколько возможностей и разобравшись в практических советах по развертыванию программного обеспечения, теперь можно приступить к настройке объекта групповой политики для продвижения и обновления на сетевой рабочей станции. Шаги в этом сценарии позволяют администраторам продвигать небольшие пакеты обновлений на рабочие станции домена. Начните с загрузки обновления и создания общего ресурса для папки, в которую будет помещено обновление. Откройте оснастку GPMC, выбрав в меню Start пункт All Programs Ö Administrative Tools Ö Group Policy Management (Все программы Ö Администрирование Ö Управление групповыми политиками). Чтобы создать объект групповой политики для обновления программного обеспечения, выполните описанные ниже действия. 1. Укажите стандартную групповую политику для своего домена, выбрав пункт ForestÖDomainsÖДоменВашейКомпанииÖGroup Policy Objects (ЛесаÖДоменыÖ ДоменВашейКомпании ÖОбъекты групповых политик). 2. Выберите пункт Default Domain PolicyÖActionÖEdit (Стандартная политика доменаÖДействиеÖРедактирование). Откроется редактор групповых политик, в котором можно создать продвижение программного обеспечения. 3. Перейдите на вкладку Computer Configuration (Конфигурация компьютера) и выберите пункт Software SettingsÖSoftware Installation (Параметры программного обеспеченияÖУстановка программ). 4. В меню Action (Действие) выберите пункт NewÖPackage (СоздатьÖПакет). 5. Найдите в диалоговом окне Open (Открыть) общий сетевой ресурс, в котором находится MSI, и выберите применяемый MSI-пакет. Щелкните на кнопке Open.
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
959
CОВЕТ При получении сообщения, что редактор групповых политик не может проверить сетевое расположение, назначьте созданному на предыдущих шагах общему ресурсу права доступа, позволяющие пользователям доступ к этому ресурсу. После подтверждения щелкните на кнопке Yes (Да).
6. В диалоговом окне Deploy Software (Развертывание программного обеспечения) выберите пункт Advance (Вперед) и щелкните на кнопке ОК. Windows верифицирует инсталляционный пакет; дождитесь окончания верификации, прежде чем переходить к следующему шагу. 7. Когда пакет появится в правом окне свойств инсталляции программного обеспечения, выделите этот пакет и выберите в меню Action пункт Properties (Свойства). 8. На странице Package properties (Свойства пакета) перейдите на вкладку Deployment (Развертывание). Просмотрите конфигурацию, щелкните на кнопке Assign (Назначить) и выберите вариант Install This Package At Logon (Инсталлировать этот пакет при входе в систему). После этого щелкните на кнопке ОК. Новый пакет готов к развертыванию. Протестируйте обновление, войдя в какуюнибудь рабочую станцию и проверив, что пакет установлен. При обнаружении проблем выполните повторное развертывание пакета, выбрав обновление программного обеспечения, а затем выбрав в меню Action пункт All TasksÖRedeploy Application (Все задачиÖПовторное развертывание приложения).
Îïðåäåëåíèå óñïåøíîñòè ïðîäâèæåíèÿ Без дополнительных программ управления администраторы не могут определить, успешно ли продвинут пакет программного обеспечения, так как все признаки продвижений программного обеспечения видны только на локальных машинах клиентов. На локальных машинах имеются две области, в которых можно определить успешность инсталляции программного обеспечения: •
Просмотрите события инсталлятора MSI, записываемые в журналы событий приложений.
•
На локальной машине запустите оснастку Add/Remove Programs (Установка и удаление программ) и проверьте, присутствует ли в списке нужный пакет обновления.
Ðåàëüíûå ñöåíàðèè óïðàâëåíèÿ ñ ïîìîùüþ ãðóïïîâûõ ïîëèòèê Теперь, после представления рабочих рекомендаций по управлению сетевыми клиентами с помощью групповых политик, остаток этой главы будет посвящен подробному рассмотрению стратегии применения групповых политик в конкретных ситуациях работы с сетевыми клиентами. В каждой организации есть группы и отдельные работники с уникальными требованиями к сетевым ресурсам компании. Пользо-
960
Администрирование настольных компьютеров ×àñòü VIII
ватели с наборным доступом сети имеют потребности, отличные от работников, всегда работающих на своем рабочем месте в офисе. Сетевому администратору необходима среда рабочей станции, отличная от среды работника с ограниченным набором приложений. Технологии, предоставляемые Windows Server 2003, включая групповые политики, позволяют удовлетворить эти различные потребности. Если можно разграничить различные типы поддерживаемых сетевых клиентов, то можно начать разрабатывать отдельные стратегии и решения групповых политик для управления этими клиентами. В последующих разделах описаны некоторые из наиболее распространенных типов сетевых клиентов и приведены рекомендации по управлению этими специальными ситуациями.
Ðàáîòà ñ ìîáèëüíûìè ïîëüçîâàòåëÿìè Во многих компаниях трудятся сотрудники, которые либо часто находятся в пути, либо находятся вдали от типичной среды офиса. Эти мобильные пользователи уникальны тем, что они обычно входят в сеть компании с помощью портативного компьютера из различных мест по медленному наборному модемному соединению. Хотя мобильные пользователи бывают разные, определяющими свойствами этого типа сетевых клиентов являются соединение по медленному каналу и отсутствие локального доступа. Поэтому стратегия управления этим типом пользователей с помощью Windows Server 2003 и групповых политик должна принимать во внимание медленный канал и отсутствие локального доступа. Поскольку мобильные пользователи пребывают вне локального офиса, они находятся в уникальной ситуации, требующей частого обеспечения поддержки их собственного компьютера. Поэтому, возможно, придется выделить мобильным пользователям больше полномочий, чем обычным офисным пользователям. Для этого к мобильным клиентам нужно применить объект групповой политики, который позволит пользователям выполнять функции наподобие установки принтера или программы и в то же время защитит критические системные файлы. Мобильным пользователям также необходим доступ к их критическим данным независимо от того, подключены ли к сети их мобильные компьютеры. Возможность работы с автономными файлами (Offline Files) с помощью технологии IntelliMirror упрощает управление мобильными пользователями, позволяя им работать с сетевыми файлами, когда они реально не подключены к сети. Хотя в Windows 2000 и XP работа с автономными файлами по умолчанию включена, все равно, прежде чем выдать пользователям портативные компьютеры, необходимо выбрать сетевые файлы и папки для синхронизации. Чтобы назначить папку для автономного доступа, выполните следующие шаги: 1. Щелкните на совместно используемой сетевой папке, к которой должен быть разрешен автономный доступ. 2. Выберите в меню File (Файл) пункт Make Available Offline (Сделать доступным автономно). 3. В первом окне открывшегося мастера автономных файлов (Offline Files Wizard) щелкните на кнопке Next (Далее).
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
961
4. Выберите, нужна ли автоматическая синхронизация во время входа и выхода пользователя и щелкните на кнопке Next. 5. Активизируйте всплывающие напоминания о сетевой или автономной работе и щелкните на кнопке Finish (Готово). Этот мастер появляется только для первой папки, настраиваемой на автономную работу.
НА ЗАМЕТКУ Для работы с автономными папками необходимо включить функцию автономных папок. Для ее активизации в проводнике Windows выберите в меню Tools (Сервис) пункт Folder Options (Свойства папки). Потом перейдите на вкладку Offline Files (Автономные файлы), отметьте пункт Enable Offline Files (Разрешить автономные файлы), а затем щелкните на кнопке ОК.
Для мобильных пользователей имеет смысл сочетание перенаправления папок с доступом к автономным файлам. Если перенаправить папку My Documents в общий сетевой ресурс, то когда пользователи сохраняют файлы в эту папку, эти файлы автоматически становятся доступными для автономного использования.
НА ЗАМЕТКУ Мобильные пользователи часто отключаются от сеанса связи по наборному соединению без надлежащего выхода. Рекомендуется настроить автономные файлы на синхронизацию при входе пользователей и периодическую фоновую синхронизацию. Подобным образом можно обеспечить постоянную актуальность файлов пользователей.
Для перенаправления папки My Documents в общий сетевой ресурс выполните перечисленные ниже шаги. 1. Откройте объект групповой политики, связанный с организационной единицей, которая содержит мобильных пользователей. 2. В дереве консоли под узлом Configuration / Windows Settings (Конфигурация/ Параметры Windows) дважды щелкните на строке Folder Redirection (Перенаправление папок) и найдите ту папку, которую необходимо перенаправить. 3. Щелкните правой кнопкой мыши на перенаправляемой папке (в данном случае — My Documents), а затем выберите в контекстном меню пункт Properties. 4. На вкладке Target (Назначение) в разделе Setting (Настройка) отметьте пункт Basic – Redirect Everyone’s Folder to the Same Location (Основные – Перенаправление папок всех пользователей в одно и то же место). 5. В разделе Target Folder Location (Местоположение папки назначения) щелкните на строке Redirect to the Following Location (Перенаправить в следующее местоположение). В поле Root Path (Корневой путь) введите UNC-путь (например, \\сервер\общий_ресурс). При применении политики перенаправление папок автоматически добавляет имя пользователя и имя папки. Установка программ для мобильных пользователей требует специальной стратегии. Мобильным пользователям, редко находящимся в офисе, не рекомендуется назначать или опубликовывать программное обеспечение. Если они периодически работают в офисе, то в интерфейсе пользователя групповой политики можно установить стандартное значение определения медленного канала, чтобы программы
962
Администрирование настольных компьютеров ×àñòü VIII
устанавливались только тогда, когда пользователь подключен непосредственно к локальной сети (LAN). Проверить или настроить скорость подключения для параметров групповой политики можно с помощью параметра обнаружения медленного канала. Для этого в редакторе объекта групповой политики найдите узел Computer Configuration/Administrative Templates/System/Group Policy (Конфигурация компьютера/Шаблоны администрирования/Система/Групповая политика) или User Configuration/Administrative Templates/System/Group Policy (Конфигурация пользователя/Шаблоны администрирования/Система/Групповая политика). Мобильные пользователи по большей части не должны выполнять сетевые приложения. Как правило, на портативных компьютерах мобильных пользователей, прежде чем им начать работу вне офиса, должно быть установлено все основное программное обеспечение. Если пользователям требуется установить дополнительные программы, когда они находятся в поездке и не могут возвратиться в офис, может иметь смысл скопировать программные пакеты на компакт-диски, чтобы мобильные пользователи с повышенными полномочиями могли их установить локально.
Óïðàâëåíèå óäàëåííûìè ïîëüçîâàòåëÿìè Удаленные пользователи имеют много общего с мобильными пользователями, о которых шла речь в предыдущем разделе. Поэтому для них также будут полезны многие из технологических рекомендаций по управлению мобильными пользователями. Сюда входит и доступ к автономным файлам в сочетании с перенаправлением папок. Удаленные пользователи как тип сетевых клиентов отличаются от мобильных пользователей тем, что обычно они подключаются к сети с постоянного места (хотя и находящегося вне офиса) и зачастую пользуются высокоскоростным соединением наподобие DSL или кабельного модема. В то время как путешествующий мобильный пользователь входит в сеть из номеров отелей и киосков аэропортов по наборному модемному соединению, удаленный пользователь часто работает дома и подключается по высокоскоростному DSL или кабельному модему. Кроме дополнительных удобств, связанных с высокоскоростным соединением, к удаленным пользователям можно применить опубликование или назначение инсталляций программ с помощью групповой политики. Это, в свою очередь, позволяет заблокировать некоторые полномочия, предоставляемые с помощью групповых политик мобильным пользователям (наподобие установки программного обеспечения). Запрет удаленным пользователям устанавливать свои программы или создавать изменения конфигурации своих компьютеров уменьшает общие затраты на членство в группах. Если требуется реализовать дополнительную безопасность для сетевых подключений удаленных пользователей, необходимо развернуть сервер виртуальной частной сети (Virtual Private Network — VPN). VPN представляет собой внедрение сквозного протокола туннелирования (Point-to-Point Tunneling Protocol — PPTP) и протокола туннелирования уровня 2 (Layer 2 Tunneling Protocol — L2TP) — технологии Windows Server 2003, создающей сетевые соединения для защищенного удаленного доступа. Хотя реализация решений VPN находится вне контекста этой главы, все же мы рассмотрим некоторые моменты, связанные с политиками.
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
963
Необходимо создать группу Active Directory (вроде VPN_Users) для удаленных пользователей, подключающихся к сети по VPN-соединению. Это имя группы будет применяться в разделе условий применения политики удаленного доступа. В свойствах наборного подключения каждой учетной записи пользователя необходимо установить режим Control Access through Remote Access Policy (Управление доступом с помощью политики удаленного доступа). Далее, создайте объект групповой политики для политики удаленного доступа, в котором будут заданы настройки аутентификации и шифрования для удаленных пользователей. Если ваш сервер Windows Server 2003 сконфигурирован на работу с VPN с помощью оснастки Routing and Remote Access, то с ее помощью можно настроить дополнительные политики удаленного доступа следующим образом: 1. В оснастке Routing and Remote Access щелкните правой кнопкой мыши на строке Remote Access Policies (Политики удаленного доступа), расположенной под объектом Server (Сервер), и выберите в контекстном меню пункт New Remote Access Policy (Создать политику удаленного доступа). 2. На странице приветствия мастера новой политики удаленного доступа (New Remote Access Policy Wizard) щелкните на кнопке Next. 3. Выберите в качестве стандартного сценария вариант Use the Wizard to Set Up a Typical Policy (Использовать мастер для настройки типичной политики), а в поле имени политики введите VPN authentication. Щелкните на кнопке Next. 4. На странице Access Method property (Свойства метода доступа) выберите VPN. 5. На странице User or Group Access property (Свойства пользователя или группового доступа) разрешите доступ к группе, созданной для пользователей VPN. 6. В разделе Authentication Methods (Методы аутентификации) выберите требуемый метод аутентификации, поддерживаемый вашей текущей инфраструктурой, и щелкните на кнопке Next. 7. На странице Policy Encryption Level property (Свойства уровня шифрования политики) отметьте уровни Strong (Сильный) и Strongest (Самый сильный). 8. На странице Policy Encryption Level создайте политику, щелкнув на кнопке Finish. 9. После создания политики дважды щелкните на ней в правой панели и в разделе Policy conditions (Условия применения политики) добавьте строку CalledStation-ID (Идентификатор вызванной станции) и введите IP-адрес своего VPNсервера. Ваша политика должна быть похожей на то, что показано на рис. 29.1.
Áëîêèðîâêà ðàáî÷èõ ñòàíöèé В некоторых компаниях сотрудники имеют полный контроль над своими настольными компьютерами, независимо от выполняемых ими функций и опыта работы с компьютером. Когда у этих пользователей возникают проблемы, они обращаются к администратору или кому-либо из IT-отдела. Работа по такому сценарию требует значительных затрат. Эти затраты на поддержку пользователей уменьшаются по мере принятия и внедрения стандартов сетевых клиентов и ограничения возможностей пользователей изменять стандартные конфигурации. Степень ограничения возможности контроля пользователями своей среды рабочего стола зависит от функций, выполняемых в компании этими пользователями, и опыта их работы с компьютером.
964
Администрирование настольных компьютеров ×àñòü VIII
Ðèñ. 29.1. Параметры политики для маршрутизации и удаленного доступа Некоторые группы нужно ограничить больше, чем другие. Например, оператор ввода данных, который использует компьютер только для ввода данных в базу данных, должен иметь небольшой или вовсе никакой контроль над конфигурацией своего компьютера, в то время как прикладному программисту, имеющему большой опыт работы, нужны большие возможности по управлению средой настольного компьютера. Можно создавать различные организационные единицы (OU) и применять различные групповые политики, соответствующие уровню контроля над компьютером, позволенному этим группам сетевых клиентов. В данном разделе вновь рассматриваются рекомендации по настройке групповых политик для жестко управляемых сетевых клиентов. Хорошим примером жестко управляемого сетевого клиента является оператор ввода данных. Операторы ввода данных используют компьютеры для ввода данных, которые затем будут доступны для других корпоративных функций. Работа операторов ввода данных требует выполнения одной задачи и обычно использования одного отраслевого приложения (или небольшого количества взаимосвязанных приложений). Кроме этого, могут выполняться лишь системные службы наподобие антивирусных программ. В эту категорию попадают банковские служащие, персонал ввода данных, учетчики в заводских цехах и техники по документации. Этим пользователям необходимы стандартные приложения без всяких специализированных или специальных конфигураций. Для управления оператором ввода данных необходимо реализовать жестко управляемую конфигурацию, не требующую, чтобы пользователь имел навыки управления данными, установки программ или настройки системы. Вот список характеристик политик, связанных с жестко управляемыми сетевыми клиентами:
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29 •
965
Настольные компьютеры содержат ограниченный набор приложений, которые может выполнять пользователь. С помощью групповой политики можно ограничить круг приложений, доступных для выполнения пользователем. Для этого в редакторе групповых политик найдите узел User Configuration/Administrative Templates (Конфигурация пользователя/Шаблоны администрирования) и раскройте узел Start Menu and Taskbar (Меню “Пуск” и панель задач).
НА ЗАМЕТКУ Редактор групповых политик можно запустить, щелкнув правой кнопкой мыши на OU и выбрав в контекстном меню пункт Group Policy Object (Объект групповой политики).
•
На рабочих столах отсутствует меню Start, а набор пиктограмм на рабочем столе ограничен. Необходимо скрыть пиктограмму Network Neighborhood (Сетевое окружение) и другие пиктограммы, обычно присутствующие на рабочем столе. На рис. 29.2 видно, что существует много опций, с помощью которых можно ограничить возможности меню Start и панели задач.
Ðèñ. 29.2. Опции ограничения возможностей меню Start и панели задач •
Пользователи не могут устанавливать программы. Требуемое им программное обеспечение уже установлено на их компьютерах.
•
Все данные хранятся в сети. Для удовлетворения этого требования можно реализовать перенаправление папок. Чтобы организовать перенаправление папки жестко управляемого клиента, выполните описанные ниже действия. 1. Откройте объект групповой политики, связанный с организационной единицей этих клиентов. 2. В дереве консоли под строкой User Configuration / Windows Settings дважды щелкните на строке Folder Redirection и найдите ту папку, для которой необходимо перенаправление.
966
Администрирование настольных компьютеров ×àñòü VIII
3. Щелкните правой кнопкой мыши на перенаправляемой папке (в данном случае — My Documents) и выберите в контекстном меню пункт Properties. 4. На вкладке Target в разделе Setting отметьте пункт Basic – Redirect Everyone’s Folder to the Same Location. 5. В разделе Target Folder Location щелкните на строке Redirect to the Following Location. В поле Root Path введите UNC-путь (например, \\сервер\общий_ресурс). При применении политики перенаправление папок автоматически добавляет имя пользователя и имя папки. •
Если все жестко управляемые пользователи хранят данные на одном и том же томе сервера, то для них можно также реализовать дисковые квоты на общих сетевых ресурсах. Для включения дисковых квот, ограничивающих количество дисковой памяти, доступной пользователям, выполните следующие шаги: 1. На сервере щелкните правой кнопкой мыши на соответствующем дисковом томе и выберите в контекстном меню пункт Properties. 2. В диалоговом окне Properties перейдите на вкладку Quota (Квота). 3. На вкладке Quota установите флажок Enable Quota Management (Разрешить управление квотами). 4. Отметьте строку Limit Space To (Ограничить объем памяти до) и укажите объем дисковой памяти.
•
Дисковые квоты можно внедрить и с помощью групповых политик. Для этого откройте редактор групповых политик и найдите узел Computer Configuration/ Administrative Templates/System/Disk Quotas (Конфигурация компьютера/ Шаблоны администрирования/Система/Дисковые квоты).
•
Многие пользователи, работающие в различные смены или по временным контрактам, могут совместно использовать несколько компьютеров. В этом случае потребуется создать перемещаемые профили, чтобы настройки рабочих столов пользователей следовали за ними независимо от используемой рабочей станции. Для создания перемещаемого профиля пользователя выполните следующие действия: 1. В оснастке Active Directory Users and Computers щелкните правой кнопкой мыши на нужной учетной записи пользователя и выберите в контекстном меню пункт Properties. 2. В диалоговом окне Properties перейдите на вкладку Profile (Профиль). 3. В поле Profile Path (Путь профиля) введите путь к совместно используемой папке сервера для профиля, указав имя пользователя, например, \\имя_сервера\общий_ресурс\%имя_пользователя%.
Ïîääåðæêà îïûòíûõ ïîëüçîâàòåëåé Из предыдущих разделов понятно, что можно полностью заблокировать возможность сетевых клиентов изменять стандарты, установленные на настольном компьютере. Конечно, для многих сетевых клиентов слишком жесткие ограничения на рабочей станции могут снизить производительность их работы и вызвать недовольство.
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
967
В каждой организации всегда существуют группы, требующие большего контроля над рабочими станциями. Для удовлетворения этой необходимости не обязательно предоставлять полный контроль над тщательно разработанными стандартами рабочего стола. Можно оставить некоторый уровень контроля над сетевыми клиентами, и в то же время предоставить продуктивную среду настольного компьютера для более требовательных пользователей. Данный раздел посвящен этим более требовательным пользователям, которых можно назвать слабо управляемыми сетевыми клиентами. Хорошим примером слабо управляемого сетевого клиента является разработчик программного обеспечения. Успешность работы разработчика программного обеспечения полностью зависит от использования им различных технологий. Для выполнения их работы им нужны узкоспециализированные приложения и относительно меньше — офисные приложения. Эти работники могут быть управляемы либо проектом, либо процессом. В силу их высоких зарплат и прямой связи ценности их работы с использованием различных технологий время простоя компьютера для таких работников стоит очень дорого. В эту категорию также попадают финансовые работники и другие типы инженерного персонала. Для управления сетевым клиентом разработчика программного обеспечения необходимо организовать слабо управляемую политику рабочего стола. Можно повысить возможность пользователя выполнять рабочие функции, убрав все, что мешает и отвлекает внимание, но в то же время оставив уровень управляемости для уменьшения общей стоимости членства в группах. Ниже представлены характеристики политик, связанных с слегка управляемыми рабочими столами. •
Пользователи работают с полномочиями Power Users (Опытные пользователи). Чтобы предоставить прикладным программистам больший контроль над их рабочими станциями, чем для стандартных пользователей, добавьте учетные записи этих пользователей в локальную группу Power Users рабочей станции.
•
Можно также реализовать перемещаемые профили, если эти пользователи работают более чем на одной рабочей станции. При этом настройки рабочих столов пользователей будут одинаковы на всех используемых ими различных машинах. Для создания перемещаемого профиля пользователя выполните следующие шаги: 1. В оснастке Active Directory Users and Computers щелкните правой кнопкой мыши на нужной учетной записи пользователя и выберите в контекстном меню пункт Properties. 2. В диалоговом окне Properties перейдите на вкладку Profile. 3. В поле Profile Path введите путь к общему ресурсу сервера для профиля, указав имя пользователя, например, \\имя_сервера\общий_ресурс\%имя_пользователя%.
•
Пользователи могут настраивать установленные приложения для удовлетворения их потребностей. Членство в группе Power Users разрешает эти действия, если не были применены групповые политики, ограничивающие доступ к системным каталогам рабочей станции.
•
Пользователи не могут изменять стандартные настройки аппаратного обеспечения. Если пользователи не работают непосредственно с аппаратными компо-
968
Администрирование настольных компьютеров ×àñòü VIII
нентами, взаимодействующими с рабочей станцией, необходимо сохранить контроль над аппаратной конфигурацией. Для обеспечения безопасности множества аппаратных настроек с помощью оснастки Group Policy найдите узел Computer Configuration/Windows Settings/Security Settings/Local Policies/User Rights Assignments (Конфигурация компьютера/Параметры Windows/Параметры безопасности/Локальные политики/Назначения прав пользователей). Можно заранее установить драйверы для выбранной группы драйверов plugand-play, что позволит пользователям подключать и отключать устройства (вроде сканеров или локальных принтеров). •
Пользователи не могут удалять критические приложения, подобные антивирусным программам. При переупаковке инсталляции антивирусной программы для создания MSI в пакете можно указать, чтобы эта программа не отображалась в оснастке Add/Remove Programs (Установка и удаление программ) панели управления. Можно также запретить удалять файлы на рабочей станции, установив для этих файлов параметры безопасности, позволяющие их удаление только администраторам.
•
Хотя критические данные хранятся в сети, пользователи могут хранить данные локально. Необходимо реализовать перенаправление папок и доступ к автономным файлам. Для установки перенаправления папок выполните описанные далее шаги. 1. Откройте объект групповой политики, связанный с организационной единицей этих клиентов. 2. В дереве консоли под строкой User Configuration / Windows Settings дважды щелкните на строке Folder Redirection и найдите ту папку, для которой необходимо перенаправление. 3. Щелкните правой кнопкой мыши на перенаправляемой папке (в данном случае — My Documents) и выберите в контекстном меню пункт Properties. 4. На вкладке Target в разделе Setting отметьте пункт Basic – Redirect Everyone’s Folder to the Same Location. 5. В разделе Target Folder Location щелкните на строке Redirect to the Following Location. В поле Root Path введите UNC-путь (например, \\сервер\общий_ресурс). При применении политики перенаправление папок автоматически добавляет имя пользователя и имя папки.
Îáåñïå÷åíèå âûñîêîãî óðîâíÿ áåçîïàñíîñòè В предыдущих сценариях приводились рекомендации по ограничению отдельных возможностей сетевых клиентов в зависимости от функций, выполняемых клиентом в организации. В данном разделе речь пойдет о повышении безопасности сетевого клиента. В большинстве организаций есть группы или отдельные сетевые клиенты, работающие со строго секретными данными. Такие пользователи могут работать в отделе кадров или в расчетном отделе бухгалтерии. В эту категории попадают также руководители компании. Поскольку эти пользователи имеют доступ к строго секретной информации, очень важно обеспечить безопасность сетевых учетных записей, используемых для доступа к этой информации, а также средств доступа к этим данным.
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
969
Хотя безопасность Windows Server 2003 описывается в этой книге в части IV, в данном разделе кратко описаны некоторые рекомендации по безопасности, относящиеся к управлению с помощью групповых политик сетевыми клиентами с высокой безопасностью. Поскольку секретные данные обычно хранятся на серверах, к которым, в свою очередь, обращаются привилегированные сетевые клиенты, необходимо обеспечить безопасность данных при их передаче от сервера к клиенту. Большинство данных не защищено при передаче их по сети, поэтому работники, обслуживающий персонал или посетители могут подключиться к такой сети и скопировать данные для последующего анализа. Кроме того, они могут организовать сетевые атаки на другие компьютеры. Ключевым компонентом в обеспечении безопасности данных при их пересылке между компьютерами является протокол защиты данных в Internet (Internet Protocol Security — IPSec) — средство, встроенное в Windows Server 2003. В IPSec имеются мощные средства защиты против внутренних, частных сетевых и внешних атак, работающие с помощью шифрования пересылаемых по кабелям пакетов данных. Политики IPSec можно создать и модифицировать с помощью оснастки IP Security Policy Management (Управление политиками безопасности Internet-протокола), доступной в консоли управления Microsoft (MMC). Затем политики IPSec могут быть назначены объекту групповой политики сайта, домена или организационной единицы. Если секретные данные хранятся на сервере, то необходимо назначить серверу предопределенную политику Secure Server (Защищенный сервер), чтобы он всегда требовал работу по защищенному соединению. Затем можно назначить предопределенную политику Client (Respond Only) (Клиент — только ответ) сетевым клиентам, обменивающимся данными с безопасным сервером. Эта политика обеспечивает обязательное шифрование обмениваемых данных при работе сетевого клиента с безопасным сервером. С другими сетевыми серверами этот сетевой клиент может общаться нормально (без обеспечения безопасности). Чтобы назначить политику IPSec Client (Respond Only) в редакторе объектов групповых политик, выполните следующие шаги: 1. Найдите строку IP Security Policies on Active Directory (Политики безопасности IP в Active Directory) под узлом Computer Configuration/Windows Settings/Security Settings (Конфигурация компьютера/Параметры Windows/Параметры безопасности). 2. В панели информации щелкните на строке Client (Respond Only). 3. Выберите в меню Action пункт Assign (Назначить). Хотя сетевой клиент с высокой безопасностью может нормально (без обеспечения защиты) общаться с другими серверами своей организации, не содержащими секретных данных, возможно, понадобится ограничить возможность таких клиентов выходить за пределы организации. Можно включить некоторые параметры в групповой политике, запрещающие пользователю изменение или создание новых сетевых подключений. Например, можно применить настройку групповой политики, запрещающую подключение удаленного доступа. Для включения параметров групповой политики, относящихся к сетевым соединениям, в редакторе групповых политик раскройте узел User Configuration/Administrative Templates/Network (Конфигурация пользователя/Шаблоны администрирования/ Сеть). На рис. 29.3 показаны параметры, которые можно включить в этой категории.
970
Администрирование настольных компьютеров ×àñòü VIII
Ðèñ. 29.3. Параметры сетевых соединений Если защищенные сетевые клиенты хранят секретные данные на своих локальных рабочих станциях, можно обеспечить дополнительную защиту этих данных с помощью шифрованной файловой системы (Encrypting File System — EFS). Поскольку EFS интегрирована в файловую систему, ей легко управлять и трудно атаковать. Более того, после того как пользователь укажет, что файл должен быть зашифрован, дальнейший процесс шифрования и дешифровки данных полностью прозрачен для пользователя. Шифрование и дешифровка данных подробно рассматриваются в главе 12. Для зашифровки файла или папки выполните перечисленные ниже шаги. 1. В проводнике Windows щелкните правой кнопкой мыши на файле или папке, которую необходимо зашифровать, и выберите в контекстном меню пункт Properties. 2. На вкладке General (Общие) щелкните на кнопке Advanced (Дополнительно). 3. Установите флажок Encrypt Contents to Secure Data (Шифровать содержимое для безопасности данных). Для шифрования и дешифровки данных пользователь должен иметь сертификат шифрования файлов. Если сертификат шифрования файлов утерян или поврежден, доступ к файлам становится невозможным. Восстановление данных возможно с помощью агента восстановления. В качестве агента восстановления может быть назначена учетная запись доверяемого пользователя, чтобы компания могла восстановить файлы в случае утери или повреждения сертификата шифрования данных или для восстановления данных, зашифрованных уволившимся сотрудником. Одним из многих преимуществ применения доменов Windows Server 2003 является то, что можно сконфигурировать политику восстановления EFS домена. В стандартной инсталляции Windows Server 2003 при установке первого контроллера домена (DC) администратор домена указывается как агент восстановления для этого домена. Администратор домена может войти в первый DC домена и затем изменить политику восстановления этого домена.
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
971
Если нужно создать дополнительные агенты восстановления, учетные записи пользователей должны иметь сертификаты восстановления файлов. При возможности сертификаты лучше запрашивать в центре сертификатов (Certificate Authority — CA) предприятия, который может выпускать сертификаты для этого домена. Однако EFS не требует обязательного выпуска сертификатов средствами CA и может генерировать собственные сертификаты для пользователей и учетных записей агентов восстановления, назначенных по умолчанию.
Ñîïðîâîæäåíèå ðàáî÷èõ ñòàíöèé àäìèíèñòðàòîðîâ К данному моменту вы установили и применили групповые политики ко всем своим сетевым клиентам на основе их функций, местоположения и требований безопасности для обеспечения производительности и управляемости настольных или мобильных компьютеров. Теперь следует переключить внимание на сетевых клиентов, управляющих сетью — рабочие станции администраторов. Во многих компаниях рабочие станции администраторов вообще никак не управляются. Учетные записи, используемые администраторами для входа в сеть, дают им доступ к управлению всеми аспектами рабочих станций и серверов. Поскольку эти учетные записи обеспечивают столь вольный доступ к сети, рекомендуется установить политики, предназначенные для защиты этих возможностей (рис. 29.4). В данном разделе предлагаются некоторые рекомендации по надлежащей настройке и применению рабочих станций администраторов.
Ðèñ. 29.4. Опции и параметры политики открытого ключа Чтобы выполнять изменения в Active Directory, сопровождать систему, создавать резервные копии, восстанавливать из них данные и инсталлировать программы, администраторам нужна входная учетная запись, предоставляющая им повышенные полномочия. В то же самое время администраторы, как и все, выполняют обычные
972
Администрирование настольных компьютеров ×àñòü VIII
сетевые действия, например, читают почту, печатают документы и составляют графики. По этой причине администраторы должны иметь две или более учетных записей. Они должны иметь учетную запись, не отличающуюся от обычной учетной записи сетевого клиента, с теми же полномочиями и подверженную тем же групповым политикам, что и большинство обычных и опытных пользователей. Эти учетная запись должна использоваться для стандартного входа на рабочую станцию администратора. Кроме того, администраторы должны иметь другие учетные записи для администрирования рабочих станций, сети и доменов, не используемые при повседневной работе в качестве сетевого клиента. Даже сами администраторы могут непреднамеренно выполнить изменения, наносящие ущерб конфигурации рабочей станции или сервера, если они все время работают с полномочиями администратора домена. Возможность Run As (Выполнить как) систем Windows Server 2003 и Windows 2000 может быть использована с рабочей станции администратора или любого сетевого клиента для временного повышения полномочий и выполнения функций администрирования. Например, войдя в рабочую станцию с учетной записью пользователя со стандартными полномочиями, можно запустить оснастку Active Directory Users and Computers с помощью команды Run As, позволяющей выполнить эту утилиту из учетной записи администратора. Для запуска приложения с помощью команды Run As выполните следующие действия: 1. Удерживая нажатой клавишу <Shift>, щелкните правой кнопкой мыши на нужном приложении. 2. Выберите в контекстном меню пункт Run As (Выполнить как). 3. В диалоговом окне Run As Other User (Выполнить от имени другого пользователя) введите имя пользователя, пароль и доменное имя учетной записи администратора. Также рекомендуется установить на рабочих станциях администраторов хранитель экрана, защищенный паролем и имеющий небольшой интервал срабатывания. Эта защищает рабочую станцию от использования злоумышленниками полномочий администратора, когда администратор ненадолго отлучается от машины. Для установки с помощью групповых политик специального хранителя экрана с парольной защитой и интервала его срабатывания выполните описанные далее действия. 1. В редакторе объектов групповых политик найдите узел User Configuration/ Administrative Templates/Control Panel/Display (Конфигурация пользователя/ Шаблоны администрирования/Панель управления/Экран). 2. Включите следующие параметры: Screen Saver Executable Name (Имя исполняемого файла хранителя экрана), Password Protect the Screen Saver (Защита паролем хранителя экрана) и Screen Saver Timeout (Интервал срабатывания хранителя экрана). Эти активизированные параметры показаны на рис. 29.5.
НА ЗАМЕТКУ Администраторы групповых политик должны помнить, что к учетным записям пользователей, принадлежащих группам Domain Admins (администраторы доменов) или Enterprise Admins (администраторы предприятия), по умолчанию групповые политики не применяются и должны включаться с особыми предосторожностями.
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
973
Ðèñ. 29.5. Политики параметров Control Panel / Display И, наконец, если речь идет о большой организации с распределенным администрированием, то хорошей идеей является делегирование полномочий управления сетевыми клиентами группам администраторов на основе их территориального расположения. Некоторые организации ошибочно создают глобальную группу администраторов, в которую входят все администраторы компании. То, что администратору в офисе в Жмеринке нужны права для администрирования сетевых клиентов в его офисе, не означает, что он должен обладать правами администрирования сетевых клиентов в Папуа – Новой Гвинее. Четкая организация администраторов также защищает сетевых клиентов от ошибочных назначений групповых политик.
Ðåçþìå Как видите, с помощью групповых политик в Windows Server 2003 можно удовлетворять потребности управления сетевых клиентов для широкого спектра сценариев. Политики управления можно точно настроить на основе функций, местоположения и требований безопасности пользователей. Из сценариев, рассмотренных в данной главе, вы можете сконструировать политики управления, предназначенные для вашей собственной организации. Хотя эта глава предлагает некоторые надежные рекомендации для типичных организационных групп, при построении вашего собственного управления могут возникать специальные требования к управлению. Приступая к исследованию множества настроек групповых политик, доступных в Windows Server 2003, помните, что самые простые решения часто являются наилучшими с точки зрения и управления, и производительности конечных пользователей.
974
Администрирование настольных компьютеров ×àñòü VIII
Ïîëåçíûå ñîâåòû •
При создании среды следуйте соглашениям по именованию, с помощью которых по именам политик можно легко понять их функции. Windows Server 2003 не запрещает наличие одинаковых имен для двух политик, но это может внести путаницу.
•
Как можно реже применяйте опции блокировки наследования политик (Block Policy Inheritance) и запрета переопределения (No Override). Эти возможности являются замечательными инструментами для применения групповых политик, но только в организациях со строгой иерархической структурой и в организациях с распределенным администрированием. Кроме того, они могут затруднить устранение неполадок в политиках.
•
Отключайте неиспользуемые части объектов групповых политик. Если в политике применяется только конфигурация пользователя, то конфигурацию компьютера нужно отключить. И наоборот: если проводятся изменения только в конфигурации компьютера, можно отключить конфигурацию пользователям. Это может ускорить процесс загрузки и входа в систему для сетевых клиентов, к которым относится эта политика.
•
Избегайте междоменных назначений политик. Опять-таки, для ускорения процесса загрузки и входа в систему пользователи должны получать свои назначения политик из своего собственного домена. Этот совет особенно важен для управления удаленными пользователями.
•
Назначайте или публикуйте программное обеспечение в высокоуровневых объектах Active Directory. Поскольку по умолчанию настройки групповой политики применяются и к дочерним контейнерам, то проще назначить или опубликовать приложения, привязав объект групповой политики к родительской организационной единице или домену.
•
Назначайте или публикуйте программное обеспечение лишь один раз для каждого объекта групповой политики. Для упрощения управления и устранения неполадок знание того, что каждый инсталляционный пакет связан с одной групповой политикой и, наоборот, каждая политика связана с одним программным пакетом, поможет в дальнейшем избежать путаницы. Также не назначайте и не публикуйте программное обеспечение одновременно и в конфигурации компьютера, и в конфигурации пользователя объекта групповой политики.
•
Переупаковывайте существующее программное обеспечение. Поскольку программы устанавливаются через групповые политики с помощью пакетов инсталлятора Microsoft Windows (MSI), необходимо переупаковать программы, скомпилированные с помощью Setup.exe.
•
Возложите создание папок на систему. Если вы создаете папки самостоятельно, им не будут назначены корректные права доступа. Не перенаправляйте папку My Documents в домашний каталог. Это возможно, однако эту возможность необходимо применять, только если в организации развернуты домашние каталоги. Перенаправление в домашний каталог доступно только для обратной совместимости.
•
Управление сетевыми клиентами с помощью групповых политик Ãëàâà 29
975
•
Включите кэширование на стороне клиента. Это необходимо для пользователей с портативными компьютерами.
•
Синхронизируйте автономные файлы перед входом в систему. Эта возможность перенаправления папок должна быть всегда активной, чтобы обеспечить доступность текущих файлов автономно работающим пользователям.
•
Используйте полностью определенные (UNC) пути, например, \\сервер\общий_ресурс. Хотя можно использовать и пути наподобие c:\имя_папки, этот путь может не существовать на всех целевых сетевых клиентах, и перенаправление не сможет быть выполнено.
•
Используйте возможность работы с автономными файлами с помощью технологии IntelliMirror для упрощения управления мобильными пользователями, позволяя им работать с сетевыми файлами, когда они реально не подключены к сети.
•
Настройте автономные файлы на синхронизацию при входе пользователей и периодическую фоновую синхронизацию. Подобным образом можно обеспечить постоянную актуальность файлов пользователей.
•
Реализуйте сервер виртуальной частной сети (Virtual Private Network — VPN), если для сетевых подключений удаленных пользователей требуется дополнительная защита.
•
Реализуйте жестко управляемую конфигурацию, не требующую, чтобы жестко управляемые пользователи имели навыки управления данными, установки программ или настройки системы. Если все жестко управляемые пользователи хранят данные на одном и том же томе сервера, то для них можно также реализовать дисковые квоты на общих сетевых ресурсах.
•
Реализуйте политику слабо управляемого рабочего стола для управления сетевыми клиентами разработчиков программного обеспечения. Эти пользователи работают с полномочиями Power Users (Опытные пользователи). Членство в группе Power Users позволяет реализовать эту политику, если не была применена групповая политика, ограничивающая доступ к системным каталогам рабочей станции.
•
Для пользователей, которым нужна повышенная безопасность, реализуйте групповые политики IPSec и используйте файловую систему EFS.
•
Администраторы для выполнения своих повседневных задач должны использовать стандартные учетные записи и применять учетные записи администраторов только тогда, когда это требуется. На их рабочих станциях должны быть установлены хранители экрана.
Òåõíîëîãèè îáåñïå÷åíèÿ îòêàçîóñòîé÷èâîñòè
 ÝÒÎÉ ×ÀÑÒÈ... 30. Îòêàçîóñòîé÷èâîñòü ôàéëîâîé ñèñòåìû 31. Îòêàçîóñòîé÷èâîñòü íà óðîâíå ñèñòåìû (êëàñòåðèçàöèÿ è áàëàíñèðîâêà ñåòåâîé íàãðóçêè) 32. Ðåçåðâíîå êîïèðîâàíèå ñðåäû Windows Server 2003 33. Àâàðèéíîå âîññòàíîâëåíèå
×ÀÑÒÜ
IX
Отказоустойчивость файловой системы Ãëàâà 30
Îòêàçîóñòîé÷èâîñòü ôàéëîâîé ñèñòåìû
 ÝÒÎÉ ÃËÀÂÅ... •
Çíàêîìñòâî ñî ñëóæáàìè ôàéëîâîé ñèñòåìû Windows Server 2003
•
Ïðèìåíåíèå îòêàçîóñòîé÷èâûõ äèñêîâûõ ìàññèâîâ
•
Óïðàâëåíèå äîñòóïîì ê îáùèì ôàéëîâûì ðåñóðñàì è èñïîëüçîâàíèåì òîìîâ
•
Ìîíèòîðèíã äèñêîâ è òîìîâ
•
Ðàáîòà ñ ôàéëàìè îïåðàöèîííîé ñèñòåìû: îòêàçîóñòîé÷èâîñòü
•
Èñïîëüçîâàíèå ðàñïðåäåëåííîé ôàéëîâîé ñèñòåìû
•
Ïëàíèðîâàíèå ðàçâåðòûâàíèÿ DFS
•
Óñòàíîâêà DFS
•
Îïòèìèçàöèÿ DFS
•
Óïðàâëåíèå è óñòðàíåíèå íåïîëàäîê â DFS
•
Ðåçåðâíîå êîïèðîâàíèå DFS
•
Óäàëåííîå õðàíåíèå äàííûõ
•
Èñïîëüçîâàíèå ñëóæáû ôîíîâîãî êîïèðîâàíèÿ òîìà
ÃËÀÂÀ
30
979
980
Технологии обеспечения отказоустойчивости ×àñòü IX
Современные предприятия очень сильно зависят от своей вычислительной инфраструктуры, и особенно от доступа к данным. Пользователи регулярно обращаются к базам данных и файлам, и если нужные данные недоступны, то снижается производительность и теряются деньги. А когда в среду добавляются новые файловые серверы, заменяющие старые файловые серверы или просто принимающие на себя дополнительную нагрузку, администраторы должны изменить сценарии входа пользователей и назначения сетевых дисков, но, кроме того, им может понадобиться вручную скопировать большие объемы данных с одного сервера на другой. Поддержание сильно загруженных файловых серверов в оптимизированном состоянии с помощью регулярной проверки дисков на ошибки и фрагментацию файлов, а также архивирование данных для освобождения дисковой памяти — все это может занимать значительное время. В большинстве случаев такие задачи требуют перевода сервера с автономный режим, в результате чего доступ к данным становится невозможным. В данной главе будут рассмотрены встроенные в Windows Server 2003 технологии, которые позволяют повысить надежность доступа к файловой системе. Здесь также представлены практические советы по способам реализации этих технологий, а также по способам поддержки и сопровождения служб файловой системы для поддержания надежности и восстанавливаемости доступа к данным.
Çíàêîìñòâî ñî ñëóæáàìè ôàéëîâîé ñèñòåìû Windows Server 2003 Существует множество способов обеспечения отказоустойчивости файловой системы с помощью служб и средств файловой системы, которые входят в состав семейства операционных систем Windows Server 2003. В зависимости от того, является ли целью безопасность, автоматическое архивирование данных, простота пространства имен файлового сервера, репликация данных или быстрое восстановление данных, Windows Server 2003 предоставляет средства и службы файловой системы, которые могут улучшить любую вычислительную среду.
Ðàñïðåäåëåííàÿ ôàéëîâàÿ ñèñòåìà Для создания высокодоступных файловых служб, которые уменьшают количество изменений конфигураций пользователей и время простоя файловой системы Windows Server 2003 содержит службу распределенной файловой системы (Distributed File System — DFS). DFS предоставляет доступ к данным файлов из унифицированного пространства имен, которое перенаправляет пользователей из одного сетевого имени к совместно используемым данным, находящимся на различных серверах. Например, имя \\companyabc.com\home может перенаправить пользователей по адресам \\server3\home$ и \\server2\users. Для пользователей DFS удобна тем, что им нужно помнить только одно имя сервера или домена, чтобы разместить все необходимые общие файловые ресурсы. При развертывании в доменной конфигурации систему DFS можно сконфигурировать на репликацию данных между серверами с помощью службы репликации файлов.
Отказоустойчивость файловой системы Ãëàâà 30
981
Ñëóæáà ðåïëèêàöèè ôàéëîâ Служба репликации файлов (File Replication Service — FRS) автоматически включена во всех системах Windows 2000 и Windows Server 2003, но настроена на автоматический запуск только на контроллерах доменов. На контроллерах доменов Windows 2000 и Windows Server 2003 служба FRS используется для автоматической репликации данных, находящихся в общем файловом ресурсе SYSVOL: системные политики, групповые политики, входные сценарии, входные приложения и другие файлы, которые администраторы помещают в общие ресурсы SYSVOL или Netlogon. При добавлении контроллера в домен служба FRS создает одно или несколько соединений между этим сервером и другими контроллерами доменов. Это соединение управляет репликацией по определенному графику. Стандартный график для репликации папки SYSVOL контроллера домена всегда включен. То есть при добавлении файла в общий ресурс SYSVOL на одном контроллере домена сразу же включается репликация с другими контроллерами доменов, с которыми у него есть соединение. Если контроллеры доменов находятся в отдельных сайтах Active Directory, то соединение FRS для ресурса SYSVOL подчиняется тому же графику, что и Active Directory. График соединения FRS для SYSVOL — это то же самое, что и связь сайтов. Иерархии доменов DFS также могут использовать соединения RFS для репликации данных общих файловых ресурсов, заданных пользователем. Хотя FRS и DFS доменов обеспечивают автоматическую репликацию данных с несколькими мастерами, возможно и применение службы фонового копирования тома для управления реальным содержимым или данными, находящимися в общих ресурсах.
Ñëóæáà ôîíîâîãî êîïèðîâàíèÿ òîìà Служба фонового копирования тома (Volume Shadow Copy — VSS) появилась только в Windows Server 2003 и обеспечивает возможность восстановления файлов и отказоустойчивость данных, ранее недоступные в Windows. VSS позволяет и администраторам, и конечным пользователям восстанавливать данные, удаленные из общего сетевого ресурса, без необходимости обращения к резервной копии. Если в предыдущих версиях Windows пользователь по ошибке удалял файл из общей сетевой папки, то она сразу же удалялась с сервера, и данные необходимо было восстанавливать из резервной копии. Том Windows Server 2003 с включенной службой VSS позволяет пользователям с соответствующими полномочиями восстанавливать такие данные из созданной ранее резервной копии VSS. Используя VSS на томе, содержащем общую папку, администратор может просто восстановить в предыдущее состояние весь том, общий ресурс, либо просто отдельный файл.
Óäàëåííîå õðàíåíèå Для обеспечения служб управления иерархической памятью, в том числе автоматического архивирования данных, Windows Server 2003 содержит службу удаленного хранения (Remote Storage), появившуюся впервые в Windows 2000 Server. Эту службу можно настроить на миграцию данных с дискового тома на удаленный носитель данных на основе даты последнего доступа к файлу или при достижении обслуживаемым диском заданного порогового значения свободной дисковой памяти — при этом дан-
982
Технологии обеспечения отказоустойчивости ×àñòü IX
ные могут быть перенесены на удаленный носитель автоматически. Хотя эта служба не обеспечивает отказоустойчивость файловой системы, применение Remote Storage для управления томами может повысить надежность и восстанавливаемость, обеспечивая доступность дисковой памяти и уменьшая объем данных, для которых необходимо резервное копирование или восстановление при возникновении сбоев диска.
НА ЗАМЕТКУ Не настраивайте Remote Storage на управление томами, содержащими реплики FRS, поскольку это может привести к излишней миграции данных. Периодически FRS может требоваться доступ ко всему тому, чтобы посылать копии всего тома в новую реплику сервера, а это может породить несколько запросов на обратную миграцию данных с удаленного носителя данных на диск. Этот процесс может занять много времени, поскольку все мигрируемые данные управляемых томов могут потребовать восстановления на физический диск сервера.
Ïðèìåíåíèå îòêàçîóñòîé÷èâûõ äèñêîâûõ ìàññèâîâ Windows Server 2003 поддерживает и аппаратные, и программные RAID-тома для обеспечения устойчивости к дисковым сбоям. Массив недорогих дисков с избыточностью (Redundant Array of Inexpensive Disks — RAID) обеспечивает различные уровни конфигурации, обеспечивающие отказоустойчивость дисков, а форматирование таких томов с помощью файловой системы NT (NTFS) позволяет также использовать защиту каталогов и файлов, сжатие данных и шифрование данных. Лучше использовать аппаратный RAID, так как в этом случае обязанности управления дисками возлагаются на RAID-контроллер, снижая нагрузку на операционную систему. Если диск доступен для Windows Server 2003, то его можно сконфигурировать как обычный диск или динамический диск.
Òèïû äèñêîâ Windows Server 2003 предоставляет доступ к дискам, подключенных непосредственно к серверу через контроллер IDE, SCSI или внешний RAID-контроллер. RAIDдиски могут обеспечить более быстрый доступ к диску, а кроме того, могут обеспечить более высокую отказоустойчивость при сбоях дисков. Аппаратный RAID получается, когда для настройки и управления RAID-массивом используется отдельный контроллер RAID-дисков. RAID-контроллер хранит информацию о конфигурации массива, включая членство и состояние дисков. Лучше использовать аппаратный, чем программный RAID, обеспечиваемый Windows Server 2003, поскольку обработка управления дисками возлагается на RAID-карту, уменьшая нагрузку на процессор. Как уже упоминалось, Windows Server 2003 поддерживает два типа дисков: обычные и динамические. Обычные диски обратно совместимы, то есть если они отформатированы под FAT, то к их разделам возможен доступ мз предыдущих операционных систем Microsoft, подобных MS-DOS и Windows 95, а при форматировании под NTFS к ним возможен доступ из Windows NT, Windows 2000 и Windows Server 2003. Динамические диски управляются операционной системой и обеспечивают несколько
Отказоустойчивость файловой системы Ãëàâà 30
983
вариантов конфигураций, в том числе программные RAID-наборы и возможность создания многодисковых томов.
Îáû÷íûå äèñêè Доступ к обычным дискам возможен из Microsoft Windows Server 2003 и всех предыдущих систем Microsoft Windows или MS-DOS. Эти диски можно разбить на несколько разделов, но не более четырех. Комбинации разделов могут быть такими: либо до четырех первичных разделов, либо три первичных раздела и один расширенный раздел. Первичные разделы можно использовать для запуска старых операционных систем и считать их отдельными томами. Расширенный раздел можно разбить на несколько логических дисков. Каждый логический диск ведет себя как отдельный том, что позволяет администраторам создавать на базовом диске сколько угодно томов. Обычные разделы и логические диски можно отформатировать как диски FAT, FAT32 или NTFS. Обычные разделы называются также обычными томами.
Äèíàìè÷åñêèå äèñêè Динамические диски могут быть сегментированы на несколько логических дисков, называемых динамическими томами. Динамические диски управляются операционной системой с помощью службы виртуальных дисков (Virtual Disk Service — VDS). В качестве динамических дисков можно определить много томов, но рекомендуется, чтобы их количество не превышало 32. После преобразования диска в динамический диск он может быть смонтирован только в системах Windows Server 2003, а из других операционных систем доступ к его данным возможен с помощью файловых служб Windows Server 2003 — Web-служб, FTP-служб, общих файловых ресурсов и других клиентсерверных приложений. В некоторых конфигурациях динамические тома могут занимать два или более диска и обеспечивать отказоустойчивость дисков. Ниже представлены типы динамических томов, обеспечиваемые в Windows Server 2003. •
Простой том (simple volume). Похож на обычный раздел тем, что весь том рассматривается как один диск и не может охватывать несколько дисков.
•
Расширенный том (spanned volume). Считается одним диском, но охватывает два или более дисков. Расширенные тома не обеспечивают отказоустойчивость дисков, но их можно использовать для создания больших дисков, объем которых превышает емкость одного диска. Чтение и запись данных на расширенных томах выполняются медленнее всего. Организация этих томов рекомендуются только тогда, когда необходим объем памяти, превышающий емкость одного диска, или когда необходимо увеличить объем существующего простого раздела. Например, если приложение не поддерживает пересылку данных или системных файлов на другой диск, а используемый диск почти заполнен, то простой том можно расширить за счет нераспределенной памяти на этом же или другом диске и таким образом добавить дополнительную дисковую память. Простой том, расширенный за счет нераспределенного места на том же диске, все равно считается простым томом. Память, выделенная на каждом из дисков, может быть различных размеров.
984
Технологии обеспечения отказоустойчивости ×àñòü IX
•
Том с чередованием (striped volume). Том с чередованием (разбиением на полосы), или том, совместимый с RAID 0, требует двух или более дисков и обеспечивает самую быструю из всех дисковых конфигураций. Тома с чередованием читают и записывают данные на каждый диск одновременно, что снижает время доступа к дискам. Тома с чередованием используют всю память, выделенную для хранения данных, но не обеспечивают отказоустойчивость диска. При отказе одного из дисков доступ к данным становиться невозможным. Наборы с чередованием требуют одинакового объема дисковой памяти на каждом из выделенных дисков. Например, для создания массива с чередованием объемом 4 Гб на двух дисках необходимо, чтобы на каждом из дисков было по 2 Гб нераспределенной памяти.
•
Том RAID 5 (RAID 5 volume). Программные тома RAID 5 требуют трех или более дисков (обычно пяти — прим. перев.) и обеспечивают меньшее время доступа на чтение и запись, чем для одного диска. Объемы памяти или тома, выделенные для набора RAID на каждом диске, должны быть одинаковыми. Наборы RAID 5 выдерживают отказ одного диска и могут продолжить предоставлять доступ к данным, используя лишь оставшиеся диски. Эта возможность достигается за счет резервирования небольшого количества выделенной на каждом диске памяти под хранение информации о четности, с помощью которой можно восстановить отказавший диск или продолжить обеспечивать доступ к данным. Общий объем информации о четности RAID 5 равен объему одного диска массива, а объем хранимой информации может быть вычислен по следующей формуле: (N – 1) * S = T где N — количество дисков, S — размер выделенной памяти на каждом диске, а T — общая доступная память для хранения данных. Например, если для массива RAID 5 используются пять дисков с выделенными 10 Гб на каждом из них, то общая доступная дисковая память для хранения данных будет составлять (5 – 1) * 10 Гб = 40 Гб 10 Гб резервируются под информацию о четности.
•
Зеркальный том (mirrored volume). Зеркальные, или совместимые с RAID 1, тома требуют двух отдельных дисков, и на каждом диске должен быть выделен одинаковый объем памяти. Зеркальные наборы дублируют данные на обоих дисках и выдерживают отказ одного диска. Поскольку зеркальный том является точной копией первого диска, то емкость памяти зеркального набора ограничена половиной всей выделенной дисковой памяти.
CОВЕТ Постарайтесь обеспечить отказоустойчивость дисков для операционной системы и данных, предпочтительно с помощью аппаратных RAID-наборов.
До конца этой главы и обычные разделы, и динамические тома будут называться просто томами.
Отказоустойчивость файловой системы Ãëàâà 30
985
Ôîðìàòèðîâàíèå äèñêîâ Windows Server 2003 поддерживает форматирование обычных и динамических томов с помощью файловых систем NTFS, FAT или FAT32. Тома FAT поддерживаются MS-DOS и всеми операционными системами Microsoft Windows, но если к ним нужен доступ программам MS-DOS, то объем томов не должен превышать 2 Гб. FAT32 поддерживается Microsoft начиная с Windows 95, но эти разделы невозможно прочитать из систем MS-DOS, Windows for Workgroups и Windows NT. NTFS-тома Windows Server 2003 поддерживаются Windows NT 4.0 с Service Pack 6a или выше и всеми версиями Windows 2000, Windows XP и Windows Server 2003. На каждом типе формата дисков можно создать общие файловые ресурсы, но NTFS предоставляет дополнительные возможности: квоты дисковой памяти, фоновое копирование, сжатие данных, безопасность на уровне файлов и папок и шифрование.
Óïðàâëåíèå äèñêàìè Управлять дисками в Windows Server 2003 можно с помощью различных инструментов, входящих в состав операционной системы. Действия по работе с дисками могут быть выполнены с помощью оснастки MMC Disk Management (Управление дисками) с локальной или удаленной консоли сервера, либо с помощью утилиты командной строки diskpart.exe.
Èñïîëüçîâàíèå îñíàñòêè MMC Disk Management Большинство задач администрирования, связанных с дисками, можно выполнить с помощью оснастки MMC Disk Management. Это средство доступно из консоли Computer Management, но можно добавить и отдельную оснастку в отдельное окно консоли управления Microsoft (MMC). Оснастка Disk Management используется для идентификации дисков, определения дисковых томов и форматирование томов. Начиная с Windows Server 2003, с помощью консоли Disk Management возможно управление дисками на удаленных компьютерах. Если диск был разбит на разделы и отформатирован во время процесса установки Windows Server 2003, то после завершения установки этот диск будет идентифицирован как обычный диск. После загрузки Windows Server 2003 и получения доступа к управлению дисками этот диск можно преобразовать в динамический, что предоставит администраторам сервера дополнительные возможности конфигурирования диска.
Èñïîëüçîâàíèå óòèëèòû êîìàíäíîé ñòðîêè diskpart.exe Утилита diskpart.exe является мощной и гибкой утилитой командной строки для управления дисками. Большинство действий с дисками, которые можно выполнить с консоли Disk Management, можно выполнить и с помощью этой утилиты. С помощью diskpart.exe можно расширить и обычные, и динамические тома, а Disk Management может расширить только динамические тома. Утилита diskpart.exe может выполняться в сценарии, позволяя автоматизировать управление томами.
986
Технологии обеспечения отказоустойчивости ×àñòü IX
Ниже представлен пример сценария diskpart.exe. Если использовать имя файла наподобие c:\drive info.txt, то для расширения тома за счет нераспределенной памяти на том же диске можно использовать следующую информацию: Select Volume 2 Extend Exit При создании файла командного сценария в конце каждой команды необходимо нажимать <Enter>, чтобы при вызове сценария выполнялись нажатия клавиши <Enter>. В командном окне введите команду: Diskpart.exe /s c:\drive_info.txt Теперь том 2 будет расширен за счет оставшейся нераспределенной дисковой памяти на том же диске.
НА ЗАМЕТКУ Если с помощью diskpart.exe нужно расширить обычный том, то нераспределенная дисковая память должна находиться на том же диске, что и исходный том, и должна быть смежной с расширяемым томом. В противном случае команда не сможет выполниться.
Ñîçäàíèå îòêàçîóñòîé÷èâûõ òîìîâ Windows Server 2003 поддерживает отказоустойчивые дисковые массивы, сконфигурированные и управляемые контроллером RAID-дисков или сконфигурированные в операционной системе с помощью динамических дисков. Для создания RAID-массивов с помощью RAID-контроллера обратитесь к документации производителя и воспользуйтесь соответствующими дисковыми утилитами. Программные RAID-массивы можно сконфигурировать с помощью консоли Disk Management или утилиты командной строки diskpart.exe.
Ïðåîáðàçîâàíèå îáû÷íûõ äèñêîâ â äèíàìè÷åñêèå Прежде чем администратор сможет создать программные отказоустойчивые тома, нужный диск должен быть преобразован в динамический. Для преобразования обычного диска в динамический выполните следующие шаги: 1. Войдите в соответствующий сервер с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start (Пуск) пункт All ProgramsÖAdministrative ToolsÖComputer Management (Все программыÖАдминистрированиеÖУправление компьютером). 3. В левой панели дважды щелкните на узле Computer Management (local) (Управление компьютером – локально), если он не раскрыт. 4. Щелкните на крестике рядом с узлом Storage (Память). 5. Выберите строку Disk Management (Управление дисками). 6. В правой панели проверьте, что диск, содержащий системный том, помечен как динамический.
Отказоустойчивость файловой системы Ãëàâà 30
987
7. Если все необходимые диски уже являются динамическими, закройте окно Computer Management, выбрав в меню File (Файл) пункт Exit (Выход). 8. Если диск помечен как обычный, щелкните на нем правой кнопкой мыши и выберите в контекстном меню пункт Convert to Dynamic Disk (Преобразовать в динамический диск). Выберите нужный диск, щелкните на кнопке ОК, проверьте информацию в появившемся диалоговом окне, а затем щелкните на кнопке Convert (Преобразовать). 9. Повторяйте вышеописанные шаги для каждого диска, который будет входить в расширенный том, зеркальный том, том с чередованием или том RAID 5. 10. Если преобразуется диск, содержащий систему, операционная система может запросить несколько перезагрузок системы: вначале для размонтирования тома, а затем для его преобразования в динамический диск. После перезагрузки диск будет распознан как новый диск, и потребуется еще одна перезагрузка. Перезагружайте систему при каждом требовании. 11. После преобразования всех необходимых дисков в динамические запустите из консоли Computer Management утилиту Disk Management, дабы убедиться, что преобразование прошло успешно и что доступ к дискам возможен.
Ñîçäàíèå îòêàçîóñòîé÷èâûõ äèñêîâûõ òîìîâ ñ ïîìîùüþ äèíàìè÷åñêèõ äèñêîâ Создание отказоустойчивого дискового тома в Windows Server 2003 требует наличия двух доступных дисков для зеркального тома и не менее трех дисков для тома RAID 5. Для создания зеркального системного тома выполните следующие шаги: 1. Войдите в соответствующий сервер с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖComputer Management. 3. В левой панели дважды щелкните на узле Computer Management (local), если он не раскрыт. 4. Щелкните на крестике рядом с узлом Storage. 5. Выберите строку Disk Management. 6. В правой панели щелкните правой кнопкой мыши на системном томе и выберите в контекстном меню пункт Add Mirror (Добавить зеркало). 7. Если доступно более одного дополнительного динамического диска, выберите диск, на котором необходимо создать зеркальную копию системного тома, и щелкните на кнопке Add Mirror (Добавить зеркало). 8. Запускается процесс синхронизации томов на каждом диске, что может потребовать нескольких минут или более, в зависимости от размера системного тома и типов используемых дисков. После изменения состояния зеркального тома с Resynching (Ресинхронизация) на Healthy (Работоспособен) закройте консоль Computer Management, выбрав в меню File пункт Exit. 9. Выйдите из консоли сервера.
988
Технологии обеспечения отказоустойчивости ×àñòü IX
Том RAID 5 в Windows Server 2003 требует трех отдельных динамических дисков, которые содержат одинаковый объем нераспределенной дисковой памяти, доступной для этого тома. Для создания тома RAID 5 с помощью оснастки Disk Management выполните описанные ниже действия. 1. Войдите в соответствующий сервер с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖComputer Management. 3. В левой панели дважды щелкните на узле Computer Management (local), если он не раскрыт. 4. Щелкните на крестике рядом с узлом Storage. 5. Выберите строку Disk Management. 6. Щелкните правой кнопкой мыши на строке Disk Management и выберите в контекстном меню пункт NewÖVolume (СоздатьÖТом). 7. На экране приветствия мастера создания тома (New Volume Wizard) щелкните на кнопке Next (Далее). 8. На странице Select Volume Type (Выбор типа тома) выберите вариант RAID 5 и щелкните на кнопке Next. 9. В панели Available (Доступные) страницы Select Disks (Выбор дисков) выберите диски, которые войдут в том RAID 5, и щелкните на кнопке Add (Добавить). 10. Повторяйте предыдущие шаги для двух или более оставшихся дисков, пока все нужные диски не появятся в панели Selected (Выбранные). 11. После того как все необходимые диски окажутся в панели Selected, автоматически рассчитывается максимально возможный размер тома, как показано на рис. 30.1. Щелкните на кнопке Next для продолжения работы либо введите нужный размер в мегабайтах, а затем щелкните на кнопке Next.
Ðèñ. 30.1. Указание объема тома RAID 5
Отказоустойчивость файловой системы Ãëàâà 30
989
12. На странице Assign Drive Letter or Path (Назначение диску буквенного обозначения или пути) выберите буквенное обозначение диска, назначаемое этому тому. Можно не назначать тому буквенное обозначение, а монтировать том в пустой папке NTFS как отдельный том. Выберите вариант, наиболее соответствующий вашим требованиям, и щелкните на кнопке Next. 13. На странице Format Volume (Форматирование тома) укажите, нужно ли форматировать том и включить сжатие данных. Щелкните на кнопке Next.
CОВЕТ При форматировании томов RAID 5 выполняйте полное форматирование, иначе позднее, когда данные будут впервые скопированы на том, производительность диска может снизиться.
14. На странице Completing the New Volume Wizard (Завершение работы мастера создания тома) щелкните на кнопке Finish (Готово), чтобы создать том и приступить к его форматированию. 15. После этого выполняется форматирование тома, на что может уйти несколько минут. После начала форматирования можно закрыть консоль Computer Management и выйти из сервера. 16. При запросе перезапуска сервера выберите, следует ли перезапустить систему сейчас, щелкнув на кнопке Yes (Да) для перезапуска системы или на кнопке No (Нет) для перезапуска системы позднее.
CОВЕТ Прежде чем начать использовать том, необходимо проверить его работоспособность с помощью оснастки MMC Disk Management.
Óïðàâëåíèå äîñòóïîì ê îáùèì ôàéëîâûì ðåñóðñàì è èñïîëüçîâàíèåì òîìîâ Управление доступом к общим файловым ресурсам (file share) и данным может быть относительно простым делом, если администратор понимает назначение всех возможностей, доступных в Windows Server 2003. Windows Server 2003 предоставляет несколько инструментов и служб, упрощающих обеспечение защиты доступа к данным. Возможности обеспечения защиты для файлов и папок тома напрямую связаны с форматом файловой системы этого тома и методом доступа к данным. Например, том, отформатированный под FAT или FAT32, не может обеспечивать защиту данных на уровне файлов и папок, однако на томе NTFS это возможно. При работе с томом FAT у администратора имеется немного вариантов управления доступом данных через сеть. Единственное, что можно настроить — права доступа к общему файловому ресурсу. Доступ конечному пользователю разрешается или запрещается на основе только прав доступа к общему файловому ресурсу, применяемых ко всем внутренним файлам и папкам.
990
Технологии обеспечения отказоустойчивости ×àñòü IX
Тома NTFS предоставляют несколько вариантов доступа к данным, таких как права доступа к общим ресурсам — в точности как для FAT-томов — но они также обеспечивают безопасность на уровне файлов и папок, а для управления использованием данных на томе могут быть сконфигурированы квоты пользователей. Квота пользователя определяет объем данных, который может хранить на томе один конечный пользователь. Тома NTFS также допускают управление с помощью утилиты Remote Storage, позволяющей автоматически архивировать данные на удаленный носитель, если к ним не было доступа на протяжении значительного промежутка времени, или если достигнуто предельное значение заполнения диска, в результате чего запускается миграция или архивирование файлов.
Óïðàâëåíèå îáùèìè ôàéëîâûìè ðåñóðñàìè Общие файловые ресурсы (file share) могут быть созданы на томах FAT, FAT32 и NTFS. При создании общих файловых ресурсов могут быть сконфигурированы опции совместного использования: имя общего ресурса, описание, права доступа к ресурсу, ограничивающие количество одновременных поступлений, и стандартные настройки автономных файлов. Создать общий ресурс можно множеством способов, но в следующем примере будет использован мастер совместного использования папки (Share a Folder Wizard). Для создания и конфигурирования общего файлового ресурса выполните следующие шаги: 1. Войдите в нужный сервер с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖComputer Management. 3. В левой панели дважды щелкните на узле Computer Management (local), если он не раскрыт. 4. Щелкните на крестике рядом с узлом System Tools (Системные средства), а затем на крестике рядом с узлом Shared Folders (Общие папки). 5. Щелкните правой кнопкой мыши на пиктограмме Shares (Общие ресурсы) и выберите в контекстном меню пункт New Share (Создать общий ресурс). 6. На экране приветствия мастера совместного использования папки (Share a Folder Wizard) щелкните на кнопке Next. 7. Введите путь к папке, которую нужно сделать общей, и щелкните на кнопке Next. 8. Если вы не знаете путь к папке или она не существует, щелкните на кнопке Browse (Обзор), чтобы найти нужное буквенное обозначение диска и выбрать или создать папку. Затем на странице Folder Path (Путь к папке) щелкните на кнопке ОК для создания пути и щелкните на кнопке Next. 9. На странице Name, Description, and Settings (Имя, описание и параметры) введите имя общего ресурса, его описание и параметры автономного доступа, как показано на рис. 30.2.
Отказоустойчивость файловой системы Ãëàâà 30
991
Ðèñ. 30.2. Ввод конфигурации общего файлового ресурса 10. Стандартные настройки автономного доступа позволяют конечным пользователям определить, нужна ли локальная синхронизация общих данных. Согласитесь с предложенными параметрами по умолчанию или измените опцию параметров автономного доступа, щелкнув на кнопке Change (Изменить), выбрав соответствующий переключатель и щелкнув на кнопке ОК. Щелкните на кнопке Next. 11. На странице Permissions (Права доступа) укажите, необходимый вариант конфигурации прав доступа к общему ресурсу. По умолчанию доступ разрешен всем только на чтение. Выберите нужный переключатель и щелкните на кнопке Finish. Если требуются специальные права доступа к ресурсу, то на странице Permissions щелкните на кнопке Customize (Настроить), создайте права доступа, а затем щелкните на кнопке Finish. 12. Если все прошло нормально, то на следующей странице вы увидите итоговые настройки. Щелкните на кнопке Close (Закрыть). 13. Возвратившись в окно Computer Management, в правой панели щелкните правой кнопкой мыши на новом общем ресурсе и выберите в контекстном меню пункт Properties (Свойства). 14. На вкладке General (Общие) задайте предельное количество пользователей. 15. Если сервер является членом домена Active Directory, можно перейти на страницу Publish (Опубликовать) и опубликовать общий ресурс в Active Directory. Для поиска общего ресурса используйте описание и ключевые слова в запросе к Active Directory. 16. Если общая папка находится на томе NTFS, будет доступна страница Security (Безопасность). Установите необходимые права доступа для этой общей папки. 17. После конфигурирования всех страниц щелкните на кнопке ОК на странице Share Properties (Свойства общего ресурса), чтобы сохранить изменения. 18. Закройте окно Computer Management и выйдите из сервера.
992
Технологии обеспечения отказоустойчивости ×àñòü IX
Всегда определяйте права доступа для каждого общего ресурса, независимо от типа формата тома. При первом создании общего ресурса устанавливаются стандартные права доступа, разрешающие чтение пользователям из группы Everyone (Все пользователи). Иногда это может соответствовать требованиям к общим ресурсам, содержащим общеупотребительные программы, но это недопустимо для домашних каталогов пользователей, общедоступных или общих папок с данными или общих ресурсов, содержащих журналы служб, обновляемые удаленными системами. Уровень прав доступа, задаваемый для общего ресурса, должен быть достаточным, чтобы пользователи могли обращаться к своим данным и при необходимости модифицировать или добавлять их.
CОВЕТ Общая рекомендация формулируется так: если при создании общих ресурсов на доменных серверах не требуется анонимный или гостевой доступ, замените группу Everyone (Все пользователи) на группу пользователей домена (Domain Users) и установите соответствующие права доступа к общему ресурсу.
Êýøèðîâàíèå íà ñòîðîíå êëèåíòà Для повышения надежности и доступности общих папок разделы NTFS позволяют пользователям создавать локальные автономные копии файлов и папок, содержащихся в общем файловом ресурсе. Эта возможность называется кэшированием на стороне клиента (client-side caching — CSC), а такие файлы часто называют автономными файлами (offline files). Автономные файлы хранятся на машине локального пользователя и используются в случае недоступности серверной копии. Автономные файлы синхронизируются с сервером при входе и выходе пользователя, а также при открытии и сохранении файла. С помощью страницы свойств общего ресурса можно сконфигурировать автономные файлы для каждого общего ресурса. Чтобы задать кэширование на стороне клиента или опции автономного файла, выполните перечисленные ниже шаги. 1. Войдите в нужный сервер с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт My Computer (Мой компьютер). 3. Дважды щелкните на диске, на котором находится общая папка. 4. Найдите общую папку, щелкните на ней правой кнопкой мыши и выберите в контекстном меню пункт Sharing and Security (Совместное использование и безопасность). 5. Щелкните на кнопке Offline Settings (Настройки автономного использования) внизу страницы. 6. Выберите необходимые параметры автономного использования, как показано на рис. 30.3, и щелкните на кнопке ОК, чтобы закрыть окно Offline Settings. 7. В окне Folder (Папка) щелкните на кнопке ОК, чтобы применить изменения, закройте окно и выйдите из сервера.
Отказоустойчивость файловой системы Ãëàâà 30
993
Ðèñ. 30.3. Предоставление пользователям права на определение параметров автономных файлов и папок ВНИМАНИЕ! Если в сети применяются перемещаемые профили пользователей, не разрешайте кэширование на стороне клиента для общего файлового ресурса, так как это может привести к разрушению профиля конечного пользователя. По умолчанию перемещаемые профили пользователей уже скопированы на локальный сервер или рабочую станцию при входе пользователя. Если указать синхронизацию папки с сервером, это может привести к потере пользовательских настроек. Управление профилями пользователей возможно с помощью групповых политик. Их настройки находятся в папке Computer Configuration \ Administrative Templates \ System \ User Profiles.
Óïðàâëåíèå èñïîëüçîâàíèåì òîìà ñ ïîìîùüþ êâîò На томах NTFS можно включить квоты, чтобы регулировать объем данных, которые пользователь может хранить на одном томе. Эта возможность может оказаться полезной для томов, содержащих домашние каталоги пользователей, а также при ограниченном объеме дисковой памяти. Квота вычисляется на основе объема данных, которые создает или которыми владеет конкретный пользователь на томе. Например, если пользователь создает новый файл или копирует данные в свой домашний каталог, то он указывается как владелец этих данных, а их размер добавляется к значению квоты для этого пользователя. Если данные в домашний каталог пользователя добавляет система или администратор, то эти данные добавляются значением квоты администратора, которую ограничить невозможно. Это часто озадачивает администраторов, поскольку на квотированном томе может находиться папка пользователя с 700 Мб данных, но значение квоты для этого пользователя сообщает, что используется только 500 Мб. Ключом к успешной реализации квот на томе является назначение правильных прав доступа для всего тома и папок. Для включения квот на томе NTFS выполните следующие шаги: 1. Войдите в нужный сервер с учетной записью с правами доступа локального администратора.
994
Технологии обеспечения отказоустойчивости ×àñòü IX
2. Выберите в меню Start пункт My Computer. 3. Найдите том NTFS, на котором необходимо включить квотирование. 4. Установите соответствующие права доступа, чтобы пользователи могли записывать данные только когда это необходимо и только в определенное место. Например, пользователь может записывать данные только в свой домашний каталог и не может читать и записывать данные в любой другой каталог. 5. Щелкните правой кнопкой мыши на соответствующей томе NTFS и выберите в контекстном меню пункт Properties. 6. Перейдите на вкладку Quota (Квота) и установите флажок Enable Quota Management (Включить управление квотами). 7. Введите требуемый лимит квоты и пороговые значения для предупреждений и укажите, запретить ли доступ на запись пользователям при достижении лимита, как показано на рис. 30.4. 8. Щелкните на кнопке ОК, чтобы завершить настройку квоты для тома NTFS. 9. При запросе, нужно ли включить систему квотирования, щелкните на кнопке Yes, либо щелкните на кнопке Cancel (Отменить) для отмены всех настроек. 10. После настройки квот на всех нужных томах NTFS закройте окно My Computer и выйдите из сервера. Для просмотра значений квот или генерации отчетов о квотах можно воспользоваться кнопкой Quota Entries (Значения квот) на вкладке Quota соответствующего тома NTFS. Постарайтесь включить квоты на томах прежде, чем пользователи начнут сохранять данные в своих папках.
Ðèñ. 30.4. Указание лимита квоты
Отказоустойчивость файловой системы Ãëàâà 30
995
Ìîíèòîðèíã äèñêîâ è òîìîâ Если администратор сервера может отслеживать лишь несколько ресурсов на сервере, то в их число надо включить диски и тома. С помощью системного монитора в консоли Performance (Производительность) можно выполнить наблюдение и физических, и логических дисков (томов).
Èñïîëüçîâàíèå êîíñîëè Performance Используя консоль Performance из меню Administrative Tools (Администрирование), администратор сервера может осуществлять мониторинг и физических дисков (процент количества чтений и записей), и логических дисков (количество чтений и записей, процент свободного места и так далее). С помощью журналов производительности и извещений администратор может сконфигурировать сценарий или текст извещения, посылаемого по сети, когда количество свободного места на логическом диске достигает заданного значения.
Èñïîëüçîâàíèå óòèëèòû êîìàíäíîé ñòðîêè Fsutil.exe Средство Fsutil.exe может использоваться для получения данных конфигурации логических дисков и томов: количество свободного места на томе, назначенная квота и ряд других опций. Во многих средах это средство применяется нечасто, но при необходимости оно может оказаться весьма полезным для управления дисками из интерфейса командной строки. Например, Fsutil.exe представляет собой великолепный инструмент для проверки состояния тома при управлении сервером из удаленного командного интерпретатора, удаленного командного окна или окна Telnet.
Àóäèò áåçîïàñíîñòè ôàéëîâ è ïàïîê Аудит позволяет администратору сконфигурировать систему так, чтобы она записывала указанные события в журнал событий безопасности. Аудит можно настроить на отслеживание и запись событий входа/выхода, использования полномочий, доступа к объектам и другие события. Чтобы включить аудит папки, потребуется включить аудит на сервере. Параметры аудита сервера можно сконфигурировать с помощью консоли Local Security Settings (Локальные параметры безопасности); в домене Active Directory настройки аудита можно сконфигурировать и применить к серверу из оснастки Group Policy. Для включения аудита файлов и папок на сервере администратор должен включить настройку Audit Object Access (Аудит доступа к объектам) с помощью оснастки Group Policy или локальной политики безопасности, как показано на рис. 30.5.
Âêëþ÷åíèå àóäèòà äëÿ ïàïêè NTFS Если на сервере включен аудит доступа к объектам, администратор может сконфигурировать параметры аудита для конкретного объекта файла или папки. Для включения аудита папки выполните описанные ниже действия.
996
Технологии обеспечения отказоустойчивости ×àñòü IX
Ðèñ. 30.5. Включение аудита доступа к объектам для регистрации успешных и неудачных попыток 1. Войдите в нужный сервер с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт My Computer. 3. Найдите том NTFS, содержащий папку, для которой должен быть включен аудит. 4. Найдите эту папку, щелкните на ней правой кнопкой мыши и выберите в контекстном меню пункт Properties. 5. Перейдите на вкладку Security (Безопасность) и щелкните на кнопке Advanced (Дополнительно). 6. Перейдите на вкладку Auditing (Аудит) и щелкните на кнопке Add (Добавить), чтобы создать новый элемент аудита. 7. Введите имя пользователя или группы, для которой нужно выполнять аудит событий, и щелкните на кнопке ОК. Например, введите Everyone для аудита доступа к объекту этой папки всех пользователей, принадлежащих группе Everyone. 8. Выберите доступ к объекту, подверженный аудиту, и вид регистрируемых попыток доступа: успешные, неудачные или все. 9. После этого щелкните на кнопке ОК. 10. Добавьте других пользователей или группы, а потом щелкните на кнопке ОК, чтобы закрыть страницу Advanced Security Settings. 11. Щелкните на кнопке ОК для закрытия страницы Folder Properties. Обычно аудиту подвергаются неудачные попытки чтения и успешные и неудачные удаления файлов, папок и подпапок.
Ïðîñìîòð ñîáûòèé àóäèòà ñ ïîìîùüþ æóðíàëà ñîáûòèé áåçîïàñíîñòè óòèëèòû ïðîñìîòðà ñîáûòèé Администратор сервера может просматривать записи аудита с помощью журнала событий безопасности. Познакомившись ближе с идентификаторами событий аудита, администратор может создать фильтры журнала событий для облегчения сбора данных аудита.
Отказоустойчивость файловой системы Ãëàâà 30
997
Ïðîñìîòð èñïîëüçîâàíèÿ êâîò òîìà Если на томе NTFS включены квоты, администратор сервера должен периодически просматривать статистику использования квот этого тома. Это можно выполнить с помощью консоли Quota Entries (Значения квот), которую можно вызвать, щелкнув на кнопке Quota Entries (Значения квот) на вкладке Quota (Квота) страницы свойств тома. Для просмотра квот выполните следующие действия: 1. Войдите в нужный сервер с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт My Computer. 3. Найдите том NTFS, на котором включены квоты. 4. Щелкните правой кнопкой мыши на этом томе NTFS и выберите в контекстном меню пункт Properties. 5. Перейдите на вкладку Quota и щелкните на кнопке Quota Entries. 6. В окне Quota Entries просмотрите параметры квот отдельных пользователей или групп и при необходимости измените их. 7. После этого закройте окно Quota Entries. 8. По окончании просмотра информации о квотах на всех нужных квотированных томах закройте окно свойств тома, закройте окно My Computer и выйдите из сервера.
Ðàáîòà ñ ôàéëàìè îïåðàöèîííîé ñèñòåìû: îòêàçîóñòîé÷èâîñòü Компания Microsoft приложила большие усилия по обеспечению надежности и производительности на своих серверах и рабочих станциях на платформе Windows. Сказанное справедливо и для Windows Server 2003. Если серверы созданы только из аппаратных компонентов с логотипом “Designed for Windows Server 2003” (“Разработан для Windows Server 2003”), то отказы сервера из-за конфликтов драйверов или перезаписи системных файлов относительно редки. Чтобы получить надежную операционную систему, пресекающую все попытки перезаписи системных файлов или установки драйверов оборудования, не сертифицированных для работы с Windows Server 2003, Microsoft создала службу защиты файлов Windows, которая обеспечивает отказоустойчивость системных файлов и драйверов.
Ñëóæáà çàùèòû ôàéëîâ Windows Служба защиты файлов Windows (Windows File Protection) создана для защиты важных системных файлов от перезаписи программами сторонних разработчиков или вирусами. Каждый оригинальный системный файл имеет уникальную цифровую подпись Microsoft, распознаваемую службой защиты файлов Windows. Если программа пытается перезаписать защищенный системный файл, то у нового файла проверяется цифровая подпись Microsoft, версия и содержимое, после чего новый файл либо отвергается, либо заменяет существующий файл.
998
Технологии обеспечения отказоустойчивости ×àñòü IX
Служба защиты файлов Windows незаметно выполняется в фоновом режиме и используется при обнаружении попыток перезаписи системных файлов, либо когда системный файл уже перезаписан, и его нужно заменить кэшированной копией первоначального системного файла. Если создан кэш DLL-библиотек, служба защиты файлов Windows восстанавливает файлы из него, иначе на локальной консоли сервера появляется всплывающее окно с требованием вставить компакт-диск Windows Server 2003. В настоящее время цифровой подписью Microsoft обладают только исходные файлы операционной системы, пакеты обновлений Microsoft, а также исправления от Microsoft. Поставщики оборудования, сертифицирующие свои товары после даты выпуска очередной платформы, могут предлагать сертифицированные драйверы на своих Web-сайтах. Для идентификации и проверки системных файлов служба защиты файлов Windows использует цифровые подписи или подписывание драйвера. Когда системные файлы нужно просмотреть или заменить, это можно выполнить с помощью средства верификации подписи файла (File Signature Verification) и средства проверки системных файлов (System File Checker). При необходимости настроить уровень безопасности драйвера администраторы могут воспользоваться опцией подписывания драйвера на страницах свойств системы сервера.
Ïîäïèñûâàíèå äðàéâåðà Система Windows Server 2003 предоставляет администратору возможность управления уровнем безопасности, связанной с драйверами оборудования. Поскольку Microsoft тесно взаимодействует с организацией независимых поставщиков оборудования (Independent Hardware Vendors — IHVs), то Windows Server 2003 и Windows XP поддерживают периферийные устройства многих известных производителей аппаратных и серверных компонентов. Когда IHVs тестирует свои аппаратные устройства и выполняет определенные требования Microsoft, ее драйвер оборудования сертифицируется и снабжается цифровой подписью Microsoft; кроме того, в большинстве случаев такой драйвер заносится в список совместимости оборудования (Hardware Compatibility List — HCL) для конкретной платформы или операционной системы. Чтобы сконфигурировать уровень безопасности подписывания драйвера, выполните перечисленные ниже шаги. 1. Войдите в нужный сервер с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт Control PanelÖSystem (Панель управленияÖСистема). Если пункт Control Panel (Панель управления) в меню Start не раскрывается, дважды щелкните на пиктограмме Control Panel и затем дважды щелкните на пиктограмме System (Система). 3. На странице System Properties (Свойства системы) перейдите на вкладку Hardware (Оборудование). 4. В разделе Device Manager (Диспетчер устройств) на вкладке Hardware (Оборудование) щелкните на кнопке Driver Signing (Подписывание драйверов). 5. Выберите вариант подписывания драйвера, который наиболее подходит к вашему оборудованию и требованиям надежности, как показано на рис. 30.6.
Отказоустойчивость файловой системы Ãëàâà 30
999
Ðèñ. 30.6. Выбор варианта подписывания драйвера 6. Щелкните на кнопке ОК, чтобы покинуть страницу Driver Signing Options, и еще раз щелкните на кнопке ОК для выхода из страницы System Properties.
Ëàáîðàòîðèÿ êà÷åñòâà îáîðóäîâàíèÿ Windows Лаборатория качества оборудования Windows (Windows Hardware Quality Lab) — это место, где тестируется оборудование, прежде чем оно получает логотип “Designed for Windows”. IHVs может послать или привезти свое оборудование в эту лабораторию, чтобы протестировать его на предмет сертификации и получения цифровой подписи драйвера от Microsoft. Если Microsoft предоставляет среду для тестирования и сертификации IHVs своего оборудования, то организации могут ожидать более надежной работы серверов Microsoft, работающих на нескольких различных аппаратных платформах. Это дает организациям свободу при выборе производителя сервера или конкретной конфигурации оборудования. Система Windows Server 2003, использующая только сертифицированное оборудование, полностью поддерживается Microsoft при необходимости аппаратной или программной поддержки.
Ñðåäñòâî ïðîâåðêè ïîäïèñåé ôàéëîâ (Sigverif.exe) Средство проверки подписей файлов (File Signature Verification) — это графическая утилита, которая применяется, если возникло подозрение, что исходные защищенные системные файлы заменены или перезаписаны после установки какого-либо приложения. Это средство проверяет, все ли системные файлы и драйверы имеют цифровую подпись Microsoft. Если найдены неподписанные файлы или файлы с некорректными версиями, то информация об этом — имя файла, расположение, дата создания и номер версии — фиксируется в журнале и выводится на экран. Для запуска этого средства выберите в меню Start пункт Run (Выполнить) и введите команду Sigverif.exe. Когда откроется окно утилиты, щелкните на кнопке Start (Начать), чтобы составить список текущих файлов и проверить системные файлы.
1000
Технологии обеспечения отказоустойчивости ×àñòü IX
Ñðåäñòâî ïðîâåðêè ñèñòåìíûõ ôàéëîâ (Sfc.exe) Средство проверки системных файлов (System File Checker) — это утилита командной строки, похожая по функциям на средство проверки подписей файлов, однако она автоматически восстанавливает некорректные файлы. Кроме того, это средство командной строки может быть запущено из командного окна, сценария или из определенных настроек групповой политики. Его можно настроить на сканирование системы при каждом запуске, сканирование только при следующем запуске или немедленное сканирование. По умолчанию файлы сканируются во время установки. В первый раз, когда Sfc.exe выполняется после установки, она может затребовать компактдиск Windows Server 2003, чтобы скопировать системные файлы Windows в создаваемый ей кэш DLL-библиотек. Этот кэш в дальнейшем используется для замены некорректных файлов без необходимости использования компакт-диска Windows Server 2003.
НА ЗАМЕТКУ Sfc.exe сканирует и заменяет любые системные файлы, которые она считает некорректными. Не запускайте эту утилиту, если для работы необходимы какие-либо неподписанные драйверы; в противном случае эти файлы могут быть заменены, и оборудование перестанет работать должным образом.
Опции Sfc.exe задаются с помощью оснастки Group Policy, в параметрах Computer Configuration \ Administrative Templates \ System \ Windows File Protection.
Èñïîëüçîâàíèå ðàñïðåäåëåííîé ôàéëîâîé ñèñòåìû Для повышения надежности и доступности общих файловых ресурсов в сети предприятия компания Microsoft разработала распределенную файловую систему (Distributed File System — DFS). DFS повышает доступность общих файловых ресурсов, предоставляя для доступа к общим папкам, находящимся на различных серверах, единое унифицированное пространство имен. Для подключения к общей папке DFS пользователю нужно помнить лишь одно имя сервера или домена и имя общего ресурса.
Ïðåèìóùåñòâà DFS DFS обладает многими преимуществами и возможностями, упрощающими доступ к данным и управление данными с точки зрения как администратора, так и пользователя. По сути DFS создает унифицированное пространство имен, соединяющее общие ресурсы на различных серверах с одним именем сервера или домена и именем ссылки DFS, как показано на рис. 30.7. Если взять в качестве примера рис. 30.7, то когда пользователь подключается к \\SERVER2\UserData, он видит, что внутри находится программная папка. При открытии этой папки клиент DFS пользователя перенаправляет сетевое соединение в \\Server99\downloads, причем пользователь даже и не подозревает об этом перенаправлении.
Отказоустойчивость файловой системы Ãëàâà 30
1001
Ðèñ. 30.7. Обособленный корень DFS со ссылкой на другой сервер Поскольку конечные пользователи не подключаются к настоящему имени сервера, администраторы могут перемещать общие папки на новые серверы без необходимости изменять входные сценарии пользователей и назначения подключаемых сетевых дисков, указывающие на корень или ссылку DFS. На самом деле одна ссылка DFS может указывать на общие файловые ресурсы нескольких серверов, обеспечивая резервирование общих файловых ресурсов. Это обеспечивает отказоустойчивость общих файловых ресурсов; если текущий сервер становится недоступным, клиенты перенаправляются на другой сервер. Клиент DFS регулярно опрашивает подключенный сервер и может перенаправить подключение пользователя, если текущий сервер становится недоступным. При создании корня DFS домена общие файловые ресурсы, связанные со ссылкой, могут автоматически реплицировать друг друга. Когда пользователи обращаются к реплицированному общему ресурсу DFS, они обычно подключаются к серверу локального сайта Active Directory, но при необходимости могут подключаться и к удаленным сайтам. Поскольку мы будем подробно рассматривать DFS, нам понадобятся некоторые ключевые термины, используемые распределенной файловой системой и службой репликации файлов.
Òåðìèíîëîãèÿ DFS Чтобы хорошо разобраться в DFS, необходимо понимать некоторые термины, широко используемые при описании конфигураций DFS. Эти термины, описываемые ниже, часто применяются для описания структуры конфигурации DFS, а иногда являются и частью конфигурации DFS. •
Корень DFS (DFS root). Верхний уровень дерева DFS, определяющего пространство имен DFS и доступные возможности. Корни DFS могут быть двух видов: обособленные (standalone) корни и доменные (domain) корни. К обособленному корню можно обратиться по имени сервера, на котором он создан. Доменный корень допускает обращения по имени домена, указанному при создании корня. Доменный корень добавляет в DFS возможности отказоустойчи-
1002
Технологии обеспечения отказоустойчивости ×àñòü IX
вости, позволяя нескольким серверам содержать реплики ссылок DFS. Более подробное объяснение приводится далее в этой главе. •
Ссылка DFS (DFS link). Имя, по которому пользователь подключается к разделяемой папке. Ссылку можно рассматривать как имя разделяемой папки DFS, поскольку именно к этому имени подключаются пользователи. Ссылки DFS перенаправляют пользователей на цели.
•
Цель (target). Реальный общий файловый ресурс, расположенный на сервере. Для обеспечения отказоустойчивости одной ссылке DFS могут быть назначены несколько целей. Если одна из целей недоступна, пользователи будут подключены к другой доступной цели. Когда доменные ссылки DFS создаются с несколькими целями, то с помощью службы репликации файлов можно настроить репликацию, синхронизирующую данные в нескольких целях.
•
Дерево DFS (DFS tree). Иерархия пространства имен. Например, дерево DFS начинается с имени корня DFS и содержит под ним все определенные ссылки.
•
Отсылка (referral). Перенаправление, позволяющее клиентам DFS подключаться к указанной цели. Отключение отсылки цели делает невозможным использование этой цели клиентами. Отсылку цели можно отключить при выполнении на сервере сервисных процедур.
Òåðìèíîëîãèÿ FRS DFS использует службу репликации файлов (FRS) для автоматической репликации данных, содержащихся в целях DFS, связанных с одним корнем или ссылкой, на которой сконфигурирована репликация. Чтобы разобраться в концепциях репликации, необходимо понимать некоторые ключевые термины FRS. Ниже представлены некоторые важные термины. •
Репликация (replication). Процесс копирования данных из общего файлового ресурса исходного сервера в общий файловый ресурс сервера назначения. Общие файловые ресурсы реплицируются с помощью подключений репликации.
•
Подключение репликации (replication connection). Объект, управляющий репликацией между серверами источника и назначения. Подключение репликации определяет график репликации и, например, партнеров репликации источника и назначения. Каждое подключение репликации имеет только одного партнера репликации источника и назначения.
•
Партнер репликации (replication partner). Сервер, разделяющий общее подключение репликации. Входной партнер репликации получает данные от сервера, указанного в подключении репликации. Выходной партнер репликации посылает данные партнеру репликации, указанному в подключениях репликации.
•
Реплика (replica). Сервер, содержащий общий файловый ресурс, для которого сконфигурирована репликация FRS.
•
Набор реплик (replica set). Все серверы, реплицирующие данный общий файловый ресурс или папку друг на друга.
Отказоустойчивость файловой системы Ãëàâà 30 •
1003
Репликация с несколькими мастерами (multimaster replication). Процесс, возникающий, когда какая-либо реплика из набора реплик изменяет содержимое реплицированной общей папки. Каждая реплика может быть главной (master), и каждая реплика может быть подчиненной (slave). По умолчанию репликация FRS является репликацией с несколькими мастерами, но соединения репликации можно сконфигурировать на репликацию типа главныйподчиненный (master-slave).
Ïëàíèðîâàíèå ðàçâåðòûâàíèÿ DFS При планировании внедрения DFS необходимо, чтобы администратор разбирался в различных типах распределенных файловых систем и возможностях и ограничениях каждого типа. Кроме того, администратор должен понимать, какие действия можно автоматизировать с помощью DFS, а что должно настраиваться вручную. Например, DFS может создать с помощью мастера DFS общий файловый ресурс для корневой папки, но она не может задать такие свойства общего файлового ресурса, как права доступа к ресурсу, ограничения подключений пользователей и параметры автономных файлов. Кроме того, DFS не может управлять правами доступа NTFS, установленными для папки NTFS корневой или ссылочной цели. Если в организации необходимо автоматизировать репликацию файлов, то доменная DFS может реплицировать общие папки с помощью FRS из Windows Server 2003. Чтобы настроить репликацию DFS, администратору не нужно понимать все технические аспекты FRS, однако он должен понимать, как первоначальная репликация обрабатывает существующие данные в папке цели.
Íàñòðîéêà îáùèõ ôàéëîâûõ ðåñóðñîâ è ïðàâ äîñòóïà NTFS äëÿ êîðíåâûõ è ññûëî÷íûõ öåëåé DFS В настоящее время с помощью DFS нельзя управлять или создавать права доступа общих ресурсов и NTFS для корневых целей и ссылочных целей. Это означает, что для обеспечения нужного доступа к папкам администраторы должны сначала задать требуемые права доступа и, если имеется несколько целей, вручную пересоздать права доступа для дополнительных целей. Если используется несколько целей, а права доступа заданы не точно, то администраторы могут нечаянно предоставить пользователям повышенные полномочия или же полностью запретить им доступ. Для разрешения этой проблемы администраторам необходимо создать целевой общий файловый ресурс и сконфигурировать этот ресурс и права доступа NTFS вручную на уровне совместно используемой папки, прежде чем определять ресурс в качестве цели DFS.
Âûáîð òèïà DFS Как упоминалось ранее, DFS может быть двух видов: обособленная и доменная. Оба вида предоставляют единое пространство имен, но доменная DFS предоставляет несколько дополнительных возможностей, недоступных в обособленной DFS. Возможности DFS, доступные в дереве DFS, зависят от типа корня DFS.
1004
Технологии обеспечения отказоустойчивости ×àñòü IX
Îáîñîáëåííûé êîðåíü DFS Обособленный корень DFS обеспечивает единое пространство имен, характеризующее DFS. Это пространство имен определяется сервером, на котором находится корневая цель. Обособленные корни могут поддерживать только обособленные корневые цели, но администратор может указать несколько целей ссылок. Если целей ссылок несколько, их нужно синхронизировать вручную, поскольку репликация RFS в этом случае невозможна. Обособленные корни обычно развертываются в средах, не содержащих домены Active Directory.
Äîìåííûé êîðåíü DFS Чтобы администратор смог создать доменный корень DFS, первоначальная корневая цель должна быть членом домена Active Directory. Доменная DFS предоставляет единое пространство имен, основанное на имени домена, указанном при создании корня. Доменная DFS может использовать FRS для репликации данных между несколькими корневыми или ссылочными целями.
Ïëàíèðîâàíèå äîìåííîé DFS è ðåïëèêàöèè Если в организации необходимо реплицировать данные общих файловых ресурсов, то администраторы должны создать доменный корень DFS. Внутри доменного дерева DFS можно сконфигурировать репликацию между несколькими целями в одном корне или ссылке. Если для корня или ссылки определено несколько целей, то DFS может использовать FRS, чтобы создать объекты подключения репликации для автоматической синхронизации данных между всеми целями.
CОВЕТ Рекомендуется не реплицировать доменные корни DFS; вместо этого реплицируйте ссылки DFS между целями ссылок. Для обеспечения отказоустойчивости корня DFS просто определите дополнительные корневые цели, каждая из которых может обеспечить доступ к ссылкам DFS.
Ïåðâîíà÷àëüíûé ñåðâåð При первой настройке репликации с помощью консоли DFS и мастера репликации администратор может выбрать, какой из серверов назначения будет первоначальным сервером. Данные, находящиеся на первоначальном сервере, реплицируются в остальные цели. Для целей на серверах, не являющихся первоначальными, существующие данные пересылаются в скрытый каталог, а в текущий каталог заносятся данные, содержащиеся только в совместно используемой папке первоначального сервера. После завершения первичной репликации администратор может восстановить данные, пересланные в скрытую папку, обратно в рабочий каталог, что может запустить репликацию во все остальные реплики из набора реплик. При добавлении в набор реплик дополнительных целей старайтесь начинать с пустых папок.
Èñïîëüçîâàíèå ñëóæáû ðåïëèêàöèè ôàéëîâ Если для ссылок DFS сконфигурирована репликация, то эту работу выполняет служба репликации файлов (File Replication Service — FRS). Каждый сервер, сконфигу-
Отказоустойчивость файловой системы Ãëàâà 30
1005
рированный для репликации, называется репликой (replica). Каждая реплика содержит подключения репликации к одной или нескольким целям из набора реплик. Подключения репликации, и входные и выходные, являются однонаправленными и используются для пересылки обновлений измененных файлов цели в другие реплики, и если это изменение принимается, то происходит пересылка данных. Предположим, что имеется набор реплик для двух серверов server1 и server2, и что server1 имеет выходное подключение к server2 и отдельное входное подключение от server2. Каждый сервер использует эти два подключения для отправки измененных данных и получения и обработки изменений и обновлений файлов. Когда на сервере server1 изменяется файл, изменение этого файла записывается в журнал тома NTFS. FRS на сервере server1 отслеживает изменения в журнале и при обнаружении изменения отправляет запрос на изменение на server2, содержащий имя обновленного файла, идентификатор файла и дату последнего изменения. Идентификатор файла создается RFS перед первоначальной репликацией или при добавлении файла в общий ресурс реплики. Когда server2 получает запрос на изменение, он либо принимает этот запрос и запрашивает измененный файл, либо запрещает изменение и извещает об этом server1. При создании запроса на изменение измененный файл импортируется в промежуточный каталог. Файл сжимается и подготавливается к пересылке выходному партнеру, и создается промежуточный файл. Когда по графику может произойти следующая репликация, этот промежуточный файл пересылается в промежуточную папку на server2, где он распаковывается и копируется в целевую папку.
Ïðîìåæóòî÷íàÿ ïàïêà Промежуточная папка (staging folder) — это место, где общий ресурс, реплицируемый RFS, хранит данные, которые будут реплицированы в другие реплики с прямыми подключениями RFS. Если репликация конфигурируется с помощью мастера конфигурирования репликации из DFS, то система по умолчанию создает промежуточную папку на диске, отличном от диска целевого ресурса. Поскольку данные репликации проходят через эту папку, диск, на котором находится промежуточная папка, должен иметь достаточно свободного места, чтобы вместить промежуточную папку максимального размера и в то же время выполнять другие функции диска.
Ñêðûòàÿ ïàïêà При инициировании репликации сервер-источник посылает запрос на изменение серверу назначения и создает промежуточные файлы в локальной промежуточной папке. Если сервер назначения принимает запрос на изменение, то промежуточные файлы копируются из промежуточной папки сервера-источника в скрытую папку (hidden folder) с именем Do_NOT_REMOVE_NrFrs_PreInstall_Directory в целевом каталоге.
Îïðåäåëåíèå òîïîëîãèè ðåïëèêàöèè DFS операционной системы Windows Server 2003 предоставляет несколько описанных ниже встроенных топологий репликации, чтобы при конфигурировании репликации между ссылками DFS администратор мог выбрать одну из них. Если организации необходима настоящая многоуровневая репликация, то, как правило, стоит настроить подключения репликации DFS и график в соответствии с текущими подключениями топологии репликации сайта Active Directory или с существующей сетевой топологией.
1006
Технологии обеспечения отказоустойчивости ×àñòü IX
Çâåçäîîáðàçíàÿ òîïîëîãèÿ Смысл звездообразной (hub-and-spoke) топологии понятен из ее названия. Одна цель назначается как сервер-концентратор (hub) репликации, а все другие цели (spoke — “лучи”) реплицируются только через нее. Цель концентратора имеет два подключения репликации с каждой из лучевых целей: входное и выходное. Если цель-концентратор становится недоступной, все обновления репликации прекращаются.
Ïîëíàÿ ðåøåò÷àòàÿ òîïîëîãèÿ В случае полной решетчатой (full mesh), или полносвязной, топологии каждая цель подключена ко всем другим целям набора реплик. Это позволяет продолжать выполнение репликации между доступными целями, если одна из целей становится недоступной. Поскольку каждая цель соединена со всеми другими целями, репликация может продолжаться даже при наличии всего двух целей.
Êîëüöåâàÿ òîïîëîãèÿ В кольцевой (ring) топологии каждый сервер имеет только два подключения: одно входное от какой-либо цели и одно выходное к другой цели. При такой топологии репликация может выполняться медленно, поскольку на любой цели должно завершиться изменение репликации, прежде чем следующая цель начнет получать данные репликации. При недоступности цели кольцо разрывается, и репликация может не дойти до других доступных целей.
Ñïåöèàëèçèðîâàííàÿ òîïîëîãèÿ Специализированная (custom) репликация позволяет администратору определять отдельные подключения репликации для каждой цели. Эта возможность может оказаться полезной, если организации необходима звездообразная топология, но с несколькими целями-концентраторами, как показано на рис. 30.8. Ñåðâåð A
Ñåðâåð B
Ñåðâåð-êîíöåíòðàòîð 1
Ñåðâåð C
Ñåðâåð-êîíöåíòðàòîð 2
(Ñïåöèàëèçèðîâàííàÿ òîïîëîãèÿ ðåïëèêàöèè)
Ðèñ. 30.8. Специализированная звездообразная топология с несколькими серверами-концентраторами
Отказоустойчивость файловой системы Ãëàâà 30
1007
Ëàòåíòíîñòü ðåïëèêàöèè Латентность (latency), или задержка — это наибольший промежуток времени, необходимый для того, чтобы изменение репликации достигло целевого назначения. При включении репликации должно быть определено расписание для управления трафиком репликации. Если в качестве примера взять рис. 30.8, а подключение репликации между всеми целевыми серверами равно 15 минутам, то латентность репликации составляет 30 минут. Наибольший интервал репликации — от луча к лучу, как при репликации с сервера A на сервер C — требует прохода по двум подключениям, реплицируемым каждые 15 минут, что в сумме дает максимальное значение 30 минут на то, чтобы изменения дошли до сервера C.
Óñòàíîâêà DFS Чтобы установить DFS, администратор должен вначале создать корень DFS. Для создания корня администратор должен иметь права доступа локального администратора на сервере, содержащем корень. При создании доменного корня необходимы также полномочия администратора домена.
Ñîçäàíèå îáùåãî ôàéëîâîãî ðåñóðñà êîðíÿ DFS Для корня DFS нужен общий файловый ресурс. При создании корня DFS его имя сравнивается с именем общего файлового ресурса. Мастер ищет на указанном сервере существующий общий файловый ресурс, имя которого совпадает с именем корня DFS; если его нет, то мастер создает такой ресурс. Общий файловый ресурс должен быть создан и иметь должным образом настроенные права доступа до создания корня DFS. Это гарантирует, что к моменту создания корня DFS уже будут действовать нужные права доступа. Поскольку права доступа общего ресурса и NTFS не допускают управления с помощью консоли DFS, то общий ресурс можно создать и с помощью мастера, если права доступа общего ресурса и NTFS настраиваются непосредственно после создания корня DFS. Чтобы создать общий файловый ресурс для корня DFS, выполните шаги, описанные ранее в данной главе, в разделе “Управление общими файловыми ресурсами”.
НА ЗАМЕТКУ Для корня DFS и общих файловых ресурсов ссылочных целей рекомендуется использовать тома NTFS, чтобы можно было включить безопасность на уровне файлов и папок. Кроме того, ссылки доменных DFS могут быть реплицированы только между общими файловыми ресурсами на томах NTFS.
Ñîçäàíèå êîðíÿ DFS Чтобы создать корень DFS, выполните описанные ниже действия. 1. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖDistributed File System (Все программыÖАдминистрированиеÖРаспределенная файловая система).
1008
Технологии обеспечения отказоустойчивости ×àñòü IX
2. В левой панели щелкните правой кнопкой мыши на строке Distributed File System (Распределенная файловая система) и выберите в контекстном меню пункт New Root (Создать корень). 3. На экране приветствия мастера создания корня (New Root Wizard) щелкните на кнопке Next. 4. Выберите тип корня и щелкните на кнопке Next. 5. Если вы выбрали доменный корень, выберите из списка необходимый домен или введите его имя, а затем щелкните на кнопке Next. (Если выбран обособленный корень, то этот шаг выполнять не надо.) 6. На странице Host Server (Сервер хоста) введите полностью определенное доменное имя сервера, на котором будет находиться корень DFS, и щелкните на кнопке Next. Если нужно, найдите сервер, щелкнув на кнопке Browse (Обзор). 7. На странице Root Name (Имя корня) введите требуемое имя корня и описывающий его комментарий, а затем щелкните на кнопке Next.
НА ЗАМЕТКУ Первичное имя корня DFS должно совпадать с именем ранее созданного общего файлового ресурса. Если такой общий ресурс не существует, мастер спросит, создать ли общий файловый ресурс из существующей папки или создать новую папку. Хотя мастер может упростить выполнение этого действия, он не предоставляет способ настройки прав доступа.
8. На странице Completing the New Root Wizard (Завершение работы мастера создания корня) щелкните на кнопке Finish, чтобы создать корень и завершить работу.
Ñîçäàíèå ññûëîê DFS Создание ссылки DFS аналогично созданию корня DFS. Ссылку можно создать только для указания уже существующих общих ресурсов. Для защиты файлов и папок рекомендуется по возможности создать общий файловый ресурс из папки NTFS. Чтобы создать общий файловый ресурс для ссылки DFS, выполните шаги, описанные ранее в разделе “Управление общими файловыми ресурсами”. Для создания ссылки выполните следующие шаги: 1. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖDistributed File System. 2. Если корень, в котором должны быть размещена ссылка, не отображается в левой панели, щелкните правой кнопкой мыши на строке Distributed File System и выберите в контекстном меню пункт Show Root (Показать корень). 3. В окне Show Root раскройте домен и выберите корень DFS. Или, для обособленного корня, введите имя сервера и общего ресурса корня DFS. Затем щелкните на кнопке ОК, чтобы открыть корень DFS. 4. В левой панели щелкните правой кнопкой мыши на корне DFS и выберите в контекстном меню пункт New Link (Создать ссылку). 5. На странице New Link введите имя ссылки, путь (UNC-имя сервера и общего ресурса), комментарии и интервал кэширования, а затем щелкните на кнопке ОК для создания ссылки. Пример такой конфигурации показан на рис. 30.9.
Отказоустойчивость файловой системы Ãëàâà 30
1009
Ðèñ. 30.9. Создание ссылки DFS Интервал кэширования — это отрезок времени, в течение которого клиент считает, что цель доступна, прежде чем клиент DFS проверит, доступен ли целевой сервер.
Äîáàâëåíèå äîïîëíèòåëüíûõ öåëåé Доменная DFS поддерживает добавление нескольких целей на уровнях корня и ссылки. Обособленная DFS поддерживает только множественные ссылочные цели. Для создания дополнительных корневых целей выполните перечисленные ниже шаги. 1. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖDistributed File System. 2. Если необходимый корень не отображается в левой панели, щелкните правой кнопкой мыши на строке Distributed File System и выберите в контекстном меню пункт Show Root. 3. В окне Show Root раскройте домен и выберите корень DFS. Или, для обособленного корня, введите имя сервера и общего ресурса корня DFS. Затем щелкните на кнопке ОК, чтобы открыть корень DFS. 4. В левой панели щелкните правой кнопкой мыши на корне DFS и выберите в контекстном меню пункт New Root Target (Создать цель корня). 5. Введите сервер хоста с общим файловым ресурсом дополнительной цели и щелкните на кнопке Next. При создании дополнительных корневых целей на сервере хоста уже должен существовать общий файловый ресурс с тем же именем, что и у корня. 6. На странице Completing the New Root Wizard (Завершение работы мастера создания нового корня) щелкните на кнопке Finish, чтобы создать корень и завершить работу. Для создания дополнительной ссылочной цели выполните описанные ниже действия. 1. Откройте консоль DFS и подключитесь к нужному корню, как описано в первом шаге предыдущего раздела.
1010
Технологии обеспечения отказоустойчивости ×àñòü IX
2. Щелкните на крестике рядом с корнем DFS и выберите соответствующую ссылку DFS. 3. Щелкните правой кнопкой мыши на ссылке DFS и выберите в контекстном меню пункт New Target (Создать цель). 4. На странице New Target введите путь к серверу и общему ресурсу. 5. Страница New Target содержит флажок с именем Add This Target to the Replication Set (Добавить эту цель в набор репликаций). Если установить этот флажок, то сразу после создания цели запустится мастер настройки репликации. Сбросьте этот флажок, поскольку обработка репликации будет проведена далее. 6. Щелкните на кнопке ОК, чтобы создать цель.
Íàñòðîéêà ðåïëèêàöèè DFS Репликацию DFS можно настроить с помощью мастера настройки репликации (Configure Replication Wizard). Эта конфигурация возможна только из домена DFS и поддерживается только томами NTFS. Репликацию можно сконфигурировать и для корня, и для ссылок DFS, хотя включать репликацию корня DFS не рекомендуется. Если существует цель FAT или FAT32 (не рекомендуется), то эту цель необходимо реплицировать вручную. Служба репликации файлов (File Replication Service) выполняет репликацию между целями NTFS. Подробная информация о FRS находится в статьях на сайте поддержки Microsoft по адресу http://support.microsoft.com. Чтобы настроить репликацию для ссылки, выполните следующие шаги: 1. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖDistributed File System (Все программыÖАдминистрированиеÖРаспределенная файловая система). 2. Если нужный корень не отображается в левой панели, щелкните правой кнопкой мыши на строке Distributed File System (Распределенная файловая система) и выберите в контекстном меню пункт Show Root. 3. В окне Show Root раскройте домен и выберите корень DFS. Или, для обособленного корня, введите имя сервера и общего ресурса корня DFS. Затем щелкните на кнопке ОК, чтобы открыть корень DFS. 4. Откройте консоль DFS и подключитесь к нужному корню. 5. Щелкните на крестике рядом с корнем DFS и выберите нужную ссылку DFS. 6. Щелкните правой кнопкой мыши на ссылке DFS и выберите в контекстном меню пункт Configure Replication (Настройка репликации). 7. На экране приветствия мастера настройки репликации (Configuration Replication Wizard) щелкните на кнопке Next. 8. Выберите каждую цель и укажите местоположение промежуточной папки. Для повышения производительности диска мастер выберет диск, отличный от диска общего ресурса цели. Поскольку мастер не может определить, находится ли диск на другом физическом диске или просто на отдельном томе на том же самом диске, может понадобиться изменение предложенного местоположения промежуточной папки.
Отказоустойчивость файловой системы Ãëàâà 30
1011
9. Выберите сервер первоначальной цели и щелкните на кнопке Next. Этот сервер будет реплицировать все свои данные на все другие цели после создания подключений репликации. Существующие данные на других целевых серверах пересылаются в скрытый каталог с именем NtFrs_PreExisting___See_EventLog. После завершения первичной репликации эти данные можно переслать назад в рабочий каталог, где они будут реплицированы в другие реплики. 10. На странице Topology (Топология) выберите тип топологии между репликами или создайте специальную топологию. 11. Если выбрана звездообразная топология, выберите сервер-концентратор и щелкните на кнопке Finish, чтобы завершить работу с мастером конфигурирования репликации. 12. Если выбрана специальная топология или необходимо изменить стандартную опцию Replicate Always (Реплицировать всегда), то щелкните правой кнопкой мыши на ссылке DFS в консоли DFS и выберите в контекстном меню пункт Properties. 13. Перейдите на вкладку Replication (Репликация) и щелкните на кнопке Customize (Настроить), чтобы верифицировать или создать подключения репликации или создать специальные графики для каждого подключения. После этого щелкните на кнопке ОК. 14. Возвратившись на страницу Link Replication (Репликация ссылки), щелкните на кнопке Schedule (График), чтобы изменить расписание всех реплицируемых подключений. Затем щелкните на кнопке ОК. 15. В нижней части страницы укажите файлы или подпапки, которые не должны реплицироваться. 16. После завершения работы щелкните на кнопке ОК, чтобы закрыть окно.
Îïóáëèêîâàíèå êîðíåé DFS â Active Directory Доменные корни DFS можно опубликовать в Active Directory, чтобы облегчить их поиск. После опубликования корня его можно найти, просматривая файлы и папки Active Directory. Чтобы опубликовать корень в Active Directory, выполните перечисленные ниже шаги. 1. Откройте консоль DFS и найдите нужный корень. 2. Щелкните правой кнопкой мыши на этом корне и выберите в контекстном меню пункт Properties. 3. Перейдите на вкладку Publish и установите флажок Publish This Root in Active Directory (Опубликовать этот корень в Active Directory). 4. Введите описание, имя учетной записи владельца и ключевые слова, используемые для поиска корня, а затем щелкните на кнопке ОК. 5. Щелкните на кнопке ОК, чтобы закрыть страницу Properties.
1012
Технологии обеспечения отказоустойчивости ×àñòü IX
Ïîëåçíûå ñîâåòû ïî ðåïëèêàöèè DFS Следование полезным советам по репликации DFS помогает обеспечить выполнение репликации так, как это требуется. Поскольку репликация файлов запускается при изменении версии файла или отметки времени последнего сохранения или модификации, то стандартный общий файловый ресурс может сгенерировать множество изменений репликации, что может привести к увеличению сетевого трафика. Во избежание ситуаций подобного рода, следуйте как можно большему количеству перечисленных ниже правил. •
Начните с пустой папки корня DFS, чтобы не реплицировать данные на корневом уровне. Это также может упростить процесс восстановления папки корня DFS, поскольку она содержит только ссылки, управляемые DFS.
•
Не реплицируйте корни DFS, так как они будут пытаться реплицировать данные в корневых папках плюс данные, содержащиеся в ссылочных целях. Если ссылки уже реплицируются, то репликация не нужна. Поскольку корни не реплицируются во избежание избыточности, разверните доменные корни DFS и добавьте дополнительные корневые цели.
•
Для данных, предназначенных только для чтения, по возможности используйте DFS. При репликации данных FRS всегда выбирает самую последнюю версию файла. Если групповой общий ресурс предоставлен с помощью реплицируемой ссылки DFS, и два сотрудника работают с одним и тем же файлом, каждый в различной цели реплики, то будут сохранены и реплицированы изменения пользователя, который последним закрыл и сохранил файл, а не изменения, сохраненные до этого.
•
Реплицируйте данные только во время слабой загрузки сети во избежание ее перегрузки. Для репликации ссылок, содержащих часто изменяемые данные, это может оказаться невозможным, поэтому для обеспечения резервирования данных в унифицированном пространстве имен создайте только одну цель для этой связи и разверните его в кластерном общем ресурсе. Это обеспечит резервирование данных общего файлового ресурса на уровне сервера.
•
Создавайте резервные копии, по крайней мере, одной ссылочной цели DFS и настройте резервное копирование так, чтобы архивный бит не изменялся. Изменение архивного бита может запустить излишнюю репликацию.
•
Тщательно протестируйте антивирусные программы операционной системы сервера, чтобы убедиться, что при сканировании файлов не возникают ненужные эффекты в реплицируемых целях DFS.
•
Проверьте, что диск, который будет содержать промежуточную папку для подключения репликации, содержит достаточно свободного места для размещения входных и выходных реплицируемых данных этого сервера.
Наличие большого количества операций чтения-записи нежелательно, так как это порождает большой поток репликации, и в подобных случаях репликация DFS должна выполняться во время невысокой загрузки сети.
Отказоустойчивость файловой системы Ãëàâà 30
1013
Îïòèìèçàöèÿ DFS DFS необходимо настроить на каждом сервере реплик, используя для этого консоль DFS. С помощью консоли DFS администратор может оптимизировать графики и подключения репликации целей DFS. На каждом сервере можно оптимизировать некоторые существующие параметры системного реестра либо добавить новые параметры, чтобы изменить характеристики или стандартные значения параметров репликации файлов и приспособиться к реплицируемым данным. Эти строки реестра содержат максимальный размер промежуточной папки. По умолчанию этот размер составляет 660 Мб; это значение может быть увеличено до 4,2 Гб. Чтобы увеличить размер промежуточной папки, измените значение предельного размера промежуточной памяти (Staging Space Limit) в ключе реестра HKey_Local_Machine\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters. Введенное значение означает размер в килобайтах. При расчете этого предельного значения не забывайте, что 1 Мб равен 1024 Кб, а не 1000 Кб. Набор средств Windows Server 2003 Resource Kit содержит дополнительные средства для оптимизации FRS, а также содержит несколько утилит устранения неполадок в DFS и FRS.
Ïðåäâàðèòåëüíàÿ ïîäêà÷êà íîâîé ðåïëèêè DFS Windows Server 2003 поддерживает предварительную подкачку новой цели для реплицируемых ссылок DFS. Это обеспечивает возможность восстанавливать в эту цель копию существующей реплики до включения репликации. Учтите эту возможность при добавлении существующих реплик DFS, содержащих большие количества данных, так как выполнение полной репликации может сильно повлиять на производительность сети. Этот процесс достаточно просто осуществить, если используются нужные средства. Для предварительной подкачки реплики DFS выполните следующие шаги: 1. Выполните резервное копирование одной цели реплицируемой ссылки DFS с помощью утилиты резервного копирования Windows Server 2003 (ntbackup.exe). 2. На новом целевом сервере создайте папку и общий файловый ресурс для новой цели DFS и установите соответствующие права доступа. Скорее всего, права доступа NTFS общего файлового ресурса и корневой папки для существующей цели установлены правильно, поэтому права доступа для этой новой цели должны повторять права доступа существующих целей. 3. С помощью утилиты резервного копирования Windows Server 2003 восстановите из созданной ранее резервной копии целевые данные в целевую папку на новом сервере, воспользовавшись опцией Restore to Alternate Location (Восстановить в другое место). Дополнительная информация о восстановлении данных в другое место с помощью утилиты Windows Server 2003 Backup может быть найдена в главе 33. 4. Войдите в консоль DFS с учетной записью с соответствующими полномочиями и добавьте эту цель в ссылку, если она еще туда не добавлена.
1014
Технологии обеспечения отказоустойчивости ×àñòü IX
Если для этой ссылки сконфигурирована одна из предопределенных топологий репликации (звездообразная, кольцевая или полная решетчатая), то новая цель будет сразу добавлена в репликацию. Если ранее была создана специальная топология репликации, новую цель придется добавлять в репликацию вручную, создав для нее новые подключения репликации. В настоящее время этот процесс работает, только если данные скопированы и восстановлены с помощью утилиты резервного копирования Windows Server 2003 Backup. Когда в репликацию добавляется новая цель, то все восстанавливаемые файлы пересылаются в заранее созданную папку в этой цели. Затем FRS сравнивает файлы в ранее созданном каталоге с информацией из существующих целей. Если файл распознается как эквивалентный файлу в существующей цели, то он пересылается из ранее существующей папки в нужное место в цели. В сети реплицируются только файлы, измененные или созданные после резервного копирования.
Óïðàâëåíèå è óñòðàíåíèå íåïîëàäîê â DFS Системой DFS можно управлять с консоли DFS, включенной в группу программ Administrative Tools (Средства администрирования) Windows Server 2003. В одном окне консоли DFS возможен просмотр и управление и обособленных, и доменных корней DFS. Администратор может проверить корневые и ссылочные цели DFS на предмет доступности, проверив состояние всех целей отельной ссылки, как показано на рис. 30.10.
Ðèñ. 30.10. Проверка состояния ссылочных целей DFS
Ìîíèòîðèíã FRS ñ ïîìîùüþ ñèñòåìíîãî ìîíèòîðà С помощью системного монитора можно выполнять мониторинг DFS и FRS. В Windows Server 2003 имеются два объекта производительности для мониторинга службы репликации файлов. Это следующие счетчики:
Отказоустойчивость файловой системы Ãëàâà 30
1015
•
FileReplicaConn. Применяется для мониторинга использования сети подключениями репликации файлов. Кроме того, с помощью этого объекта возможен мониторинг количества подключений, открываемых и поддерживаемых FRS в любой заданный момент времени.
•
FileReplicaSet. Применяется для сбора статистической информации о конкретной реплике. Вот некоторые предоставляемые им счетчики: количество сгенерированных промежуточных файлов, объем полученных пакетов в байтах и объем используемой и доступной промежуточной памяти в килобайтах.
Ìîíèòîðèíã FRS ñ ïîìîùüþ SONAR Утилита SONAR представляет собой средство с графическим интерфейсом, применяемое для мониторинга FRS. Она предоставляет основную статистику по SYSVOL — уровни трафика, незавершенные задания и свободная память — без модификации каких-либо параметров наблюдаемых компьютеров. Прежде чем инсталлировать SONAR, убедитесь, что у вас установлена последняя версия .NET Framework. SONAR можно загрузить по адресу: http://www.microsoft.com/windows2000/techinfo/reskit/tools/new/sonar-o.asp SONAR также входит в состав набора ресурсов Windows Server 2003 Resource Kit.
НА ЗАМЕТКУ Рекомендуется запускать SONAR с контроллера домена, однако его можно выполнять и на рядовом сервере Windows 2000 или выше. Если вы хотите запускать SONAR с рядового сервера, скопируйте файл Ntfrsapi.dll из каталога %SystemRoot%\System32 контроллера домена. Этот файл необходим для корректного функционирования SONAR.
После загрузки и установки исполняемого модуля SONAR или его запуска из набора ресурсов Windows Server 2003 Resource Kit выберите домен, набор реплик и частоту обновления, как показано на рис. 30.11. Затем можно начать мониторинг, щелкнув на кнопке View Results (Просмотр результатов) или, возможно, загрузив для выполнения ранее определенный запрос. Более подробная информация о SONAR и устранении неполадок в FRS находится в наборе ресурсов Windows Server 2003 Resource Kit, а также в документе по устранению неполадок в FRS, входящему в состав загрузки.
Ðèñ. 30.11. Мониторинг с помощью SONAR
1016
Технологии обеспечения отказоустойчивости ×àñòü IX
Ìîíèòîðèíã DFS ñ ïîìîùüþ ñèñòåìíîãî ìîíèòîðà Мониторинг DFS не так богат возможностями, как FRS. Для мониторинга DFS необходимо выбрать объект производительности процесса (Process Performance object), затем в списке Select Instances (Выбор экземпляров) нужно выбрать счетчик dfssvr. Есть счетчики общего времени процессора, виртуальных байт, частных байт и страничных отказов.
Âûâîä öåëè â àâòîíîìíûé ðåæèì äëÿ îáñëóæèâàíèÿ Если цель необходимо перезагрузить или просто перевести в автономный режим на небольшой интервал времени для обслуживания, то подключившихся пользователей нужно либо аккуратно перенаправить на другую реплику, либо отключить от DFS-сервера. Для вывода сервера в автономный режим для обслуживания выполните описанные ниже действия. 1. Откройте консоль DFS и найдите нужный корень. 2. Выберите корень DFS или ссылку, содержащую цель на сервере, который необходимо остановить для обслуживания. 3. Щелкните правой кнопкой мыши на нужной цели и выберите в контекстном меню пункт Enable or Disable Referrals (Включение/выключение отсылок), как показано на рис. 30.12. Эта опция изменяет текущее состояние отсылок цели.
Ðèñ. 30.12. Отключение отсылок DFS для освобождения сервера для обслуживания 4. Повторяйте предыдущие шаги для всех дополнительных корневых или ссылочных целей DFS на сервере, на котором требуется отключить отсылки. 5. Подождите некоторое время, достаточное для закрытия всех существующих подключений. Обычно после изменения состояний отсылки все пользователи должны быть отключены после истечения интервала кэширования. Отсчитывайте время с момента отключения отсылки.
Отказоустойчивость файловой системы Ãëàâà 30
1017
6. После выхода из сервера всех пользователей выполните необходимые действия и по окончании обслуживания и восстановления функциональности сервера включите отсылки с консоли DFS.
Îòêëþ÷åíèå ðåïëèêàöèè íà äëèòåëüíûé ïåðèîä Если сервер, содержащий реплицируемую целевую папку, должен быть выведен в нерабочее состояние на длительное время — для модернизации или из-за сетевых проблем — рекомендуется удалить цели этого сервера из набора реплик, особенно если ежедневно пересылаются большие объемы реплицируемых данных. Это снимает с доступных серверов реплик необходимость создавать и хранить запросы на изменение и промежуточные файлы для этого выведенного сервера. Поскольку емкость промежуточных папок ограничена, выведенный сервер, отключив все репликации, может привести к переполнению промежуточных папок активных серверов. При переполнении промежуточной папки новые запросы на изменение и промежуточные папки не создаются, пока не будут обработаны уже существующие запросы на изменение. Хотя сервер реплики находится в автономном состоянии, промежуточные папки доступных реплик, содержащих выходные подключения к этому серверу, все равно заполняются данными, которые должны быть переданы на этот сервер. При частых изменениях данных реплик может произойти неожиданное переполнение промежуточных папок, что приведет к прекращению всей репликации на серверах с выходным подключениями к выведенному серверу. Во избежание упомянутой проблемы проще всего удалить реплику из набора. После восстановления работоспособности сервера администратор может опять добавить этот сервер в список целей и настроить репликацию. Данные будут пересланы в ранее существующую папку, а затем сравнены с идентификаторами файлов, переданными в запросах на изменение с первоначальной реплики. При совпадении идентификаторов файлов они будут выбраны из ранее существующей папки, а не по глобальной сети. Можно отключить кнопку Enable (Включить) для подключения репликации, но это неудобно для сопровождения, так как после включения репликации этот сервер не получит верные запросы на изменение данных.
Ðåãèñòðàöèÿ ñîáûòèé FRS Если служба репликации файлов включена на таком сервере, как контроллер домена Windows Server 2003 или сервер, содержащий реплицируемую цель DFS, то включается регистрация событий. С помощью консоли просмотра событий администраторы могут просмотреть хронологию и состояние службы репликации файлов, просматривая события из журнала событий FRS.
Ðåçåðâíîå êîïèðîâàíèå DFS В настоящее время не существует специального средства или стратегии резервного копирования DFS. Необходимо выполнять резервное копирование следующих элементов:
1018
Технологии обеспечения отказоустойчивости ×àñòü IX
•
Данные целей. Это реальные данные, к которым обращаются конечные пользователи. При наличии истинной топологии со многими мастерами репликации резервное копирование требуется только для одной цели.
•
Иерархия DFS. Для обособленной DFS необходимо резервное копирование состояния системы корневого сервера и состояния системы всех серверов, содержащих цели DFS. Для доменной DFS необходимо резервное копирование состояний систем контроллеров доменов и всех других серверов, содержащих цели DFS. Вся иерархия DFS и информация о подключениях репликации FRS находятся в Active Directory. Резервное копирование Active Directory проводится вместе с состоянием системы контроллера домена.
Èñïîëüçîâàíèå óòèëèòû DFScmd.exe DFScmd.exe представляет собой утилиту командной строки для администрирования DFS. С помощью этого средства администраторы могут создавать корни и ссылки и определять репликацию между целями. С помощью этого средства можно выполнять быстрое резервное копирование иерархии DFS любого конкретного корня DFS. Например, для выполнения резервного копирования текущего корня домена с именем Apps можно ввести такую команду и затем нажать <Enter>: DFScmd.exe /View \\domain\Apps /Batch /Batchrestore >> DFSrestore.bat Этот файл можно запустить для восстановления утерянных или удаленных ссылок и целей. Это средство не может восстановить корень или репликацию DFS, но после ручного восстановления корня возможно восстановление всей остальной иерархии дерева DFS с помощью запуска пакетного файла, созданного DFScmd.exe, и перенаправления консоли в пакетный файл. Настройку репликации необходимо выполнить с помощью консоли DFS. Чтобы получить более подробную информацию о применении DFScmd.exe, можно применить команды встроенной подсказки, набрав в командной строке команду DFScmd.exe /? и нажав <Enter>.
Óäàëåííîå õðàíåíèå äàííûõ Удаленное хранение данных (Remote Storage) — это служба файловой системы Windows Server 2003, применяемая для автоматического архивирования данных с обслуживаемого тома NTFS на сменные носители. Remote Storage переносит файлы, если к ним долгое время не было обращения или если процент свободной дисковой памяти на обслуживаемом диске стал ниже определенного значения. Когда Remote Storage перемещает файлы или папки, они заменяются на томе ссылкой на файл, называемой точкой подключения (junction point). Точки подключения занимают очень мало места, что уменьшает объем используемой дисковой памяти, но оставляет возможность доступа к этим данным по прежнему адресу. При обращении к точке подключения служба Remote Storage выбирает перенесенный на внешний носитель файл.
Отказоустойчивость файловой системы Ãëàâà 30
1019
Ïîëåçíûå ñîâåòû ïî ðàáîòå ñ óäàëåííûì õðàíåíèåì äàííûõ На томах, обслуживаемых Remote Storage, антивирусные программы нужно настроить так, чтобы файлы сканировались только после обращения к ним. Если антивирусная программа регулярно сканирует том, то все данные, мигрированные Remote Storage, могут быть запрошены и возвращены обратно на диск. Кроме того, программы резервного копирования, совместимые с Windows Server 2003, имеют возможность проведения резервного копирования с учетом точек подключения, то есть копирования данных, хранимых на удаленных носителях. Это может оказаться замечательной возможностью, но при этом может быть произведен возврат данных, хранимых на нескольких дисках. Это может удлинить ночное резервное копирование на несколько лишних часов, а производительность сервера удаленного хранения во время этой операции будет существенно снижена. Кроме того, если том содержит цель DFS, настроенную для репликации, то Remote Storage на этом томе включать нельзя. Если в реплицируемую ссылку DFS добавляется новая цель, служба репликации файлов читает все содержимое папки этой цели DFS. Эта операция чтения необходима для генерации промежуточных файлов при подготовке синхронизации целевых данных. Эта операция вызывает восстановление на томе всех перенесенных файлов.
Óñòàíîâêà Remote Storage Инсталляция службы Remote Storage занимает лишь несколько минут и требует наличия инсталляционного носителя Windows Server 2003. Чтобы установить и настроить удаленное хранение данных, выполните следующие шаги: 1. Войдите в нужный сервер с учетной записью с правами доступа локального администратора. 2. Проверьте, что на этом сервере уже установлена и сконфигурирована лента, или оптическое устройство, или ленточная библиотека, совместимая с Remote Storage. Для проверки, может ли устройство работать со службой Remote Storage, обратитесь к списку совместимости оборудования (Hardware Compatibility List) Windows Server 2003 на Web-сайте Microsoft. 3. Выберите в меню Start пункт Control PanelÖAdd or Remove Programs (Панель управленияÖУстановка и удаление программ). 4. В левой панели щелкните на пиктограмме Add/Remove Windows Components (Установка и удаление компонентов Windows). 5. Найдите в списке и установите флажок рядом с элементом Remote Storage и щелкните на кнопке Next, чтобы начать установку. 6. Если носитель Windows Server 2003 не найден, появится требование указать, где он находится. При необходимости предоставьте соответствующую информацию. 7. Щелкните на кнопке Finish на странице завершения мастера установки компонентов Windows (Windows Components Wizard) и щелкните на кнопке Yes, чтобы перезагрузить компьютер.
1020
Технологии обеспечения отказоустойчивости ×àñòü IX
Íàñòðîéêà Remote Storage Одной из замечательных способностей Remote Storage является наличие очень небольшого количества опций настройки, что приводит к практически мгновенной ее реализации. Настройка Remote Storage сводится лишь к нескольким основным действиям: •
Настройка устройства резервного копирования, используемого Remote Storage.
•
Указание и обслуживание сменных носителей, используемых Remote Storage.
•
Настройка параметров Remote Storage на обслуживаемых ей томах.
Íàñòðîéêà óñòðîéñòâà ðåçåðâíîãî êîïèðîâàíèÿ Для переноса данных с обслуживаемого тома средствами Remote Storage необходимо иметь устройство резервного копирования. Если на сервере, выполняющем Remote Storage, установлена программа резервного копирования стороннего разработчика, рекомендуется установить не менее двух отдельных устройств резервного копирования и включить доступ службы Remote Storage только к одному из них. Это предотвратит конфликты с устройствами резервного копирования, когда и Remote Storage, и программа резервного копирования одновременно обратятся к одному устройству. При доступности только одного устройства резервного копирования постарайтесь не применять программы резервного копирования сторонних разработчиков, если нет четкой уверенности, что конфликты не возникнут. Агенты резервного копирования сторонних разработчиков, выполняющие копирование на удаленные серверы и устройства резервного копирования, не влияют на Remote Storage и локальные устройства резервного копирования. Все устройства резервного копирования — ленточные приводы, ленточные библиотеки и приводы перезаписываемых компакт-дисков — по умолчанию включены на управление службой сменных запоминающих устройств Removable Storage. Поскольку Remote Storage использует эту службу для доступа к устройствам резервного копирования, то устройство для удаленного хранения данных конфигурируется с включенной службой сменных запоминающих устройств. Чтобы включить устройство, выполните описанные ниже шаги. 1. Установите устройство или ленточную библиотеку в системе Windows Server 2003. Для выполнения этого процесса воспользуйтесь документацией производителя этого устройства. 2. После подключения устройства загрузите сервер и войдите него с учетной записью с правами доступа локального администратора. 3. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖComputer Management. 4. В левой панели дважды щелкните на узле Computer Management (local), если он не раскрыт. 5. Щелкните на крестике рядом с узлом Storage. 6. Щелкните на крестике рядом с узлом Removable Storage (Сменные ЗУ). 7. Щелкните на крестике рядом с узлом Libraries (Библиотеки). 8. Щелкните правой кнопкой мыши на нужной библиотеке (устройстве резервного копирования) и выберите в контекстном меню пункт Properties.
Отказоустойчивость файловой системы Ãëàâà 30
1021
9. На вкладке General (Общие) страницы Device Properties (Свойства устройства) установите флажок Enable Drive (Включить привод), как показано на рис. 30.13, и щелкните на кнопке ОК. Чтобы служба съемных ЗУ не использовала это устройство, сбросьте этот флажок и щелкните на кнопке ОК.
Ðèñ. 30.13. Включение устройства резервного копирования для службы сменных ЗУ НА ЗАМЕТКУ На рис. 30.13 выбранное устройство резервного копирования является отдельным ленточным устройством DLT (digital linear tape — лента для цифровой записи с последовательным доступом). Remote Storage может работать с отдельными ленточными приводами, но для поиска и восстановления данных, хранимых на нескольких съемных носителях, рекомендуется применять ленточные библиотеки с автоматической заменой кассет. При необходимости восстановить файл, перенесенный с помощью Remote Storage, с однокассетного устройства может потребоваться вмешательство администратора.
Íàçíà÷åíèå ñìåííîãî íîñèòåëÿ äëÿ óäàëåííîãî õðàíåíèÿ После настройки устройства для удаленного хранения необходимо выделить носители для удаленного хранения данных. Если в устройство вставлен новый или пустой носитель (согласно базе данных устройства), то этот носитель помещается в пул свободных носителей. Если этот носитель уже был использован ранее другим сервером или программой резервного копирования, то устройство помещает его в один из пулов: импорта, нераспознанных носителей или носителей резервных копий. Пул носителей резервных копий предназначен для носителей, используемых утилитой резервного копирования Windows Server 2003 Backup локального сервера.
1022
Технологии обеспечения отказоустойчивости ×àñòü IX
Для инвентаризации устройства резервного копирования и выделения носителя для удаленного хранения выполните следующие шаги: 1. Найдите нужное устройство, как описано в предыдущем разделе. Затем щелкните правой кнопкой мыши на устройстве и выберите в контекстном меню пункт Inventory (Инвентаризация). 2. После завершения устройством процесса инвентаризации выберите в левой панели устройство резервного копирования. После этого носитель появится в правой панели. 3. Щелкните правой кнопкой мыши на носителе в правой панели и выберите в контекстном меню пункт Properties. 4. На вкладке Media (Носители) страницы Media Properties (Свойства носителей), в разделе Location (Расположение), укажите членство в пуле носителей. На рис. 30.14 показаны носители, принадлежащие пулу носителей Import\DLT. 5. Щелкните на кнопке Cancel (Отмена), чтобы закрыть страницу Media Properties.
Ðèñ. 30.14. Сменные носители в пуле носителей Import\DLT Если в пуле свободных носителей или носителей удаленного хранения носители отсутствуют, их надо поместить туда, прежде чем Remote Storage сможет их использовать. Служба Remote Storage использует пул носителей удаленного хранения для поиска и хранения носителей для переноса файлов или в целях архивирования. По умолчанию пул носителей удаленного хранения настроен так, что если носители в устройстве резервного копирования не присутствуют в пуле носителей удаленного хранения, осуществляется поиск носителей в свободном пуле. Если носители не присутствуют в пуле свободных носителей или носителей удаленного хранения и являются перезаписываемыми, щелкните правой кнопкой мыши на та-
Отказоустойчивость файловой системы Ãëàâà 30
1023
ком носителе и выберите в контекстном меню пункт Free (Освободить). Появится предупреждение о том, что этот носитель будет перемещен в свободный пул и все данные, находящиеся на этом носителе, будут потеряны. Если так и надо, щелкните на кнопке Yes, в противном случае щелкните на кнопке No, вставьте в устройство резервного копирования другой носитель и перезапустите процесс резервного копирования.
Íàñòðîéêà òîìà íà îáñëóæèâàíèå ñëóæáîé Remote Storage При правильной настройке устройств резервного копирования и съемных носителей можно настроить том на обслуживание удаленного хранения. Для настройки обслуживаемого тома выполните перечисленные ниже шаги. 1. Войдите в нужный сервер удаленного хранения с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖRemote Storage (Все программыÖАдминистрированиеÖУдаленное хранение). 3. Если консоль Remote Storage открывается в первый раз или если на сервере не сконфигурированы тома для обслуживания удаленного хранения, запускается мастер удаленного хранения (Remote Storage Wizard). На экране приветствия мастера щелкните на кнопке Next. 4. На странице Volume Management (Обслуживание тома) выберите обслуживание всеми томами или только выбранными томами, установив нужный переключатель. Если выбран вариант Manage All Volumes (Управление всеми томами), щелкните на кнопке Next. 5. Если выбран вариант Manage Selected Volumes (Обслуживание выбранных томов), то отметьте том, который необходимо обслуживать, и щелкните на кнопке Next. 6. На странице Volume Settings (Параметры тома) введите объем свободной памяти, необходимой для обслуживаемого тома. 7. На этой же странице укажите минимальный размер файла, прежде чем он будет перенесен с помощью Remote Storage; потом укажите количество дней отсутствия доступа к файлу, прежде чем Remote Storage сочтет его кандидатом на перенос. Затем щелкните на кнопке Next. На рис. 30.15 показаны параметры тома, при которых Remote Storage будет переносить данные, если на томе останется 10% свободного места, и если к файлам размером более 12 Кб не будет обращений 120 дней. 8. На странице Media Type (Тип носителя) выберите тип носителя, связанный с устройством резервного копирования, которое назначено для использования средством Remote Storage. Выберите тип носителя в выпадающем списке Media Types (Типы носителей). 9. На следующей странице можно задать график копирований файлов. По умолчанию копирование производится ежедневно в 02:00. Щелкните на кнопке Change Schedule (Изменить график), чтобы создать специальное расписание, или щелкните на кнопке Next, если вы согласны со стандартным расписанием.
1024
Технологии обеспечения отказоустойчивости ×àñòü IX
Ðèñ. 30.15. Установка типичных параметров тома удаленного хранения 10. На странице завершения мастера удаленного хранения щелкните на кнопке Finish для завершения работы. После завершения всего процесса открывается консоль Remote Storage (Удаленное хранение). С помощью этой консоли можно вручную инициировать действия удаленного хранения на обслуживаемых томах: запуск копирования файла на основе времени последнего доступа к файлу, проверка файлов или освобождение памяти, если ее стало меньше указанного предельного значения. С помощью этой консоли можно также управлять сменными носителями. Дополнительная информация по Remote Storage приведена в главах 32 и 33.
Èñïîëüçîâàíèå ñëóæáû ôîíîâîãî êîïèðîâàíèÿ òîìà Служба фонового копирования тома (Volume Shadow Copy — VSS) Windows Server 2003 является новой возможностью, доступной томам с файловой системой NTFS. С помощью VSS можно создать на локальном диске резервную копию всего тома в некоторый момент времени. С помощью этой резервной копии можно быстро восстановить данные, удаленные с этого тома локально или через назначение сетевого диска или общего сетевого файлового ресурса. VSS также используется программой резервного копирования Windows Server 2003 Backup для резервного копирования локальных и общих томов NTFS. Если файловая система тома — не NTFS, фоновое копирование тома невозможно. VSS может создать моментальную резервную копию тома, в том числе и открытых файлов. Весь этот процесс выполняется за очень короткое время, но при необходимости этого достаточно для восстановления всего тома. Можно настроить расписание
Отказоустойчивость файловой системы Ãëàâà 30
1025
VSS для автоматического резервного копирования тома один, два или несколько раз в день. Эта служба может быть включена на томе, содержащем цели DFS и стандартные общие файловые ресурсы Windows Server 2003.
Èñïîëüçîâàíèå DFS è Windows Server 2003 Backup Если резервное копирование локального тома DFS выполняет программа Windows Server 2003 Backup, то по умолчанию используется VSS для создания снимка или фоновой копии текущих данных тома. Эти данные сохраняются на том же самом или другом локальном томе или диске. Затем программа Backup использует фоновую копию для резервного копирования данных, не запрещая обращения к диску пользователям и операционной системе. После завершения резервного копирования фоновая копия автоматически удаляется с локального диска. Более подробная информация о VSS и Windows Server 2003 Backup содержится в главах 32 и 33.
Íàñòðîéêà ôîíîâîãî êîïèðîâàíèÿ Включение фонового копирования для тома выполняется очень просто. Администраторы имеют больше возможностей при восстановлении утерянных или удаленных данных и во многих случаях могут полностью избежать восстановления данных на диск с ленточного устройства резервного копирования или ленточной библиотеки. Кроме того, права, необходимые для восстановления случайно удаленных файлов, можно назначить отдельным пользователям. С точки зрения производительности лучше сконфигурировать фоновое копирование на отдельные диски или быстрые аппаратные RAID-тома (например, RAID 1+0). В этом случае каждый диск выполняет по большей части либо операции чтения, либо операции записи, но не то и другое вместе. Фоновое копирование томов уже установлено и автоматически доступно для томов, форматированных под NTFS. Для включения и настройки фонового копирования выполните следующие шаги: 1. Войдите в нужный сервер с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖComputer Management. 3. В левой панели дважды щелкните на узле Computer Management (local), если он еще не раскрыт. 4. Щелкните на крестике рядом с узлом Storage. 5. Выберите элемент Disk Management (Управление дисками). 6. Щелкните правой кнопкой мыши на строке Disk Management, выберите в контекстном меню пункт All Tasks (Все задачи) и выберите вариант Configure Shadow Copies (Настройка фонового копирования). 7. На странице Shadow Copies (Фоновое копирование) выберите один том, для которого необходимо включить фоновое копирование, и щелкните на кнопке Settings (Параметры).
1026
Технологии обеспечения отказоустойчивости ×àñòü IX
8. На странице Settings можно выбрать другой том для хранения фоновых копий. Выберите нужный том для фонового копирования, как показано на рис. 30.16.
Ðèñ. 30.16. Выбор другого диска для хранения фоновых копий 9. Укажите максимальный объем дисковой памяти, который будет выделен для фоновых копий. 10. Стандартный график фонового копирования — дважды в день, в 07:00 и в 12:00. Если это не удовлетворяет требованиям вашего предприятия, щелкните на кнопке Schedule (График) и задайте специальное расписание. 11. Щелкните на кнопке ОК для включения фоновых копий на этом томе и возврата на страницу Shadow Copies. 12. При необходимости выберите следующий том и включите для него фоновое копирование; иначе выберите включенный том и сразу же создайте фоновую копию, щелкнув на кнопке Create Now (Создать сейчас). 13. При необходимости выберите следующий том и сразу же создайте фоновую копию, щелкнув на кнопке Create Now. 14. После создания фоновых копий щелкните на кнопке ОК, чтобы закрыть страницу Shadow Copies, закройте консоль Computer Management и выйдите из сервера. Более подробная информация о службе фонового копирования томов приведена в главах 32 и 33.
Âîññòàíîâëåíèå äàííûõ èç ôîíîâûõ êîïèé Администратор сервера или обычный пользователь, имеющий соответствующие права, может восстановить данные из ранее созданных фоновых копий. Файлы, хранимые в фоновой копии, нельзя выбрать непосредственно, но к ним можно обратиться, подключившись к тому, с которого снята фоновая копия.
Отказоустойчивость файловой системы Ãëàâà 30
1027
НА ЗАМЕТКУ Средство фонового копирования для восстановления общих папок (Shadow Copies for Shared Folders Restore, VolRest), входящее в состав набора ресурсов Windows Server 2003 Resource Kit, представляет собой утилиту командной строки, предназначенную для восстановления предыдущих версий файлов. Чтобы использовать это средство для восстановления предыдущих версий файлов, необходимо включить возможность фонового копирования для общих папок (Shadow Copies for Shared Folders).
Для восстановления данных из общего файлового ресурса выполните описанные ниже действия. 1. Войдите в рабочую станцию с системой Windows Server 2003 или Windows XP SP1 с правами администратора или с учетной записью пользователя, имеющего полномочия на восстановление файлов из фоновой копии. 2. Выберите в меню Start пунктÖRun. 3. В командном окне Run (Запуск программы) введите команду \\имя_сервера\имя_ресурса, где имя_сервера представляет имя NetBIOS или полностью определенное доменное имя сервера, содержащего общий файловый ресурс. Этот ресурс должен существовать на томе, на котором уже создана фоновая копия. 4. В окне File and Folder Tasks (Задачи файлов и папок) выберите строку View Previous Versions (Просмотр предыдущих версий), как показано на рис. 30.17. 5. После открытия окна для общего ресурса на странице Previous Versions property (Свойства предыдущих версий) выберите фоновую копию, из которой необходимо восстановить файлы, и щелкните на кнопке View (Просмотр).
Ðèñ. 30.17. Использование фоновых копий для просмотра предыдущих версий файлов
1028
Технологии обеспечения отказоустойчивости ×àñòü IX
6. Появится окно проводника, показывающее содержимое общего ресурса на момент создания фоновой копии. Если необходимо восстановить лишь один файл, найдите этот файл, щелкните на нем правой кнопкой мыши и выберите в контекстном меню пункт Copy (Копировать). 7. Закройте окно проводника. 8. Закройте страницы Share Property (Свойства общего ресурса), щелкнув на кнопке ОК в нижней части окна. 9. Возвратившись в окно реального общего файлового ресурса, найдите исходное местоположение файла, щелкните правой кнопкой мыши в пустом месте окна и выберите в контекстном меню пункт Paste (Вставить). 10. Закройте окно общего файлового ресурса.
Óïðàâëåíèå ôîíîâûìè êîïèÿìè Фоновые копии томов не требуют интенсивного управления, однако если фоновые копии создаются в соответствие с графиком, то старые копии должны удаляться вручную. Это можно сделать с помощью окна Shadow Copies (Фоновое копирование), доступного из диспетчера дисков, или автоматизировать эту задачу с помощью пакетного сценария и утилиты Vssadmin.exe. Для удаления фоновой копии с помощью диспетчера дисков выполните следующие шаги: 1. Войдите в нужный сервер с учетной записью с правами локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖComputer Management. 3. В левой панели дважды щелкните на узле Computer Management (local), если он еще не раскрыт. 4. Щелкните на крестике рядом с узлом Storage. 5. Выберите строку Disk Management. 6. Щелкните правой кнопкой мыши на строке Disk Management, выберите в контекстном меню пункт All Tasks и выберите вариант Configure Shadow Copies (Настройка фонового копирования). 7. В разделе Select a Volume (Выбор тома) выберите требуемый том. 8. В разделе Shadow Copies of Selected Volume (Фоновое копирование выбранного тома) выберите фоновую копию, которую нужно удалить, и щелкните на кнопке Delete Now (Удалить сейчас). 9. Щелкните на кнопке ОК, чтобы закрыть окно Shadow Copies, закройте консоль управления компьютером и выйдите из сервера. Чтобы удалить с диска D: самую старую фоновую копию, введите в командном окне следующую команду и нажмите <Enter>: Vssadmin.exe Delete Shadows /For=D: /Oldest
Отказоустойчивость файловой системы Ãëàâà 30
1029
С помощью Vssadmin.exe можно создавать и удалять фоновые копии и управлять ими. Более подробное описание этого средства приведено в главах 32 и 33.
НА ЗАМЕТКУ Набор ресурсов Windows Server 2003 Resource Kit содержит счетчики производительности (Volperf) для VSS и в сочетании с системным монитором может быть использован для мониторинга фонового копирования.
Ðåçþìå Файловые службы Windows Server 2003 предоставляют администраторам несколько возможностей создания отказоустойчивых серверов и хранилищ данных, а также отказоустойчивых общих файловых ресурсов. С помощью служб защиты файлов Windows и фонового копирования томов можно — автоматически или с помощью администратора — восстановить удаленные или перезаписанные файлы без их восстановления из резервной копии. С помощью таких служб, как распределенная файловая система и служба репликации файлов, администраторы получают дополнительные возможности при развертывании, обеспечении безопасности и доступности файловых служб. Применяя лишь одну из этих служб файловой системы или их комбинацию, организации могут сделать свои файловые системы действительно отказоустойчивыми.
Ïîëåçíûå ñîâåòû •
Используйте службу фонового копирования тома для обеспечения возможности восстановления файлов и отказоустойчивости данных без необходимости восстановления из резервной копии.
•
Используйте удаленное хранение для переноса данных на удаленные носители на основе информации о последнем обращении к файлам или при достижении обслуживаемым диском заранее определенного предельного объема свободной дисковой памяти.
•
Не настраивайте утилиту Remote Storage на обслуживание томов, содержащих реплики FRS, так как это приведет к излишней миграции данных.
•
Постарайтесь обеспечить отказоустойчивость дисков операционной системы и приводов носителей данных, желательно с помощью аппаратных RAID-наборов.
•
Проводите полное форматирование томов RAID 5, чтобы не произошло снижения производительности диска в дальнейшем, когда данные будут впервые копироваться на эти тома.
•
По возможности применяйте на всех томах файловую систему NTFS.
•
Преобразуйте обычные диски в динамические.
•
Всегда определяйте права доступа для каждого общего ресурса, независимо от формата тома.
1030
Технологии обеспечения отказоустойчивости ×àñòü IX
•
Если при создании общих ресурсов на серверах доменов для них не требуется анонимный или гостевой доступ, замените группу Everyone на группу Domain Users и назначьте соответствующие права доступа к этим ресурсам.
•
Не включайте кэширование общего файлового ресурса на стороне клиента, если в сети применяются перемещаемые профили пользователей, поскольку это может привести к порче профилей конечных пользователей.
•
Включайте квоты на томах NTFS для управления объемом данных, которые пользователь может хранить на одном томе.
•
Выполняйте мониторинг производительности дисков с помощью утилит наподобие системного монитора и Fsutil.exe.
•
Проводите аудит безопасности файлов и папок.
•
Постарайтесь устанавливать в систему только сертифицированные драйверы оборудования.
•
Всегда, когда возможно, применяйте доменные корни DFS.
•
Применяйте DFS для обеспечения унифицированного пространства имен для файлов.
•
Для корня DFS и общих файловых ресурсов ссылочных целей используйте тома NTFS, чтобы включить защиту на уровне файлов и папок. Кроме того, ссылки доменной DFS можно реплицировать только между общими файловыми ресурсами на томах NTFS.
•
Начинайте с пустой папки корня DFS, чтобы не реплицировать данные на уровне корня.
•
Не реплицируйте корни DFS, поскольку при этом будут реплицироваться данные из корневых папок плюс данные в ссылочных целях. Если ссылки уже реплицируются, то репликация не нужна. Поскольку, чтобы избежать избыточности, корни не реплицируются, разверните доменные корни DFS и добавьте дополнительные корневые цели.
•
Для данных, предназначенных только для чтения, по возможности используйте DFS.
•
Реплицируйте данные DFS только в периоды слабой загрузки сети, чтобы снизить сетевой трафик.
•
Создайте резервную копию, по крайней мере, одной ссылочной цели DFS и настройте резервное копирование так, чтобы оно не изменяло архивный бит. Изменение архивного бита может привести к излишней репликации.
•
Тщательно протестируйте антивирусные программы, дабы удостовериться в отсутствии нежелательных эффектов, вызываемых сканированием файлов реплицируемой цели DFS.
•
Убедитесь, что на диске, на котором находится промежуточная папка для подключения репликации, имеется достаточно памяти для хранения входных и выходных данных репликации этого сервера.
Îòêàçîóñòîé÷èâîñòü íà óðîâíå ñèñòåìû (êëàñòåðèçàöèÿ è áàëàíñèðîâêà ñåòåâîé íàãðóçêè)
 ÝÒÎÉ ÃËÀÂÅ... •
Ñîçäàíèå îòêàçîóñòîé÷èâûõ ñèñòåì
•
Çíàêîìñòâî ñ òåõíîëîãèÿìè êëàñòåðèçàöèè Windows Server 2003
•
Âûáîð ïðàâèëüíîé òåõíîëîãèè êëàñòåðèçàöèè
•
Ðåàëèçàöèÿ ñëóæáû êëàñòåðîâ
•
Óñòàíîâêà ñëóæáû êëàñòåðîâ
•
Óïðàâëåíèå êëàñòåðàìè
•
Ðåçåðâíîå êîïèðîâàíèå è âîññòàíîâëåíèå êëàñòåðîâ
•
Ìîäåðíèçàöèÿ óçëîâ êëàñòåðà
•
Óñòàíîâêà êëàñòåðîâ ñ áàëàíñèðîâêîé ñåòåâîé íàãðóçêè
•
Óïðàâëåíèå NLB-êëàñòåðàìè
ÃËÀÂÀ
31
1032
Технологии обеспечения отказоустойчивости ×àñòü IX
Во многих современных производственных средах применение компьютерных приложений и сетевых служб стало необходимым для эффективного выполнения ежедневных бизнес-функций. Слово неготовность стало запретным в ситуациях, в которых неустойчивое приложение или отказавший сервер могут существенно повлиять на эффективность работы сотрудников или на прибыль организации. Если неготовность не допускается, то требуется развертывание отказоустойчивых серверов, чтобы обеспечить надежный доступ к критичным приложениям, данным пользователей и сетевым службам. Windows Server 2003 предоставляет несколько методов повышения отказоустойчивости на уровне системы или сервера с помощью нескольких служб, присутствующих в платформах Enterprise и DataCenter. В главе 30 была рассмотрена отказоустойчивость на уровне файлов, включая распределенную файловую систему (DFS) и фоновое копирование томов. В этой главе будет рассмотрена отказоустойчивость на уровне системы с помощью балансировки сетевой нагрузки (Network Load Balancing — NLB) и службы кластеров Microsoft (Microsoft Cluster Service — MSCS). Эти встроенные технологии кластеризации обеспечивают балансировку нагрузки и возможность подхвата функций, используемые для повышения отказоустойчивости многих различных типов приложений и сетевых служб. Эти технологии кластеризации отличаются друг от друга во многих отношениях. Выбор правильного типа кластеризации зависит от приложений и служб, которые будут размещены в кластере. Технологии Windows Server 2003, подобные NLB и MSCS, повышают отказоустойчивость приложений и сетевых служб, но прежде чем начать эффективно применять эти технологии, потребуется выполнить элементарные практические действия по обеспечению стабильности сервера. Данная глава рассматривает политики и процедуры, необходимые для создания среды, поддерживающей отказоустойчивую сеть. Кроме того, в этой главе представлены пошаговые процедуры, необходимые для повышения надежности оборудования сервера за счет успешной реализации NLB и MSCS.
Ñîçäàíèå îòêàçîóñòîé÷èâûõ ñèñòåì Создание отказоустойчивых компьютерных систем включает в себя тщательное планирование и конфигурирование аппаратного и программного обеспечения сервера, сетевых устройств и источников питания. Покупка качественных серверов и сетевого оборудования — хорошее начало для создания отказоустойчивой системы, но настолько же важна и правильная настройка этого оборудования. Кроме того, отказоустойчивость сети обеспечивается наличием стабильного питания, поддерживаемого батареей или генератором. И, наконец, не менее важна правильная настройка операционных систем серверов, повышающая доступность сетевых служб: общих файловых ресурсов, серверов печати, сетевых приложений и серверов аутентификации.
Èñòî÷íèêè áåñïåðåáîéíîãî ïèòàíèÿ Подключение серверов и сетевых устройств к сети через источники бесперебойного питания (ИБП) не только обеспечивает качество входного питания, сглаживая всплески напряжения и обеспечивая постоянный уровень напряжения, но и предоставляет возможность переключения на резервную батарею. При сбое питания в сети
Отказоустойчивость на уровне системы Ãëàâà 31
1033
ИБП переключается на питание от батареи и обеспечивает время, достаточное для выключения сервера или сетевого устройства без опасности повреждения оборудования или данных. Производители ИБП обычно поставляют программное обеспечение, которое может посылать уведомления по сети, запускать сценарии или даже аккуратно выключать серверы при снижении напряжения ниже заданного уровня. В заключение стоит упомянуть, что большинство производителей компьютерного и сетевого оборудования предоставляют конфигурации устройств со встроенными резервированными источниками питания, предназначенными для обеспечения питания системы в случае отказа отдельного источника. Во время отключения питания многие системные администраторы определяют, какие критические устройства не подключены к ИБП, и начинается гонка по выключению устройств и переключению питания с некритичных устройств. Чтобы избежать таких ситуаций, администраторы должны выполнять регулярные инспекции критичного оборудования в серверных комнатах и сетевых шкафах, чтобы убедиться, что все необходимые серверы, сетевые маршрутизаторы, коммутаторы, концентраторы и брандмауэры обеспечены питанием от резервных батарей. Если на сервере пропадает питание, а батарея предоставляет пользователям лишь несколько минут, чтобы сохранить данные и закрыть подключения для снижения риска повреждения данных, то крайне важно сохранить доступность сети.
Âûáîð ñåòåâîãî îáîðóäîâàíèÿ äëÿ îáåñïå÷åíèÿ îòêàçîóñòîé÷èâîñòè Структура сети также может обеспечивать отказоустойчивость с помощью создания резервных сетевых маршрутов и использования технологий, которые могут сгруппировать устройства для балансировки нагрузки и подхвата функций отказавшего устройства. Балансировка нагрузки (load balancing) — это процесс распределения запросов на несколько устройств, предназначенный для поддержания нагрузки на отдельные устройства на приемлемом уровне. Подхват функций (failover) — это процесс перемещения служб при отказе одного устройства на другое устройство для поддержания доступности этих служб. Сетевое оборудование — коммутаторы Ethernet, маршрутизаторы и сетевые карты — можно сконфигурировать для обеспечения отказоустойчивости служб с помощью приложений балансировки нагрузки или с помощью возможностей, присущих оборудованию или операционной системе сетевого устройства. Для определения отказоустойчивых конфигураций, доступных на сетевых устройствах вашей организации, обратитесь к документации производителей этих устройств. Для обеспечения более устойчивых резервированных конфигураций сетевых карт сторонние поставщики оборудования создали командную работу сетевых карт и программное обеспечение отказоустойчивости сетевых карт. Эти технологии позволяют клиент-серверным коммуникациям в случае отказа одной сетевой интерфейсной карты (Network Interface Card — NIC) переключаться на другую NIC. Кроме того, их можно заодно сконфигурировать и на балансировку сетевых запросов по всем NIC одного сервера. Чтобы узнать, доступно ли для вашей сетевой карты совместимое с ней приложение командной работы, обратитесь к документации производителя конкретного аппаратного компонента.
1034
Технологии обеспечения отказоустойчивости ×àñòü IX
НА ЗАМЕТКУ Балансировка сетевой нагрузки в Windows Server 2003 не позволяет включать в один и тот же NLB-кластер несколько NIC на одном и том же сервере.
Âûáîð çàïîìèíàþùåãî óñòðîéñòâà ñåðâåðà äëÿ îáåñïå÷åíèÿ ðåçåðâèðîâàíèÿ Дисковая память сервера обычно содержит данные пользователей и/или файлы операционной системы, что делает ее критической подсистемой сервера, для которой необходимо обеспечить отказоустойчивость. В Windows Server 2003 есть несколько различных способов создания отказоустойчивой дисковой памяти. Первый способ — создание резервных массивов недорогих дисков (Redundant Arrays of Inexpensive Disks — RAID) с помощью утилит конфигурации контроллера дисков, а второй — создание RAID-дисков с помощью динамического конфигурирования дисков из операционной системы Windows Server 2003. Имея два или более дисков, можно создать различные RAID-массивы для обеспечения отказоустойчивости, которая может выдержать отказы дисков и при этом обеспечивать непрерываемый доступ к диску. Предпочтительнее реализовать аппаратный RAID, с настройками, хранимыми в дисковом контроллере, а не программный RAID, конфигурируемый с помощью службы управления дисками Windows Server 2003, поскольку при этом управление дисками и процессы синхронизации в RAID перекладываются на RAID-контроллер, и повышается общая производительность системы. Еще одна серьезная причина для реализации аппаратного RAID состоит в том, что в этом случае конфигурация дисков не зависит от операционной системы, а это дает администраторам больше возможностей при восстановлении систем серверов и выполнении их модернизации. Более подробная информация по способам создания RAID-массивов с помощью утилиты управления дисками Windows Server 2003 приведена в главе 22. По вопросам создания RAID-массивов на своем дисковом RAIDконтроллере обратитесь к документации производителя.
Ïîâûøåíèå íàäåæíîñòè ïðèëîæåíèé Надежность приложения существенно зависит от программного кода и оборудования, на котором оно выполняется. Администраторы могут повысить надежность приложений на Windows Server 2003, выполняя старые клиент-серверные приложения в низких режимах программной совместимости; это достигается путем изоляции каждого экземпляра приложения в отдельном участке памяти. Аварийное завершение одного экземпляра не влияет на доступность других экземпляров приложения и самого сервера. Надежность клиент-серверных приложений, написанных для Windows Server 2003, можно повысить, развертывая эти приложения в кластерах. Серверы Windows Server 2003 Enterprise и DataCenter предоставляют две различных технологии кластеризации, повышающие надежность приложений с помощью обеспечения балансировки нагрузки на серверы и возможностей подхвата функций.
Отказоустойчивость на уровне системы Ãëàâà 31
1035
Çíàêîìñòâî ñ òåõíîëîãèÿìè êëàñòåðèçàöèè Windows Server 2003 Система Windows Server 2003 предоставляет две технологии кластеризации, доступные на платформах Enterprise и DataCenter. Кластеризация (clustering) — это группирование независимых обеспечивающих доступ серверных узлов, которые рассматриваются в сети как единая система. Если приложение выполняется из кластера, то конечный пользователь может для выполнения своей задачи подключиться к одному кластерному узлу, либо каждый запрос может обрабатываться несколькими узлами кластера. В случае доступа к данным только на чтение клиент может запрашивать и получать информацию со всех узлов кластера, что повышает общую производительность и уменьшает время отклика. Первая технология кластеризации, предоставляемая Windows Server 2003 — это служба кластеров (Cluster Service), называемая также службой кластеров Microsoft (Microsoft Cluster Service — MSCS). Служба кластеров обеспечивает отказоустойчивость системы с помощью процесса подхвата функций (failover). При отказе системы или невозможности ответа на запросы клиентов кластеризованные службы переводятся в автономный режим и перемещаются с отказавшего сервера на другой доступный сервер, где они переводятся в оперативный режим и начинают отвечать на существующие и новые подключения и запросы. Служба кластеров очень удобна для обеспечения отказоустойчивости серверов файлов, печати, корпоративного обмена сообщениями и баз данных. Вторая технология кластеризации Windows Server 2003 — это балансировка сетевой нагрузки (Network Load Balancing — NLB), которая удобна для обеспечения отказоустойчивости клиентских Web-приложений и Web-сайтов, терминальных серверов, VPN-серверов и серверов потоковых носителей. NLB обеспечивает отказоустойчивость, когда каждый сервер кластера индивидуально выполняет сетевые службы или приложения, а отказавшие узлы удаляются из кластера. Отдельные приложения — например, терминальные службы — требуют, чтобы клиент был подключен к одному и тому же серверу на протяжении всего сеанса, в то время как клиенты, просматривающие Web-сайты, могут во время посещения запрашивать страницы с любого узла кластера. Настройка разделения и балансировки клиент-серверных коммуникаций по нескольким серверам зависит от требований приложения.
НА ЗАМЕТКУ Компания Microsoft не поддерживает выполнение на одном компьютере и MSCS, и NLB во избежание возможных конфликтов совместного доступа к оборудованию между этими двумя технологиями.
Òåðìèíîëîãèÿ, ñâÿçàííàÿ ñ êëàñòåðàìè Прежде чем приступать к проектированию и реализации MSCS- и NLB-кластеров, необходимо освоить определенную терминологию, связанную с кластеризацией. Ключевые термины, касающиеся кластеризации в Windows Server 2003, перечислены в следующем списке:
1036
Технологии обеспечения отказоустойчивости ×àñòü IX
•
Кластер (cluster). Кластер представляет собой группу независимых обеспечивающих доступ серверов, которые видны в сети как единая система.
•
Узел (node). Независимый сервер, являющийся членом кластера.
•
Кластерный ресурс (cluster resource). Сетевое приложение или служба, определенная и управляемая кластерным приложением. Примерами кластерных ресурсов являются сетевые имена, IP-адреса, логические диски и общие файловые ресурсы.
•
Группа кластерных ресурсов (cluster resource group). Кластерные ресурсы содержатся в кластере в логическом наборе, называемом группой кластерных ресурсов, а зачастую просто кластерной группой. Кластерные группы являются единицами подхвата функций в кластере. При отказе и невозможности автоматического перезапуска кластерного ресурса вся кластерная группа переводится в автономный режим, и ее функции передаются другому доступному кластерному узлу.
•
Виртуальный сервер кластера (cluster virtual server). Виртуальный сервер кластера представляет собой группу кластерных ресурсов, содержащую ресурсы сетевого имени и IP-адреса. Доступ к ресурсам виртуальных серверов осуществляется либо с помощью системы доменных имен (DNS) или разрешения имени NetBIOS, либо непосредственно из IP-адреса. Имя и IP-адрес остаются одними и теми же, независимо от того, на каком узле кластера выполняется виртуальный сервер.
•
Сигнал активности кластера (cluster heartbeat). Это сигналы, пересылаемые между отдельными узлами кластера и применяемые для определения состояния узлов. Обычно отсутствие сигнала активности между узлами должно продолжаться не более 500 миллисекунд, иначе узлы будут считать, что произошел отказ, и начнут выполнение подхвата функций группы кластеров.
•
Кворумный диск кластера (cluster quorum disk). Кворумный диск кластера поддерживает определяющие данные конфигурации кластера. MSCS использует кворумный диск или диски и требует постоянный доступ к содержащимся в нем данным конфигурации кластеров. Кворум содержит конфигурационные данные, определяющие, какие серверные узлы активно работают в кластере, какие приложения и службы определены в кластере, а также текущие состояния ресурсов и индивидуальных узлов. Эти данные используются для определения, нужно ли выполнять перенос функций конкретной группы или групп ресурсов на доступный узел кластера в случае отказа какого-либо активного узла. Если узел кластера теряет доступ к кворуму, то служба кластеров не может работать на этом узле. В типичном кластере MSCS ресурс кворума располагается на совместно используемом запоминающем устройстве.
•
Локальный кворумный ресурс (local quorum resource). Как и обычный кворумный ресурс, локальный кворум содержит данные конфигурации кластера. Отличие состоит в том, что стандартное кворумное устройство обычно располагается на общем диске, а локальный кворум хранится на локальном диске узла. Ресурс локального кворума создается для одноузловых кластерных конфигураций, обычно используемых для разработки и тестирования кластерных приложений.
Отказоустойчивость на уровне системы Ãëàâà 31
1037
•
Ресурс MNS (MNS resource). Ресурс мажоритарного набора узлов (Majority Node Set — MNS) представляет собой кворумный ресурс, используемый для кластера мажоритарного набора узлов. Ресурс MNS поддерживает совместимые данные конфигурации во всех узлах кластера. При потере кворума MNS он может быть восстановлен на другом из оставшихся кластерных узлов с помощью “установления кворума”. Обратитесь к оперативной справке Windows Server 2003 и найдите раздел “Forcing the Quorum in a Majority Node Set Cluster” (“Установление кворума в кластере мажоритарного набора узлов”).
•
Обобщенный кластерный ресурс (generic cluster resource). Обобщенные кластерные ресурсы создаются для определения некластерных приложений в группе кластеров. Это дает возможность подхвата функций ресурса другим узлом кластера при отказе активного узла. Этот ресурс не отслеживается приложением кластера; следовательно, сбой приложения не приведет к перезапуску или выполнению сценария подхвата функций. Обобщенные кластерные ресурсы включают в себя ресурсы обобщенного приложения, обобщенного сценария и обобщенной службы. Чтобы получить более подробную информацию по этим ресурсам, обратитесь к средству справки и поддержки (Help and Support) Windows Server 2003 и найдите раздел, содержащий “generic cluster resources” (“обобщенные кластерные ресурсы”).
•
Кластерное приложение (cluster-aware application). Кластерное приложение предоставляет механизм, с помощью которого служба кластеров может протестировать доступность приложения для определения, функционирует ли оно должным образом. При сбое кластерного приложения кластер может при необходимости остановить и перезапустить приложение на том же самом узле, а если нужно, и переместить его на другой доступный узел, где его можно перезапустить.
•
Некластерное приложение (cluster-unaware application). Некластерное приложение может выполняться в кластере, но само приложение не отслеживается службой кластеров. Это означает, что кластер может подхватить функции приложения только в случае сбоя другого ресурса в группе кластера. Если приложение перестает откликаться, кластер не может узнать об этом и, следовательно, не может перезапустить его. Конечно, существуют другие способы управления некластерными приложениями извне кластера, и в некоторых случаях эти способы могут быть единственным возможным вариантом. Чтобы получить дополнительную информацию об установке и настройке обобщенных приложений, обратитесь к средству справки и поддержки (Help and Support) Windows Server 2003 и найдите раздел, содержащий “generic application resource type” (“тип ресурсов обобщенных приложений”).
•
Подхват функций (failover). Подхват функций является процессом перемещения кластерной группы с текущего активного узла на другой доступный узел кластера. Подхваты функций возникают при обнаружении недоступности сервера или при отказе ресурса в кластерной группе, если восстановление после предельного количества сбоев считается невозможным.
1038 •
Технологии обеспечения отказоустойчивости ×àñòü IX
Возврат функций (failback). Это процесс возврата кластерной группы на рекомендованный узел после того, как этот рекомендованный узел вновь становится членом кластера. Возврат функции может выполняться, только если он сконфигурирован в кластерной группе. Для кластерной группы потребуется определить рекомендованный узел и задать предельное значение возврата функций. Рекомендованный узел — это узел, на котором вы хотите выполнять кластерную группу во время обычного функционирования кластера. При возврате функций группы кластер выполняет ту же самую операцию подхвата функции, но запущенную операцией возврата сервера или операцией восстановления кластера, а не отказом сервера или ресурса.
НА ЗАМЕТКУ Возвраты функций необходимо тщательно планировать. Дополнительная информация на эту тему приведена далее в этой главе, в разделе “Конфигурирование подхвата и возврата функций”.
Àêòèâíî-ïàññèâíûé ðåæèì êëàñòåðèçàöèè Активно-пассивная кластеризация (active/passive clustering) возникает тогда, когда один узел кластера предоставляет кластеризованные службы, а остальные доступные узлы находятся в оперативном режиме, но не выполняют службы или приложения для конечных пользователей. При отказе активного узла кластерные группы, ранее выполняющиеся на этом узле, передают свои функции пассивному узлу; состояние участия этого узла в кластере меняется с пассивного на активное, и он начинает обслуживание клиентских запросов. Эта конфигурация обычно реализуется для серверов баз данных, которые обеспечивают доступ к данным, хранящимся только в одном месте и слишком большим для проведения дневных репликаций. Одним из преимуществ активно-пассивного режима является то, что если каждый узел кластера имеет одинаковые аппаратные спецификации, то при возникновении подхвата функций производительность не снижается. Единственный реальный недостаток этого режима состоит в том, что во время обычного функционирования кластера не могут быть задействованы аппаратные ресурсы пассивного узла.
НА ЗАМЕТКУ Активно-пассивные конфигурации являются замечательным средством для существенного снижения объема администрирования и сопровождения кластеров. Например, пассивный узел можно использовать для тестирования обновлений и других исправлений без непосредственного влияния на производственную среду. Но все равно эти обновления важно вначале протестировать в изолированной лабораторной среде или, по крайней мере, в нерабочее время или специально отведенное для процедур обслуживания время.
Àêòèâíî-àêòèâíûé ðåæèì êëàñòåðèçàöèè Активно-активная кластеризация (active/active clustering) возникает, когда один экземпляр приложения выполняется на каждом узле кластера. При возникновении сбоя два или несколько экземпляров приложения могут выполняться на одном узле кластера. Преимущество активно-активного режима по сравнению с активно-пассивным со-
Отказоустойчивость на уровне системы Ãëàâà 31
1039
стоит в том, что одновременно используются физические аппаратные ресурсы каждого узла. Главный недостаток этой конфигурации связан с тем, что если каждый узел кластера задействован на 100%, то в случае отказа узла оставшийся активный узел принимает на себя 100% нагрузки отказавшего узла, что существенно снижает производительность. В результате становится крайне важным постоянное наблюдение ресурсов сервера и обеспечение для каждого узла такого набора ресурсов, который достаточен для приема нагрузки других узлов при подхвате их функций.
Âûáîð ïðàâèëüíîé òåõíîëîãèè êëàñòåðèçàöèè Чтобы эти отказоустойчивые технологии кластеризации были более эффективными, администраторы должны со всей серьезностью подойти к выбору технологии и конфигурации, наиболее соответствующей потребностям их приложений или сетевых служб. Для обеспечения связности TCP/IP-служб, подобных терминальным службам, Web-сайтам, VPN-службам и службам потоковых носителей, лучше подходит NLB. При этом обеспечивается масштабируемость, а объем полученного резервирования зависит от количества систем в наборе NLB. Служба кластеров Windows Server 2003 обеспечивает возможность подхвата функций сервера для критичных приложений, таких как корпоративный обмен сообщениями, базы данных и службы файлов и печати. Хотя Microsoft не поддерживает использование на одном и том же сервере и NLB, и MSCS, многозвенные приложения могут воспользоваться преимуществами обеих технологий, используя NLB для балансировки нагрузки на клиентских серверах приложений и применяя MSCS для обеспечения возможностей подхвата функций для прикладных баз данных, которые содержат объемы данных, слишком большие для репликации в течение рабочего дня.
Ñëóæáà êëàñòåðîâ Microsoft Служба кластеров Microsoft (Microsoft Cluster Service — MSCS) — это технология кластеризации, обеспечивающая отказоустойчивость на уровне системы с помощью процесса, называемого подхватом функций. Служба кластеров более всего удобна для обеспечения доступа к таким ресурсам, как общие файловые ресурсы, очереди печати, почтовые службы или службы баз данных, а также серверные приложения. Приложения и сетевые службы, определенные и управляемые кластером, вместе с оборудованием кластера, включая общие запоминающие дисковые устройства и сетевые карты, называются кластерными ресурсами (cluster resource). Служба кластеров осуществляет мониторинг этих ресурсов, чтобы обеспечить корректное функционирование системы. При возникновении проблемы в кластерном ресурсе служба кластеров, прежде чем зарегистрировать отказ, пытается исправить эту проблему. Узел кластера, выполняющий отказавший ресурс, пытается перезапустить этот ресурс на этом же узле. При невозможности перезапуска кластер аварийно завершает ресурс, переводит кластерную группу в автономный режим и перемещает ее на другой доступный узел, где она может быть перезапущена.
1040
Технологии обеспечения отказоустойчивости ×àñòü IX
Подхват функций кластерной группы может иметь место по нескольким причинам. Он может произойти, если на активном узле кластера пропадает питание или подключение к сети или возникнет сбой оборудования. Кроме того, если кластерный ресурс не может остаться доступным на активном узле, то группа этого ресурса перемещается на доступный узел, на котором она может быть запущена. В большинстве случаев процесс подхвата функций либо замечается пользователями как краткое прерывание обслуживания, либо вовсе не замечается. Чтобы избежать нежелательных подхватов функций, необходимо отключить управление питанием на каждом узле кластера — и в BIOS материнской платы, и в оснастке Power (Питание) панели управления операционной системы. Настройки, позволяющие выключение монитора, допустимы, но администратор должен настроить диски так, чтобы они не переводились в режим ожидания. Кластерные узлы могут отслеживать состояние ресурсов, выполняющихся в их локальной системе, а, кроме того, могут отслеживать другие узлы кластера с помощью частных сетевых сообщений, называемых сигналами активности (heartbeats). Сигналы активности используются для определения состояния узлов и посылают изменения в конфигурации кластера в кворумный ресурс кластера. Кворумный ресурс содержит данные конфигурации кластера, необходимые для восстановления кластера в рабочем состоянии. Доступ к кворумному ресурсу необходим каждому узлу кластера, в противном случае они не смогут стать частью кластера. В Windows Server 2003 имеется три типа кворумных ресурса, по одному для каждой модели конфигурации кластера.
Áàëàíñèðîâêà ñåòåâîé íàãðóçêè Вторая технология кластеризации, обеспечиваемая на серверных платформах Windows Server 2003 Enterprise и DataСenter — это балансировка сетевой нагрузки (Network Load Balancing — NLB). Кластеры с NLB обеспечивают высокую производительность и доступность сети за счет балансировки клиентских запросов между несколькими серверами. При увеличении клиентской нагрузки NLB-кластеры можно легко расширять, добавляя в кластер дополнительные узлы для поддержания или улучшения времени отклика на клиентские запросы. У балансировки сетевой нагрузки есть два замечательных свойства: нет необходимости в специальном оборудовании, и NLB-кластеры можно сконфигурировать и запустить буквально в считанные минуты. Кластеры NLB могут содержать до 32 узлов, а если нужны кластерные фермы большего размера, то необходимо рассмотреть применение кольца DNS или решений сторонних разработчиков. Необходимо помнить, что внутри NLB-кластеров конфигурация каждого сервера должна обновляться независимо. Администратор NLB несет ответственность за то, чтобы конфигурация приложений и данные в каждом узле соответствовали друг другу. Можно использовать приложения наподобие центра приложений Microsoft (Microsoft’s Application Center) для управления информацией и данными конфигурации для серверов, входящих в кластер NLB. Установка балансировки сетевой нагрузки описана в разделе “Установка кластеров с балансировкой сетевой нагрузки” далее в этой главе.
Отказоустойчивость на уровне системы Ãëàâà 31
1041
Ðåàëèçàöèÿ ñëóæáû êëàñòåðîâ После того как организация примет решение о кластеризации приложения или службы с помощью службы кластеров, она должна решить, какая из моделей конфигурации кластера наиболее отвечает ее потребностям. Служба кластеров Windows Server 2003 может быть развернута в виде трех различных конфигураций, которые соответствуют большинству ситуаций и требований внедрения. Эти три конфигурации таковы: кластер устройств с одним кворумом, кластер с одним узлом и кластер мажоритарного набора узлов. Типичные и чаще всего встречающиеся структуры кластеров конфигурируются с помощью кластера устройств с одним кворумом.
Êëàñòåð óñòðîéñòâ ñ îäíèì êâîðóìîì Конфигурация кластера устройств с одним кворумом состоит из двух или более серверных узлов, подключенных к общему запоминающему устройству. В Óçåë 2 этой модели используется только одна копия кворум- Óçåë 1 ных данных, находящаяся на общем запоминающем устройстве, как показано на рис. 31.1. Все узлы кластера Îáÿçàòåëüíîå âíåøíåå имеют доступ к кворумным данным, но ресурс кворумçàïîìèíàþùåå óñòðîéñòâî ного диска выполняется в каждый момент времени Ðèñ. 31.1. Кластер устройств только на одном узле кластера. с одним кворумом и двумя узлами Эта конфигурация лучше всего подходит для приложений и служб, предоставляющих доступ к большим объемам критически важных данных. Если кластер обнаруживает проблему в кластерной группе, содержащей ресурс общего дискового запоминающего устройства, то эта группа передает свои функции следующему узлу, доступ к данным при этом практически не прерывается. После возврата кластерной группы в оперативный режим все данные опять становятся доступными после краткого прерывания обслуживания. Типичные службы, разворачиваемые с помощью этой конфигурационной модели кластера — файловые серверы, серверы сообщений и серверы баз данных.
Êëàñòåð ñ îäíèì óçëîì Конфигурация кластера с одним узлом создана по многим причинам. Во-первых, кластер с одним узлом может выполняться только на локальных дисках, но он может также использовать общее запоминающее устройство. При создании кластера с одним кворумом администратор вначале должен создать кластер с одним узлом, но с общим дисковым кворумом. Кластер с одним узлом может также использовать ресурс локального кворума, который обычно размещается во внутренней дисковой памяти. Ресурс локального кворума очень удобен для разработки кластерных приложений, так как для их тестирования нужен лишь один сервер с внутренней дисковой памятью. В заключение обсуждения этой модели следует упомянуть, что поскольку в ней имеется только один узел, то подхват функций в этом кластере не выполняется. При отказе одного узла все кластерные группы становятся недоступны.
1042
Технологии обеспечения отказоустойчивости ×àñòü IX
Êëàñòåð ìàæîðèòàðíîãî íàáîðà óçëîâ Кластер мажоритарного набора узлов (Majority Node Set Cluster — MNS) — третья конфигурация, представляющая будущее кластеризации — показан на рис. 31.2. MNS может использовать общие запоминающие устройства, но это не обязательно. В кластере MNS каждый узел содержит локальную копию данных кворумного устройства в специальном ресурсе мажоритарного набора узлов. Windows Server 2003 Enterprise поддерживает до четырех узлов на кластер, а DataCenter — до восьми узлов. Поскольку каждый узел содержит локальную копию кворума, а необходимости в общем запоминающем устройстве отсутствует, то кластеры MNS могут быть развернуты с помощью глобальной сети в территориально распределенной среде. Windows Server 2003 поддерживает наличие в MNS не более двух отдельных сайтов, и поскольку между сайтами должен выполняться подхват IP-адреса кластера, то эти сайты необходимо либо объединить мостом, либо установить и настроить виртуальную частную сеть (VPN) или трансляцию сетевых адресов (NAT), чтобы обеспечить подхват функций для корректного восстановления передачи IP-данных. Латентность внутреннего обмена данными между узлами кластера не должна превышать 500 миллисекунд; в противном случае кластер переходит в состояние отказа в обслуживании. Кластер MNS остается работоспособным до тех пор, пока доступно большинство (majority) узлов кластера. Другими словами, для поддержания работоспособности необходимо, чтобы работало больше половины узлов. Например, в кластере с четырьмя узлами должны быть доступны три узла, иначе кластер не сможет работать. Если администратор сконфигурирует кластер с тремя узлами, должны быть работоспособны два узла. И кластеры с тремя узлами, и кластеры с четырьмя узлами могут выдержать отказ только одного узла.
Êëèåíò êëàñòåðà
VPN ×àñòíûå è îáùåäîñòóïíûå ñåòè êëàñòåðà
Óçåë A Îïòîâîëîêîííûé êîììóòàòîð
Ðåïëèêàöèÿ äàííûõ
Óçåë B
Ñàéò A Äàííûå êëàñòåðà
Óçåë C
Óçåë D
Îïòîâîëîêîííûé êîììóòàòîð
Ñàéò B Çåðêàëüíûå äàííûå êëàñòåðà
Ðèñ. 31.2. Кластер мажоритарного набора узлов с двумя сайтами и четырьмя узлами
Отказоустойчивость на уровне системы Ãëàâà 31
1043
При планировании кластера MNS неплохо подумать о приобретении одного дополнительного узла. Этот узел можно использовать в лабораторных целях для тестирования приложений, в том числе для тестирования исправлений и обновлений приложений, либо его можно настроить на работу в состоянии холодной готовности и добавлять в кластер в случае отказа одного узла.
Ñöåíàðèé êëàñòåðà MNS Модель кластера MNS поддерживает территориально распределенные кластеры. Это означает, что при развертывании кластера с тремя узлами можно развернуть два узла на сайте A и один узел на сайте B. Резервный сервер будет находиться на сайте B и при необходимости подключаться к кластеру. Если на сайте A произойдет отказ одного узла, работоспособность кластера сохранится, так как большинство узлов все равно работают, хотя они и выполняются на различных сайтах. При отказе узла на сайте B кластер продолжает работу на двух узлах сайта A. Если на сайте A произойдет серьезная авария или пропажа питания, то кластер не сможет работать, поскольку на сайте B функционирует только один узел. Для возврата кластера в оперативный режим можно восстановить один из узлов сайта A на площадке сайта B с помощью резервного сервера. В результате получатся два узла, необходимые для функционирования кластера MNS с тремя узлами. В этом же сценарии при развертывании кластера с четырьмя узлами — по два узла на каждом сайте — отказ одного сайта приводит к отказу всего кластера и требует дополнительного сервера для восстановления обязательного третьего узла. Поэтому если нужно правильно спланировать выходы из строя сайта, использующего кластер MNS с четырьмя узлами, необходимо иметь резервный сервер на каждой площадке, то есть для кластера с четырьмя узлами требуется в общем и целом шесть серверов. MNS является замечательным вариантом для территориально распределенных кластеров, однако для правильного развертывания кластера необходимо следовать определенным правилам: •
Узлы кластера требуют времени отклика менее 500 миллисекунд между внутренними адаптерами локальной сети в каждом из узлов кластера.
•
Между узлами должна быть установлена VPN, дабы иметь возможность подхвата функций кластеризованного IP-адреса между границами сайтов и сохранения доступности для клиентов. Этого достаточно и при связывании мостом локальных сетей сайта по глобальной сети. Полезными будут и резервные соединения между этими сайтами.
•
MNS можно развернуть только между двумя сайтами.
•
Данные, отличные от информации кворума кластера, не реплицируются автоматически между узлами кластера и должны реплицироваться с помощью программ или вручную.
Кластеры MNS представляют собой будущее кластеризации, и в настоящее время ведутся разработки по упрощению их установки и развертывания. Microsoft рекомендует развертывание кластеров MNS только на оборудовании, поддерживаемом производителями сервера и запоминающего устройства для использования в территориально распределенных кластерах MNS.
1044
Технологии обеспечения отказоустойчивости ×àñòü IX
Âûáîð ïðèëîæåíèé äëÿ ñëóæáû êëàñòåðîâ В службе кластеров может выполняться множество приложений, но нужно правильно выбрать эти приложения. Хотя многие из них могут выполняться в MSCS, не все они оптимизированы для кластеризации. Уточните у поставщиков требования, функциональность и возможные ограничения приложений. Другие важные критерии, которые потребуется обеспечить, связаны с тем, что приложение должно быть применимо и адаптировано для выполнения в кластере: •
Поскольку кластеризация основана на протоколе IP, кластерное приложение (или приложения) должно использовать протокол на базе IP.
•
Приложения, которым нужен доступ к локальным базам данных, должны иметь возможность указания места хранения данных. Некоторым приложениям необходим доступ к данным независимо от используемого узла кластера. При работе с приложениями такого типа рекомендуется хранение данных в общем дисковом ресурсе, для которого возможен подхват функций кластерной группы. Если приложение выполняется и хранит данные только на локальном системном или загрузочном диске, то наряду с механизмом репликации отдельных файлов необходимо рассмотреть кластерную конфигурацию с мажоритарным набором узлов.
•
Клиентские сеансы должны иметь возможность восстанавливать связь при обнаружении приложением прерывания сетевой связи. Во время процесса подхвата функций связь с клиентом отсутствует до возврата приложения в оперативный режим. Если клиентская программа не пытается восстановить подключение и при разрыве сетевого соединения просто завершает работу по тайм-ауту, то такое приложение не сможет использовать все возможности кластера.
Кластерные приложения, которые удовлетворяют всем трем вышеуказанным критериям, и являются наилучшим выбором для развертывания в кластерных конфигурациях. Многие службы, встроенные в Windows Server 2003, можно сделать кластерными, чтобы они эффективно и правильно передавали свои функции. Если какое-то приложение не является кластерным, обязательно исследуйте все последствия развертывания этого приложения на кластерном сервере.
НА ЗАМЕТКУ При покупке программных пакетов сторонних разработчиков, реализующих службу кластеров, обязательно убедитесь, что и компания Microsoft, и производитель программного обеспечения сертифицируют работу этого программного пакета в кластерах Windows Server 2003; в противном случае при необходимости устранения неполадок вам будет обеспечена лишь ограниченная поддержка.
Îáùèå çàïîìèíàþùèå óñòðîéñòâà Наличие общего запоминающего устройства было требованием во всех предыдущих редакциях службы кластеров Microsoft до Windows Server 2003. Сейчас это требование сохраняется только для традиционного построения кластера устройств с одним
Отказоустойчивость на уровне системы Ãëàâà 31
1045
кворумом, хотя общее запоминающее устройство может быть частью любой кластерной конфигурации. Раньше сети хранения данных (Storage Area Network — SAN) использовались тогда, когда были нужны общие запоминающие устройства. Логические тома, созданные на устройстве SAN, должны конфигурироваться и распознаваться операционной системой Windows Server 2003 как обычные диски. Windows Server 2003 распознает логические тома SAN по их дисковым сигнатурам, и служба кластеров считает каждый том отдельным диском. В настоящее время для общих дисковых томов не поддерживается возможность создания динамических дисков. SCSI-устройства сетей SAN поддерживаются в кластерах с двумя узлами, а для кластеров с более чем двумя узлами для подключения узлов кластеров к общему запоминающему устройству лучше использовать оптоволоконный канал. По отдельному оптоволоконному каналу Windows Server 2003 может обращаться и к общим, и к неразделяемым дискам, находящимся в SAN. Это позволяет располагать в SAN и общее запоминающее устройство, и тома операционной системы, что обеспечивает администраторам дополнительные возможности при развертывании бездисковых серверов. Конечно, SAN должна поддерживать эту возможность, и загрузочным дискам должен быть назначен монопольный доступ к отдельным узлам кластера с помощью надлежащего зонирования и маскирования дисков. Чтобы найти апробированные устройства SAN, обратитесь к документации производителей SAN и просмотрите список Cluster HCL на Web-сайте Microsoft. Кластерный сервер использует архитектуру без общих ресурсов (shared nothing architecture), что означает, что каждый кластерный ресурс может выполняться в каждый момент времени только на одном узле кластера. При подхвате функций дискового ресурса одного узла другим узлом необходимо выполнить сброс устройства SAN, чтобы обеспечить возможность монтирования диска на оставшемся узле. Если устройство SAN используется не только кластерными узлами, то обмен данными SAN с другими серверами может прерваться, если SAN не настроена на сброс только целевого номера логического устройства (Logical Unit Number — LUN), а не на сброс всей шины. Windows Server 2003 поддерживает сбросы целевых LUN; для обеспечения нужного зонирования и маскирования устройства SAN необходимо обратиться к документации производителя SAN.
Ðàçâåòâëåííûé ââîä/âûâîä Windows Server 2003 поддерживает технологию разветвленного ввода/вывода (Multipath I/O) для внешних запоминающих устройств, подобных SAN. Это позволяет иметь несколько резервированных путей к внешнему запоминающему устройству, что добавляет еще один уровень отказоустойчивости. Сейчас эта возможность достигается с помощью резервных карт контроллеров оптоволоконных каналов на каждом кластерном узле.
Ôîíîâîå êîïèðîâàíèå òîìà îáùåãî çàïîìèíàþùåãî óñòðîéñòâà Служба фонового копирования тома (Volume Shadow Copy — VSS) поддерживается на томах общих запоминающих устройств. Фоновое копирование тома может выполнить моментальный снимок целого тома, позволяя администраторам и пользователям
1046
Технологии обеспечения отказоустойчивости ×àñòü IX
восстанавливать данные из предыдущих версий. Объем дисковой памяти, используемой для каждой копии, может быть минимальным, поэтому включение этой службы может повысить отказоустойчивость данных и уменьшить время восстановления файла или папки. Прежде чем внедрять фоновое копирование тома на диске, содержащем корпоративные базы данных наподобие Microsoft SQL 2000, следует тщательно его протестировать, дабы убедиться, что оно может обеспечить требуемую отказоустойчивость и возможность восстановления данных, и что в результате отката файла базы данных к предыдущей версии не произойдет порча баз данных.
Ìàñøòàáèðóåìîñòü êëàñòåðà ñ îäíèì êâîðóìîì Кластер с одним кворумом состоит из независимых серверных узлов, подключенных к общему запоминающему устройству, такому как SAN. В табл. 31.1 приведены минимальные и максимальные количества узлов и типы связи с запоминающими устройствами, допустимыми в кластере с одним кворумом.
Òàáëèöà 31.1. Äîïóñòèìîå êîëè÷åñòâî óçëîâ â êëàñòåðå Операционная система
Количество узлов
Допустимое запоминающее устройство кластера
Windows Server 2003 Enterprise Server
2, 3, 4, 5, 6, 7 или 8
SCSI, оптоволоконный канал (рекомендуется для кластеров с более чем двумя узлами).
Windows Server 2003 DataCenter Edition
2, 3, 4, 5, 6, 7 или 8
SCSI, оптоволоконный канал (рекомендуется для кластеров с более чем двумя узлами).
64-разрядная версия Windows Server 2003 Enterprise Server
2, 3, 4, 5, 6, 7 или 8
Оптоволоконный канал.
64-разрядная версия Windows Server 2003 DataCenter Edition
2, 3, 4, 5, 6, 7 или 8
Оптоволоконный канал.
Óñòàíîâêà ñëóæáû êëàñòåðîâ Служба кластеров Windows Server 2003 по умолчанию уже установлена, поэтому создание кластера не требует наличия инсталляционного носителя или перезагрузки. Для создания нового кластера и управления существующими кластерами на локальных и удаленных узлах можно воспользоваться утилитой администрирования кластеров (Cluster Administrator). Для создания и управления кластерами можно использовать и графическую утилиту администрирования кластеров, и утилиту командной строки Cluster.exe. Оба средства могут эффективно управлять кластерами, но Cluster.exe позволяет администратору создавать сценарии автономной установки кластеров. Cluster.exe имеет слишком много аргументов и опций, для того чтобы подробно рассматривать их здесь, так что обратитесь к службе справки и поддержки (Help and Support) и выполните поиск “cluster.exe”. Можно также ввести в командном окне команду cluster.exe /?. Основные команды Cluster.exe будут описаны далее в этой главе, в разделе “Установка первого узла кластера”. Для кластерных узлов рекомендуется, чтобы в каждом кластерном узле было несколько сетевых карт: одна карта выделяется для общения внутри кластера (внутрен-
Отказоустойчивость на уровне системы Ãëàâà 31
1047
няя сеть), а другая — только для связи с клиентами (внешняя сеть) или и для внутренней, и для внешней коммуникации (смешанная сеть). Кластерные узлы, на которых установлена только одна сетевая карта, должны работать с этой картой в режиме смешанной сети (Mixed Network). Если во время установки кластера обнаруживается общее запоминающее устройство, служба кластеров переходит к стандартной установке кворумного ресурса на самом маленьком основном разделе этого устройства. Если общие запоминающие устройства недоступны, создается локальный кворум или кворум MNS.
Äåéñòâèÿ äî óñòàíîâêè êëàñòåðà Перед установкой службы кластеров необходимо выполнить следующие действия: 1. Выберите сетевое имя кластера. 2. Выберите все необходимые IP-адреса для кластера и каждой сетевой карты узла кластера. 3. Перед загрузкой первого сервера подключите, настройте и включите все используемые внешние запоминающие устройства (если они есть). Необходимо также иметь драйверы для этих внешних запоминающих устройств. 4. Если используется несколько сетевых карт, выберите для подключений понятные имена, например, Cluster Private Nic (Внутренняя NIC кластера) или Cluster Mix Nic (Внешняя NIC кластера) — примерно так, как показано на рис. 31.3. 5. В домене, где будет установлен кластер, создайте учетную запись службы кластеров. Это должна быть обычная пользовательская учетная запись, однако срок действия пароля должен быть неограниченным. Во время установки кластера этой учетной записи будут назначены права локального администратора для узлов кластера и кое-какие права для домена, например, право добавления в домен учетных записей компьютеров (Add Computer Accounts to the Domain). 6. Во время инсталляции кластера выберите режим конфигурирования кластера и соответствующий тип кворума.
Ðèñ. 31.3. Конфигурирование нескольких сетевых адаптеров
1048
Технологии обеспечения отказоустойчивости ×àñòü IX
Óñòàíîâêà ïåðâîãî óçëà êëàñòåðà Первая создаваемая система при создании кластера считается первым узлом кластера. Эта система должна быть предварительно подготовлена как главная система. После конфигурирования главной системы в кластер можно добавлять дополнительные узлы. Для установки первого узла кластера выполните описанные ниже действия. 1. Выключите узлы кластера и общие запоминающие устройства. 2. Подключите необходимые кабели между узлами кластера и общими запоминающими устройствами. 3. Подключите NIC каждого узла к сетевому коммутатору или концентратору с помощью соответствующих сетевых кабелей. 4. Если используется общее запоминающее устройство, включите его и дождитесь окончания загрузки. 5. Запустите первый узел кластера. Если будет использоваться общий диск, задайте идентификатор карты адаптера так, чтобы в каждом узле кластера это были разные числа. Например, можно выбрать идентификатор 6 для узла 1 и идентификатор 7 для узла 2. 6. Войдите в узел с учетной записью с полномочиями локального администратора. 7. Если сервер не является членом домена, добавьте сервер в нужный домен и при необходимости выполните перезагрузку. 8. Сконфигурируйте каждую сетевую карту узла, используя информацию о корректных сетевых IP-адресах. Для сетевых карт, которые будут использованы только для внутренней коммуникации, необходимо задать только IP-адрес и маску подсети. Конфигурировать стандартный шлюз, DNS, службы, относящиеся к BIOS (например, клиент сетей Microsoft) и WINS не нужно. Кроме того, на вкладке DNS страницы Advanced TCP/IP Settings (Дополнительные настройки TCP/IP) сбросьте флажок Register This Connection’s Address (Регистрация адреса этого подключения), как показано на рис. 31.4. Для сетевых карт, которые будут подключены к внешним или смешанным сетям, сконфигурируйте все настройки TCP/IP как для обычных сетевых карт. 9. Если вы еще не вошли в сервер, войдите в него с учетной записью с полномочиями локального администратора. 10. Выберите в меню Start (Пуск) пункт Administrative ToolsÖCluster Administrator (АдминистрированиеÖАдминистрирование кластера), как показано на рис. 31.5. 11. После запуска утилиты администрирования кластеров выберите действие Create New Cluster (Создание нового кластера) и щелкните на кнопке ОК. 12. На экране приветствия мастера создания сервера кластера (New Server Cluster Wizard) щелкните на кнопке Next (Далее). 13. В выпадающем списке доменов (Domain) выберите необходимый домен. 14. В текстовом поле Cluster Name (Имя кластера) введите имя кластера и щелкните на кнопке Next.
Отказоустойчивость на уровне системы Ãëàâà 31
1049
15. Введите имя узла кластера и щелкните на кнопке Next. По умолчанию мастер работает на локальном сервере, но кластеры можно сконфигурировать и удаленно. Анализатор кластеров анализирует функциональность узла и соответствие требованиям к кластеру, как показано на рис. 31.6. При этом генерируется подробный журнал, содержащий все сообщения об ошибках и предупреждения, которые могут прекратить или ограничить процесс установки сервера кластера.
Ðèñ. 31.4. Настройки конфигурации DNS TCP/IP
Ðèñ. 31.5. Запуск утилиты администрирования кластеров
1050
Технологии обеспечения отказоустойчивости ×àñòü IX
Ðèñ. 31.6. Действия утилиты анализа кластеров 16. Просмотрите журнал и при необходимости внесите изменения, а затем щелкните на кнопке Re-analyze (Повторный анализ) либо щелкните на кнопке Next. 17. Введите IP-адрес кластера и щелкните на кнопке Next. 18. Введите учетное имя и пароль службы кластеров и выберите соответствующий домен. Щелкните на кнопке Next.
НА ЗАМЕТКУ Учетная запись службы кластеров должна быть обычной учетной записью пользователя домена, но указание этой учетной записи как службы кластеров дает ей полномочия локального администратора узла кластера, а также делегирует некоторые права пользователя: возможность работы в качестве части операционной системы и добавление компьютеров в домен.
19. На странице Proposed Cluster Configuration (Предлагаемая конфигурация кластера) просмотрите конфигурацию и выберите нужный тип кворума, щелкнув на кнопке Quorum (Кворум), как показано на рис. 31.7. •
Для создания кластера MNS щелкните на кнопке Quorum на странице Proposed Ðèñ. 31.7. Выбор конфигурации Cluster Configuration, выберите строку кворума кластера Majority Node Set (Мажоритарный набор узлов) и щелкните на кнопке ОК.
•
Если к узлу кластера подключена SAN, то утилита администрирования кластеров автоматически выберет на общем запоминающем устройстве самый маленький обычный том NTFS. Убедитесь, что выбран нужный диск и щелкните на кнопке ОК.
•
Если конфигурируется кластер с одним узлом без общего запоминающего устройства, выберите ресурс Local Quorum (Локальный кворум) и щелкните на кнопке ОК.
20. Щелкните на кнопке Next для завершения установки кластера.
Отказоустойчивость на уровне системы Ãëàâà 31
1051
21. После создания кластера щелкните на кнопке Next, а затем на кнопке Finish (Готово), чтобы закрыть мастер создания сервера кластера и возвратиться в утилиту администрирования кластеров. Вместо всего этого можно воспользоваться утилитой Cluster.exe. Для создания кластера с именем cluster1 на сервере Server1 можно воспользоваться указанной ниже командой. В этом примере используется учетная запись службы кластеров [email protected], IP-адрес 192.168.100.10 и маска подсети класса C. Кроме того, сетевой карте присвоено из командной строки имя Cluster Mix Nic. Вот эта команда: Cluster.exe /CLUSTER:cluster1 /CREATE /NODE:server1 /USER:[email protected] /PASSWORD:password /IPADDRESS:192.168.100.10,255.255.255.0, "Cluster Mix Nic" Для создания кластера остается лишь нажать клавишу <Enter>.
Äîáàâëåíèå â êëàñòåð äîïîëíèòåëüíûõ óçëîâ В Windows Server 2003 Enterprise Edition кластер может поддерживать до четырех узлов. После установки первого сервера кластера в кластер можно добавлять дополнительные узлы. Для добавления узлов в кластер выполните следующие шаги: 1. Войдите в нужный узел кластера с учетной записью с полномочиями локального администратора. 2. Выберите в меню Start пункт Administrative Tools Ö Cluster Administrator. 3. После запуска утилиты администрирования кластеров выберите пункт Add Nodes to a Cluster (Добавление узлов в кластер) и введите имя кластера в поле Cluster Name (Имя кластера). Щелкните на кнопке ОК. 4. В окне приветствия мастера добавления узлов (Add Nodes Wizard) щелкните на кнопке Next. 5. Введите имя сервера следующего узла и щелкните на кнопке Add (Добавить). 6. Повторяйте предыдущие шаги, пока не введете все нужные дополнительные узлы в поле Selected Computer (Выбранный компьютер). Щелкните на кнопке Next. После этого анализатор кластеров проанализирует функциональность дополнительных узлов и их соответствие всем требованиям. 7. Просмотрите полученный журнал и при необходимости внесите изменения, а затем щелкните на кнопке Next. 8. Введите пароль учетной записи службы кластеров и щелкните на кнопке Next. 9. Просмотрите конфигурацию на странице Proposed Cluster Configuration (Предлагаемая конфигурация кластера) и щелкните на кнопке Next, чтобы сконфигурировать кластер. 10. После конфигурирования кластера щелкните на кнопке Next, а затем на кнопке Finish, чтобы завершить процесс добавления в кластер дополнительных узлов. 11. Выберите в меню File (Файл) пункт Close (Закрыть) для выхода из утилиты администрирования кластеров.
1052
Технологии обеспечения отказоустойчивости ×àñòü IX
Óïðàâëåíèå êëàñòåðàìè Для эффективного управления кластерами администратор должен уметь управлять кластерными группами и ресурсами с помощью одного или нескольких приложений управления кластерами. Microsoft предоставляет два встроенных приложения управления кластерами для службы кластеров: одно графическое, а другое — выполняемое из командной строки.
Óòèëèòà àäìèíèñòðèðîâàíèÿ êëàñòåðîâ Утилита администрирования кластеров, показанная на рис. 31.8, является графическим средством управления кластерами. С помощью этого средства можно управлять локальными и удаленными кластерами, включая такие действия, как создание новых кластеров, добавление узлов в существующие кластеры и создание ресурсов или групп ресурсов кластеров. С его помощью можно также удалять (“выселять”) узлы из кластера и вручную подхватывать функции кластерных групп.
Ðèñ. 31.8. Внешний вид утилиты администрирования кластеров
Cluster.exe Cluster.exe — это утилита командной строки, с помощью которой можно управлять локальным или удаленным кластером из командного окна или командного интерпретатора. Она позволяет работать с кластером, когда по каким-то причинам не запускается графическая утилита администрирования кластеров. Кроме того, эту утилиту можно использовать в сценариях для удаленного развертывания или изменения конфигураций кластеров.
Ñåðâåð àâòîìàòèçàöèè êëàñòåðîâ Сервер автоматизации кластеров (Cluster Automation Server) предоставляет разработчикам программного обеспечения и независимым поставщикам программного обеспечения (ISVs) механизм создания специализированных приложений управления
Отказоустойчивость на уровне системы Ãëàâà 31
1053
кластерами для улучшения или обеспечения администрирования кластеров. Сервер автоматизации кластеров предоставляет набор компонентных объектов Microsoft (Component Object Model — COM), позволяющих разработчикам создавать сценарии автоматизации управления их кластерами.
Êîíôèãóðèðîâàíèå ïîäõâàòà è âîçâðàòà ôóíêöèé При подключении к кластеру второго и последующих узлов для каждой определенной кластерной группы автоматически конфигурируется подхват функций. Добавляя дополнительные узлы в существующие кластерные группы вручную, администратор может добавить в каждый узел кластера возможность подхвата функций кластерными группами. Возврат функций по умолчанию не настраивается; при необходимости его потребуется настроить вручную в каждой кластерной группе. Возврат функций позволяет выполнять конкретную кластерную группу на выделенном рекомендованном сервере всегда, когда он доступен.
Íàñòðîéêà ïîäõâàòà ôóíêöèé êëàñòåðíîé ãðóïïû Для создания процессов подхвата и возврата функций следует правильно настроить конфигурацию подхвата функций кластерной группы. Чтобы настроить подхват функций кластерной группы, выполните следующие шаги: 1. Выберите в меню Start пункт Administrative ToolsÖCluster Administrator. 2. После запуска утилиты администрирования кластеров выберите пункт Open Connection to Cluster (Открыть подключение к кластеру) и введите имя кластера в текстовом поле Cluster Name (Имя кластера). Щелкните на кнопке ОК. Если локальная машина является частью кластера, введите вместо имени кластера точку (.), и программа выполнит подключение к кластеру, выполняющемуся на локальной машине. 3. Щелкните правой кнопкой мыши на нужной кластерной группе и выберите в контекстном меню пункт Properties (Свойства). 4. Перейдите на вкладку Failover (Подхват функций) и задайте максимальное количество подхватов функций, допустимое за указанный промежуток времени. Если количество подхватов функции достигает указанного (на рис. 31.9 задано предельное значение 10) за интервал времени, определенный в поле Period (Период), служба кластеров переведет группу в состояние отказа. 5. Щелкните на кнопке Next, а затем на кнопке Finish, чтобы завершить настройку подхвата функций. 6. Выберите в меню File пункт Close, чтобы выйти из утилиты администрирования кластеров.
Íàñòðîéêà âîçâðàòà ôóíêöèé êëàñòåðíîé ãðóïïû Процесс возврата функций кластерной группы требует внесения изменений в конфигурацию с помощью утилиты администрирования кластеров. Чтобы настроить возврат функций кластерной группы, выполните перечисленные ниже шаги.
1054
Технологии обеспечения отказоустойчивости ×àñòü IX
Ðèñ. 31.9. Настройка предельного количества подхватов функций для кластерной группы 1. Выберите в меню Start пункт Administrative ToolsÖCluster Administrator. 2. После запуска утилиты администрирования кластеров выберите пункт Open Connection to Cluster и введите имя кластера в текстовом поле Cluster Name. Щелкните на кнопке ОК. 3. Щелкните правой кнопкой мыши на нужной группе ресурсов кластера и выберите в контекстном меню пункт Properties. 4. На вкладке General щелкните на кнопке Modify (Изменить), чтобы выбрать рекомендованных владельцев. Дважды щелкните на узле (или узлах), на котором вы предпочитаете выполнять кластерную группу, и щелкните на кнопке ОК для возврата на вкладку General кластерной группы. 5. Перейдите на вкладку Failback (Возврат функций), установите переключатель Allow Failback (Разрешить возврат функций) и задайте временные параметры для выполнения возврата функций. 6. Щелкните на кнопке Next, а затем на кнопке Finish, чтобы завершить конфигурирование возврата функций. 7. Выберите в меню File пункт Close для выхода из утилиты администрирования кластеров.
НА ЗАМЕТКУ Чтобы снизить вероятность возврата функций группы на какой-либо узел после подхвата функций в рабочее время, составьте расписание возвратов функций так, чтобы они были возможны только в незагруженное время, либо после истечения заданного количества часов, используя настройки, подобные показанным на рис. 31.10.
Отказоустойчивость на уровне системы Ãëàâà 31
1055
Ðèñ. 31.10. Настройка возврата функций для группы файлов кластера
Òåñòèðîâàíèå êëàñòåðîâ После завершения установки кластера, то есть когда добавлены все необходимые кластерные узлы и для каждой кластерной группы сконфигурированы подхват и возврат функций, можно приступить к тестированию функциональности кластера. Для выполнения этих тестов необходимо протестировать подхват функций и, если нужно, возврат функций кластерных групп. Это можно сделать с помощью ручного подхвата функций, а также с помощью вывода кластерного узла из сети, отключив его сетевые карты. Однако тестирование кластера на обрыв подключений общего запоминающего устройства не производится, так как это может привести к повреждению данных общего запоминающего устройства.
НА ЗАМЕТКУ Для диагностики и тестирования кластера может быть использован пакет Clusdiag.msi, входящий в состав набора ресурсов Windows Server 2003 Resource Kit. Он также может оказаться полезным при поиске причины отказов, предоставляя администраторам отчеты, основанные на предыдущем тестировании.
Òåñòèðîâàíèå ðó÷íîãî ïîäõâàòà ôóíêöèé êëàñòåðíîé ãðóïïû Для тестирования ручного подхвата функций кластерной группы выполните следующие шаги: 1. Запустите утилиту администрирования кластеров, щелкните правой кнопкой мыши на нужной кластерной группе и выберите в контекстном меню пункт Take Offline (Перевести в автономный режим).
1056
Технологии обеспечения отказоустойчивости ×àñòü IX
2. Щелкните правой кнопкой мыши на этой же кластерной группе и выберите в контекстном меню пункт Move Group (Переместить группу). Если кластер содержит более двух узлов, потребуется указать узел, на который требуется переместить группу. 3. Щелкните правой кнопкой мыши на той же кластерной группе и выберите в контекстном меню пункт Bring Online (Перевести в оперативный режим). 4. Теперь группа должна запуститься на узле, указанном на шаге 2. Повторяйте шаги 1–3 для каждой кластерной группы для всех доступных узлов кластера. 5. После завершения тестирования переместите кластерные группы на их рекомендованные кластерные узлы и переведите все группы в оперативный режим.
Èíèöèàöèÿ îòêàçà êëàñòåðíîãî ðåñóðñà Для моделирования отказа кластерного ресурса администратор кластера может инициировать отказ ресурса с помощью утилиты администрирования кластеров. С помощью этой утилиты можно проверить, как отказ ресурса кластера повлияет на работу кластерной группы. Для тестирования отказа кластерного ресурса выполните описанные ниже действия. 1. Откройте утилиту администрирования кластеров. 2. Щелкните правой кнопкой мыши на ресурсе кластера, который нужно перевести в состояние отказа, и выберите в контекстном меню пункт Properties. 3. Перейдите на вкладку Advanced (Дополнительно) и посмотрите, сколько отказов допускает этот ресурс, прежде чем он полностью переходит в состояние отказа или переводит в состояние отказа всю кластерную группу. 4. Закройте страницу свойств ресурса. 5. Щелкните правой кнопкой мыши на ресурсе кластера, который необходимо перевести в состояние отказа, и выберите в контекстном меню пункт Initiate Failure (Инициировать отказ). 6. Повторяйте предыдущие шаги столько раз, сколько необходимо, чтобы убедиться в правильном функционировании при выполнении условий отказа ресурса. 7. После завершения тестирования переместите кластерные группы на их рекомендованные кластерные узлы и переведите все группы в оперативный режим.
Èíèöèàöèÿ îòêàçà ñåòè äëÿ óçëà êëàñòåðà Для моделирования и проверки подхвата функций кластерной группы при отказе сети или сетевой карты выполните следующие шаги: 1. Войдите в нужный узел кластера с полномочиями администратора кластера или локального администратора. 2. Выберите в меню Start пункт Control Panel. 3. Дважды щелкните на пиктограмме Network Connections (Сетевые подключения). 4. Щелкните правой кнопкой мыши на каждой внутренней сети и на каждом адаптере внешней сети узла кластера и выберите в контекстном меню пункт Disable (Отключить).
Отказоустойчивость на уровне системы Ãëàâà 31
1057
5. На доступном узле кластера войдите с учетной записью администратора кластера. 6. Выберите в меню Start пункт Administrative ToolsÖCluster Administrator. 7. Если утилита администрирования кластеров не подключена к кластеру или подключена к другому кластеру, выберите в меню File пункт Open Connection (Открыть подключение). 8. В выпадающем списке Active (Активные) выберите пункт Open Connection to Cluster, затем в выпадающем списке Cluster or Server Name (Имя кластера или сервера) введите точку (.) и щелкните на кнопке ОК, чтобы подключиться. 9. Убедитесь, что отключенный от сети узел отображается как автономный, и что все кластерные группы передали свои функции другим доступным узлам кластера. 10. После завершения тестирования включите все сетевые карты на отключенном от сети узле. 11. Переместите кластерные группы на их рекомендованные узлы кластера и переведите все группы в оперативный режим.
Îáñëóæèâàíèå óçëîâ êëàñòåðà Приложения кластеризуются, если их роль критична для производства. Хотя требуется высокая доступность и отказоустойчивость, каждый узел кластера в какой-то момент времени может потребовать обслуживания для модернизации аппаратного или программного обеспечения. Чтобы подготовить узел кластера к обслуживанию, потребуется выполнить несколько предшествующих, а затем и завершающих шагов.
Äåéñòâèÿ ïåðåä îáñëóæèâàíèåì Прежде чем начать обслуживание узла кластера, необходимо выполнить несколько действий, которые описаны ниже. 1. Если планируется модернизация программного или аппаратного обеспечения, выясните, поддерживаются ли эти изменения узлом кластера. 2. Войдите в узел кластера, остающийся в оперативном режиме, с учетной записью с полномочиями на администрирование кластера. 3. Выберите в меню Start пункт Administrative ToolsÖCluster Administrator. 4. Если утилита администрирования кластеров не открыла нужный кластер или вообще не открыла никакой кластер, раскройте меню Cluster Server (Сервер кластера) и выберите подключение к существующему кластеру. Затем введите полностью определенное доменное имя кластера и щелкните на кнопке ОК. 5. Найдите сервер, который необходимо перевести в автономный режим для обслуживания, и дважды щелкните на нем. 6. Дважды щелкните на элементе Active Groups (Активные группы). 7. Если существуют какие-либо активные группы, то через несколько часов или во время сеанса изменения управления щелкните правой кнопкой мыши на каждой активной группе и выберите в контекстном меню пункт Move Group. Если в кластере наличествует более двух узлов, выберите узел, который вы переводите в автономный режим для обслуживания.
1058
Технологии обеспечения отказоустойчивости ×àñòü IX
8. Повторите шаг 7 для каждой оставшейся активной группы. 9. В правой панели щелкните правой кнопкой мыши на нужном узле и выберите в контекстном меню пункт Pause Node (Приостановить работу узла). 10. Закройте утилиту администрирования кластеров. Выполните необходимое обслуживание, в том числе и перезагрузку, если она нужна. Проверьте, что все обновления прошли успешно и что оборудование и программное обеспечение сервера работают нормально. После завершения всех проверок можно снова сделать этот узел доступным кластеру.
Äåéñòâèÿ ïîñëå îáñëóæèâàíèÿ После проведения обслуживания кластера потребуется выполнить несколько действий. Для выполнения действий после обслуживания выполните перечисленные ниже шаги. 1. Войдите в узел кластера, оставшийся в оперативном режиме, с учетной записью с полномочиями администрирования этого кластера. 2. Выберите в меню Start пункт Administrative ToolsÖCluster Administrator. 3. Если утилита администрирования кластеров не открыла нужный кластер или вообще не открыла никакой кластер, раскройте меню Cluster Server и выберите подключение к существующему кластеру. Затем введите полностью определенное доменное имя кластера и щелкните на кнопке ОК. 4. Найдите сервер, приостановленный для обслуживания, щелкните на нем правой кнопкой мыши и выберите в контекстном меню пункт Resume Node (Возобновить работу узла). 5. В правой панели дважды щелкните на имени кластера в верхней части окна. 6. Дважды щелкните на элементе Groups (Группы). 7. В левой панели щелкните правой кнопкой мыши на кластерной группе, которую нужно вернуть в обновленный узел, и выберите в контекстном меню пункт Move Group. (Если в кластере присутствует более двух узлов, выберите модернизированный узел.) 8. Повторяйте шаг 7 для всех дополнительных кластерных групп, которые нужно выполнять на модернизированном узле. После завершения выбора кластерных групп щелкните на кнопке ОК для возврата групп.
Ñîçäàíèå äîïîëíèòåëüíûõ êëàñòåðíûõ ãðóïï è ðåñóðñîâ Сервер кластера поддерживает несколько кластерных групп, с помощью которых можно выполнять различные задачи. Например, кластерную группу можно создать для объединения обособленного файлового сервера с выполняющемся на кластере виртуальным сервером или для выполнения в качестве отдельной группы приложений кластера. Если требуются дополнительные кластерные группы, их легко создать с помощью программы администрирования кластеров.
Отказоустойчивость на уровне системы Ãëàâà 31
1059
Ñîçäàíèå ãðóïï Чтобы создать новые кластерные группы, выполните следующие шаги: 1. Выберите в меню Start пункт Administrative ToolsÖCluster Administrator. 2. После запуска утилиты администрирования кластеров выберите пункт Open Connection to Cluster и в текстовом поле Cluster Name введите имя кластера. Щелкните на кнопке ОК. 3. Щелкните правой кнопкой мыши на кластере, выберите в контекстном меню пункт New (Создать), а затем пункт Group (Группа), как показано на рис. 31.11. 4. Введите информацию, необходимую для завершения добавления группы. 5. После создания всех групп щелкните на кнопке Next, а затем на кнопке Finish. 6. Выберите в меню File пункт Close, чтобы выйти из утилиты администрирования кластеров.
Ðèñ. 31.11. Добавление новой группы в конфигурацию кластера
Ñîçäàíèå íîâûõ ðåñóðñîâ Для создания новых ресурсов выполните описанные ниже действия. 1. Выберите в меню Start пункт Administrative ToolsÖCluster Administrator. 2. После запуска утилиты администрирования кластеров выберите пункт Open Connection to Cluster и в текстовом поле Cluster Name введите имя кластера. Щелкните на кнопке ОК. 3. Щелкните правой кнопкой мыши на кластере и выберите в контекстном меню пункт New Resource (Создать ресурс). 4. Введите соответствующее имя и описание ресурса. 5. Выберите корректный тип ресурса и кластерную группу, в которой он будет находиться. 6. Выберите серверы, которые могут выполнять ресурс, и щелкните на кнопке Next.
1060
Технологии обеспечения отказоустойчивости ×àñòü IX
7. Выберите существующие ресурсы, от которых будет зависеть новый ресурс, и щелкните на кнопке Next. 8. Введите все остальные параметры, необходимые для завершения создания ресурса, поскольку с некоторыми ресурсами связаны специальные требования. Например, ресурс сетевого имени зависит от ресурса IP-адреса, поэтому в кластерной группе необходимо вначале сконфигурировать IP-ресурс, прежде чем будет разрешен ресурс сетевого имени. 9. В утилите администрирования кластеров щелкните правой кнопкой мыши на новом ресурсе и с помощью контекстного меню переведите его в оперативный режим. 10. Выберите в меню File пункт Close для выхода из утилиты администрирования кластеров.
Èçìåíåíèå ïàðîëÿ ó÷åòíîé çàïèñè ñëóæáû êëàñòåðîâ В предыдущих версиях службы кластеров для изменения пароля учетной записи службы кластеров нужно было остановить службу кластеров на всех узлах и вручную изменить пароль кластера с помощью оснастки Change Password (Изменение пароля). Затем в оснастке Services (Службы) панели управления необходимо было изменить входной мандат службы кластеров. Начиная с Windows Server 2003, пароль учетной записи службы кластеров можно изменить при оперативном состоянии кластера. Не изменяйте пароль с помощью оснастки Active Directory Users and Computers или окна безопасности Windows, если вы вошли с этой учетной записью. Вместо этого на любом сервере сети запустите утилиту командной строки Cluster.exe и для изменения пароля введите в командном окне следующую команду: Cluster.exe /cluster:имя_кластера /changepass:текуший_пароль, новый_пароль Затем нажмите клавишу <Enter>.
НА ЗАМЕТКУ Чтобы эта команда изменения пароля могла работать, необходимо, чтобы все узлы кластера функционировали под управлением операционной системы Windows Server 2003.
Ïåðåìåùåíèå êëàñòåðíûõ ãðóïï Перемещение кластерной группы из одного узла в другой влечет за собой недоступность ресурсов на протяжении перевода группы в автономный режим, а затем в оперативный режим на другом узле. Если администратор перемещает группу для выполнения обслуживания узла, то после вывода из него всех кластерных групп он должен приостановить работу узла. Это гарантирует, что на этот узел не будет перемещена ни одна кластерная группа, пока администратор не восстановит функционирование узла после его обслуживания. Если необходимо переместить какую-либо группу, щелкните правой кнопкой мыши на кластерной группе и выберите в контекстном меню пункт Move Group (Перемес-
Отказоустойчивость на уровне системы Ãëàâà 31
1061
тить группу). Если возможными владельцами этой кластерной группы являются более двух узлов, выберите нужный узел, в который будет перемещена группа.
Óäàëåíèå óçëà èç êëàñòåðà Узлы кластеров могут удаляться из кластера по множеству причин, и этот процесс можно выполнить очень быстро.
НА ЗАМЕТКУ Для того чтобы при удалении узлов из кластера MNS кластер остался в рабочем состоянии, необходимо, чтобы большинство его узлов продолжало работать.
Для удаления узла из кластера выполните следующие шаги: 1. Выберите в меню Start пункт Administrative ToolsÖCluster Administrator. 2. После запуска утилиты администрирования кластеров выберите пункт Open Connection to Cluster (Открыть подключение к кластеру) и введите имя сервера узла того кластера, который останется активным во время этого процесса. 3. Дважды щелкните на удаляемом из кластера узле и затем щелкните на Active Groups (Активные группы). 4. Если на узле выполняются какие-либо группы, выберите подходящее время и переместите эти группы на другие доступные узлы. 5. Щелкните правой кнопкой мыши на узле кластера и выберите в контекстном меню пункт Stop Cluster Service (Остановить службу кластера). 6. Щелкните правой кнопкой мыши на узле кластера и выберите в контекстном меню пункт Evict Node (Выселить узел), как показано на рис. 31.12.
Ðèñ. 31.12. Выселение узла 7. Подтвердите процесс выселения, щелкнув на кнопке Yes (Да), после чего узел сразу же будет удален из кластера. 8. В командном окне введите следующую команду для удаления узла из кластера: Cluster.exe /cluster:имя_кластера node имя_узла /evict
1062
Технологии обеспечения отказоустойчивости ×àñòü IX
9. Затем нажмите клавишу <Enter>, чтобы выселить узел. 10. Выберите в меню File пункт Close, чтобы выйти из утилиты администрирования кластеров.
Ðåçåðâíîå êîïèðîâàíèå è âîññòàíîâëåíèå êëàñòåðîâ Для успешного выполнения резервного копирования и восстановления всего кластера или отдельного узла кластера администратор кластера должен знать, как устранять неполадки, выполнять резервное копирование и восстанавливать обособленный сервер Windows Server 2003. Процесс резервного копирования узлов кластера совпадает с резервным копированием обособленного сервера, однако восстановление кластера может потребовать дополнительных шагов или настроек, которые не нужны для обособленного сервера. Подробная технология резервного копирования и восстановления Windows Server 2003 и практические советы по планированию аварийного восстановления приведены в главах 32 и 33. В данном разделе в основном будет рассмотрено резервное копирование и восстановление узлов кластера. Для подготовки к восстановлению после различных отказов кластера потребуется выполнить перечисленные ниже шаги. 1. Для всех узлов кластера (одиночных, узлов MNS и узлов с одним кворумом) выполните следующие действия: •
Выполните резервное копирование всех локальных дисков узла кластера.
•
Выполните резервное копирование состояния системы узла кластера.
•
Выполните резервное копирование кворума кластера с любого узла, выполняющегося в кластере.
•
Выполните резервное копирование сигнатур дисков и информации о томах каждого узла кластера.
2. Для кластеров с общими запоминающими устройствами кроме действий, описанных в шаге 1, выполните следующие дополнительные действия: •
На индивидуальных узлах кластера запишите параметры адаптера запоминающего устройства: название производителя, номер модели и, если нужно, конфигурации, подобные идентификатору SCSI и IRQ. Кроме того, посмотрите, к какому слоту материнской платы подключены узлы.
•
На общих запоминающих устройствах со встроенными RAID-контроллерами запишите конфигурации дискового массива: тип массива, члены массива, диски горячего резерва, определение томов, идентификаторы дисков и LUN.
•
Выполните резервное копирование общих дисков кластера.
Для резервного копирования узлов кластера и данных на их запоминающих устройствах воспользуйтесь утилитой резервного копирования Windows Server 2003 (ntbackup.exe). Подробную информацию об этой утилите и различных возможных операциях резервного копирования можно найти в главах 32 и 33.
Отказоустойчивость на уровне системы Ãëàâà 31
1063
Ïîëåçíûå ñîâåòû ïî ðåçåðâíîìó êîïèðîâàíèþ óçëîâ êëàñòåðîâ При работе с узлами кластеров администраторы нужно стремиться копировать все и как можно чаще. Поскольку доступность кластера очень важна, ниже приведены рекомендации по резервному копированию узлов кластеров: •
Выполняйте резервное копирование состояния системы всех узлов кластера ежедневно и непосредственно перед изменением и после изменения в конфигурации кластера.
•
Выполняйте резервное копирование локальных дисков и состояния системы кластера ежедневно, если это позволяет рабочее расписание, или еженедельно, при невозможности выполнения ежедневных резервных копирований.
•
Выполняйте резервное копирование общих дисков кластера, если это позволяет рабочее расписание, или еженедельно, при невозможности выполнения ежедневных резервных копирований.
•
Для сохранения такой конфигурационной информации, как файлы контрольных точек, используйте утилиту восстановления MSCS (ClusterRecovery), входящую в состав набора ресурсов Windows Server 2003 Resource Kit. Эти файлы контрольных точек хранятся в кворуме, но все равно используются для обновления параметров системного реестра при перемещении ресурсов на другой узел кластера или подхвате ресурсов.
•
Выполняйте резервное копирование ASR на каждом узле после создания нового кластера, ежемесячно и при проведении изменений в узле. Например, выполняйте резервное копирование при установке нового кластерного приложения или при вставке или удалении диска из кластера.
Ðåçåðâíîå êîïèðîâàíèå ñðåäñòâà àâòîìàòè÷åñêîãî âîññòàíîâëåíèÿ ñèñòåìû Средство автоматического восстановления системы (Automated System Recovery — ASR) состоит из двух частей: резервное копирование ASR и восстановление ASR. Резервное копирование ASR можно применять для выполнения требований резервного копирования одного из узлов кластера, создавая резервные копии сигнатур дисков и информации о томах. При перезаписи сигнатуры диска кластер не сможет идентифицировать общие диски или читать информацию о томе, и тогда администратору потребуется восстановить сигнатуры дисков кластера с помощью средства восстановления ASR. Однако этот подход является последним средством, и его необходимо использовать только тогда, если ни один из узлов кластера не может взаимодействовать с общими устройствами, и все другие способы восстановления кластера не привели к успеху. Резервная копия ASR узла кластера содержит сигнатуру (или сигнатуры) диска и информацию о томах; текущее состояние системы: системный реестр, кворум кластера, загрузочные файлы и базу данных регистрации классов COM+, системные службы и резервную копию всех локальных дисков, содержащих файлы операционной системы, включая системные и загрузочные разделы. В настоящее время единственным способом
1064
Технологии обеспечения отказоустойчивости ×àñòü IX
создания резервных копий сигнатур дисков является создание резервной копии ASR с локальной консоли сервера с помощью утилиты Windows Server 2003 Backup. Чтобы выполнить резервное копирование ASR, администратору необходима пустая дискета и устройство резервного копирования — ленточное устройство или диск. Утилита резервного копирования пока не поддерживает использование записываемых компакт-дисков и устройств, поэтому если ленточное устройство недоступно, резервное копирование можно провести в файл резервной копии на локальном или сетевом диске. Хранение файла резервной копии на сетевом диске обеспечивает доступность этого носителя при необходимости восстановления ASR. Следует помнить, что резервное копирование ASR создает копии всех локальных дисков, содержащих операционную систему и любые установленные приложения. Например, если операционная система установлена на диске C:, а на диске D: установлен пакет MS Office, то будет проведено полное резервное копирование обоих этих дисков. Хотя такое копирование может существенно упростить процедуры восстановления, для него требуется дополнительная память и большее время резервного копирования. После выполнения простой установки сервера Windows Server 2003 Enterprise только со службой кластеров резервная копия ASR занимает приблизительно 1,3 Гб памяти. Для создания резервной копии ASR выполните следующие шаги: 1. Войдите в узел кластера с учетной записью с правами на выполнение резервного копирования системы (полномочия, необходимые для выполнения этой операции, имеет любая учетная запись локального администратора, администратора домена или службы кластеров). 2. Выберите в меню Start пункт All ProgramsÖAccessoriesÖSystem ToolsÖBackup (Все программыÖСтандартныеÖСлужебныеÖАрхивация данных). 3. Если вы запускаете резервное копирование в первый раз, оно запустится в режиме мастера. Щелкните на гиперссылке Advanced Mode (Расширенный режим), чтобы выбрать расширенный режим выполнения мастера. После перехода в расширенный режим окно будет выглядеть так, как показано на рис. 31.13. 4. Щелкните на кнопке Automated System Recovery Wizard (Мастер автоматического восстановления системы), чтобы запустить мастер подготовки к автоматическому восстановлению системы. 5. На экране приветствия мастера щелкните на кнопке Next. 6. Выберите тип носителя резервной копии и нужную ленту или файл. При создании нового файла укажите его полный путь, и мастер создаст этот файл автоматически. Щелкните на кнопке Next. 7. Если указанный файл находится на сетевом диске, то в окне предупреждения, показанном на рис. 31.14, щелкните на кнопке ОК. 8. Щелкните на кнопке Finish, чтобы завершить работу мастера подготовки автоматического восстановления системы и запустить резервное копирование. 9. После завершения этапа резервного копирования на ленту или в файл утилита резервного копирования ASR предложит вставить дискету, которая будет содержать информацию для восстановления. Вставьте дискету и щелкните на кнопке ОК.
Отказоустойчивость на уровне системы Ãëàâà 31
1065
Ðèñ. 31.13. Резервное копирование Windows в расширенном режиме
Ðèñ. 31.14. Предупреждение при выборе копируемого ресурса 10. После подсказки выньте дискету и сделайте на ней соответствующую надпись, касающуюся резервной копии ASR. Щелкните на кнопке ОК. 11. После завершения резервного копирования ASR щелкните на кнопке Close в окне Backup Progress (Процесс резервного копирования), чтобы возвратиться в программу резервного копирования, или щелкните на кнопке Report (Отчет), чтобы просмотреть отчет по резервному копированию. Резервные копирования ASR необходимо выполнять периодически, а также сразу после любых изменений в оборудовании узла кластера, в том числе изменений в конфигурации общего запоминающего устройства или локального диска. Информация, содержащаяся на дискете ASR, сохраняется также и на носителе резервной копии. Дискета ASR содержат два файла, asr.sif и asrpnp.sif, которые при необходимости восстановления ASR можно восстановить с носителя резервной копии и скопировать на дискету.
Ðåçåðâíîå êîïèðîâàíèå êâîðóìà êëàñòåðà Кворум кластера копируется при резервном копировании состояния системы любого активного узла кластера. Эта резервная копия может быть использована для восстановления узла кластера в рабочее состояние при разрушении базы данных или журнала кластера или когда необходим откат в предыдущее состояние кластера на всех узлах кластера. Нужно создавать резервные копии кворума кластера как можно чаще, чтобы всегда
1066
Технологии обеспечения отказоустойчивости ×àñòü IX
была сохранена последняя версия конфигурации кластера. Для создания резервной копии кворума кластера выполните шаги, описанные в следующем разделе.
Ðåçåðâíîå êîïèðîâàíèå ñîñòîÿíèÿ ñèñòåìû óçëà êëàñòåðà Состояние системы каждого узла кластера должно копироваться регулярно, а также перед любыми изменениями в аппаратном или программном обеспечении и после них, в том числе и при изменениях конфигурации кластера. Эта резервная копия будет содержать кворум кластера, реестр локального сервера, базу данных регистрации COM+ и загрузочные файлы, необходимые для запуска системы. Для контроллера домена в состояние системы входит также база данных Active Directory и папка SYSVOL. Для выполнения резервного копирования состояния системы выполните следующие шаги: 1. Войдите в узел кластера с учетной записью с правами на выполнение резервного копирования системы (полномочия, необходимые для выполнения этой операции, имеет любая учетная запись локального администратора, администратора домена или службы кластеров). 2. Выберите в меню Start пункт All ProgramsÖAccessoriesÖSystem ToolsÖBackup. 3. Если вы запускаете резервное копирование в первый раз, оно запустится в режиме мастера. Щелкните на гиперссылке Advanced Mode, чтобы выбрать расширенный режим выполнения мастера. После перехода в расширенный режим окно будет выглядеть так, как показано на рис. 31.13. 4. Щелкните на кнопке Backup Wizard (Advanced) (Мастер архивации), чтобы запустить мастер архивации. 5. На экране приветствия мастера щелкните на кнопке Next. 6. На странице What to Back Up (Что следует архивировать) установите переключатель Only Back Up the System State Data (Архивировать только данные состояния системы), как показано на рис. 31.15, и щелкните на кнопке Next.
Ðèñ. 31.15. Выбор нужного варианта резервного копирования
Отказоустойчивость на уровне системы Ãëàâà 31
1067
7. Выберите тип носителя резервной копии и нужную ленту или файл. Для создания нового файла укажите его полный путь, и мастер создаст этот файл автоматически. Щелкните на кнопке Next. 8. Если указанный файл находится на сетевом диске, щелкните в окне предупреждения на кнопке ОК. 9. Щелкните на кнопке Finish для завершения работы мастера архивации и запуска самого резервного копирования. 10. После завершения резервного копирования просмотрите протокол копирования, а затем щелкните на кнопке Close в окне Backup Progress.
Ðåçåðâíîå êîïèðîâàíèå ëîêàëüíûõ äèñêîâ óçëà êëàñòåðà Локальные диски узла кластера необходимо копировать регулярно и, по возможности, вместе с состоянием системы. Это позволит восстановить и состояние системы, и локальные диски, если произойдет отказ всего сервера. Для выполнения резервного копирования локальных дисков узла кластера выполните описанные ниже действия. 1. Войдите в узел кластера с учетной записью с правами на выполнение резервного копирования системы (полномочия, необходимые для выполнения этой операции, имеет любая учетная запись локального администратора, администратора домена или службы кластеров). 2. Выберите в меню Start пункт All ProgramsÖAccessoriesÖSystem ToolsÖBackup. 3. Если вы запускаете резервное копирование в первый раз, оно запустится в режиме мастера. Щелкните на гиперссылке Advanced Mode, чтобы выбрать расширенный режим выполнения мастера. После перехода в расширенный режим окно будет выглядеть так, как показано на рис. 31.13. 4. Щелкните на кнопке Backup Wizard (Advanced), чтобы запустить мастер архивации. 5. На экране приветствия мастера щелкните на кнопке Next. 6. На странице What to Back Up установите переключатель Back Up Selected Files, Drives, or Network Data (Архивировать выбранные файлы, диски или сетевые данные) и щелкните на кнопке Next. 7. В окне Items to Back Up (Элементы для архивации), показанном на рис. 31.16, разверните узел Desktop \ My Computer (Рабочий стол\Мой компьютер) и выберите все локальные диски. 8. Выберите тип носителя резервной копии и нужную ленту или файл. Для создания нового файла укажите его полный путь, и мастер создаст этот файл автоматически. Щелкните на кнопке Next. 9. Если указанный файл находится на сетевом диске, щелкните в окне предупреждения на кнопке ОК. 10. Щелкните на кнопке Finish для завершения работы мастера архивации и запуска резервного копирования.
1068
Технологии обеспечения отказоустойчивости ×àñòü IX
11. После завершения резервного копирования просмотрите протокол копирования, а затем щелкните на кнопке Close в окне Backup Progress.
Ðèñ. 31.16. Выбор копируемых элементов
Ðåçåðâíîå êîïèðîâàíèå îáùèõ äèñêîâ êëàñòåðà Резервное копирование общих дисков можно выполнить несколькими различными способами. Первый способ — копирование дисков из узла, на котором они находятся. В этом случае копирование дисков проводится так же, как и резервное копирование локальных дисков, только в окне Backup Selection необходимо выбрать общие диски. Второй способ требует знания буквенных обозначений дисков или точек монтирования; его можно запустить, в том числе и по графику, с любой машины в сети, войдя с учетной записью с полномочиями резервного копирования дисков кластера. Если известны буквенные обозначения дисков, то администратор кластера может создать местоположения в сети, указывающие на скрытые общие ресурсы администрирования диска кластера. Либо скрытые общие ресурсы диска можно подключить к букве локального диска и скопировать с помощью подходящих подключенных сетевых дисков. Например, в кластере CLUSTER1 с узлами SERVER1 и SERVER2 и двумя общими дисками Q и F администратор может скопировать диски, создав сетевое местоположение или подключив диск к \\cluster1\F$ и \\cluster1\Q$. Если дисковые ресурсы в настоящее время выполняется в группах, активных на SERVER1, администратор может подключиться к этим скрытым общим дисковым ресурсам с помощью UNC для \\cluster1\F$ и \\cluster1\Q$. Рекомендуется использовать имя кластера или сетевое имя конкретной кластерной группы, содержащей дисковый ресурс, поскольку в этом случае путь будет абсолютным, независимо от того, на каком узле активна группа.
НА ЗАМЕТКУ Если общие диски определены как точки подключения томов, резервное копирование диска копирует и данные под точками монтирования.
Отказоустойчивость на уровне системы Ãëàâà 31
1069
Âîññòàíîâëåíèå êëàñòåðà ñ îäíèì óçëîì ïðè îòêàçå ñëóæáû êëàñòåðîâ Отказ и невозможность запуска службы кластеров на одном узле обычно является признаком порчи данных в локальном файле базы данных кластера CLUSDB. Для экономии времени администратор может заменить файл CLUSDB последним файлом CHKxxx.tmp из каталога MSCS кворумного диска. Чтобы заменить файл CLUSDB, выполните следующие шаги: 1. Войдите в узел кластера с учетной записью с правами на выполнение резервного копирования системы (полномочия, необходимые для выполнения этой операции, имеет любая учетная запись локального администратора, администратора домена или службы кластеров). 2. На одном из доступных узлов кластера запустите утилиту администрирования кластеров. Затем проверьте, работают ли нормально все кластерные группы, дабы удостовериться, что проблема со службой кластеров касается только одного узла. 3. Если проблемы с запуском службы кластеров наблюдаются только на одном узле, войдите в консоль сервера и выберите в меню Start пункт All ProgramsÖ Administrative ToolsÖServices (Все программыÖАдминистрированиеÖСлужбы). 4. В оснастке Services найдите строку Cluster Service (Служба кластеров) и дважды щелкните на ней. 5. На вкладке General (Общие) страницы свойств службы кластеров отключите службу Startup Type (Тип запуска). Щелкните на кнопке ОК, чтобы сохранить изменения. 6. Перезапустите сервер, чтобы снять все блокировки файлов в файле CLUSDB. 7. После завершения перезагрузки сервера войдите в него с учетной записью администратора кластера. 8. Выберите в меню Start пункт Run. 9. Подключитесь к кворумному диску кластера с помощью пути UNC \\<имя_кластера>\<буква_кворумного_диска>$. Например, при наличии кластера cluster1 с кворумным диском Q введите путь \\cluster1\Q$. 10. Дважды щелкните на каталоге MSCS. 11. В окне проводника выберите в меню View (Вид) пункт Details (Подробно). 12. Найдите файл с именем CHKxxx.tmp с последней отметкой времени, примерно как на рис. 31.17. 13. Щелкните правой кнопкой мыши на файле и выберите в контекстном меню пункт Copy (Копировать). Затем закройте окно проводника. 14. Выберите в меню Start пункт Run. 15. Введите полный путь к каталогу кластера и щелкните на кнопке ОК. По умолчанию это путь C:\windows\cluster, где C — системный диск, а windows — каталог %SystemRoot%.
1070
Технологии обеспечения отказоустойчивости ×àñòü IX
Ðèñ. 31.17. Выбор набора резервных копий для восстановления 16. Найдите файл CLUSDB, щелкните на нем правой кнопкой мыши и выберите в контекстном меню пункт Rename (Переименовать). 17. Переименуйте этот файл в CLUSDB.old и нажмите <Enter>. При невозможности переименования файла убедитесь, что служба кластеров отключена, перезапустите сервер и повторите попытку. 18. В окне проводника выберите в меню Edit (Правка) пункт Paste (Вставить). Теперь файл CHKxxx.tmp должен быть скопирован в каталог C:\windows\cluster. 19. Найдите файл CHKxxx.tmp, щелкните на нем правой кнопкой мыши и выберите в контекстном меню пункт Rename. 20. Переименуйте этот файл в CLUSDB и нажмите <Enter>. В случае невозможности переименования файла проверьте, отключена ли служба кластеров, перезапустите сервер и повторите попытку. 21. Закройте окно проводника. 22. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖServices. 23. В оснастке Services найдите строку Cluster Service и дважды щелкните на ней. 24. На вкладке General страницы свойств службы кластеров измените тип запуска (Startup Type) службы на Automatic (Автоматический). Щелкните на кнопке ОК для сохранения изменений. 25. Щелкните правой кнопкой мыши на строке Cluster Service и выберите в контекстном меню пункт Start (Запуск). 26. После запуска службы кластеров переместите соответствующую группу или группы на восстановленный узел для проверки функциональности подхвата функций. Если при выполнении вышеописанного процесса операционный статус не был возвращен в службу кластеров, восстановите состояние системы из предыдущей резервной копии, выполнив следующие шаги: 1. Выберите в меню Start пункт All ProgramsÖAccessoriesÖSystem ToolsÖBackup. 2. Если вы запускаете резервное копирование в первый раз, оно запустится в режиме мастера. Щелкните на гиперссылке Advanced Mode, чтобы выбрать расширенный режим выполнения мастера. После перехода в расширенный режим окно будет выглядеть так, как показано на рис. 31.13.
Отказоустойчивость на уровне системы Ãëàâà 31
1071
3. Щелкните на кнопке Restore Wizard (Advanced) (Мастер восстановления), чтобы запустить мастер восстановления. 4. На экране приветствия мастера щелкните на кнопке Next. 5. На странице What to Restore (Что следует восстановить) выберите нужный каталогизированный носитель резервной копии, раскройте выбранный каталог и установите флажок System State (Состояние системы), как показано на рис. 31.18. Щелкните на кнопке Next.
Ðèñ. 31.18. Выбор восстановления состояния системы 6. Если в этом окне нет нужной ленты или носителя файла резервной копии, отмените процесс восстановления. Затем на странице мастера восстановления найдите и каталогизируйте необходимый носитель и повторите процесс восстановления с шага 1.
НА ЗАМЕТКУ Информация о том, как каталогизировать ленту и носитель файла резервной копии, приведена в главе 33.
7. На странице Completing the Restore Wizard (Завершение работы мастера восстановления) мастера щелкните на кнопке Finish, чтобы запустить восстановление. 8. После завершения процесса восстановления восстановления, а затем щелкните на кнопке Close.
просмотрите
протокол
9. После подсказки перезагрузите установленный узел кластера. 10. После запуска службы кластеров переместите соответствующую группу или группы на восстановленный узел для проверки функциональности подхвата функций.
1072
Технологии обеспечения отказоустойчивости ×àñòü IX
Âîññòàíîâëåíèå îäíîãî óçëà ïîñëå ïîëíîãî îòêàçà ñåðâåðà После отказа одного узла — либо из-за аппаратных проблем, либо из-за программной порчи данных, которые невозможно восстановить за приемлемое время — узел необходимо заново создать с нуля. После разрешения всех проблем с оборудованием организация может выбрать наилучший подход к восстановлению сервера. Ниже описаны два основных способа восстановления узла.
Âûñåëåíèå è ñîçäàíèå çàíîâî îòêàçàâøåãî óçëà Первый процесс восстановления узла выселяет отказавший узел из кластера и требует, чтобы администратор кластера пересоздал узел кластера с нуля, вновь включил узел в кластер, установил все кластерные приложения и, наконец, заново настроил подхват и возврат функций кластерной группы. Для выселения и пересоздания отказавшего узла выполните следующие шаги: 1. Остановите отказавший узел кластера. 2. Войдите в доступный узел кластера с учетной записью администратора кластера. 3. Выберите в меню Start пункт Administrative ToolsÖCluster Administrator. 4. Если утилита администрирования кластеров не подключила кластер или подключила другой кластер, выберите в меню File пункт Open Connection. 5. В выпадающем списке Active выберите строку Open Connection to Cluster. Затем в выпадающем списке Cluster or Server name введите точку (.) и щелкните на кнопке ОК для подключения к нему. 6. В левой панели окна утилиты администрирования кластеров щелкните правой кнопкой мыши на автономном узле кластера и выберите в контекстном меню пункт Evict Node. 7. После выселения узла закройте утилиту администрирования кластеров и сразу же запустите резервное копирование состояния системы локального узла. Шаги резервного копирования состояния системы подробно описаны ранее в разделе “Резервное копирование состояния системы узла кластера”. 8. На отказавшем узле установите чистую копию сервера Windows Server 2003 Enterprise или DataCenter. 9. После загрузки сервера настройте его на включение в нужный домен и задайте все локальные буквенные обозначения дисков IP-адреса сетевых карт так, как они были заданы ранее на этом же узле кластера. Затем при необходимости выполните перезагрузку. 10. Выполните шаги по включению кластера, как описано ранее в разделе “Добавление в кластер дополнительных узлов”. 11. После возврата узла в кластер установите все кластерные приложения, как описано в руководстве производителя по установке кластера. 12. При необходимости настройте подхват и возврат функций кластерных групп и переместите кластерные группы на их рекомендуемый узел.
Отказоустойчивость на уровне системы Ãëàâà 31
1073
Âîññòàíîâëåíèå îòêàçàâøåãî óçëà ñ ïîìîùüþ ñðåäñòâà âîññòàíîâëåíèÿ ASR Чтобы восстановить отказавший узел с помощью средства восстановления ASR, выполните перечисленные ниже шаги. 1. Остановите отказавший узел кластера. 2. На доступном узле кластера войдите с учетной записью администратора кластера. 3. Выберите в меню Start пункт Administrative ToolsÖCluster Administrator. 4. Если утилита администрирования кластеров не подключила кластер или подключила другой кластер, выберите в меню File пункт Open Connection. 5. В выпадающем списке Active выберите строку Open Connection to Cluster. Затем в выпадающем списке Cluster or Server name введите точку (.) и щелкните на кнопке ОК для выполнения подключения. 6. Во всех кластерных группах отключите возврат функций, чтобы эти группы не смогли передать функции не полностью восстановленному узлу кластера. Закройте утилиту администрирования кластеров. 7. Найдите дискету ASR, созданную для отказавшего узла, или создайте эту дискету из файлов, сохраненных на носителе резервной копии ASR. Инструкцию по созданию дискеты ASR с носителя резервной копии ASR можно прочитать в службе справки и поддержки Windows Server 2003. 8. Вставьте в отказавший сервер компакт-диск с операционной системой и запустите сервер. 9. Если необходимо, то при получении подсказки нажмите клавишу , чтобы установить драйверы запоминающего устройства сторонних разработчиков. Это относится к любым дисковым и ленточным контроллерам сторонних разработчиков, которые не распознаются Windows Server 2003. 10. После вывода подсказки нажмите клавишу , чтобы выполнить автоматизированное восстановление системы. 11. После вывода подсказки вставьте дискету ASR и нажмите <Enter>. 12. Программа установки операционной системы начнет восстановление информации дискового тома и переформатирование томов, связанных с операционной системой. После завершения этого процесса перезапустите сервер, нажав после подсказки в следующем окне клавишу , а затем <Enter>. 13. После перезапуска системы нажмите любую клавишу, чтобы перезапустить установку с компакт-диска. 14. Если необходимо, то при получении подсказки нажмите клавишу , чтобы установить драйверы запоминающего устройства сторонних разработчиков. Это относится к любым дисковым и ленточным контроллерам сторонних разработчиков, не распознаваемым Windows Server 2003. 15. После вывода подсказки нажмите клавишу , чтобы выполнить автоматизированное восстановление системы.
1074
Технологии обеспечения отказоустойчивости ×àñòü IX
16. После вывода подсказки вставьте дискету ASR и нажмите <Enter>. 17. На этот раз диски могут быть правильно идентифицированы и будут отформатированы, а системные файлы будут скопированы на соответствующие дисковые тома. После завершения этого процесса средство восстановления ASR автоматически перезагрузит сервер. Выньте из привода дискету ASR. Начинается графический этап инсталляции ОС. 18. При необходимости укажите UNC-путь местоположения в сети носителя резервной копии и при получении запроса введите информацию аутентификации. Средство резервного копирования ASR попытается автоматически восстановить подключение к носителю резервной копии, однако оно не сможет сделать это, если этот носитель находится на сетевом диске. 19. Когда носитель будет найден, откройте его и щелкните на кнопке Next. Это завершит восстановление оставшихся данных ASR. 20. Если после завершения восстановления ASR средство восстановления ASR не восстановило какие-либо данные на локальном диске, восстановите все локальные диски. 21. Выберите в меню Start пункт All ProgramsÖAccessoriesÖSystem ToolsÖBackup. 22. Если вы запускаете резервное копирование в первый раз, оно запустится в режиме мастера. Щелкните на гиперссылке Advanced Mode, чтобы выбрать расширенный режим выполнения мастера. После перехода в расширенный режим окно будет выглядеть так, как показано на рис. 31.13. 23. Щелкните на кнопке Backup Wizard (Advanced) для запуска мастера архивации. 24. На экране приветствия мастера щелкните на кнопке Next. 25. На странице What to Restore выберите нужный каталогизированный носитель резервной копии, раскройте выбранный каталог и отметьте все локальные диски. Щелкните на кнопке Next. 26. Если в этом окне не появилась требуемая лента или файл носителя резервной копии, отмените процесс восстановления. Затем на странице мастера восстановления найдите и каталогизируйте нужный носитель и вернитесь к процессу восстановления, начиная с шага 23.
НА ЗАМЕТКУ Информацию о каталогизации ленты и файла носителя резервной копии можно найти в главе 33.
27. На странице Completing the Restore Wizard мастера щелкните на кнопке Finish, чтобы запустить восстановление. Поскольку необходимо восстановить только то, что не восстановлено ASR, то нет необходимости выполнять расширенную настройку восстановления. 28. После завершения восстановления и получения подсказки перезагрузите сервер. 29. После выполнения перезагрузки войдите в восстановленный узел кластера и проверьте его функционирование.
Отказоустойчивость на уровне системы Ãëàâà 31
1075
30. Если все работает нормально, откройте утилиту администрирования кластеров и настройте все параметры подхвата и возврата функций кластерной группы. 31. Переместите кластерные группы на их рекомендованный узел и закройте утилиту администрирования кластеров.
Âîññòàíîâëåíèå âñåãî êëàñòåðà â ïðåäûäóùåå ñîñòîÿíèå Изменения в кластер нужно вносить осторожно и, по возможности, сначала в лабораторной среде. Если изменения в кластере привели к нежелательным эффектам, то можно выполнить откат конфигурации кластера в предыдущее состояние, восстановив кворум кластера на всех узлах. Этот процесс не так сложно выполнить, и он выполняется с одного узла. С этим процессом связаны только два недостатка: •
Необходимо, чтобы в кластере были доступны и работоспособны все узлы кластера, которые ранее были членами кластера. Например, если кластер Cluster1 состоял из серверов Server1 и Server2, то нужно, чтобы оба этих узла были активны в кластере, прежде чем станет возможным откат к предыдущей конфигурации кластера.
•
Чтобы восстановить предыдущую конфигурацию кластера на всех узлах кластера, весь кластер необходимо вывести в автономный режим на время, достаточное для восстановления резервной копии, перезагрузки узла, с которого выполнялось резервное копирование, и ручного запуска службы кластеров на всех остальных узлах.
НА ЗАМЕТКУ Если узел кластера неработоспособен, то откат конфигурации кластера невозможен. По вопросам восстановления отказавшего узла кластера в рабочее состояние обратитесь к разделам “Восстановление одного узла после полного отказа сервера” или “Восстановление отказавшего узла с помощью средства восстановления ASR”, а затем восстановите предыдущую конфигурацию кластера так, как описано здесь.
Для восстановления всего кластера в предыдущее состояние выполните описанные ниже действия. 1. Войдите в узел кластера с учетной записью с правами на выполнение резервного копирования системы (полномочия, необходимые для выполнения этой операции, имеет любая учетная запись локального администратора, администратора домена или службы кластеров). 2. Выберите в меню Start пункт All ProgramsÖAccessoriesÖSystem ToolsÖBackup. 3. Если вы запускаете резервное копирование в первый раз, оно запустится в режиме мастера. Щелкните на гиперссылке Advanced Mode, чтобы выбрать расширенный режим выполнения мастера. После перехода в расширенный режим окно будет выглядеть так, как показано на рис. 31.13. 4. Щелкните на кнопке Restore Wizard (Advanced), чтобы запустить мастер восстановления.
1076
Технологии обеспечения отказоустойчивости ×àñòü IX
5. На экране приветствия мастера щелкните на кнопке Next. 6. На странице What to Restore выберите нужный каталогизированный носитель резервной копии, раскройте каталог и установите флажок System State, как показано на рис. 31.18. Затем щелкните на кнопке Next. 7. Если в этом окне не появилась необходимая лента или файл носителя резервной копии, отмените процесс восстановления. Затем на странице мастера восстановления найдите и каталогизируйте нужный носитель и возвратитесь к процессу восстановления, начиная с шага 4. 8. На странице Completing the Restore Wizard щелкните на кнопке Advanced (Дополнительно), чтобы указать дополнительные параметры восстановления. 9. На странице Where to Restore (Куда следует восстановить) выберите восстановление файлов на их прежнее место и щелкните на кнопке Next. 10. Появится предупреждающее сообщение о том, что восстановление состояние системы перезапишет текущее состояние системы. Щелкните на кнопке ОК. 11. На странице How to Restore (Как следует восстановить) установите переключатель Leave Existing Files (Recommended) (Оставить существующие файлы – рекомендуется) и щелкните на кнопке Next. 12. На странице Advanced Restore Options (Дополнительные опции восстановления) установите флажок Restore the Cluster Registry to the Quorum Disk and All Other Nodes (Восстановить реестр кластера на кворумный диск и все другие узлы), как показано на рис. 31.19, и щелкните на кнопке Next.
Ðèñ. 31.19. Выбор опций восстановления 13. Появится сообщение, предупреждающее о том, что это восстановление заменит главную версию кворума кластера и остановит службу кластеров на всех других узлах кластера. Щелкните на кнопке Yes. 14. На странице Completing the Restore Wizard щелкните на кнопке Finish, чтобы начать восстановление.
Отказоустойчивость на уровне системы Ãëàâà 31
1077
15. После завершения процесса просмотрите протокол восстановления, а затем щелкните на кнопке Close. 16. После получения подсказки перезагрузите восстановленный узел кластера. 17. По окончании перезагрузки восстановленного узла и восстановления предыдущей конфигурации кластера запустите службу кластеров на всех оставшихся узлах кластера. 18. Переместите кластерные группы в соответствующие расположения и закройте утилиту администрирования кластеров.
Âîññòàíîâëåíèå óçëîâ êëàñòåðà ïîñëå îòêàçà êëàñòåðà Узлы кластера можно восстановить после отказа кластера, используя комбинацию ранее описанных шагов восстановления и нескольких дополнительных шагов. Если все узлы кластера могут быть запущены, но ни на одном из них не запускается служба кластеров, то, скорее всего, это проблема с кворумным диском или с данными кворума. Чтобы восстановить узлы кластера в этой ситуации, выполните следующие шаги: 1. Восстановите данные кворума, выполнив шаги, описанные в разделе “Восстановление кластера с одним узлом при отказе службы кластеров”. 2. Если после завершения восстановления состояния системы служба кластеров запущена на первом узле, запустите ее на всех оставшихся узлах. Если служба кластеров не запускается, возможно, существует проблема с кворумным диском кластера. Выполните все необходимые действия по ремонту кворумного диска кластера и восстановите кворум кластера, как описано в разделе “Восстановление кластера с одним узлом при отказе службы кластеров”. Если служба кластеров и после этого не запускается, следуйте указаниям статьи службы справки и поддержки Windows Server 2003 “Recover from a Corrupted Quorum Log or Quorum Disk” (“Восстановление из поврежденного кворумного журнала или кворумного диска”). Если не функционируют все узлы кластера, и их необходимо восстановить с нуля, выполните перечисленные ниже шаги. 1. Выключите питание всех узлов кластера. 2. Включите один узел кластера и выполните восстановление ASR, как описано в разделе “Восстановление отказавшего узла с помощью средства восстановления ASR”. После этого должны быть восстановлены узел, служба кластеров и основные функции кластера. 3. Восстановите все недостающие данные на локальном диске и данные на дисках кластера. 4. Выполните восстановление ASR и восстановление локальных дисков на оставшихся узлах кластера, чтобы полностью восстановить работоспособность кластера.
1078
Технологии обеспечения отказоустойчивости ×àñòü IX
Ìîäåðíèçàöèÿ óçëîâ êëàñòåðà Сервер кластеров Windows Server 2003 совместим с предыдущими версиями службы кластеров Microsoft и допускает модернизацию операционной системы узлов. Перед модернизацией кластеров Windows Server 2003 кластеры Windows NT 4.0 потребуется перевести в автономный режим, а модернизацию кластеров Windows 2000 до Windows Server 2003 можно проводить в оперативном режиме, используя метод скользящей модернизации (rolling upgrade). Перед выполнением скользящей модернизации необходимо проверить каждый ресурс кластера, чтобы убедиться, что можно провести его модернизацию во время скользящей модернизации.
НА ЗАМЕТКУ В число ресурсов, не допускающих скользящую модернизацию, входят службы IIS, FTP, DHCP, WINS, SMTP и NNTP. Чтобы получить подробные инструкции по модернизации кластеров, содержащих эти ресурсы, обратитесь к службе справки и поддержки операционной системы Windows Server 2003 и найдите строки “resource behavior during rolling upgrades” (“поведение ресурсов во время скользящих модернизаций”) и “last node rolling upgrades” (“скользящие модернизации последнего узла”).
Ñêîëüçÿùèå ìîäåðíèçàöèè Скользящая модернизация позволяет при обновлении операционной системы перевести в автономный режим один узел кластера, в то время как остальные узлы кластера функционируют на старой версии ОС. На обособленном сервере это называется модернизацией на месте (inplace upgrade). При возврате в оперативное состояние модернизированного узла с новой операционной системой сервер кластера уже установлен и настроен. После этого на модернизированный узел можно переместить кластерные группы, выполняющиеся на других узлах, что позволяет администраторам осуществить модернизацию остальных узлов кластера. Перед выполнением скользящей модернизации администратор кластера должен просмотреть все приложения и ресурсы кластера, чтобы убедиться, что они могут выполняться во время скользящей модернизации. Если такая модернизация невозможна, можно провести модернизацию узлов кластера с помощью метода скользящей модернизации с последним узлом.
Ñêîëüçÿùàÿ ìîäåðíèçàöèÿ ñ ïîñëåäíèì óçëîì Скользящая модернизация с последним узлом представляет собой процесс, предназначенный для модернизации кластеров, содержащих ресурсы, не поддерживаемые во время стандартной скользящей модернизации. При такой модернизации администратор перемещает все группы, содержащие ресурсы, не поддерживаемые при стандартной скользящей модернизации, в один узел кластера. Затем производится модернизация всех других узлов кластера. После выполнения модернизации всех других узлов группы с неподдерживаемыми ресурсами перемещаются на обновленные узлы. Затем администратор выполняет модернизацию операционной системы последнего узла и перераспределяет все кластерные группы так, как надо.
Отказоустойчивость на уровне системы Ãëàâà 31
1079
Óñòàíîâêà êëàñòåðîâ ñ áàëàíñèðîâêîé ñåòåâîé íàãðóçêè NLB-кластер можно легко создать с помощью утилиты диспетчера балансировки сетевой нагрузки (Network Load Balancing Manager), которая входит в состав средств администрирования Windows Server 2003. NLB-кластеры можно также создать с помощью страниц свойств карт сетевого интерфейса или из командного окна с помощью утилиты NLB.exe. Чтобы правильно сконфигурировать NLB-кластер, администратору необходимо учитывать тип сетевого трафика, который применяется приложением или службой, подвергаемым балансировке. Например, для балансировки нагрузки стандартного Web-трафика кластер должен поддерживать TCP-порт 80, а для терминальных служб кластер должен поддерживать TCP-порт 3389.
Ïðèëîæåíèÿ è ñëóæáû NLB Балансировка сетевой нагрузки хорошо приспособлена для распределения подключения пользователей и создания отказоустойчивости для множества различных приложений и сетевых служб. Поскольку NLB не реплицирует данные между узлами кластера, то не рекомендуется использование приложений, требующих доступа к локальным данным, которые могут изменять конечные пользователи. Например, лучше не балансировать файловые серверы, хранящие каталоги или базы данных пользователей, так как пользователь может сохранить файл или изменить некоторые данные в базе, будучи подключенным к одному узлу, а затем переподключиться к другому узлу и обнаружить отсутствие этого файла или изменений, проведенных в базе данных. Приложения, подходящие для NLB-кластеров — это Web-сайты, выдающие статическую информацию или динамическую информацию, которая генерируется из пользовательской базы данных, выполняемой вне NLB-кластера. Кроме того, для развертывания на NLB-кластерах хорошо подходят терминальные серверы Windows Server 2003, серверы VPN, серверы безопасности и ускорения Internet (Internet Security and Acceleration) и серверы потоковых носителей. Поскольку наиболее важная часть развертывания NLB — это определение, какой режим работы кластера и правила портов необходимо использовать для правильного функционирования балансируемого приложения, то администратор кластера должен хорошо понимать принципы работы приложения. Он должен прочитать документацию производителя, относящуюся к взаимодействию клиента с приложением. Например, некоторые приложения используют cookie-файлы или другую информацию о состоянии сеанса, с помощью которой можно идентифицировать клиента на протяжении всего сеанса. В результате приложения, запрашивающие аутентификацию пользователей при запуске сеанса, откажутся работать, если последующие пользовательские запросы будут посылаться на другой узел кластера, на котором пользователь не аутентифицирован. Учет всего этого поможет определить параметры, которые необходимо указать с помощью правил портов кластера и режима фильтрации.
1080
Технологии обеспечения отказоустойчивости ×àñòü IX
Ïðàâèëà ïîðòîâ При создании NLB-кластера для этого кластера также создается одно общее правило порта. Правило (или правила) порта определяет тип сетевого трафика, который будет балансировать кластер между своими узлами. Опция Port Rules Filtering (Фильтрация правил портов) определяет способ балансировки трафика между отдельными узлами. Если ограничить допустимые порты для кластеризованных IP-адресов только теми, которые необходимы балансируемым приложениям кластеров, то это может улучшить общую производительность и безопасность кластера. Поскольку каждый узел NLB-кластера может откликаться на кластеризованный IP-адрес, каждый узел получает весь входящий трафик. Когда узел получает запрос, он либо обрабатывает этот запрос, либо отбрасывает пакет, если другой узел уже установил сеанс с данным клиентом. Если правило порта не определяет обработку трафика для конкретного порта TCP или UDP, то трафик на этих портах будет обрабатываться узлом кластера с самым низким приоритетом хоста. Когда администратор создает правила портов, разрешающие для кластеризованного IP-адреса только отдельные порты, и дополнительное правило, блокирующее все другие порты и диапазоны, узлы кластера могут быстро отбрасывать пакеты, не удовлетворяющие правилам портов, и тем самым улучшить производительность, слепо отбрасывая все не разрешенные кластером пакеты. Выигрыш в безопасности состоит в том, что поскольку на кластеризованном IP-адресе доступен только указанный порт или служба, упрощается мониторинг этого сервера и выполнение обновлений безопасности.
Ðåæèì ôèëüòðàöèè ïðàâèë ïîðòîâ è ðîäñòâåííîñòü В правиле порта кластера администратор NLB должен задать необходимый режим фильтрации. Он может указать, должен ли на протяжении сеанса откликаться на запросы одного клиента только один узел или несколько узлов. Имеется три режима фильтрации: одного хоста (Single Host), отключения диапазона портов (Disable Port Range) и нескольких хостов (Multiple Host).
Ðåæèì îäíîãî õîñòà Режим фильтрации одного хоста (Single Host) обеспечивает сравнение сетевого потока с критериями правил портов только на одном узле кластера. Примером может служить Web-ферма IIS, в которой только один сервер имеет сертификат SSL (Secure Sockets Layer — протокол защищенных сокетов) защищенного Web-сайта. В этом случае создание правила, разрешающего TCP-порт 443 (порт SSL) и использующего фильтрацию одного хоста, изолирует этот трафик только на узле с установленным сертификатом.
Ðåæèì îòêëþ÷åíèÿ äèàïàçîíîâ ïîðòîâ Режим фильтрации отключения диапазона портов (Disable Port Range) указывает кластеру, какие порты не нужно прослушивать, отбрасывая их пакеты без рассмотрения. Администраторы должны указать правила портов и использовать этот режим фильтрации для портов и диапазонов портов, для которых не нужна балансировка нагрузки между узлами кластера.
Отказоустойчивость на уровне системы Ãëàâà 31
1081
Ðåæèì íåñêîëüêèõ õîñòîâ Режим фильтрации нескольких хостов (Multiple Host) является, видимо, наиболее часто используемым режимом фильтрации, и, кроме того, это стандартный режим. Этот режим позволят обработку трафика всеми узлами кластера. Если трафик балансируется между несколькими узлами, то в соответствии с требованиями приложения определяется режим родственности. Имеется три типа родственности нескольких хостов: •
None (Нет). Данный тип родственности может посылать во время сеанса уникальные клиентские запросы всем серверам кластера. Это может уменьшить время отклика сервера, но годится только для выдачи клиентам статических данных. Этот тип родственности хорошо работает для Web-страниц общего вида и файловых серверов и FTP-серверов, обеспечивающих только чтение данных.
•
Class C (Класс C). Данный тип родственности маршрутизирует трафик из отдельного адресного пространства класса C в один узел NLB-кластера. Этот режим применяется не очень часто, но может обслуживать сеансы клиентов, требующих данные о состоянии. Эта родственность работает не очень хорошо, если все клиентские запросы проходят через единый брандмауэр.
•
Single (Одиночный). Данный тип родственности используется наиболее широко. После того как узлами кластера получен первоначальный запрос от конкретного клиента, один узел будет обрабатывать все запросы от этого клиента до завершения сеанса. Этот тип родственности может обслуживать сеансы, требующие данные о состоянии.
Èçáåæàíèå ïåðåïîëíåíèÿ ïîðòà êîììóòàòîðà Поскольку каждый узел NLB-кластера отвечает на входящий трафик, узлы кластера не позволяют коммутатору кэшировать MAC-адрес их сетевых карт, так как узлы кластера должны определять, куда отправлять входящие пакеты. Поскольку сетевой коммутатор не может кэшировать MAC-адрес, связанный с IP-адресами кластера, он рассылает каждый входящий пакет в каждый порт коммутатора, в результате чего отвечает каждое подключенное устройство. Если к кластеру идет интенсивный трафик, может возникнуть переполнение сетевого коммутатора, что снижает производительность. Для уменьшения вероятности переполнения коммутатора необходимо подключить узлы NLB к изолированному коммутатору или сконфигурировать их в одной VLAN, если коммутатор и сеть поддерживают VLAN. Чтобы получить подробную информацию о настройке VLAN и избежать переполнения коммутатора, обратитесь к документации по сетевому коммутатору.
Èñïîëüçîâàíèå ðåæèìà ðàáîòû êëàñòåðà Существуют два режима работы кластера: однонаправленный (Unicast) и широковещательный (Multicast). Большая часть сетевого трафика обрабатывается однонаправленным режимом: клиенты и серверы устанавливают сетевое подключение “один к одному”. Широковещание позволяет серверу послать информацию на один широковещательный адрес для обработки несколькими клиентами. Чтобы получить широко-
1082
Технологии обеспечения отказоустойчивости ×àñòü IX
вещательные данные, клиент присоединяется к широковещательной группе, связанной с этим широковещательным адресом. Широковещание применяют такие распространенные приложения, как Web-сайты потокового видео, Internet-радио и тренировочные или обучающие курсы в Internet.
Íàñòðîéêà ñåòåâûõ êàðò äëÿ NLB Настройка сетевых карт на узлах NLB-кластера представляет собой первый шаг в построении кластера. Хотя эти шаги можно выполнить во время создания кластера с помощью диспетчера NLB, тот же результат можно получить и редактируя свойства TCP/IP сетевых карт всех узлов кластера. Поскольку многие кластерные развертывания используют однонаправленный режим работы, это порождает некоторые ограничения и сетевые издержки на узлах кластера. Когда одна сетевая карта используется в однонаправленном режиме, диспетчер NLB не выполняется на локальной консоли, требуя, чтобы администратор настраивал кластер и управлял им с некластерного узла либо использовал страницы свойств TCP/IP сетевых карт и балансировки сетевой нагрузки или утилиту командной строки NLB.exe. Кроме того, при настройке выделенный IP-адрес сетевого адаптера заменяется IP-адресом кластера, что порождает дополнительный сетевой трафик во всех узлах кластера при запросе связи с выделенным IP-адресом. При работе узлов NLB-кластера в однонаправленном режиме лучше иметь две сетевые карты, позволяя общение с хостом на одном NIC при изолированном общении в кластере на NIC кластера. Несколько NIC могут также увеличить возможности контроля трафика и управления сетевой безопасностью.
Ñîçäàíèå êëàñòåðà ñ ïîìîùüþ äèñïåò÷åðà áàëàíñèðîâêè ñåòåâîé íàãðóçêè Использование диспетчера балансировки сетевой нагрузки является самым простым методом создания кластера. При использовании диспетчера NLB дополнительный кластер и выделенные IP-адреса добавляются в соответствующий узел кластера при присоединении его к кластеру. Кроме того, упрощается добавление дополнительных узлов в кластер: чтобы добавить узел в кластер, администратор должен знать только имя кластера или его IP-адрес. Администратор балансировки сетевой нагрузки хорошо работает при конфигурировании кластеров на удаленных серверах, но если кластер является локальным, то диспетчер NLB функционирует корректно только в том случае, если в сервере установлено несколько сетевых карт. Для создания кластера выполните следующие шаги: 1. Войдите в локальную консоль узла кластера с учетной записью с полномочиями локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖNetwork Load Balancing Manager (Все программыÖАдминистрированиеÖДиспетчер балансировки сетевой нагрузки). 3. Выберите в меню Cluster (Кластер) пункт New (Создать). 4. Введите IP-адрес и маску подсети нового кластера.
Отказоустойчивость на уровне системы Ãëàâà 31
1083
5. Введите полностью определенное доменное имя кластера в текстовое поле Full Internet Name (Полное Internet-имя). 6. Введите режим работы (для большинства развертываний приложений NLB необходим однонаправленный режим (Unicast)). 7. Если вы собираетесь в будущем пользоваться удаленным управлением NLBкластером с помощью утилиты командной строки NLB.exe, то задайте пароль удаленного управления и щелкните на кнопке Next. 8. Введите все дополнительные IP-адреса, к которым нужно применить балансировку, и щелкните на кнопке Next. 9. Задайте необходимые правила портов для каждого IP-адреса кластера; будьте осторожны при назначении родственности для балансируемых приложений. 10. После создания всех допустимых правил портов необходимо создать отключенные правила портов, чтобы уменьшить сетевые издержки для узлов кластера. Не забудьте указать правила портов для всех возможных портов, а затем щелкните на кнопке Next на странице Port Rules (Правила портов). На рис. 31.20 показано рекомендованное правило порта для реализации терминального NLBсервера.
Ðèñ. 31.20. Параметры правил портов для конфигурации NLB 11. На странице Connect (Подключение) в текстовом поле Host (Хост) введите имя сервера, который необходимо добавить в кластер, и щелкните на кнопке Connect (Подключиться). 12. В окне Interface Available (Доступный интерфейс) выберите карту NIC, на которой будет находиться IP-адрес кластера, и щелкните на кнопке Next. 13. На странице Host Parameters (Параметры хоста) укажите приоритет узла кластера. Каждому узлу должен быть присвоен уникальный приоритет хоста, и поскольку это первый узел кластера, оставьте предложенное значение 1.
1084
Технологии обеспечения отказоустойчивости ×àñòü IX
14. Если узел будет выполнять на той же самой NIC сетевые задачи, не связанные с кластерами, введите выделенный IP-адрес и маску подсети. По умолчанию применяется IP-адрес, уже назначенный сетевой карте. 15. Для узлов, присоединяемых к кластеру сразу после создания кластера и запуска, оставьте исходное состояние хоста Started (Запущен). Если необходимо выполнить обслуживание, то это стандартное состояние конкретного узла кластера можно изменить на Stopped (Остановлен) или Suspended (Приостановлен), чтобы сервер не присоединялся к кластеру во время перезагрузки. 16. После ввода всей информации на странице Host Parameters щелкните на кнопке Finish, чтобы создать кластер. 17. Когда будете готовы запустить кластер в производственную среду, добавьте в доменную таблицу DNS запись HOST или A для нового кластера. Проконсультируйтесь со своим администратором DNS по поводу того, как выполнить эту задачу.
Äîáàâëåíèå äîïîëíèòåëüíûõ óçëîâ â ñóùåñòâóþùèé NLB-êëàñòåð Когда кластер уже существует, администраторы могут добавлять в него узлы с любого сервера или рабочей станции, пользуясь связностью узлов сети, полномочиями администратора кластера и диспетчером балансировки сетевой нагрузки. Чтобы добавить узлы в существующий кластер, выполните следующие шаги: 1. Войдите в рабочую станцию или сервер, на котором установлены средства администрирования Windows Server 2003. 2. Выберите в меню Start пункт All ProgramsÖAdministrative Tools (Все программыÖ Администрирование) и щелкните правой кнопкой мыши на строке Network Load Balancing Manager (Диспетчер балансировки сетевой нагрузки). 3. Выберите в контекстном меню пункт Run as (Выполнить как) и укажите учетную запись с полномочиями администрирования кластеров. 4. Выберите в меню Cluster пункт Connect to Existing (Подключиться к существующему). 5. В текстовом поле Host введите IP-адрес или имя кластера и щелкните на кнопке Connect. 6. В окне Clusters (Кластеры) выберите кластер, к которому вы хотите подключиться, и щелкните на кнопке Finish. 7. В правой панели щелкните правой кнопкой мыши на имени кластера и выберите в контекстном меню пункт Add Host to Cluster (Добавить хост к кластеру), как показано на рис. 31.21. 8. На странице Connect в текстовом поле Host введите имя сервера, который нужно добавить в кластер, и щелкните на кнопке Connect. 9. В окне Interface Available (Доступный интерфейс) выберите NIC, на которой будет находиться IP-адрес кластера, и щелкните на кнопке Next.
Отказоустойчивость на уровне системы Ãëàâà 31
1085
Ðèñ. 31.21. Выбор хоста, добавляемого к кластеру 10. На странице Host Parameters задайте приоритет узла кластера. Каждому узлу необходимо присвоить уникальный приоритет хоста, и поскольку это первый узел кластера, оставьте предложенное значение 1. 11. Если узел будет выполнять на той же самой NIC сетевые задачи, не связанные с кластерами, введите выделенный IP-адрес и маску подсети. По умолчанию применяется IP-адрес, уже назначенный сетевой карте. 12. Для узлов, присоединяемых к кластеру непосредственно после создания кластера и запуска, оставьте исходное состояние хоста Started. Если необходимо выполнить обслуживание, то это стандартное состояние конкретного узла кластера можно изменить на Stopped или Suspended, чтобы сервер не присоединялся к кластеру во время перезагрузки. 13. После ввода всей информации на странице Host Parameters щелкните на кнопке Finish, чтобы добавить узел в кластер.
Óïðàâëåíèå NLB-êëàñòåðàìè Кластерами можно управлять с помощью диспетчера NLB или утилиты командной строки NLB.exe. С помощью диспетчера NLB можно добавлять и удалять узлы, а также приостанавливать их для выполнения обслуживания, в том числе обновлений оборудования и программного обеспечения. Поскольку данные между узлами не реплицируются, то репликация любых данных должна быть выполнена вручную или с помощью инструмента наподобие Robocopy.exe, который входит в состав Windows Server 2003 Resource Kit.
НА ЗАМЕТКУ Сетевую активность кластеров NLB можно наблюдать с помощью сетевого монитора и анализирующих программ, входящих в состав набора ресурсов Windows Server 2003 Resource Kit. Эти анализирующие программы называются Wlbs_hb.dll и wlbs_rc.dll.
1086
Технологии обеспечения отказоустойчивости ×àñòü IX
Ðåçåðâíîå êîïèðîâàíèå è âîññòàíîâëåíèå óçëîâ NLB Процедура резервного копирования и восстановления узлов NLB не отличается от обособленных серверов. Резервную копию ASR необходимо создавать после каждого серьезного изменения конфигурации сервера, а резервное копирование локальных дисков и состояния системы каждого узла должно выполняться регулярно (еженедельно). Конфигурация NLB может быть восстановлена при восстановлении состояния системы отдельного узла. Если необходимо полное восстановление узла, потребуется восстановить состояние системы и локальные диски либо выполнить восстановление ASR. Используйте процедуры резервного копирования и восстановления обособленных серверов, которые подробно описаны в главах 32 и 33.
Âûïîëíåíèå îáñëóæèâàíèÿ óçëà êëàñòåðà Для выполнения обслуживания узла NLB-кластера администратор может временно удалить узел из кластера, выполнить модернизацию и затем снова ввести его в кластер. Чтобы вывести узел из кластера, не влияя на подключения пользователей, необходимо использовать опцию мягкого останова (drainstop) в диспетчере балансировки сетевой нагрузки. Опция мягкого останова указывает кластеру вывести этот узел в автономный режим и прекратить подключение новых клиентов к этому узлу. Существующие сеансы будут оставаться активными до их закрытия. После завершения всех сеансов можно выполнить обслуживание, после чего сервер можно сделать доступным в кластере, чтобы он начал принимать запросы пользователей. Для того чтобы выполнить обслуживание узла кластера, выполните описанные ниже шаги. 1. Войдите в рабочую станцию или сервер, на котором установлены средства администрирования Windows Server 2003. 2. Выберите в меню Start пункт All ProgramsÖAdministrative Tools и щелкните правой кнопкой мыши на строке Network Load Balancing Manager. 3. Выберите в контекстном меню пункт Run as и укажите учетную запись с полномочиями администрирования кластеров. 4. Выберите в меню Cluster пункт Connect to Existing. 5. В текстовом поле Host введите IP-адрес или имя кластера и щелкните на кнопке Connect. 6. В окне Clusters выберите кластер, к которому вы хотите подключиться, и щелкните на кнопке Finish. 7. Каждый узел кластера должен быть выделен зеленым цветом, что обозначает рабочее состояние. Щелкните правой кнопкой мыши на узле, на котором необходимо выполнить обслуживание, и выберите в контекстном меню пункт Control HostÖDrainstop (Управление хостомÖМягкий останов), как показано на рис. 31.22.
Отказоустойчивость на уровне системы Ãëàâà 31
1087
Ðèñ. 31.22. Выбор мягкого останова 8. Цвет узла в состоянии мягкого останова должен стать наполовину красным, наполовину зеленым, а результаты выполнения останова должны отображаться в окне журнала. Щелкните правой кнопкой мыши на останавливаемом узле кластера и выберите в контекстном меню пункт Host Status (Состояние хоста). 9. Просмотрите результирующее состояние, чтобы убедиться, что узел находится в состоянии мягкого останова, затем закройте это окно, щелкнув на кнопке ОК. 10. По завершении работы всех подключений к узлу его цвет станет красным. Выполните все необходимые действия по обслуживанию. 11. Если по окончании обслуживания перезагрузка не нужна, то в диспетчере NLB щелкните правой кнопкой мыши на узле и выберите в контекстном меню пункт Start. Если требуется перезагрузка, узел снова соединится с кластером в соответствии с настройками Initial Host State (Начальное состояние хоста) на странице свойств хоста. Если необходимо, измените параметры начального состояния хоста, чтобы получить требуемое состояние узла в соответствии с типом выполненного обслуживания. 12. После восстановления подсоединения к кластеру его цвет в окне диспетчера NLB должен стать зеленым. 13. Выберите в меню File пункт Close, чтобы выйти из утилиты диспетчера балансировки сетевой нагрузки.
Óäàëåíèå óçëà èç NLB-êëàñòåðà Чтобы удалить из кластера существующий узел, выполните шаги 1–10 из раздела “Выполнение обслуживания узла кластера”, а затем выполните следующие действия: 1. Щелкните правой кнопкой мыши на узле и выберите в контекстном меню пункт Delete Host (Удалить хост). 2. Появится предупреждение о том, что это действие удалит узел из кластера. Щелкните на кнопке Yes для удаления узла.
1088
Технологии обеспечения отказоустойчивости ×àñòü IX
Óäàëåíèå âñåãî êëàñòåðà Чтобы удалить весь кластер, выполните на всех узлах кластера процедуру, описанную в разделе “Выполнение обслуживания узла кластера”. Когда все узлы станут красными, что означает состояние останова, щелкните правой кнопкой мыши на имени кластера и выберите в контекстном меню пункт Delete Cluster (Удалить кластер), как показано на рис. 31.23.
Ðèñ. 31.23. Удаление кластера
Ðåçþìå Службы кластеризации Windows Server 2003 позволяют организациям добиться отказоустойчивости на уровне системы и обеспечить высокую степень доступности для критически важных приложений и служб. Хотя служба кластеров и балансировка сетевой нагрузки различаются по своим характеристикам и лучше всего разворачиваются на совершенно различных типах приложений, их совместное использование помогает увеличить отказоустойчивость почти всех приложений.
Ïîëåçíûå ñîâåòû •
Для создания отказоустойчивой системы приобретайте качественное серверное и сетевое оборудование. Столь же важна и правильная настройка этого оборудования.
•
Резервируйте дисковые подсистемы с помощью RAID.
•
Не пытайтесь запустить на одном компьютере и MSCS, и NLB, поскольку Microsoft не поддерживает их совместную работу из-за возможности возникновения конфликтов доступа к оборудованию.
Отказоустойчивость на уровне системы Ãëàâà 31
1089
•
Чтобы служба кластеров смогла обеспечить мониторинг приложения, используйте кластерные приложения. Некластерные приложения тоже могут выполняться на кластерах, но они не видимы для службы кластеров.
•
Во всех случаях, когда производительность не критична, используйте активнопассивный режим. Активно-пассивный режим проще в управлении и сопровождении, а стоимость лицензирования обычно меньше.
•
Используйте NLB для обеспечения возможности взаимодействия таких служб на базе TCP/IP, как терминальные службы, Web-сайты, VPN-службы и службы потоковых носителей.
•
Используйте службу кластеров Windows Server 2003 для обеспечения возможности подхвата функций серверов критически важных приложений наподобие корпоративного обмена сообщениями, баз данных и служб файлов и печати.
•
Во избежание ненужных подхватов функций отключите управление питанием на всех узлах кластеров — и в BIOS материнских плат, и в оснастке Power панели управления операционной системы.
•
Тщательно обдумайте, выбирать ли общий диск или кластеризацию без совместно используемых ресурсов.
•
При планировании кластеров MNS всегда приобретайте один дополнительный узел.
•
Убеждайтесь, что и Microsoft, и производители программного обеспечения сертифицируют работу сторонних программных пакетов для службы кластеров на кластерах Windows Server 2003; в противном случае при необходимости устранения неполадок поддержка будет ограниченной.
•
Используйте на всех узлах несколько сетевых карт: одна должна выделяться для внутреннего обмена данными в кластере (внутренняя сеть), а другая — только для связи с клиентами (внешняя сеть) или и для внешнего, и для внутреннего доступа (смешанная сеть).
•
Составьте график возвратов функций так, чтобы они происходили только в незагруженное время или спустя несколько часов, дабы снизить вероятность возврата функций группы после отказа в рабочее время.
•
Тщательно тестируйте механизмы подхвата и возврата функций.
•
Не изменяйте пароль учетной записи службы кластеров с помощью оснастки Active Directory Users and Computers или окна безопасности Windows, если вы вошли в систему с этой учетной записью.
•
При удалении узла из кластера MNS для поддержания работоспособности кластера обеспечьте работу большинства узлов.
•
Тщательно обдумывайте резервное копирование и восстановление кластера.
•
Выполняйте резервное копирование ASR периодически и сразу после любых изменений в оборудовании кластера, в том числе и изменений в общем запоминающем устройстве и в локальной дисковой конфигурации.
1090
Технологии обеспечения отказоустойчивости ×àñòü IX
•
Внимательно разберитесь в работе приложения, прежде чем решить, какую технологию кластеризации использовать.
•
Создайте правило портов, которое разрешает на кластеризованном IP-адресе работу только указанных портов, и еще одно правило, блокирующее все другие порты и диапазоны.
•
Для репликации данных между узлами NLB применяйте средства, подобные Robocopy.exe, которые входят в состав Windows Server 2003 Resource Kit или Application Center.
Ðåçåðâíîå êîïèðîâàíèå ñðåäû Windows Server 2003
 ÝÒÎÉ ÃËÀÂÅ... •
Ïëàíèðîâàíèå àâàðèéíîãî âîññòàíîâëåíèÿ
•
Îáñëåäîâàíèå: èçó÷åíèå îáîðóäîâàíèÿ
•
Äîêóìåíòèðîâàíèå ïðåäïðèÿòèÿ
•
Ðàçðàáîòêà ñòðàòåãèè ðåçåðâíîãî êîïèðîâàíèÿ
•
Ðåçåðâíîå êîïèðîâàíèå îïåðàöèîííîé ñèñòåìû è ñëóæá Windows Server 2003
•
Çíàêîìñòâî ñ ïðîãðàììàìè ðåçåðâíîãî êîïèðîâàíèÿ Windows Server 2003
•
Ñëóæáà âèðòóàëüíûõ äèñêîâ
•
Ïðèìåíåíèå óòèëèòû ðåçåðâíîãî êîïèðîâàíèÿ Windows Server 2003 Backup (ntbackup.exe)
•
Èñïîëüçîâàíèå Remote Storage
•
Èñïîëüçîâàíèå ñëóæáû ôîíîâîãî êîïèðîâàíèÿ òîìà
•
Âàðèàíòû ðåçåðâíîãî êîïèðîâàíèÿ ñëóæá Windows Server 2003
•
Óïðàâëåíèå íîñèòåëÿìè äëÿ óòèëèòû Windows Server 2003 Backup è ñëóæáû Remote Storage
•
Óòèëèòû óñòðàíåíèÿ íåïîëàäîê ïðè çàïóñêå Windows Server 2003
ÃËÀÂÀ
32
1092
Технологии обеспечения отказоустойчивости ×àñòü IX
Windows Server 2003 — устойчивая и надежная операционная система. Существует достаточно много причин для введения систем Windows Server 2003 в серверную среду, в числе которых распределенные файлы, удаленный доступ, службы каталогов, службы печати, Web-службы и сетевые службы. Эта стабильная платформа может поддерживать несколько пользователей, но, как и при производственной эксплуатации любого сервера, перед внедрением этого продукта IT-персонал должен ознакомиться с методами его правильной установки и настройки, а также со способами его оптимизации, мониторинга производительности, поддержки и, что не менее важно, методами резервного копирования и восстановления в случае возникновения отказа системы. Когда в сеть вводится новая компьютерная служба, приложение или операционная система, всегда нужно уделять внимание планированию резервного копирования и аварийного восстановления. Администраторы сталкиваются с задачей создания плана аварийного восстановления, который может показаться устрашающей задачей. Планирование аварийного восстановления похоже на древний вопрос: “Что было раньше — курица или яйцо?” Чем они похожи? Для плана аварийного восстановления вопрос может стоять так: “Что делать раньше — план резервного копирования или план восстановления?” По крайней мере, в этом случае ответ прост: они дополняют друг друга, поэтому их надо планировать параллельно. Перед созданием плана резервного копирования администраторы должны выяснить типы планируемых отказов и аварий и требования к восстановлению для каждого из этих отказов. Первоначальная оценка всего, что необходимо для восстановления, дает администраторам список всех элементов, которые могут понадобиться для резервного копирования на случай восстановления при возникновении конкретного сбоя. Когда они поймут, что необходимо копировать, тогда они смогут создать план резервного копирования. Поэтому администраторам рекомендуется обследовать каждую службу сервера и каждое приложение и выяснить, что необходимо для восстановления — дабы их план резервного копирования был основан на корректной информации. В этой главе описано планирование резервного восстановления, а также представлены советы, приемы и практические рекомендации по реализации стратегии резервного копирования и восстановления. Кроме того, здесь предложены пошаговые инструкции по использованию средств, встроенных в Windows Server 2003.
Ïëàíèðîâàíèå àâàðèéíîãî âîññòàíîâëåíèÿ Планирование аварийного восстановления является важной частью ведения дел любой организации. Планирование аварийного восстановления выполняется не только для серверов, но и для всей компании. Организации нужен план восстановления не только серверов, но и сети, в том числе и оказания помощи пользователям в подключении при невозможности физического доступа к офису.
Ðàçíîâèäíîñòè àâàðèé Аварии происходят в различных формах и видах. В этой главе рассматривается резервное копирование Windows Server 2003, однако оно было бы далеко не полным, если не рассмотреть, хотя бы кратко, все различные области, требующие исследования
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1093
при создании плана аварийного восстановления для компьютерной и сетевой инфраструктуры. Знание разновидностей аварий, для которых требуется планирование, является первым шагом в планировании аварийного восстановления. В последующих разделах описаны некоторые основные типы аварий.
Ôèçè÷åñêàÿ àâàðèÿ ïëîùàäêè Авария площадки — это все, что препятствует доступу пользователей или клиентов к нужному им расположению в офисе. В качестве примеров можно привести естественные катастрофы — потопы, пожары, землетрясения, ураганы или смерчи — которые могут разрушить офис. Авария площадки также может быть физическим ограничением, например, поврежденный мост, угроза взрыва бомбы или эвакуация работников с их рабочих мест. Если ограничен или невозможен только физический доступ, то связь между пользователями и корпоративной сетью может быть восстановлена с помощью удаленного доступа. Более подробную информацию на эту тему можно найти в главе 26.
Ïðîïàæà ýëåêòðîïèòàíèÿ Пропажи электропитания могут внезапно произойти в любое время. Причинами некоторых отказов в питании могут оказаться плохие погодные условия, но иногда это может произойти из-за высокого потребления электроэнергии. Летом 2001 года многие компании, расположенные в Северной Калифорнии (США), остались без электричества, так как энергоснабжающие компании не смогли перераспределить электроэнергию из сельской местности в мощные энергопотребляющие области, среди которых Силиконовая долина. Многие компании не смогли функционировать, поскольку их работа была основана на использовании компьютеров.
Âûõîä èç ñòðîÿ ñåòè В организациях, использующих компьютерные сети — внутренние или для подключения к Internet — возможны выходы из строя сети, что влечет за собой потерю производительности и, возможно, дохода. Этими проблемами могут быть нечаянное повреждение сетевого кабеля, покупка или продажа фирмы, занимающейся поставкой услуг Internet, и непреднамеренное отключение главного соединения с офисом новой организацией. Также может отказать сетевой маршрутизатор или другое сетевое оборудование — концентраторы, коммутаторы, карты сетевого интерфейса или даже сетевые кабели.
Îòêàçû îáîðóäîâàíèÿ ñåðâåðà Отказы сервера — это тип проблем, которые планируются большинством организаций, поскольку это, по-видимому, наиболее часто встречающийся вид аварий. Отказы оборудования сервера включают в себя отказы материнских плат, процессоров, памяти, карт сетевого интерфейса, дисковых контроллеров, источников питания и, конечно, жестких дисков. Каждый из этих отказов должен обрабатываться поразному, но для обеспечения отказоустойчивости на уровне системы необходимо реализовать кластер с помощью либо службы кластеров Windows Server 2003, либо балансировки сетевой нагрузки.
1094
Технологии обеспечения отказоустойчивости ×àñòü IX
Îòêàç æåñòêîãî äèñêà Жесткие диски выделены в отдельную причину отказа оборудования сервера. Windows Server 2003 поддерживает горячее переключение жестких дисков, но только в том случае, если такую замену поддерживают шасси сервера и дисковые контроллеры. Windows Server 2003 поддерживает два типа дисков: обычные диски, для обратной совместимости, и динамические диски, позволяющие сконфигурировать программные дисковые массивы без специального аппаратного контроллера дискового массива. Кроме того, и обычные, и динамические диски, используемые для хранения данных, можно легко переносить на другие серверы для обеспечения хранения данных при возникновении сбоя оборудования системы, если необходимо максимально быстро предоставить доступ к данным на этих дисках.
НА ЗАМЕТКУ При наличии аппаратного RAID необходимо создать резервную копию конфигурации карты контроллера с помощью специальной утилиты, поставляемой производителем, иначе при переносе дисков на другую машину ее придется создавать с нуля.
Ïîâðåæäåíèå ïðîãðàìì Повреждение программного обеспечения может произойти на многих различных уровнях. Это может быть повреждение в списке управления доступом (ACL) файла, в файле операционной системы, либо какое-то приложение может по ошибке перезаписать файлы или папки. Системы, предоставляющие доступ к базам данных, подвержены также разрушениям баз данных, поэтому следует принять специальные меры, обеспечивающие частое резервное копирование баз данных и уяснение правильных приемов резервного копирования и восстановления.
Îáñëåäîâàíèå: èçó÷åíèå îáîðóäîâàíèÿ Ключом к созданию плана аварийного восстановления является понимание среды, для которой необходимо определить непрерывный производственный процесс. Разбираясь в различных возможных отказах, администратор должен также хорошо понимать принципы работы серверов и систем, для которых планируется резервное копирование, чтобы обеспечить их полное документирование. Результатом этого обследования должны быть схемы как имеющихся компьютерных технологических систем, так и бизнес-процессов, используемых в организации. Системы можно восстанавливать и замещать, но если после восстановления произошли какие-либо изменения, то пользователей потребуется обучить или, по крайней мере, сообщить об этих изменениях. Таким образом, процесс изучения среды включает понимание технологии и бизнес-процессов, протекающих в организации.
Èäåíòèôèêàöèÿ ðàçëè÷íûõ ñëóæá è òåõíîëîãèé Каждая служба сервера или клиент-серверное приложение в сети предоставляет важную системную функцию, которая критична или, по крайней мере, нужна организации. При необходимости планирования аварийного восстановления особенно важ-
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1095
ны серверные приложения, требующие специальных процедур резервного копирования и восстановления. Необходимо идентифицировать и документировать каждое приложение, службу или технологию, чтобы при разработке такого плана IT-группа имела ясное представление о сложности среды.
Îïðåäåëåíèå íåðåçåðâèðîâàííûõ òî÷åê îòêàçà Нерезервированная точка отказа представляет собой компьютер или сетевое устройство, эксклюзивно предоставляющее конкретную службу или приложение в силу ограничений на приложение или бюджет. Нужно идентифицировать каждую нерезервированную точку отказа, так как обычно она является ключевым устройством вроде очень дорогого маршрутизатора. В Windows Server 2003 служба Active Directory поставляется со своим собственным набором нерезервированных точек отказа с их перемещаемыми ролями с одним мастером (Flexible Single Master Operations — FSMO). Эти роли предоставляют эксклюзивные функции ко всему лесу Active Directory или просто к отдельному домену. Дополнительная информация о ролях FSMO содержится в главе 7.
Ïðèñâîåíèå ïðèîðèòåòîâ êîìïîíåíòàì ñðåäû После идентификации всех компьютерных служб и приложений, используемых в сети, в том числе и нерезервированных точек отказа, им должны быть присвоены приоритеты, начиная с наиболее важного. Для расстановки приоритетов служб и приложений администраторы должны начать с понимания назначения или потребности, обслуживаемой конкретными приложениями, и величины влияния их неготовности на продуктивность производства или доход компании. Например, компания, продающая товары по телефону или через Web-сайт, может очень сильно зависеть от сервера базы данных, хранящего все накладные, ордера и ведомости. С другой стороны, она может не так сильно зависеть от почтового сервера, который используется для отправки сообщений о покупке или подтверждении выполнения заказа. Если в данном примере в середине рабочего дня станет недоступным сервер базы данных, это может существенно повлиять на производство, так как станут недоступными принятые через Web-сайт заказы. Пострадают и телефонные заказы, поскольку в этом случае появляется вероятность приема заказов на товары, отсутствующие на складе. Если же откажет почтовый сервер, то его необходимо исправить и вновь подключить в сеть, но напрямую на доходе компании это не скажется. Все среды различны, поэтому, когда дело доходит до расстановки приоритетов в среде, невозможно дать один-единственный совет. Лучшее, что можно посоветовать — выполнять тщательное планирование. Частью списка абсолютно необходимых служб могут стать лишь несколько первых служб и приложений из списка служб, упорядоченных по приоритетам.
Îïðåäåëåíèå àáñîëþòíî íåîáõîäèìûõ ñëóæá Абсолютно необходимые службы — это наименьшее возможное количество служб и приложений, которые должны выполняться для продолжения процесса производства.
1096
Технологии обеспечения отказоустойчивости ×àñòü IX
Например, абсолютно необходимой компьютерной службой для розничной торговой точки может быть сервер, выполняющий программный пакет розничной торговли и обслуживающий принтер журнала прихода товара. Для инженерной консалтинговой фирмы это могут быть рабочие станции инженеров и приложения CAD/CAM, файловый сервер, хранящий чертежи, и сетевой плоттер.
Ñîçäàíèå ðåøåíèÿ àâàðèéíîãî âîññòàíîâëåíèÿ Когда администраторы выяснят, какие виды отказов могут произойти и какие службы и приложения наиболее важны, у них будет почти вся информация для создания высокоуровневого решения аварийного восстановления (АВ). Последним элементом мозаики является определение вариантов резервного копирования и восстановления — если не для всех служб и приложений, то хотя бы для абсолютно необходимых служб. При выявлении процесса администраторы должны определить, какое оборудование необходимо для локального или удаленного резервного копирования и восстановления служб при планировании аварии сайта. Разработка различных сценариев АВ только на высоком уровне и предоставление их ответственным лицам позволит руководству рассмотреть проект с информированной точки зрения, а не как еще один запрос IT-персоналу на дополнительное ненужное оборудование.
Óòâåðæäåíèå ðåøåíèé àâàðèéíîãî âîññòàíîâëåíèÿ Расстановка приоритетов и определение абсолютно необходимых служб не являются функциями только IT-персонала; эти решения должны принимать и руководители. Члены IT-персонала ответственны за определение нерезервированных точек отказа, сбор статистической информации об использовании приложений и служб и, возможно, оценку влияния отказа в обслуживании на производственные функции. Прежде чем руководители смогут принять обоснованное решение о финансировании планирования IT-отделом аварийного восстановления, они должны получить всю соответствующую информацию. Решение АВ, предоставленное руководителям, должно содержать затраты, связанные с покупкой дополнительного оборудования и сложностью конфигурирования, а также соглашение об уровне обслуживания (Service Level Agreement — SLA), определяющее время, необходимое на восстановление службы в случае возникновения отказа. Кроме того, должны быть предоставлены различные варианты действий в различных ситуациях возникновения отказов. Например, для тестирования исправлений и обновлений прикладных приложений, прежде чем применить их на производственном сервере, можно использовать запасной сервер с теми же настройками, что и производственный сервер, что позволит уменьшить риск, связанный с непроверенными обновлениями. Этот запасной сервер можно задействовать и в случае отказа какого-либо компонента производственного сервера: можно поменять отказавший компонент с запасного сервера, а то и весь сервер. Хорошей идеей является представление рекомендуемого решения АВ, а, кроме него, и нескольких альтернативных более дешевых решений. Скорее всего, более дешевые решения приведут к более длительным интервалам простоя, однако они могут по-
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1097
казаться приемлемыми для руководителей, финансирующих решение. Лучше получить утвержденный бюджет для альтернативного плана АВ, чем не иметь вообще никакого бюджета для рекомендуемого плана. Персонал должен всегда стремиться четко формулировать соглашения об уровне обслуживания и документировать или иметь бумажное обоснование решений АВ, которые были утверждены или отброшены. Если возникнет отказ, который был запланирован, но для которого не был выделен бюджет, то сотрудники и руководители IT-отдела должны иметь возможность доказать это, предоставив все факты и документы. В конце концов, независимо от того, кто отказывает в финансировании и кто выбирает планируемые отказы, вся вина ляжет на IT-персонал, поэтому он должен постараться утвердить наилучший план.
Äîêóìåíòèðîâàíèå ïðåäïðèÿòèÿ Итак, мы уже рассмотрели, какие компьютерные службы образуют среду, какие типы отказов следует планировать и доступ к каким службам необходимо обеспечить в первую очередь при возникновении сразу нескольких отказов или аварии на площадке. Теперь можно приступать к реальному созданию инструментального набора аварийного восстановления, с помощью которого квалифицированный работник может восстановить отказавшую службу, приложение или сервер. До начала создания инструментального набора необходимо полностью и аккуратно документировать текущую инфраструктуру.
НА ЗАМЕТКУ Полная информация по документированию среды Windows Server 2003 приведена в главе 24.
Äîêóìåíòèðîâàíèå êîíôèãóðàöèè ñåðâåðà Документирование конфигурации сервера очень важно для любой среды вне зависимости от ее размера, количества серверов и бюджета аварийного восстановления. Документ с конфигурацией сервера содержит имя сервера, информацию о сетевой конфигурации, информацию об оборудовании и драйверах, конфигурацию дисков и томов и информацию об установленных приложениях. Полный документ с конфигурацией сервера содержит всю необходимую информацию о конфигурации, которая может понадобиться квалифицированному администратору, если потребуется вновь создать сервер с нуля при невозможности восстановления операционной системы из резервной копии. Документ с конфигурацией сервера можно использовать и для справок, если понадобится собрать информацию о сервере.
Äîêóìåíòàöèÿ ïî ñîçäàíèþ ñåðâåðà Документация по созданию сервера содержит пошаговые инструкции по созданию конкретного типа сервера в организации. Степень подробности этого документа зависит от квалификации лица, ответственного за пересоздание сервера. Например, если этот документ создан для целей аварийного восстановления, то его можно создать достаточно подробным, чтобы восстановить сервер мог любой работник с базовыми навыками работы с компьютером. Этот тип информации можно также использовать,
1098
Технологии обеспечения отказоустойчивости ×àñòü IX
чтобы помочь IT-персоналу стандартизовать процесс создания конкретного сервера, дабы гарантировать, что при добавлении в сеть новых серверов они будут удовлетворять стандартам этой компании.
Ñïèñîê îáîðóäîâàíèÿ В документировании списка оборудования всей сети может и не быть необходимости, но оно все же может принести пользу. Доступно множество средств наподобие сервера управления системами (Systems Management Server — SMS) Microsoft, предназначенных для помощи в инвентаризации оборудования и существенно автоматизирующих процесс сбора и записи необходимой информации. Эти средства особенно полезны в больших организациях. Объем и тип собираемой информации различается в разных организациях и может содержать каждую систему или устройство, компоненты сетевой среды или специальную информацию вроде серийных номеров или скорости процессора.
Êîíôèãóðàöèÿ ñåòè Документирование конфигурации сети важно при возникновении отказа в работе в сети. Адекватная и аккуратная документация сетевой конфигурации и сетевые схемы могут упростить и локализовать поиск неполадок в сети при возникновении сбоя.
Ïîäêëþ÷åíèå ê WAN Подключение к глобальной сети (Wide Area Network — WAN) должно быть документировано для сетей предприятий, содержащих много сайтов, чтобы помочь ITперсоналу понять топологию сети предприятия. Этот документ помогает персоналу оценить время, необходимое для того, чтобы изменение, выполненное на сайте A, достигло сайта B. Этот документ должен содержать информацию обо всех каналах WAN, включая количество устройств, контактные имена ISP, номера телефонов технической поддержки ISP и сетевую конфигурацию на каждом конце подключения. Он может быть использован для устранения неполадок и локализации проблем со связью в WAN.
Êîíôèãóðàöèè ìàðøðóòèçàòîðà, êîììóòàòîðà è áðàíäìàóýðà Брандмауэры, маршрутизаторы и иногда коммутаторы могут работать с собственными операционными системами с конфигурациями, специфичными для этих устройств. Необходимо собрать информацию с этих устройств, включая входной пароль и текущую конфигурацию. При планировании изменения конфигурации одного из этих устройств новая предлагаемая конфигурация должна быть создана с помощью текстового или графического редактора, но прежде чем провести это изменение на производственном устройстве, оно должно быть утверждено. Необходимо также предварительно создать план отката, обеспечивающий возможность восстановления устройства в исходное состояние, если проведенное изменение не даст нужных результатов.
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1099
Äîêóìåíòàöèÿ ïî âîññòàíîâëåíèþ Документация по восстановлению, такая как уже упомянутый документ по созданию сервера, может быть довольно сложной и посвященной отдельным задачам. Документация по восстановлению предназначена для помощи администратору при восстановлении после отказа отдельного сервера, серверной платформы, конкретного устройства или приложения. Документация по восстановлению будет описана в главе 33.
Îáíîâëåíèå äîêóìåíòàöèè Одна из наиболее важных, но часто не учитываемых задач в отношении документации — это обновление документации. Документирование представляет собой достаточно нудное дело, но если после создания документа произошло много изменений, то устаревшая документация может оказаться бесполезной. Например, если для воссоздания сервера с нуля используется документ с конфигурацией сервера, но с момента его создания произошло много изменений, то нужные исправления безопасности могут оказаться не примененными, приложения могут быть неверно настроены или могут оказаться безуспешными попытки восстановления данных. При проведении изменения в сетевом устройстве, принтере или сервере необходимо создать документацию, описывающую предыдущую конфигурацию, предлагаемые изменения и план отката, прежде чем это изменение будет утверждено и выполнено на производственном устройстве. После выполнения изменения и проверки, что устройство функционирует нормально, потребуется обновить документацию, связанную с этим устройством или сервером.
Ðàçðàáîòêà ñòðàòåãèè ðåçåðâíîãî êîïèðîâàíèÿ Разработка стратегии резервного копирования включает планирование логистики резервного копирования необходимой информации или данных либо с помощью программы резервного копирования и носителя, либо с помощью документации, но обычно используется комбинация и того, и другого. Другие аспекты резервного копирования — это назначение конкретных задач отдельным работникам IT-персонала, чтобы быть уверенным, что конкретная служба или сервер регулярно копируется, а документация аккуратно отражает текущее состояние.
Ñîçäàíèå ãëàâíîãî ñïèñêà ó÷åòíûõ çàïèñåé Создание главного списка учетных записей является сомнительным делом, поскольку оно противоречит тому, что в некоторых организациях по обеспечению безопасности называется лучшим практическим советом; однако многие организации выполняют эту процедуру. Главный список учетных записей содержит все имена и пароли пользователей с привилегированными полномочиями или полномочиями администраторов высшего уровня сетевых устройств, серверов, принтеров и рабочих станций. Этот список нужно либо хранить на бумаге в запечатанном конверте в сейфе офиса, либо в виде зашифрованной электронным способом копии. Этот список нужно
1100
Технологии обеспечения отказоустойчивости ×àñòü IX
использовать только в случае недоступности назначенных работников IT-персонала при необходимости восстановления отказа в работе, и если только одна из учетных записей списка имеет необходимый доступ. После использования этого списка, в зависимости от того, кто получил временный доступ, в целях безопасности необходимо изменить все пароли из списка и составить другой запечатанный список.
Íàçíà÷åíèå çàäà÷ è âûäåëåíèå ÷ëåíîâ êîìàíäû Каждый конкретный сервер или сетевое устройство предприятия предъявляет специальные требования к резервному копированию и документированию устройства и обеспечиваемой им службы. Для надежного и правильного выполнения резервного копирования критичных систем IT-персонал должен выделить отдельное лицо, следящее за этим устройством, чтобы гарантировать выполнения резервных копирований и ведение аккуратной и адекватной документации. Можно назначить еще одного работника с теми же самыми навыками, чтобы он был запасным на случай болезни или недоступности основного работника — это удобно для обеспечения безотказной работы IT-персонала. Назначение только главного и запасного работников для конкретных устройств служб может повысить общую безопасность и надежность устройства. Ограничивая круг лиц, которые могут выполнять резервное копирование и восстановление данных и, возможно, управлять устройством, только первичным и запасным работниками, организация может гарантировать, что с системой работают только компетентные лица, обученные управлению этой системой. Но хотя ответственность за резервное копирование и восстановление возлагается на первичного и запасного работников, все равно необходимо иметь документированные планы резервного копирования и восстановления, доступные остальным работникам IT-отдела.
Ñîçäàíèå ðåãóëÿðíûõ ïðîöåäóð ðåçåðâíîãî êîïèðîâàíèÿ Создание регулярных процедур резервного копирования помогает гарантировать согласованное и правильное копирование всех данных предприятия. После создания регулярной процедуры назначенные работники вскоре привыкают к этой процедуре, и она становится их второй натурой. При отсутствии документированной процедуры некоторые пункты могут быть выпущены из виду и не скопированы, что может повлечь за собой серьезные неприятности при возникновении отказа. Например, регулярная процедура резервного копирования системы Windows Server 2003 может копировать пользовательские данные на локальных дисках каждую ночь и выполнять резервное копирование автоматической системы восстановления системы раз в месяц и при изменениях в оборудовании сервера.
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1101
Ñîçäàíèå ñîãëàøåíèÿ îá óðîâíå îáñëóæèâàíèÿ äëÿ âñåõ êðèòè÷åñêèõ ñëóæá Соглашение об уровне обслуживания (Service Level Agreement — SLA) определяет доступность и производительность конкретного устройства или службы. Обычно оно связано с отказами в работе. Например, в обобщенном SLA может быть указано, что при возникновении отказа в работе файлового сервера FP01 его можно восстановить и сделать доступным в сети в пределах четырех часов. Соглашения об уровне обслуживания обычно специально определяются в составе решений аварийного восстановления, а иногда SLA является основой для решения аварийного восстановления. Например, если компания не может работать без своей базы данных более одного часа, то нужно создать решение аварийного восстановления, удовлетворяющее этому SLA. Прежде чем определить SLA, работник IT-персонала, ответственный за устройство, должен понять, что необходимо для восстановления этого устройства после отказа любого типа. Это лицо должно также ограничить SLA только типами отказов, предусмотренными в утвержденном решении аварийного восстановления. Например, предположим, что выход из строя сайта не запланирован. В SLA может утверждаться, что при отказе устройства оно может быть восстановлено с помощью запасного оборудования и переведено в оперативный режим в течение не более двух часов. С другой стороны, при возникновении отказа сайта невозможно оценить время восстановления, так как необходимо собрать носители резервных копий, находящиеся у стороннего поставщика услуг запоминающих устройств, и необходимо купить или переназначить оборудование, необходимое для восстановления устройства. Чем конкретнее содержание SLA, тем больше шансов на охват всех возможных вариантов.
Îïðåäåëåíèå îáîñíîâàííîãî SLA SLA невозможно создать, пока кто-либо из IT-персонала не выполнит тестирование резервного копирования и восстановления, чтобы проверить корректность процедур аварийного восстановления и что данные можно восстановить в требуемый промежуток времени. Если SLA определено до создания решения аварийного восстановления, то IT-работнику необходимо проверить, удовлетворяет ли этому SLA стандартная процедура восстановления или может понадобиться специально созданное (возможно, дорогое) решение.
Îïðåäåëåíèå, äëÿ êàêèõ óñòðîéñòâ íåîáõîäèìî ðåçåðâíîå êîïèðîâàíèå С каждым устройством могут быть связаны специальные требования к резервному копированию. Назначенные работники IT-персонала ответственны за обследование и изучение требований к резервному копированию и восстановлению, чтобы гарантировать, что копируется все, что необходимо для восстановления после отказа устройства. Для сетевых устройств необходимо копировать конфигурации устройств; для серверов необходимо копировать данные на локальных и совместно используемых запоминающих устройствах, файлы операционной системы и конфигурации операционных систем. Некоторые описания резервного копирования могут быть сведены просто к документации и нескольким параметрам в текстовом файле.
1102
Технологии обеспечения отказоустойчивости ×àñòü IX
Ñîçäàíèå çàãðóçî÷íîé äèñêåòû Windows Server 2003 Если в предыдущих версиях Windows тома RAID 1 создавались с помощью операционной системы, а не аппаратным способом, то при отказе первичного диска тома администратору нужно было создавать специальный загрузочный диск для указания на оставшийся диск, с которого можно загрузить сервер. В Windows Server 2003 эта зависимость устранена, поскольку в нем добавлена дополнительная строчка в файле boot.ini, указывающая на том второго диска, что позволяет серверу правильно загружаться с оставшегося диска. Единственная сложность заключается в том, что администратору необходимо выбрать нужный вариант, когда файл boot.ini выводит на экран варианты загрузки. В следующей информации файла boot.ini зеркальный том называется вторичным узлом (secondary plex): [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="C: Windows Server 2003, ªEnterprise" /fastdetect multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Boot Mirror C: - secondary plex" Предыдущий пример взят непосредственно из файла boot.ini системы Windows Server 2003, использующей программные массивы RAID 1 для системного раздела. Вторичный узел является всего лишь ссылкой, но дисковый контроллер и информация о дисковом томе указывают загрузчику операционной системы подключиться к нужному оставшемуся разделу. Иногда бывает необходима загрузочная дискета, особенно если загрузочный и системный тома не совпадают, а загрузочные файлы недоступны. В подобных ситуациях загрузочная дискета — единственное спасение. Чтобы создать загрузочную дискету, просто отформатируйте дискету, а затем скопируйте на нее с локальной консоли сервера файлы boot.ini, NTLDR и NTDETEСT. Если BIOS не сможет обнаружить файлы загрузчика операционной системы, то с помощью этой дискеты можно загрузить систему и указать ей корректный том, содержащий файлы операционной системы.
Ðåçåðâíîå êîïèðîâàíèå îïåðàöèîííîé ñèñòåìû è ñëóæá Windows Server 2003 Операционная система Windows Server 2003 содержит несколько возможностей, предназначенных для повышения стабильности операционной системы, обеспечения резервирования данных и служб и предоставления богатых возможностями клиентских служб. Для обеспечения вариантов восстановления после самых серьезных аварий многие службы содержат свои собственные средства резервного копирования и могут потребовать дополнительного внимания. В данном разделе рассматриваются способы резервного копирования системы Windows Server 2003, предназначенные для восстановления после полного отказа сервера или для восстановления сервера в предыдущее состояние. В данном разделе также кратко описаны конкретные службы Windows Server 2003, содержащие вспомогательные средства для процесса восстановления резервной копии.
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1103
Ðåçåðâíîå êîïèðîâàíèå çàãðóçî÷íîãî è ñèñòåìíîãî òîìîâ Стратегия резервного копирования для каждой системы Windows Server 2003 всегда должна включать загрузочный и системный дисковые тома. Во многих инсталляциях загрузочный и системный том — это одно и то же, но иногда они располагаются на различных томах, обычно на компьютерах с двойной загрузкой. Далее в этом разделе мы будем предполагать, что оба они находятся в одном и том же разделе, который мы будем называть системным томом. Этот том содержит все файлы, необходимые для запуска ядра операционной системы. Нужно создавать резервные копии этого тома перед проведением изменений в операционной системе и после них, и по возможности каждые 24 часа. При установке приложений они по умолчанию устанавливаются в системный раздел, если во время установки не указан другой раздел. В среднем объем данных на системном томе с установленными приложениями и службами равен где-то 1–5 Гб. Системный том может быть сильно заполнен, если администраторы забудут удалять или архивировать журналы наподобие Web- и FTP-журналов, если они используются в системе.
НА ЗАМЕТКУ При резервном копировании системных томов в это же время необходимо копировать и состояние системы — для упрощения восстановления, если сервер понадобится создать заново с нуля.
Ðåçåðâíîå êîïèðîâàíèå òîìîâ äàííûõ Если сервер используется в качестве файлового сервера, рекомендуется хранить пользовательские данные отдельно от операционной системы, чтобы повысить общую производительность системы и улучшить время доступа к данным. Если системы создаются с учетом этой рекомендации, то резервное копирование только системного тома не копирует данные пользователей. Резервное копирование томов данных не менее, а может, и более важно, чем резервное копирование системного тома. Такой том обычно содержит файлы и папки пользователей и данные приложений, в том числе данные Web-сайтов, файлы журналов и баз данных. Обычно тома данных являются наибольшими томами. Это приводит к более длительным интервалам резервного копирования и может потребовать более одной ленты, если используется ленточное устройство. Во многих организациях полное резервное копирование томов данных можно выполнять лишь раз в неделю, а для фиксации новых и измененных данных можно ежедневно выполнять инкрементальное или дифференциальное резервное копирование.
Ðåçåðâíîå êîïèðîâàíèå ñëóæá Windows Server 2003 Многие службы Windows Server 2003 хранят данные о конфигурации и состоянии в отдельных файлах или базах данных, находящихся в различных местах системного тома. Если служба входит в состав Windows Server 2003, то при выполнении полного резервного копирования всех дисков и состояния системы сервера наверняка копи-
1104
Технологии обеспечения отказоустойчивости ×àñòü IX
руются и критические данные. Некоторые службы предоставляют свои функции резервного копирования и восстановления. Процедуры резервного копирования этих служб описаны в разделе “Применение утилиты резервного копирования Windows Server 2003 Backup (ntbackup.exe)” далее в данной главе.
Ðåçåðâíîå êîïèðîâàíèå ñîñòîÿíèÿ ñèñòåìû Состояние системы Windows Server 2003 содержит, как минимум, системный реестр, загрузочные файлы и базу данных регистрации классов COM+. Резервное копирование состояния системы создает моментальную копию, с помощью которой можно восстановить сервер в предыдущее рабочее состояние. При необходимости восстановления сервера абсолютно необходимо иметь копию состояния системы. Что будет содержать состояние системы, кроме перечисленных выше трех элементов — определяет конфигурация сервера. На контроллерах доменов состояние системы содержит также базу данных Active Directory и общий ресурс SYSVOL. Для кластера оно содержит данные кворума кластера. При инсталляции служб наподобие сервера сертификации и информационного сервера Internet (IIS), содержащих свои собственные специфичные данные, эти базы данных не перечисляются отдельно, а копируются вместе с состоянием системы. Хотя состояние системы содержит много подкомпонентов, с помощью программ, входящих в состав Windows Server 2003, все состояние системы можно скопировать только целиком. Но при необходимости восстановления существует несколько различных возможностей. Восстановление данных с помощью резервной копии состояния системы будет описано в главе 33. Резервное копирование состояния системы необходимо выполнять каждую ночь, чтобы быть готовым к нескольким отказам, связанным с сервером. Восстановление состояния системы является очень мощным средством и может возвратить систему в предыдущее рабочее состояние, если понадобится откат изменения или восстановление операционной системы с нуля после полного отказа сервера.
Èñïîëüçîâàíèå ïàðîëÿ ðåæèìà ñëóæáû âîññòàíîâëåíèÿ êàòàëîãîâ Когда система Windows Server 2003 повышается до контроллера домена, среди прочих действий необходимо создать пароль режима службы восстановления каталогов. Этот пароль используется только при загрузке в режим службы восстановления каталогов. Режим Restore (Восстановление) используется, когда базе данных Active Directory требуется обслуживание или восстановление из резервной копии. Многие администраторы обнаруживали, что они не могут войти в режим Restore, когда это необходимо, и им приходилось восстанавливать системы с нуля для восстановления данных состояния системы. Если хранить этот пароль в безопасном месте, где его могут получить нужные администраторы, то можно сэкономить немало часов драгоценного времени. Пароль режима Restore зависит от сервера и создается на каждом контроллере домена. Если пароль забыт, а контроллер домена функционирует, его можно изменить с помощью утилиты командной строки ntdsutil.exe, как показано на рис. 32.1. В примере на рис. 32.1 изменяется пароль удаленного контроллера домена с именем dc1.companyabc.com.
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1105
Ðèñ. 32.1. Изменение пароля режима восстановления Active Directory с помощью утилиты ntdsutil.exe
Çíàêîìñòâî ñ ïðîãðàììàìè ðåçåðâíîãî êîïèðîâàíèÿ Windows Server 2003 Для резервного копирования операционной системы и данных сервера применяется несколько утилит, входящих в состав Windows Server 2003. Во многих средах можно обеспечить резервное копирование с помощью комбинации этих утилит, либо вообще одной из них. Утилита резервного копирования Windows Server 2003 Backup должна использоваться для резервного копирования всей системы. Для резервного копирования данных тома на диск для дополнительной возможности восстановления данных можно воспользоваться службой фонового копирования тома. И, наконец, можно воспользоваться службой удаленного хранения данных (Remote Storage) для управления данными на томе, которые на самом деле не являются резервной копией. Данные Remote Storage хранятся в формате, который может быть прочитан программой Windows Server 2003 Backup, поэтому необходимо копировать только базу данных Remote Storage и ссылки на том сервера, что может уменьшить общее время резервного копирования.
Óòèëèòà Windows Server 2003 Backup (ntbackup.exe) Утилита резервного копирования Windows, ntbackup.exe, входила в состав серверных версий, а иногда и в состав версий рабочих станций операционной системы на протяжении нескольких лет. С помощью этой утилиты можно создать полную резервную копию локального сервера, включая локальные диски, общие диски узлов кластера, серверов, подключенных к массиву внешних запоминающих устройств, и состояния системы, содержащего все конфигурации операционной системы. Утилита Windows Backup более подробно рассматривается далее в этой главе в разделе “Применение утилиты резервного копирования Windows Server 2003 Backup (ntbackup.exe)”.
1106
Технологии обеспечения отказоустойчивости ×àñòü IX
Утилита ntbackup.exe использует службу фонового копирования томов для резервного копирования открытых файлов и создания действительно полной моментальной резервной копии системы. В утилите резервного копирования появилась новая возможность — вариант автоматического восстановления системы — с помощью которой можно восстановить сервер с нуля, включая и повторное создание дисковых томов. Главным ограничением этой утилиты является то, что она может создавать резервные копии только не открытых файлов и состояния системы и создавать резервную копию ASR локального сервера.
Remote Storage Служба Remote Storage (Удаленное хранение) Windows Server 2003 предоставляет управление иерархической памятью для хранимых на томах данных. Эту службу можно сконфигурировать на перенос данных с тома на носитель удаленного хранения данных, на основе времени последнего доступа к файлу или при достижении заранее определенного предельного значения объема свободной дисковой памяти. При переносе отдельного файла или папки на удаленный носитель хранения данных этот файл заменяется ссылкой, называемой точкой подключения (junction point). При обращении системы или конечного пользователя к этой ссылке данные с удаленного носителя пересылаются обратно на том, и изменяется дата обращения к файлу. Удаленное хранение вообще-то не предназначено для того, чтобы быть решением резервного копирования, поскольку носитель удаленного хранения данных может быть все равно единственным местом хранения мигрированных данных; однако при полном отказе сервера можно восстановить данные с удаленного носителя данных. Для чтения и восстановления данных с носителя удаленного хранения данных можно использовать утилиту Windows Server 2003 Backup; однако если вначале не восстановить службу Remote Storage и базу данных, то исходное местоположение данных восстановлено не будет. Более подробно служба Remote Storage описана далее в этой главе в разделе “Использование Remote Storage”.
Ôîíîâîå êîïèðîâàíèå òîìà Служба фонового копирования тома (Volume Shadow Copy — VSS) является новой службой, появившейся в операционной системе Windows Server 2003. С ее помощью можно обеспечить выполнение двух отдельных стратегий резервного копирования. Служба фонового копирования тома подготавливает снимок тома, который может быть использован для восстановления данных из фоновой копии на том без необходимости использования программы резервного копирования или восстановления данных с носителя. Этот процесс выполняется относительно быстро и способен копировать открытые файлы, гарантируя полное копирование тома. Фоновые копии можно создавать для отдельных томов, а в случае применения утилиты резервного копирования Windows Server 2003 Backup с ее помощью можно создать копию тома диска, а затем создать резервную копию, используя фоновую копию, а не прямой доступ к тому. Это обеспечивает более быстрое копирование и может увеличить производительность сервера. Количество операций чтения томов данных может быть уменьшено, если фоновые копии хранятся на других дисках. Фоновое копирование тома мож-
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1107
но использовать только утилитой резервного копирования Windows Server 2003 и только для локальных дисков. Дополнительная информация о фоновом копировании томов приведена ниже в данной главе в разделе “Использование службы фонового копирования тома”.
Ñëóæáà âèðòóàëüíûõ äèñêîâ В предыдущих версиях Windows операционной системе требовались специальные драйверы для виртуализации дисков. В противном случае она могла увидеть не принадлежащее ей хранилище на устройстве SAN или NAS и пытаться использовать его, хотя это и не должно происходить. В результате возникало много проблем, что зачастую вынуждало администраторов искать решения хранилищ у сторонних поставщиками дисков. В Windows Server 2003 служба виртуальных дисков (Virtual Disk Service — VDS) предоставляет интерфейс управления, абстрагирующий виртуализацию дисков. VDS обеспечивает администраторам большую гибкость и контроль над дисковой подсистемой. А именно, облегчается управление и сопровождение внешних дисков, используемых для виртуализации дисков — как будто бы доступная память находится на локальном сервере. Хотя VDS не рассматривается как утилита резервного копирования и восстановления, она является службой, которая уже давно была нужна администраторам для целей резервного копирования и восстановления. Например, администраторы могут более легко выделять и освобождать память с помощью либо сценария, либо графического интерфейса, с помощью которого можно сохранять снимки резервных копий.
НА ЗАМЕТКУ Многие организации пользуются VDS для создания томов хранилищ, чтобы хранить снимки резервных копий. Затем, во время регулярного ночного резервного копирования, создаются резервные копии этих снимков на ленту. Это позволяет администраторам легко и регулярно создавать снимки в дневное время для повышения защиты данных без влияния на производительность или доступность.
По умолчанию Windows Server 2003 включает обычных и динамических поставщиков VDS; многие поставщики VDS могут быть получены от поставщиков оборудования. Эти сторонние поставщики VDS предоставляют службы обнаружения и управления LUN.
Ïðèìåíåíèå óòèëèòû ðåçåðâíîãî êîïèðîâàíèÿ Windows Server 2003 Backup (ntbackup.exe) В состав Windows Server 2003 входят несколько средств и служб резервного копирования и архивирования пользовательских данных, но если нужно создать резервную копию всей операционной системы и дисковых томов, то лучше использовать Windows Server 2003 Backup. Эта утилита входит в состав всех различных версий платформы. Некоторые службы Windows Server 2003 предоставляют альтернативные утилиты резервного копирования, но и там можно пользоваться ntbackup.exe.
1108
Технологии обеспечения отказоустойчивости ×àñòü IX
Утилита Windows Server 2003 Backup предоставляет все необходимые функции для полного резервного копирования и восстановления одного файла или всей системы Windows Server 2003. Необходимо изучить приложения сторонних разработчиков или даже другие приложения Microsoft, установленные в системе Windows Server 2003, чтобы убедиться, что для них не нужны специальные требования к резервному копированию или дополнительные модули создания резервных копий данных и конфигурации приложения. Функции Windows Server 2003 Backup в основном ограничены резервным копированием локального сервера, но она может выполнять и резервное копирование томов удаленного сервера. В случае резервного копирования томов удаленного сервера открытые файлы пропускаются, и состояние системы может быть скопировано только на локальном сервере.
Ðåæèìû ðàáîòû Утилита резервного копирования Windows может выполняться в двух различных режимах: режим мастера и расширенный режим. Режим мастера предоставляет простой интерфейс, позволяющий создавать резервные копии за несколько простых шагов: 1. Выберите действие: резервное копирование или восстановление файлов и настроек. 2. Выберите резервное копирование всех данных или укажите, что нужно копировать. 3. Выберите данные, которые надо копировать, если не выбран вариант копирования всех данных. 4. Укажите носитель резервной копии, ленту или файл. Вот и все, что нужно сделать в режиме мастера, но такие возможности, как выполнение резервного копирования по графику и отключение фонового копирования тома, могут быть выполнены только в расширенном режиме. Расширенный режим предоставляет возможность более подробной настройки, относящейся к выполнению по графику и управлению защитой носителей резервной копии и к другим опциям резервного копирования. В последующих разделах, относящихся к утилите Windows Server 2003 Backup, будет использоваться расширенный режим.
Ðàñøèðåííûé ðåæèì Выполнение утилиты резервного копирования Windows Server 2003 в расширенном режиме позволяет администраторам настраивать все доступные возможности резервного копирования. Можно создавать резервные копирования по графику; можно запускать специальные мастера; и можно указывать дополнительные опции резервного копирования: верификация копии, использование фоновых копий томов, копирование данных с удаленного запоминающего устройства и автоматическое резервное копирование файлов, защищенных системой. Для создания резервной копии в расширенном режиме выполните следующие шаги: 1. Выберите в меню Start (Пуск) пункт All ProgramsÖAccessoriesÖSystem ToolsÖ Backup (Все программыÖСтандартныеÖСлужебныеÖРезервное копирование).
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1109
2. Если это первый запуск резервного копирования, оно откроется в режиме мастера. Выберите выполнение в расширенном режиме, щелкнув на гиперссылке Advanced Mode (Расширенный режим). 3. Щелкните на кнопке Backup Wizard (Advanced) (Мастер архивации), чтобы запустить мастер архивации. 4. На экране приветствия мастера щелкните на кнопке Next (Далее). 5. На странице What to Back Up (Что следует архивировать) выберите Back Up Selected Files, Drives, or Network Data (Архивировать выбранные файлы, диски или сетевые данные) и щелкните на кнопке Next. 6. На странице Items to Back Up (Элементы для архивации) раскройте узел Desktop\ My Computer (Рабочий стол\Мой компьютер) в левой панели и отметьте все локальные диски и состояние системы, как показано на рис. 32.2. Затем щелкните на кнопке Next.
Ðèñ. 32.2. Выбор архивируемых данных 7. Выберите тип носителя резервной копии и выберите нужную ленту или файл. Если вы создаете новый файл, то укажите полный путь к нему, и мастер создаст этот файл автоматически. Щелкните на кнопке Next. 8. Если указанный файл расположен на сетевом диске, убедитесь, что на нем имеется достаточно места для размещения резервной копии. 9. Если для резервной копии выбрана лента, выберите носитель резервной копии и выберите использование новой ленты. 10. Щелкните на кнопке Advanced (Дополнительно) на странице Completing the Backup Wizard (Завершение работы мастера архивации), чтобы указать дополнительные опции. 11. Выберите тип резервной копии и укажите, нужно ли копировать данные, перенесенные на удаленные запоминающие устройства. Стандартные значения на этой странице годятся для большинства копирований, поэтому щелкните на кнопке Next.
1110
Технологии обеспечения отказоустойчивости ×àñòü IX
12. Выберите, нужно ли выполнять верификацию носителя резервной копии, и щелкните на кнопке Next. Можно выбрать опцию Disabling Volume Shadow Copy (Отключить фоновое копирование тома), если будут копироваться только локальные тома, без состояния системы. 13. Выберите опцию Media Overwrite (Перезаписать носитель) для добавления или замены данных на носителе и щелкните на кнопке Next. 14. На странице When to Back Up (Когда архивировать) выберите создание резервной копии сейчас или создание графика резервного копирования. Если выбрано Now (Сейчас), перейдите к шагу 18. 15. Если создается график, введите имя задания и щелкните на кнопке Set Schedule (Задать график). 16. На странице Schedule Job (Планируемое задание) выберите частоту резервных копирований, время и дату их запуска, как показано на рис. 32.3, и затем щелкните на кнопке ОК. На вкладке Settings (Параметры) можно указать дополнительные параметры.
Ðèñ. 32.3. Создание графика резервного копирования. 17. На странице Set Account Information (Информация об учетной записи) введите имя и пароль учетной записи пользователя, которая будет использоваться для выполнения планируемого резервного копирования, а затем щелкните на кнопке ОК. 18. Вернувшись на страницу When to Back Up, щелкните на кнопке Next. 19. Щелкните на кнопке Finish (Готово), чтобы сохранить планируемое резервное копирование или немедленно запустить задание резервного копирования. 20. После завершения резервного копирования просмотрите протокол его выполнения в журнале резервного копирования, а затем щелкните на кнопке Close (Закрыть) в окне Backup Progress (Процесс резервного копирования).
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1111
Àâòîìàòè÷åñêîå âîññòàíîâëåíèå ñèñòåìû Автоматическое восстановление системы (Automated System Recovery — ASR) — это вариант резервного копирования, используемый для копирования системы на случай полного отказа сервера. Резервная копия ASR содержит информацию о дисковом томе и копию всех данных на загрузочном и системном томах, а также текущее состояние системы. Средство ASR можно использовать для восстановления системы с нуля, и с его помощью можно даже заново создать дисковые тома и отформатировать их так, как записано в резервной копии ASR. ASR не копирует данные, хранящиеся на томах, предназначенных только для хранения данных. Чтобы выполнить резервное копирование ASR, администратору нужна чистая дискета и устройство резервного копирования: годится либо ленточное устройство, либо диск. Необходимо помнить, что резервное копирование ASR копирует все локальные диски, содержащие операционную систему, и все установленные приложения. Например, если операционная система установлена на диске C:, а пакет MS Office — на диске D:, то будут созданы полные резервные копии обоих этих дисков, так как системный реестр содержит ссылки на файлы на диске D:. Это может существенно упростить процедуры восстановления, однако требует дополнительной памяти и увеличивает время выполнения резервного копирования ASR. После базовой инсталляции сервера Windows Server 2003 Enterprise с установленными только основными службами резервная копия ASR в среднем занимает от 1,3 Гб памяти до 4–5 Гб. Резервные копии ASR необходимо создавать перед любыми изменениями в оборудовании сервера и после них или при проведении существенных изменений в конфигурации его системы. Резервные копии ASR содержат информацию о диске, включающую обычную или динамическую конфигурацию и тип набора томов. Они хранят данные тома или раздела таким образом, что после завершения восстановления ASR требуется восстановить только данные, хранящиеся на томах запоминающих устройств.
Ñîçäàíèå ðåçåðâíîé êîïèè ASR Резервную копию ASR в настоящее время можно создать только с локальной консоли сервера с помощью графической версии утилиты резервного копирования Windows Server 2003. Для создания резервной копии ASR выполните следующие шаги: 1. Войдите в сервер с учетной записью с правами на резервное копирование системы (полномочия, необходимые для выполнения этой операции, имеет любой локальный администратор или администратор домена). 2. Выберите в меню Start пункт All ProgramsÖAccessoriesÖSystem ToolsÖBackup. 3. Если это первый запуск резервного копирования, оно откроется в режиме мастера. Выберите выполнение в расширенном режиме, щелкнув на гиперссылке Advanced Mode. 4. Щелкните на кнопке Automated System Recovery Wizard (Мастер автоматического восстановления системы), чтобы запустить мастер подготовки к автоматическому восстановлению системы. 5. На экране приветствия мастера щелкните на кнопке Next.
1112
Технологии обеспечения отказоустойчивости ×àñòü IX
6. Выберите тип носителя резервной копии и выберите нужную ленту или файл. При создании нового файла укажите полный путь к этому файлу, и он будет создан автоматически. Щелкните на кнопке Next. 7. Если в качестве носителя резервной копии указан файл, расположенный на сетевом диске, появится предупреждающее сообщение. Щелкните на кнопке Next. 8. Если в качестве носителя резервной копии выбрана лента, укажите носитель резервной копии и выберите использование новой ленты. 9. Щелкните на кнопке Finish, чтобы завершить выполнение мастера подготовки к автоматическому восстановлению системы и начать резервное копирование. 10. После завершения этапа резервного копирования на ленту или в файл утилита предложит вставить дискету для записи информации о восстановлении. Вставьте дискету и щелкните на кнопке ОК. 11. После подсказки выньте дискету и пометьте ее как хранящую информацию о резервной копии ASR. Щелкните на кнопке ОК. 12. После завершения резервного копирования ASR щелкните на кнопке Close в окне Backup Progress, чтобы возвратиться в программу резервного копирования, или щелкните на кнопке Report (Отчет) для просмотра протокола резервного копирования.
НА ЗАМЕТКУ Информация, содержащаяся на дискете ASR, хранится также на носителе резервной копии. Дискета ASR содержит только два файла — asr.sif и asrpnp.sif — которые можно восстановить с носителя резервной копии и скопировать на дискету, если найти исходную дискету ASR не удается.
Ñîâåòû ïî èñïîëüçîâàíèþ ASR Одним из способов использования ASR, обеспечивающим правильное функционирование, является выполнение резервного копирования ASR после создания, обновления, конфигурирования и настройки безопасности сервера. Кроме того, резервное копирование ASR необходимо выполнять при изменениях конфигурации оборудования, а при их отсутствии — периодически. Для контроллеров доменов этот период не должен превышать 60 дней, чтобы гарантировать восстановление домена при необходимости официального восстановления Active Directory. ASR копирует только системный и загрузочный разделы. Средний размер резервных копий ASR составляет 1,3–5 Гб. Чтобы резервные копии не были слишком большими, пользовательские данные и общие файловые ресурсы необходимо хранить не на системных и загрузочных томах.
Èñïîëüçîâàíèå Remote Storage Как упоминалось ранее, Remote Storage является службой файловой системы Windows Server 2003, используемой для автоматического архивирования данных с управляемого NTFS-тома на сменные носители. Remote Storage переносит файлы, если к ним не было доступа в течении длительного времени или когда объем свободной па-
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1113
мяти на обслуживаемом диске становится ниже указанного администратором процента. При переносе службой Remote Storage файла или папки этот файл или папка заменяется на томе ссылкой на файл, называемой точкой подключения (junction point). Точки подключения занимают очень мало места, что уменьшает объем используемой дисковой памяти, но оставляет возможность доступа к этим данным по их прежнему адресу. При обращении к точке подключения служба Remote Storage восстанавливает данные с удаленного запоминающего устройства обратно на диск. Хотя эта служба не обеспечивает отказоустойчивость файловой системы, использование Remote Storage для обслуживания томов может увеличить надежность и восстанавливаемость данных, сохраняя достаточный объем доступной дисковой памяти и уменьшая количество данных, которые необходимо копировать или восстанавливать при возникновении отказа диска. Установка и настройка службы Remote Storage описаны в главе 30.
Óïðàâëåíèå íîñèòåëÿìè Remote Storage Если резервные копии томов создаются с помощью NTBackup или программ резервного копирования сторонних разработчиков, то данные, перенесенные Remote Storage на удаленные носители, лучше не копировать. Следуя этому совету, вы будете иметь только одну копию перенесенных данных, находящуюся на удаленном запоминающем устройстве. Если создана только одна копия главного набора носителей, то при сбое сайта данные на удаленных запоминающих устройствах будут утеряны. Чтобы этого не случилось, все главные наборы удаленных запоминающих устройств потребуется скопировать однажды или даже дважды, дабы обеспечить резервирование и хранение на сторонних запоминающих устройствах. Для того чтобы можно было создавать копии главного набора носителей Remote Storage, необходимо, чтобы было доступно не менее двух дисков, на которых может работать Remote Storage. Чтобы задать количество копий носителей для Remote Storage, выполните следующие шаги: 1. Войдите в сервер с учетной записью с правами на резервное копирование системы (полномочия, необходимые для выполнения этой операции, имеет любой локальный администратор или администратор домена). 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖRemote Storage (Все программыÖАдминистрированиеÖУдаленное хранение). 3. В левой панели консоли щелкните правой кнопкой мыши на строке Remote Storage и выберите в контекстном меню пункт Properties (Свойства). 4. Перейдите на вкладку Media Copies (Копии носителей). 5. В поле Number of Media Copy Sets (Количество наборов копий носителей) укажите 0, 1 или 2. Помните, что эта опция доступна, только если в системе в качестве носителя удаленных данных доступно более одного диска. 6. Щелкните на кнопке ОК, чтобы сохранить настройку, закройте консоль Remote Storage и выйдите из сервера.
1114
Технологии обеспечения отказоустойчивости ×àñòü IX
Èñïîëüçîâàíèå ñëóæáû ôîíîâîãî êîïèðîâàíèÿ òîìà В Windows Server 2003 добавлено новое средство — служба фонового копирования тома (Volume Shadow Copy Service — VSS), добавляющая возможность быстрого восстановления данных, удаленных с локального тома, сетевого диска или сетевого общего файлового ресурса. Впоследствии должны появиться несколько дополнений к Windows Server 2003, расширяющие функциональность VSS; но и то, что встроено в операционную систему сейчас, уже предоставляет несколько функций восстановления данных. Если в организации имеется доступная дисковая память, то VSS необходимо включить как стандартную настройку сетевой среды, ориентированной на обслуживание клиентов.
Íàñòðîéêà ôîíîâûõ êîïèé Включение возможности фонового копирования тома может быть очень простой задачей. Поскольку фоновые копии создаются на локальных дисках, то производительность фонового копирования увеличивается, если фоновая копия тома записывается на отдельный диск. В этом случае каждый диск выполняет в основном либо операции чтения, либо операции записи, но не то и другое вместе. Служба фонового копирования тома уже установлена и автоматически доступна на томах, отформатированных под NTFS. Для включения и настройки фонового копирования выполните следующие шаги: 1. Войдите в нужный сервер с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖComputer Management (Все программыÖАдминистрированиеÖУправление компьютером). 3. В левой панели дважды щелкните на строке Computer Management (local) (Управление компьютером – локально), если она еще не раскрыта. 4. Щелкните на крестике рядом со строкой Storage (Память). 5. Выберите строку Disk Management (Управление дисками). 6. Щелкните правой кнопкой мыши на строке Disk Management, выберите в контекстном меню пункт All Tasks (Все задания) и щелкните на строке Configure Shadow Copies (Настройка фонового копирования). 7. На странице Shadow Copies (Фоновые копии) выберите один том, для которого необходимо включить фоновое копирование, и щелкните на кнопке Settings (Параметры). 8. На странице Settings можно выбрать другой том для хранения фоновых копий. Выберите требуемый том для фонового копирования. 9. Укажите максимальный объем дисковой памяти, который будет выделен под хранение фоновых копий.
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1115
10. По стандартному графику фоновое копирование производится два раза в день: в 07:00 и в 00:00. Если это не удовлетворяет требованиям вашего предприятия, щелкните на кнопке Schedule (График) и создайте специальный график. 11. Щелкните на кнопке ОК, чтобы включить возможность фонового копирования на этом томе, и вернитесь на страницу Shadow Copies. 12. При необходимости выберите следующий том и включите для него фоновое копирование; в противном случае выберите активизированный том и создайте фоновую копию, щелкнув на кнопке Create Now (Создать сейчас). 13. При необходимости выберите следующий том и создайте его фоновую копию, щелкнув на кнопке Create Now. 14. После создания фоновых копий щелкните на кнопке ОК, чтобы закрыть страницу Shadow Copies, закройте консоль управления компьютером и выйдите из сервера.
Ðåêîìåíäàöèè ïî ôîíîâîìó êîïèðîâàíèþ òîìîâ Если на томе активизировано фоновое копирование, необходимо следовать нескольким рекомендациям и выполнять задания по сопровождению. Для хранения фоновых копий следует указать подходящее предельное значение дисковой памяти. Для томов, на которых ежедневно изменяются множество файлов, потребуется указать большие предельные значения, чем для томов, данные которых изменяются не очень часто. Кроме того, необходимо запланировать более частое фоновое копирование для сильно загруженных дисков — не реже, чем два раза в день. Фоновые копии по возможности нужно хранить на отдельных томах. Это позволяет повысить скорость резервного копирования в фоновые копии и восстановления данных из них. И, наконец, для упрощения управления хранимыми фоновыми копиями необходимо отслеживать их количество.
Îãðàíè÷åíèÿ Служба фонового копирования тома не должна рассматриваться как средство резервного копирования и восстановления серверов в предыдущее состояние. Для резервного копирования системного тома и состояния системы необходимо использовать утилиту Windows Server 2003 Backup. Фоновое копирование томов хорошо работает для томов данных, и фоновые резервные копии томов должны создаваться в основном для этой цели. Для системных дисков фоновое копирование тома можно применять для восстановления некоторых файлов системы в предыдущее состояние, но средство защиты файлов (File Protection) Windows довольно хорошо справляется с защитой файлов операционной системы и без фонового копирования тома.
Óïðàâëåíèå ôîíîâûì êîïèðîâàíèåì ñ ïîìîùüþ vssadmin.exe Для активизации фонового копирования тома можно использовать средство командной строки vssadmin.exe. С помощью этого средства можно настроить большин-
1116
Технологии обеспечения отказоустойчивости ×àñòü IX
ство параметров, в том числе и уничтожение предыдущих фоновых копий. Комбинируя vssadmin.exe с планированием задач и пакетными файлами, можно до определенной степени автоматизировать управление фоновым копированием. Например, в командный сценарий можно добавить команды vssadmin.exe и задать удаление самых старых фоновых копий на томе ежедневно в 00:00. Чтобы с помощью vssadmin.exe удалять самые старые фоновые копии на томе, выполните перечисленные ниже шаги. 1. Войдите в нужный сервер с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт Run (Выполнить). 3. Введите cmd.exe и щелкните на кнопке ОК, чтобы открыть командное окно. 4. Введите команду vssadmin.exe delete shadows /For=C: /Oldest /Quiet и нажмите клавишу <Enter>, чтобы удалить самую старую фоновую копию тома C:. 5. Введите exit и нажмите <Enter>, чтобы закрыть командное окно, и выйдите из сервера. Для включения этой операции в график создайте с помощью блокнота текстовый документ, введите в него команду, представленную на шаге 4, и нажмите <Enter>. Сохраните этот файл с расширением .bat или .cmd. И, наконец, откройте панель управления, выберите пиктограмму Scheduled Tasks (Запланированные задания) и создайте новое задание для выполнения этого файла по соответствующему графику.
Âàðèàíòû ðåçåðâíîãî êîïèðîâàíèÿ ñëóæá Windows Server 2003 Большинство служб Windows Server 2003, содержащих базы данных или локальные файлы, копируются вместе с состоянием системы, однако у них есть и свои возможности резервного копирования и восстановления. Поскольку, кроме случаев узлов кластеров и контроллеров доменов, состояние системы обычно восстанавливается по принципу “все или ничего”, то восстановление всего состояния системы может привести к нежелательным результатам, если требуется восстановить только базу данных конкретной службы. В данном разделе описаны службы, которые либо имеют отдельные утилиты копирования/восстановления, либо требуют специального внимания для успешного выполнения резервного копирования.
Êîíôèãóðèðîâàíèå äèñêîâ (ïðîãðàììíûå RAID-íàáîðû) Конфигурирование дисков не является службой, но его также нужно копировать, чтобы иметь возможность восстанавливать правильные параметры разделов. Если для создания сложных томов наподобие зеркальных томов, томов с чередованием, расширенных томов или томов RAID 5 используются динамические диски, потребуется сохранить конфигурации дисков. В этом случае если операционная система будет запорчена и возникнет необходимость пересоздания ее с нуля, то для составных томов не-
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1117
обходимо будет восстановить только их конфигурацию, что позволит существенно уменьшить время восстановления. Выполнить резервное копирование конфигурации дисков и томов можно лишь с помощью резервного копирования автоматизированного восстановления системы.
Ñëóæáà ñåðòèôèêàòîâ При установке службы сертификатов в системе Windows Server 2003 создается центр сертификации (Certificate Authority — CA). CA используется для управления и назначения сертификатов для пользователей, серверов и рабочих станций, если необходимо обеспечить защиту или шифрование файлов, папок, почтовых сообщений или сетевого обмена данными. Когда CA выделяет сертификат машине или пользователю, эта информация записывается в базе сертификатов на локальном диске CA. Если эта база данных будет повреждена или удалена, все сертификаты, выданные с этого сервера, станут неверными или неприменимыми. Во избежание этой проблемы необходимо достаточно часто выполнять резервное копирование сертификатов и базы данных службы сертификатов. Даже если сертификаты назначаются новым пользователям или машинам редко, все равно необходимо регулярно выполнять резервные копирования. Резервное копирование службы сертификатов можно выполнить тремя способами: копированием состояния системы сервера CA, с помощью оснастки MMC Certificate Authority (Центр сертификации) или с помощью утилиты командной строки Certutil.exe. Рекомендуется создавать резервные копии службы сертификатов с помощью копирования состояния системы, так как его легко автоматизировать и планировать. Но с помощью графической консоли или утилиты командной строки можно восстановить предыдущее состояние службы сертификатов, не восстанавливая все состояние системы сервера и не выводя из оперативного режима весь сервер для выполнения восстановления. Чтобы создать резервную копию центра сертификатов с помощью графической консоли, выполните следующие шаги: 1. Войдите в сервер центра сертификации с учетной записью с правами локального администратора. 2. Откройте проводник Windows и создайте на диске C: папку CaBackup. 3. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖCertification Authority (Все программыÖАдминистрированиеÖЦентр сертификации). 4. Раскройте пиктограмму Certification Authority и выберите требуемый сервер CA. 5. В окне консоли раскройте выпадающее меню Action (Действие) и выберите пункт All TasksÖBackUp CA (Все заданияÖРезервное копирование CA). 6. На экране приветствия мастера резервного копирования центра сертификации (Certification Authority Backup Wizard) щелкните на кнопке Next. 7. На странице Items to Back Up (Элементы для архивации) установите флажок Private Key and CA Certificate (Секретный ключ и сертификат CA) и флажок Certificate Database and Certificate Database Log (База данных сертификатов и журнал базы данных сертификатов), как показано на рис. 32.4.
1118
Технологии обеспечения отказоустойчивости ×àñòü IX
Ðèñ. 32.4. Выбор элементов для резервного копирования центра сертификации 8. Укажите место, куда нужно записывать файлы резервных копий CA. Используйте для этого папку, созданную в начале этого процесса. Щелкните на кнопке Next. 9. При резервном копировании сертификата CA и секретного ключа этот файл данных должен быть защищен паролем. Введите пароль для этого файла, подтвердите его и щелкните на кнопке Next.
НА ЗАМЕТКУ Для восстановления секретного ключа CA и сертификата CA необходимо использовать пароль, введенный в шаге 9. Храните этот пароль в надежном месте, возможно, с главным списком учетных записей.
10. Щелкните на кнопке Finish, чтобы создать резервную копию CA.
Ñëóæáà äîìåííûõ èìåí Данные конфигурации службы доменных имен (Domain Name Service — DNS) хранятся в системном реестре и копируются при резервном копировании состояния системы. Для каждой зоны DNS, находящейся в системе Windows Server 2003, создается файл резервной копии зоны, который сохраняется в папке %systemroot%\DNS\Backup. Эти файлы можно копировать и использовать для восстановления зоны DNS на тот же самый или на другой сервер. Информация о создании зон DNS из существующего файла приведена в главе 33, в разделе, посвященном восстановлению данных DNS.
НА ЗАМЕТКУ В папке DNS/Backup нет верного файла резервной копии для AD-интегрированных зон. Чтобы скопировать AD-интегрированную зону, выполните резервное копирование состояния системы на любом контроллере домена AD, выполняющем DNS и содержащем эту зону.
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1119
Ñëóæáà Internet-èìåí äëÿ Windows Служба Internet-имен для Windows (Windows Internet Naming Service — WINS) представляет собой базу данных, содержащую имена NetBIOS и соответствующие им IPадреса. Имена NetBIOS содержат имена домена, сервера и рабочей станции, а также другие записи, используемые для идентификации служб наподобие главного браузера. Резервное копирование базы данных WINS выполняется с помощью резервного копирования состояния системы сервера WINS или с помощью запуска резервного копирования с консоли WINS. Поскольку данные в базу данных WINS заносятся серверами и рабочими станциями динамически, то в некоторых случаях резервное копирование может оказаться ненужным. Если WINS содержит несколько статических отображений, то резервное копирование WINS необходимо, так как эти записи не будут автоматически воссозданы, если база данных WINS будет запорчена или пересоздана с нуля. Кроме того, даже если база данных содержит только динамические записи, каждое устройство регистрируется в WINS только во время запуска, а затем периодически, поэтому через некоторое время такая запись не может быть пересоздана. Из-за этого клиенты, зависящие от NetBIOS, не смогут найти нужный сервер или рабочую станцию. Чтобы создать резервную копию с помощью консоли WINS, выполните следующие шаги: 1. Войдите в сервер WINS с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖWINS (Все программыÖАдминистрированиеÖWINS). 3. Если локальный сервер WINS не виден в окне, щелкните правой кнопкой мыши на строке WINS в левой панели и выберите в контекстном меню пункт Add Server (Добавить сервер). 4. Введите имя NetBIOS или полностью определенное доменное имя сервера WINS и щелкните на кнопке ОК. 5. Выберите в левой панели сервер WINS. 6. Щелкните правой кнопкой мыши на сервере WINS и выберите в контекстном меню пункт Properties. 7. В нижней части вкладки General (Общие) введите путь, где должна быть сохранена резервная копия WINS. Установите флажок, разрешающий резервное копирование базы данных WINS во время остановки сервера, как показано на рис. 32.5. 8. Щелкните на кнопке ОК, чтобы закрыть страницы свойств сервера WINS. 9. Щелкните правой кнопкой мыши на сервере WINS в левой панели и выберите в контекстном меню пункт Back Up Database (Резервное копирование базы данных). 10. После того как откроется окно Browse for Folder (Поиск папки), выберите папку, в которую нужно скопировать базу данных WINS, и щелкните на кнопке ОК, чтобы выполнить резервное копирование.
1120
Технологии обеспечения отказоустойчивости ×àñòü IX
11. Появится всплывающее окно с сообщением об успешном выполнении резервного копирования. Если все прошло нормально, щелкните на кнопке ОК, закройте консоль WINS и выйдите из сервера WINS. 12. При сбое резервного копирования проверьте права доступа указанного каталога, чтобы учетные записи вошедшего пользователя и системы имели, по крайней мере, полномочия на модификацию. Затем повторите попытку резервного копирования.
Ðèñ. 32.5. Выбор опций резервного копирования WINS
Ïðîòîêîë äèíàìè÷åñêîãî êîíôèãóðèðîâàíèÿ õîñòîâ Сервер протокола динамического конфигурирования хостов (Dynamic Host Configuration Protocol — DHCP) предназначен для выделения IP-адресов и опций сетевым устройствам для целей конфигурирования сети. DHCP назначает конфигурации IP, в том числе IP-адреса, маски подсети, стандартные шлюзы, DNS-серверы, WINS-серверы для RIS-серверов, TFTP-серверов и загрузочных имен файлов. В зависимости от потребностей организации можно сконфигурировать и другие опции IP. Эти опции и свойства видимости IP-адресов хранятся в базе данных DHCP. Эти база данных также содержит информацию об аренде и резервировании IP-адресов. База данных DHCP копируется при резервном копировании состояния системы сервера, но ее можно скопировать и с помощью консоли DHCP. Чтобы выполнить резервное копирование базы данных DHCP с консоли, выполните описанные ниже шаги. 1. Войдите в сервер DHCP с учетной записью с правами доступа локального администратора.
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1121
2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖDHCP (Все программыÖАдминистрированиеÖDHCP). 3. Если локальный сервер DHCP не отображается в окне, щелкните правой кнопкой мыши на строке DHCP в левой панели и выберите в контекстном меню пункт Add Server. 4. Введите полностью определенное доменное имя для сервера DHCP и щелкните на кнопке ОК. 5. Щелкните правой кнопкой мыши на сервере DHCP в левой панели и выберите в контекстном меню пункт Properties. 6. Перейдите на вкладку Advanced (Дополнительно). 7. В поле Backup Path (Путь резервной копии) уже находится местоположение по умолчанию базы данных DHCP. Если оно вас удовлетворяет, щелкните на кнопке ОК. Если там указан неверный путь, введите или найдите нужную папку для резервной копии. 8. Щелкните правой кнопкой мыши на сервере DHCP в левой панели и выберите в контекстном меню пункт Backup (Резервное копирование). 9. Выберите папку, указанную в поле DHCP Backup Location (Местоположение резервной копии DHCP) на странице DHCP Server Advanced property (Дополнительные свойства сервера DHCP). 10. После завершения резервного копирования никаких сообщений не появляется. При невозможности выполнения будет выведено сообщение об ошибке. Закройте консоль DHCP и выйдите из сервера.
Ðàñïðåäåëåííàÿ ôàéëîâàÿ ñèñòåìà Распределенная файловая система (Distributed File System — DFS) является службой Windows Server 2003, повышающей доступность общих файловых ресурсов, предоставляя единое унифицированное пространство имен для доступа к совместно используемым папкам, находящимся на различных серверах. При использовании доменных корней DFS можно сконфигурировать цели DFS, чтобы они реплицировали друг друга с помощью службы репликации файлов. Доменная DFS хранит в Active Directory информацию о корне DFS, ссылках, целях и репликации. Если используется обособленный корень DFS, то конфигурация хранится в системном реестре сервера этого корня DFS. Резервное копирование состояния системы сервера обособленного корня DFS копирует конфигурацию DFS. Для доменных корней DFS эту задачу выполняет резервное копирование состояния системы контроллера домена. Более подробно система DFS описана в главе 30. Чтобы получить информацию об обособленных или доменных корнях DFS, включая корневые цели, ссылки и ссылочные цели, можно воспользоваться утилитой командной строки Dfscmd.exe. Эту информацию можно сохранить в файле и использовать для восстановления при утере конфигурации DFS. Эта утилита не отображает, не записывает и не пересоздает подключение репликации для доменных корней DFS и целей, сконфигурированных для репликации.
1122
Технологии обеспечения отказоустойчивости ×àñòü IX
Для создания файла, содержащего настройки корня DFS, выполните перечисленные ниже действия. 1. Войдите либо в обособленный сервер корня DFS, либо сервер домена с учетной записью с полномочиями на создание корней и ссылок доменных DFS. 2. Выберите в меню Start пункт Run, введите строку cmd.exe и нажмите клавишу <Enter>, чтобы открыть командное окно. 3. Чтобы создать файл, содержащий все корневые и ссылочные цели, связанные с доменным корнем DFS с именем \\Companyabc.com\Apps, введите Dfscmd.exe /View \\Companyabc.com\Apps /Batchrestore > DFSrestore.bat и нажмите <Enter>. В результате будет создан файл, который можно использовать для восстановления дополнительных корневых целей и создания ссылок и ссылочных целей при пересоздании исходной цели корня DFS.
НА ЗАМЕТКУ Утилита Dfscmd.exe представляет собой замечательное средство, позволяющее создавать резервные копии информации о конфигурации DFS, однако она не может создать исходную цель корня DFS и не может скопировать информацию репликации для целей доменных DFS, сконфигурированных для репликации. Чтобы выполнить полное резервное копирование доменной DFS, выполните резервное копирование базы данных Active Directory, скопировав состояние системы контроллера домена в нужном домене.
Èíôîðìàöèîííûå ñëóæáû Internet Информационные службы Internet (Internet Information Services — IIS) представляют собой Web- и FTP-сервер Windows Server 2003. Они входят в состав всех версий платформы Windows Server 2003. IIS хранит информацию о конфигурациях и безопасности Web- и FTP-сайтов в метабазе IIS. Резервную копию метабазы IIS можно создать, проведя резервное копирование состояния системы сервера, выполняющего IIS, но ее можно скопировать и с помощью консоли IIS. Отдельное резервное копирование метабазы IIS необходимо выполнять перед проведением изменений в конфигурации IIS и после них, чтобы обеспечить возможность отката и иметь резервную копию последних данных конфигурации IIS непосредственно после обновления. Чтобы выполнить резервное копирование метабазы IIS с помощью консоли IIS, выполните следующие шаги: 1. Войдите в сервер IIS с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖInternet Information Services (IIS) Manager (Все программыÖАдминистрированиеÖДиспетчер IIS). 3. Если локальный сервер IIS не отображается в окне, щелкните правой кнопкой мыши на строке Internet Information Services (Служба информации Internet) в левой панели и выберите в контекстном меню пункт Connect (Подключиться). 4. Введите полностью определенное доменное имя для сервера IIS и щелкните на кнопке ОК.
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1123
5. Щелкните правой кнопкой мыши на сервере IIS в левой панели и выберите в контекстном меню пункт All TasksÖBackup/Restore Configuration (Все задачиÖ Копирование/восстановление конфигурации). 6. В окне Configuration Backup/Restore (Копирование/восстановление конфигурации) отображаются все созданные автоматические резервные копирования IIS. Щелкните на кнопке Create Backup (Создать резервную копию). 7. Введите имя резервной копии и при необходимости установите флажок Encrypt Backup Using Password (Шифрование резервной копии с помощью пароля). Введите и подтвердите пароль, а затем щелкните на кнопке ОК, как показано на рис. 32.6. 8. После создания резервной копии она отображается в окне Configuration Backup/Restore. Щелкните на кнопке Close для возврата в консоль IIS.
Ðèñ. 32.6. Создание резервной копии конфигурации IIS Прежде чем изменить что-либо в конфигурации IIS, необходимо вручную создать ее резервную копию. После проведения изменения администратор должен либо создать еще одну резервную копию, либо выбрать вариант сохранения конфигурации на диске. Администратор может сохранить новые изменения конфигурации IIS на диске, щелкнув правой кнопкой мыши на сервере IIS, выбрав в контекстном меню пункт All Tasks (Все задачи), а затем выбрав вариант Save Configuration to Disk (Сохранить конфигурацию на диск). Этот вариант работает правильно только после выполнения изменения, которое еще не записано в метабазе IIS.
Ðåçåðâíîå êîïèðîâàíèå ñëóæáû Remote Storage Служба Remote Storage отслеживает конфигурации управляемых томов и переносимые данные с помощью базы данных Remote Storage. Чтобы выполнить резервное копирование базы данных Remote Storage, администратор должен выполнить резервное копирование информации в состоянии системы. Если служба Remote Storage установлена, администратор может создать резервную копию данных, связанных с удаленным запоминающим устройством и перенесенными данными, просто скопировав данные, содержащиеся в следующих каталогах: %systemroot%\System32\Ntmsdata %systemroot%\System32\Remotestorage
1124
Технологии обеспечения отказоустойчивости ×àñòü IX
Если служба удаленного хранения выполняется во время копирования, то данные из папок Remote Storage невозможно скопировать, если не выполняется резервное копирование состояния системы.
НА ЗАМЕТКУ База данных Remote Storage копируется только при резервном копировании состояния системы через учетную запись с административными правами доступа к серверу.
Ðåçåðâíîå êîïèðîâàíèå ñëóæáû ñìåííûõ çàïîìèíàþùèõ óñòðîéñòâ Две службы — Remote Storage и Removable Storage (Сменные запоминающие устройства) — имеют похожие названия, и их иногда путают. Служба Remote Storage используется для управления томами. Служба Removable Storage применяется для управления сменными носителями наподобие лент и оптических носителей. Чтобы выполнить резервное копирование информации о носителях Removable Storage, скопируйте следующий каталог: %systemroot%\System32\Ntmsdata
Óïðàâëåíèå íîñèòåëÿìè äëÿ óòèëèòû Windows Server 2003 Backup è ñëóæáû Remote Storage Служба Remote Storage и служба резервного копирования Windows Server 2003 Backup используют службу Removable Storage для выделения и отключения носителей. Управление носителями может осуществляться с консоли Removable Storage (Сменные запоминающие устройства), входящей в состав средств администрирования управления компьютером (Computer Management Administrative Tools). Служба сменных запоминающих устройств выделяет и отключает носители для этих служб, позволяя каждой службе доступ к носителям из набора носителей, созданного соответствующей программой.
Ïóëû íîñèòåëåé Служба сменных запоминающих устройств Windows Server 2003 организует носители в пулах носителей, чтобы можно было применять политики и права доступа и выполнять различные функции. Например, для носителей, созданных с помощью утилиты резервного копирования Windows Server 2003, выделяется пул носителей резервных копий. К этому пулу носителей имеют доступ только пользователи, имеющие полномочия на резервное копирование и восстановление системы или администрирование службы сменных носителей.
Ñâîáîäíûé ïóë Свободный пул содержит носители, которые можно использовать любой программой резервного копирования или архивирования, использующей службу сменных за-
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1125
поминающих устройств Windows Server 2003. Носители в этом пуле обычно являются пустыми или помеченными как чистые, и их можно перезаписывать и переназначать.
Ïóë óäàëåííîãî õðàíåíèÿ Пул удаленного хранения используется на сервере, только если установлен сервер удаленного хранения. Этот пул содержит носители, выделяемые для службы удаленного хранения. Если лента не найдена, устройство выделяет из свободного пула другой носитель.
Èìïîðòèðîâàííûé ïóë Если носители вставлены в ленточное устройство и выполняется инвентаризация, а носитель не пуст и не выделен пулу удаленного хранения или пулу носителей резервных копий, то такие носители хранятся в пуле импортированных носителей. Если известно, что носители созданы с помощью утилиты резервного копирования Windows Server 2003, то для выделения этого носителя в пул резервных копий должно быть достаточно запуска программы резервного копирования и выполнения каталогизации.
Ïóë ðåçåðâíûõ êîïèé Пул резервных копий содержит все носители, выделенные программе резервного копирования Windows Server 2003.
Ñïåöèàëüíûå ïóëû íîñèòåëåé Специальные пулы носителей можно создать, если требуются специальные опции сменных носителей. В Windows Server 2003 опции пула носителей очень ограничены, так что причин для создания специальных пулов носителей быть не должно.
Óòèëèòû óñòðàíåíèÿ íåïîëàäîê ïðè çàïóñêå Windows Server 2003 Если в системе Windows Server 2003 возникают проблемы во время запуска, то для устранения проблемы можно использовать несколько различных вариантов запуска. Когда на любом сервере отображается загрузчик операционной системы, администратор может выбрать запуск сервера в безопасном (Safe) режиме. Это может быть командное окно или графический интерфейс, с помощью которого можно отключить драйвер или указать новые параметры программ. Другие варианты — это загрузка Windows в режиме консоли восстановления или использование новой службы: служба аварийного управления (Emergency Management Services). Каждая из вышеупомянутых служб или вариантов запуска не выполняет резервное копирование сервера, но может потребовать информацию о предыдущей конфигурации, чтобы при необходимости восстановления сделать доступными ее службы.
Êîíñîëü âîññòàíîâëåíèÿ Консоль восстановления (Recovery Console) предоставляет альтернативный метод загрузки, если не работает безопасный режим и нормальная загрузка. Консоль восста-
1126
Технологии обеспечения отказоустойчивости ×àñòü IX
новления можно установить после загрузки операционной системы, либо вызвать при загрузке системы с инсталляционного компакт-диска Windows Server 2003. Чтобы установить консоль восстановления в существующей системе, выполните следующие шаги: 1. Войдите в нужный сервер с учетной записью с правами доступа локального администратора. 2. Вставьте в локальный привод инсталляционный компакт-диск Windows Server 2003. 3. Выберите в меню Start пункт Run, введите команду cmd.exe и щелкните на кнопке ОК, чтобы открыть командное окно. 4. Смените диск в командной подсказке на букву, соответствующую приводу чтения компакт-дисков. 5. Войдите в каталог I386. 6. Введите команду winnt32.exe /cmdcons и нажмите <Enter>. Эта команда запускает установку консоли восстановления, как показано на рис. 32.7.
Ðèñ. 32.7. Установка консоли восстановления 7. Щелкните на кнопке Yes (Да), чтобы начать установку консоли восстановления. После завершения установки щелкните на кнопке ОК. После этого файл boot.ini будет содержать вариант загрузки консоли восстановления при запуске системы.
Ïåðåíàïðàâëåíèå êîíñîëè ñëóæáû àâàðèéíîãî óïðàâëåíèÿ Windows Server 2003 позволяет администраторам удаленно управлять или устранять неполадки в системе, когда нормальное функционирование операционной системы невозможно. Можно воспользоваться несетевыми подключениями (например, через последовательный COM-порт) и перенаправить информацию на другие серверы для устранения проблем с запуском или операционной системой. Служба аварийного управления может использоваться тогда, когда невозможен физический доступ к серверу, а варианты удаленного администрирования через сетевые подключения работают некорректно. Прежде чем активизировать перенаправление консоли службы аварийного управления, должны быть удовлетворены некоторые требования к оборудованию. Напри-
Резервное копирование среды Windows Server 2003 Ãëàâà 32
1127
мер, BIOS системной материнской платы должен поддерживать перенаправление консоли последовательных портов (Serial Port Console Redirection — SPCR). Если материнская плата поддерживает SPCR, служба аварийного управления активируется и устанавливается на серверах во время установки операционной системы. Чтобы получить обзорную информацию по этому вопросу, обратитесь к службе справки и поддержки Windows Server 2003.
Ðåçþìå При планировании аварийного восстановления и резервного копирования Windows Server 2003 необходимо учитывать множество вопросов. Для выполнения специальных задач резервного копирования можно задействовать специализированные утилиты, но для полного резервного копирования сервера утилита командной строки ntbackup.exe может удовлетворить большинству требований резервного копирования Windows Server 2003.
Ïîëåçíûå ñîâåòû •
Удостоверьтесь, что планирование аварийного восстановления учитывает физические отказы оборудования, питания, всей системы, компонентов сервера и порчу программ.
•
Идентифицируйте все различные службы и технологии, точки отказа и критические области, а затем упорядочьте их по степени важности.
•
Удостоверьтесь, что решение аварийного восстановления учитывает затраты, связанные с приобретением дополнительного оборудования, сложными конфигурациями, а соглашение об уровне обслуживания содержит оценку времени, необходимого для восстановления службы при возникновении отказа. Могут быть указаны и другие варианты.
•
Документируйте конфигурацию сервера для любой среды, независимо от размера и количества серверов и от бюджета аварийного восстановления.
•
Выполняйте резервное копирование системных томов и состояния системы в одно и то же время, чтобы упростить восстановление, если понадобится пересоздание сервера с нуля.
•
Выполняйте резервное копирование ASR после создания, обновления, конфигурирования и настройки безопасности сервера. Кроме того, выполняйте резервное копирование ASR при изменениях аппаратной конфигурации, а при их отсутствии выполняйте резервное копирование ASR периодически.
•
Выполняйте резервное копирование ASR на контроллерах доменов каждые 60 дней, чтобы гарантировать быстрое восстановление домена, если понадобится официальное восстановление Active Directory.
•
Задайте подходящий предел свободной памяти для фоновых копий. Тома, на которых ежедневно меняется много файлов, должны иметь большее значение этого предела, нежели тома, данные на которых изменяются не очень часто.
1128
Технологии обеспечения отказоустойчивости ×àñòü IX
•
Планируйте более частое выполнение фонового копирования на интенсивно используемых томах, по крайней мере, дважды в день.
•
Храните минимальное количество фоновых копий томов с целью упрощения управления ими.
•
Не восстанавливайте AD-интегрированные зоны из файла резервной копии. Вместо этого нужно создать пустые зоны, а контроллер домена должен пересоздать записи в них.
•
Обеспечьте резервное копирование базы данных Remote Storage при резервном копировании состояния системы.
Àâàðèéíîå âîññòàíîâëåíèå
 ÝÒÎÉ ÃËÀÂÅ... •
Ïðîâåðêà äàííûõ è ïðîöåäóð ðåçåðâíîãî êîïèðîâàíèÿ
•
Èçîëÿöèÿ îòêàçîâ
•
Âîññòàíîâëåíèå ïîñëå îòêàçà ñàéòà
•
Âîññòàíîâëåíèå ïîñëå îòêàçà äèñêà
•
Âîññòàíîâëåíèå ïîñëå îòêàçà ïðè çàãðóçêå
•
Âîññòàíîâëåíèå ïîñëå ïîëíîãî îòêàçà ñåðâåðà
•
Âîññòàíîâëåíèå ñåòåâûõ ñëóæá Windows Server 2003
•
Âîññòàíîâëåíèå ñëóæáû ôàéëîâ Windows Server 2003 è äàííûõ
•
Âîññòàíîâëåíèå èíôîðìàöèîííûõ ñëóæá Internet
•
Âîññòàíîâëåíèå ñëóæáû êëàñòåðîâ
•
Âîññòàíîâëåíèå êîíòðîëëåðîâ äîìåíîâ Windows Server 2003
•
Âîññòàíîâëåíèå Active Directory
•
Âîññòàíîâëåíèå áàçû äàííûõ ñìåííûõ çàïîìèíàþùèõ óñòðîéñòâ
•
Âîññòàíîâëåíèå áàçû äàííûõ Remote Storage
•
Äîñòèæåíèå 99,999% ãîòîâíîñòè ïðè èñïîëüçîâàíèè Windows Server 2003
ÃËÀÂÀ
33
1130
Технологии обеспечения отказоустойчивости ×àñòü IX
При возникновении сбоя или аварии многие организации обнаруживают, что их планы аварийного восстановления могли бы быть и лучше… намного лучше. Организациям не только следовало запланировать различные типы сбоев и аварий, но им нужно было периодически моделировать сбои, чтобы удостовериться, что эти планы корректны, актуальны и полны. Если в организациях выполнено необходимое планирование аварий, как описано в главе 32, они смогут выполнить восстановление после сбоя Windows Server 2003. В этой главе предлагается рекомендуемый практический подход к восстановлению.
Ïðîâåðêà äàííûõ è ïðîöåäóð ðåçåðâíîãî êîïèðîâàíèÿ Эту главу следует читать после главы 32, описывающей резервное копирование в среде Windows Server 2003. Но если вы читаете эту главу, чтобы провести восстановление после отказа, пропустите этот раздел и перейдите к разделу “Изоляция отказов” далее в этой главе. После разработки стратегий резервного копирования для систем Windows Server 2003 эти процедуры копирования/восстановления необходимо протестировать, чтобы убедиться в актуальности и аккуратности документации. Многие организации поручают составление документов консалтинговым фирмам, которые создают план на основе своего опыта работы с продуктом и своего ограниченного знакомства со средой организации. Поэтому наличие плана не всегда означает, что все хорошо. Кроме того, после изменения конфигураций кто-нибудь должен иметь доступную электронную копию и знать, как обновить этот документ. Более подробная информация о документировании Windows Server 2003 приведена в главе 24.
Äîêóìåíòèðîâàíèå âîññòàíîâëåíèÿ Одним из важных аспектов возможности восстановления является знание, как провести восстановление после аварии. Недостаточно просто знать, что именно копировать и какие сценарии планировать. Необходимо создать процессы восстановления и протестировать их, дабы убедиться, что восстановление соответствует соглашениям об уровне обслуживания (Service Level Agreement — SLA), и что члены персонала понимают смысл всех необходимых шагов. Когда процесс определен, его необходимо документировать, и документация должна быть написана так, чтобы она была понятна целевой аудитории. Например, если сбой произойдет в удаленном филиале, в котором находятся только специалисты по продажам, и одному из них придется восстанавливать сервер, то документация должна быть написана так, чтобы она была понятна практически любому. Если восстановление выполняет IT-персонал, то документация может быть не такой подробной, предполагая определенный уровень знаний и знакомства с серверным продуктом. Первый абзац любого документа, относящегося к резервному копированию или восстановлению, должен резюмировать, для чего предназначен документ, и указывать уровень квалификации, необходимый для выполнения задачи и понимания этого документа.
Аварийное восстановление Ãëàâà 33
1131
Âêëþ÷åíèå òåñòîâûõ âîññòàíîâëåíèé â ïëàíèðóåìîå îáñëóæèâàíèå Одним из ключевых моментов получения успешного плана аварийного восстановления является периодическое тестирование процедур восстановления для проверки аккуратности этих процедур и тестирования носителей резервных копий, чтобы убедиться, что данные на самом деле могут быть восстановлены. Большинство организаций и администраторов предполагают, что если программы резервного копирования сообщают об успешном завершении, то резервная копия годится для восстановления данных. Если файлы копируются, но не принимаются во внимание специальные соображения о резервном копировании, то успешная резервная копия может не содержать все, что необходимо для восстановления сервера в случае утери данных или порчи программ. В качестве составной части регулярного графика обслуживания необходимо выполнять восстановления не только данных файлов, но и данных, связанных с приложениями и конфигурациями, дабы убедиться, что метод резервного копирования корректен, а процедуры аварийного восстановления и документация актуальны. Такие тесты должны также проверять, что носители резервных копий могут быть прочитаны и использованы для восстановления данных. Добавление периодических тестовых восстановлений в регулярные процедуры обслуживания гарантирует успешность резервных копирований и знакомит администраторов с процедурами, необходимыми для восстановления; поэтому при возникновении реальной катастрофы восстановление может быть проведено корректно, эффективно и с первого раза.
Èçîëÿöèÿ îòêàçîâ При выполнении мониторинга сообщений о сбоях программ, или сообщений пользователей, или посылаемых предупреждений, администратор должен начать поиск неполадок, чтобы удостовериться, что отказ действительно произошел. Для этого администратор должен протестировать рабочую станцию и учетную запись пользователя, а, кроме того, должен понять принципы работы конкретного приложения или службы.
Èñïîëüçîâàíèå òåñòîâîé ðàáî÷åé ñòàíöèè Чтобы протестировать проблему, о которой получено сообщение, администратор должен воспользоваться тестовой рабочей станцией. Эта рабочая станция должна быть сконфигурирована аналогично рабочей станции конечного пользователя — чтобы тесты выдавали те же самые результаты, которые получил конечный пользователь. На этой рабочей станции должны быть установлены те же самые приложения с теми же настройками и правами доступа. Альтернативой наличию тестовой рабочей станции является использование программ удаленного контроля наподобие Remote Assistance — для подключения непосредственно к рабочей станции пользователя и получения указанной проблемы из первых рук.
1132
Технологии обеспечения отказоустойчивости ×àñòü IX
Êîíôèãóðèðîâàíèå òåñòîâîé ó÷åòíîé çàïèñè ïîëüçîâàòåëÿ При устранении неполадок или проблем с функционированием, о которых сообщили пользователи, должна быть сконфигурирована и использована тестовая учетная запись пользователя. Тестовая учетная запись должна иметь тот же уровень полномочий, что и конечный пользователь; в противном случае тестирование может привести к другим результатам.
Ïðîâåðêà îòêàçà Прежде чем администратор приступит к проверке отказа, он должен знать реальный процесс воссоздания этого отказа. Обычно удобно начать с конечного пользователя, который сообщил о проблеме. Если ошибка, отказ или проблема были замечены программами мониторинга, то необходимо проверить сервер: функционирует ли система и выполняются ли службы и приложения. Если система, службы и/или приложения работают нормально, необходимо протестировать связь. Если приложение работает в сети, а чаще всего это так, то вначале следует протестировать наличие сетевой связи с сервером, а затем протестировать само приложение с помощью соответствующих клиентских программ.
Îáíàðóæåíèå âçàèìîçàâèñèìîñòåé ïðèëîæåíèé è ñëóæá Чтобы изолировать отказы, связанные с приложениями и службами, администратор должен понимать и знать все взаимозависимости служб. Например, если в сообщении указано, что не получено почтовое сообщение, то проблема может быть в почтовом сервере, а может быть и в промежуточных звеньях, например, в брандмауэре или DNS-сервере почтового домена. Если DNS-сервер почтового домена выключен или переведен в автономный режим, то дело не в почтовом сервере, а в DNS-сервере, так как другим организациям для получения почты потребуется вначале получить с этого DNS-сервера запись почтового хоста. Для определения сетевых взаимозависимостей конкретного сетевого приложения обратитесь к документации производителя. Если это приложение Windows Server 2003, то дополнительную информацию можно получить от службы справки и поддержки Windows Server 2003. Если серверное приложение выполняется как служба Windows Server 2003, то с помощью оснастки Services (Службы) из меню Administrative Tools (Средства администрирования) можно узнать взаимозависимости службы с другими службами и системными драйверами, как показано на рис. 33.1 для службы DNSсервера Windows Server 2003.
Âîññòàíîâëåíèå ïîñëå îòêàçà ñàéòà Если сайт становится недоступным из-за невозможности физического доступа или катастрофы, подобной пожару или землетрясению, необходимо выполнить шаги, обеспечивающие функционирование критичных приложений или производственных служб из другого места.
Аварийное восстановление Ãëàâà 33
1133
Ðèñ. 33.1. Взаимозависимости службы DNSсервера
Ñîçäàíèå ðåçåðâèðîâàííûõ ñàéòîâ ñ âîçìîæíîñòüþ ïîäõâàòà ôóíêöèé Сайты с резервированием создаются по нескольким причинам. Во-первых, они могут быть созданы для балансировки нагрузки или обеспечения более высокой производительности для клиентов, обращающихся к ресурсам из различных географических точек. Например, организация может иметь один сайт в СанФранциско (штат Калифорния), а другой — в Тампе (штат Флорида), и клиенты западного побережья США будут подключаться к сайту в Калифорнии. Каждый сайт должен быть зеркальной копией другого, чтобы данные и службы, предоставляемые в обоих местах, совпадали. Другой причиной создания резервированных сайтов является обеспечение если не всех компьютерных служб и приложений, доступных на главном сайте, то, по крайней мере, критичных для работы ресурсов. В этом случае компания может продолжать работу — возможно, с некоторыми ограничениями, но, по крайней мере, она сможет выполнять наиболее важные бизнес-функции. Обратитесь в раздел “Присвоение приоритетов компонентам среды” главы 32 за дополнительной информацией об определении, какие службы и приложения наиболее важны для производства, и нужно ли помещать их на сайт с подхватом функций. Поскольку в каждой организации существуют свои требования, относящиеся к проектированию подхвата функций на сайте и к функциям, которые должен подхватывать, а затем возвращать этот сайт, то в данном разделе описаны лишь самые необходимые действия для обеспечения успешного подхвата функций между резервированными сайтами.
1134
Технологии обеспечения отказоустойчивости ×àñòü IX
Ïëàíèðîâàíèå ïîäõâàòà ôóíêöèé ñàéòà Компания Companyabc.com — вымышленная фирма, занимающаяся маркетингом и графическими разработками и расположенная в Нью-Йорке (штат Нью-Йорк). У этой компании есть вторичный сервер подхвата функций, расположенный в Бостоне (штат Массачусетс). Сайт из Нью-Йорка обеспечивает виртуальную частную сеть (VPN) и терминальные службы для работников отдела маркетинга, которые редко работают в офисе. Поскольку основным занятием компании Companyabc.com является маркетинг, то VPN и терминальные службы представляют собой наиболее важные службы для ведения дел. Например, в то время как художник-оформитель разрабатывает новый материал для отдела маркетинга, группы по продажам и работе с клиентами отдела маркетинга используют VPN для получения данных, связанных с клиентами. Кроме того, в Нью-Йоркском отделении расположен бухгалтерский сервер, который используется работниками для ввода графиков суточной загрузки, которые, в свою очередь, применяются для генерации счетов, рассылаемых клиентам. Если сайт в Нью-Йорке станет недоступным, то, чтобы не прерывать производство, VPN, терминальная служба, файловые серверы с клиентской документацией и бухгалтерские серверы необходимо восстановить на Бостонском сайте в пределах нескольких часов после аварии. В этом сценарии восстановление является относительно простой задачей; большинство организаций имеют более сложную структуру, чем описано здесь.
Ñîçäàíèå ñàéòà ïîäõâàòà ôóíêöèé Когда организация решает приступить к планированию отказов сайта в качестве части решения аварийного восстановления, необходимо учесть множество различных вопросов и сделать выборы из многих вариантов. В сценарии с компанией Companyabc.com самыми важными факторами являются файлы данных и наличие сетевой удаленной связи с помощью VPN и терминальных служб. Это означает, что наиболее важно наличие сетевой связи, а также резервных серверов, которые могут принять на себя пользовательскую нагрузку. Резервные серверы для хранения файлов данных и ведения бухгалтерских расчетов должны иметь достаточный объем дисковой памяти для выполнения полного восстановления. В качестве практических советов для выполнения гладкого переноса функций можно для начала принять приведенный ниже список рекомендаций. •
Выделите соответствующие аппаратные устройства, в том числе серверы с вычислительной мощностью и дисковой памятью, достаточной, чтобы принять ресурсы восстанавливаемых машин.
•
Поместите зоны и записи DNS организации на первичные DNS-серверы, расположенные либо на площадке поставщика Internet-услуг (ISP) вторичного сайта, либо заведите резервированные DNS-серверы, регистрированные для домена и расположенные в обоих физических местах.
•
Обеспечьте, чтобы процедуры смены записей DNS были документированы и доступны там, где находится удаленный сайт, или на запоминающем устройстве в сторонней компании.
Аварийное восстановление Ãëàâà 33
1135
•
Для VPN и терминальных серверов удостоверьтесь, что в записях хостов в DNSтаблицах указаны низкие значения времени существования (Time to Live — TTL), чтобы изменения DNS не потребовали значительных промежутков времени для распространения через Internet. По умолчанию значение TTL для Microsoft Windows Server 2003 составляет один час.
•
Удостоверьтесь, что установлена стабильная сетевая связь между сайтами и между каждым сайтом и Internet.
•
Реплицируйте файлы данных между двумя сайтами как можно более часто.
•
Создайте не менее двух копий носителей резервных копий (лент), содержащих скопированные или архивированные данные компании. Одна копия должна находиться в главном офисе. Другая копия должна храниться в сторонней компании, хранящей данные. Желательно наличие третьей копии, хранящейся в месте расположения другого сайта; эту копию можно использовать для регулярного восстановления на резервном оборудовании, чтобы при необходимости можно было восстановить Windows при подхвате функций сайта.
•
Сделайте копии всей документации по аварийному восстановлению, хранящиеся в нескольких местах, а также в сторонней компании, хранящей данные. Это обеспечит резервирование в случае необходимости выполнения восстановления.
Выделение оборудования и подготовка сайта для работы в режиме подхвата функций концептуально являются простыми задачами, однако реальные процессы подхвата и возврата функций могут принести немало хлопот. Помните, что вышеприведенный список составлен для сайтов подхвата функций, а не для зеркальных или резервированных сайтов, сконфигурированных для балансировки нагрузки.
Ïîäõâàò ôóíêöèé ìåæäó ñàéòàìè Чтобы подхват функций между сайтами был успешным, администраторам нужно быть в курсе того, функции каких служб необходимо подхватывать и в каком порядке. Например, прежде чем восстановить сервер Exchange 2003, необходимо, чтобы были доступны контроллеры доменов Active Directory, серверы глобального каталога и DNS-серверы. В качестве примера отказа сайта рассмотрим главный офис компании Companyabc.com в Нью-Йорке, когда пожар в здании привел к заливанию серверной комнаты пенным раствором и повреждению серверов. В этом случае потребуется подхватить функции служб в Бостонском офисе. Чтобы выполнить такое переключение на самом высоком уровне, необходимо выполнить следующие задачи в указанном порядке: •
Измените DNS-записи, указывающие на VPN и терминальные серверы.
•
Восстановите все необходимые контроллеры доменов Windows Server 2003, серверы глобального каталога и внутренние DNS-серверы.
•
Восстановите VPN и терминальные серверы.
•
Восстановите файловые серверы и бухгалтерские серверы и восстановите последнюю доступную ленту с резервной копией данных.
•
Проверьте наличие связи с клиентами, устраните неполадки и обеспечьте необходимую поддержку удаленных и локальных клиентов.
1136
Технологии обеспечения отказоустойчивости ×àñòü IX
Âîçâðàò ôóíêöèé ïîñëå âîññòàíîâëåíèÿ ñàéòà Когда исходный сайт снова доступен в оперативном режиме для обработки клиентских запросов и предоставления доступа к данным и сетевым службам и приложениям, необходимо заняться возвратом функций служб. Это может оказаться более запутанным делом, так как для серверов баз данных процедуры возврата функций обычно более сложны, чем начальная процедура подхвата функций. Большинство организаций планируют подхват функций и имеют протестированный план подхвата функций, который может включать перенос журнала базы данных на сайт аварийного восстановления. Однако они не планируют, как возвратить последние данные на восстановленные серверы главного или рекомендуемого сайта. Ниже приведены вопросы, связанные с возвратом функций. •
Необходим ли перевод сервера в автономное состояние для ресинхронизации данных или баз данных между сайтами?
•
В какое время лучше выполнить возврат функций?
•
Является ли сайт подхвата функций менее функциональным, нежели рекомендованный сайт? Другими словами, обеспечивает ли сайт подхвата функций только критические для работы службы или является полной копией рекомендованного сайта?
Ответы на эти вопросы на самом деле зависят от сложности среды, передающей своей функции. Если переключение выполняется просто, то нет необходимости ожидать специального момента времени для возврата функций.
Îáåñïå÷åíèå àëüòåðíàòèâíûõ ìåòîäîâ ñâÿçè ñ êëèåíòàìè Если сайты подхвата функций являются слишком дорогим вариантом, то это не означает, что организация не может планировать отказы сайта. Доступны другие, более дешевые варианты, но они зависят от того, как и где сотрудники выполняют свою работу. Например, удаленные агенты по продажам в компании Companyabc.com, скорее всего, имеют ноутбуки со всеми локально установленными необходимыми приложениями. С другой стороны, работники бухгалтерии не имеют ноутбуков, а если бы и имели, то им нужен доступ к бухгалтерскому серверу для выполнения запросов на получение обновленных значений времени и генерации клиентских счетов. Ниже приведены некоторые способы решения этих вопросов без аренды или покупки отдельного сайта подхвата функций. •
Рассмотрите вопрос аренды стоек или каркасов у местного ISP, чтобы разместить там серверы, к которым будет возможен доступ во время отказа сайта.
•
Предложите пользователям подключиться по телефонной линии из дома к терминальному серверу, расположенному у ISP, чтобы получить доступ к приложениям и файлам данных, в том числе и к данным бухгалтерского сервера.
Аварийное восстановление Ãëàâà 33
1137
•
Сконфигурируйте важные папки для удаленных пользователей с ноутбуками так, чтобы они могли иметь автономные копии, хранящиеся на их ноутбуках, которые будут синхронизированы с сервером при появлении связи с ним.
•
Арендуйте временные офисные площади, принтеры, сетевое оборудование и пользовательские рабочие станции с распространенными стандартными пакетами, подобными Microsoft Office и Internet Explorer. Этот вариант можно запланировать и выполнить примерно за день. При выборе этого варианта вначале найдите агентство по аренде компьютеров и узнайте их расценки до возникновения отказа, чтобы у вас был выбор в оплате аренды.
Âîññòàíîâëåíèå ïîñëå îòêàçà äèñêà Из всех различных системных отказов отказы дисков, похоже, встречаются в сетевых средах чаще всего. Технология, используемая для создания процессорных чипов и чипов памяти, за последние пару десятков лет существенно улучшилась, минимизируя возможность отказа системных плат. И хотя в последние годы качество жестких дисков существенно увеличилось, в силу постоянного вращения шпинделя в жестких дисках они содержат наибольшее количество движущихся частей в компьютерных системах и являются элементами, наиболее подверженными отказам.
Îòêàç àïïàðàòíîãî RAID-ìàññèâà Обычно используемые аппаратные дисковые массивы для серверов на платформе Windows включают в себя RAID 1 (зеркальная копия) для операционной системы и RAID 5 (чередующиеся наборы с контролем четности) для отдельных томов данных. Некоторые развертывания используют один массив RAID 5 для ОС, а в самых последних развертываниях используются тома данных для RAID 0/1 (зеркальные чередующиеся наборы). RAID-контроллеры предоставляют аппаратный интерфейс управления массивом, и доступ к этому интерфейсу возможен во время запуска системы. Он позволяет администраторам настроить опции RAID-контроллера и управлять дисковыми массивами. Этот интерфейс необходимо использовать для ремонта или перенастройки дисковых массивов при возникновении проблемы или отказа диска. Многие контроллеры поставляются с Windows-приложениями, предназначенными для создания массивов и для управления ими. Конечно, для доступа к Windowsприложению RAID-контроллера нужна возможность запуска операционной системы. При замене отказавшего диска в аппаратных RAID-массивах следуйте процедурам, указанным производителем.
НА ЗАМЕТКУ Многие RAID-контроллеры позволяют сконфигурировать массив с диском горячего резерва (hot spare disk). Этот диск автоматически подключается к массиву при возникновении отказа одного диска. При создании нескольких массивов на одной карте RAID-контроллера диски горячего резерва можно определить как глобальные и применять для замены отказавшего диска из любого массива. Мы советуем определять диски горячего резерва для массивов.
1138
Технологии обеспечения отказоустойчивости ×àñòü IX
Âîññîçäàíèå ñèñòåìíîãî òîìà При возникновении отказа системного диска система может перейти в состояние полного отказа. Чтобы защититься от возникновения упомянутой проблемы, администраторы всегда должны стараться создавать системный диск в отказоустойчивом дисковом массиве типа RAID 1 или RAID 5. Если системный диск имел зеркальную копию (RAID 1) в аппаратном массиве, то операционная система будет нормально работать и загружаться, поскольку диск и раздел, указанные в файле boot.ini, останутся теми же и будут доступны. Если массив RAID 1 создан в операционной системе с помощью диспетчера дисков или утилиты diskpart.exe, то зеркальный диск может быть доступен во время загрузки с помощью выбора второго варианта из файла boot.ini. Если отказ диска произойдет в программном массиве RAID 1 во время обычной работы, то система будет функционировать без прерывания работы.
Óñòàíîâêà çàãðóçî÷íîãî òîìà Если Windows Server 2003 установлен на втором или третьем разделе диска, создается отдельный загрузочный и системный раздел. Большинство производителей требует, чтобы для загрузки системы с тома, отличного от первичного раздела, этот раздел нужно отметить как активный до начала его функционирования. Чтобы удовлетворить этому требованию без необходимости изменения активного раздела, Windows Server 2003 всегда пытается загрузить во время установки загрузочные файлы на первый или активный раздел, независимо от того, на какой раздел или диск будут загружены системные файлы. При отказе этого диска или тома и если системный том не поврежден, загрузочный диск может быть использован для загрузки ОС и выполнения необходимых изменений после замены диска. Подробные сведения о создании загрузочного диска приведены в разделе “Создание загрузочной дискеты Windows Server 2003” главы 32.
Âîññòàíîâëåíèå äîñòóïà ê òîìàì äàííûõ Восстановить том данных гораздо проще, нежели другие типы дисков. При отказе всего диска необходимо просто заменить его, назначить ему то же самое буквенное обозначение диска и восстановить все его данные и права доступа из резервной копии. Ниже представлены вопросы, которым надо уделить особое внимание. •
Назначение корректных прав доступа к корневому каталогу диска.
•
Проверка, что общие файловые ресурсы продолжают работать должным образом.
•
Проверка, что данные на диске не требуют специальной процедуры восстановления.
Âîññòàíîâëåíèå ïîñëå îòêàçà ïðè çàãðóçêå Иногда в системе Windows Server 2003 может возникнуть проблема во время запуска службы или приложения, что может повлечь за собой невозможность выполнения
Аварийное восстановление Ãëàâà 33
1139
нормальной последовательности действий при загрузке. Поскольку в этом случае доступ к операционной системе невозможен, то система остается недоступной до разрешения этой проблемы. Windows Server 2003 содержит несколько альтернативных вариантов загрузки, позволяющих администраторам восстановить сервер в рабочем состоянии. Доступ к некоторым дополнительным вариантам загрузки можно получить, нажав клавишу при появлении экрана загрузчика операционной системы. Если консоль восстановления уже была установлена, то она присутствует среди вариантов на экране загрузчика операционной системы. Дополнительные варианты загрузки выглядят следующим образом. •
Safe Mode (Безопасный режим). Этот режим запускает операционную систему только с самыми основными службами и аппаратными драйверами и отключает сеть. В результате администраторы получают доступ к операционной системе в менее функциональном состоянии и могут выполнить изменения в конфигурации: в опциях запуска служб, в конфигурациях некоторых приложений и в системном реестре.
•
Safe Mode with Networking (Безопасный режим с сетью). Этот вариант совпадает с безопасным режимом, но в нем включены сетевые драйверы. Этот режим также стартует во время запуска гораздо больше служб операционной системы.
•
Safe Mode with Command Prompt (Безопасный режим с командным окном). Этот вариант похож на безопасный режим; но по умолчанию не запускается оболочка Windows Explorer.
•
Enable Boot Logging (Включение протокола загрузки). Этот вариант запускает систему как обычно, но действия всех служб и драйверов, загружаемых при запуске системы, записываются в файл с именем ntbtlog.txt, расположенный в каталоге %systemroot%. Местонахождение этого файла по умолчанию — c:\Windows\ntbtlog.txt. Чтобы этот файл было проще читать, администратору имеет смысл удалить существующий файл перед записью в него последовательности действий загрузки, чтобы в нем содержалась только информация о последней загрузке.
•
Enable VGA Mode (Включение режима VGA). Этот режим загружает текущий драйвер дисплея, но рабочий стол отображается с минимальным разрешением. Этот режим удобен, если сервер подключен к другому монитору, который не может поддерживать установленное разрешение.
•
Last Known Good Configuration (Последняя известная рабочая конфигурация). Этот режим запускает операционную систему, используя системный реестр и информацию о драйверах, сохраненную во время последнего успешного входа в систему.
•
Directory Services Restore Mode (Режим восстановления службы каталогов). Этот режим возможен только для контроллеров доменов и позволяет обслуживание и восстановление базы данных Active Directory или папки SYSVOL.
•
Debugging Mode (Режим отладки). Этот режим посылает по последовательному подключению отладочную информацию об операционной системе на другие серверы. Это требует наличия на принимающей стороне сервера со службой
1140
Технологии обеспечения отказоустойчивости ×àñòü IX
записи в журнал, подготовленной для приема этих данных. Обычный администратор вряд ли будет использовать этот режим. •
Start Windows Normally (Нормальный запуск Windows). Как понятно из названия, этот режим загружает операционную систему в нормальном состоянии.
•
Reboot (Перезагрузка). Этот вариант перезагружает сервер.
•
Return to OS Choices Menu (Возврат в меню выбора ОС). Этот вариант возвращает экран загрузчика операционной системы, чтобы можно было выбрать и запустить нужную операционную систему.
Êîíñîëü âîññòàíîâëåíèÿ Консоль восстановления предоставляет администраторам возможность загрузить систему через альтернативные конфигурационные файлы для выполнения задач устранения неполадок. С помощью консоли восстановления можно изменить последовательность загрузки, указать альтернативные варианты загрузки, создать или расширить тома и изменить опции запуска служб. Консоль восстановления имеет ограниченное количество команд, что упрощает ее изучение. Если варианты загрузки в нормальном или безопасном режиме не работают, то администратор может выбрать консоль восстановления, чтобы провести изменения в системе или прочитать информацию, хранящуюся в файле протокола загрузки с помощью команды type. Файл протокола загрузки по умолчанию находится в C:\Windows\ntbtlog.txt и существует только в том случае, когда кто-то запускал операционную систему в любом из безопасных режимов или в режиме записи протокола загрузки.
Âîññòàíîâëåíèå ïîñëå ïîëíîãî îòêàçà ñåðâåðà Поскольку время от времени происходят отказы оборудования, а реальные операционные системы содержат ошибки, план восстановления сервера абсолютно необходим, даже если он и никогда не пригодится. Любой администратор меньше всего хочет, чтобы произошел отказ сервера и пришлось бы звонить в службу технической поддержки Microsoft, чтобы ему рассказали, как восстановить сервер из резервной копии, если у него нет готового плана. Чтобы не оказаться застигнутым врасплох, администратор должен подготовить план восстановления для всех отказов, возможных в системах Windows Server 2003.
Ñðàâíåíèå âîññòàíîâëåíèÿ è âîññîçäàíèÿ ñåðâåðà В случае возникновения полного отказа системы — из-за пропажи питания, отказа аппаратного компонента или порчи программы — метод восстановления зависит от главной цели, которую преследует администратор. Конечно, цель состоит в поднятии сервера, но прежде чем начать восстановление, потребуется ответить на множество неочевидных вопросов:
Аварийное восстановление Ãëàâà 33
1141
•
Сколько времени потребуется на восстановление сервера из полной резервной копии?
•
Если отказ сервера произошел из-за повреждения программы, то восстановится ли повреждение, повлекшее отказ, при восстановлении сервера из резервной копии?
•
Будет ли ручная загрузка новой операционной системы и приложений, а затем восстановление состояния системы быстрее, чем полное восстановление?
Загрузка операционной системы Windows Server 2003 и приложений может оказаться довольно-таки эффективной операцией. В результате все нужные файлы и драйверы будут корректно загружены, и все, что потребуется впоследствии сделать — это восстановить состояние системы, чтобы затем восстановить конфигурацию сервера и данные. Одна из возможных проблем заключается в том, что после установки некоторые приложения генерируют в реестре ключи, основанные на имени компьютера системы, которое при выполнении восстановления состояния системы может измениться. Другие приложения — например, Exchange 2003 — можно восстановить с помощью ключа установки /disasterrecovery без необходимости восстановления состояния системы сервера, используя только первоначальное имя компьютера и членство в домене, если не используются сертификаты компьютера и пользователя. Ключом к выбору — создавать заново или восстанавливать из резервной копии — является понимание взаимозависимостей и служб с операционной системой и уверенность в стабильности сервера на момент создания последних резервных копий. Самая худшая ситуация — это многочасовая процедура восстановления из резервной копии, после которой обнаруживается, что восстановлен и источник проблемы.
Ðó÷íîå âîññòàíîâëåíèå ñåðâåðà При возникновении полного отказа сервера и ненадежном состоянии операционной системы или приложения операционную систему можно восстановить вручную. Вначале потребуется отыскать настройки исходной конфигурации системы. Обычно эта информация хранится в документе, описывающем конфигурацию сервера, или вместе с информацией о конфигурации сервера. Поскольку все системы различны, то для ручного восстановления системы можно рекомендовать только общие шаги, которые перечислены ниже. 1. Устанавливайте новую операционную систему на исходное системное оборудование и дисковый том, либо на систему с конфигурацией, как можно более схожей с исходной. Необходимо установить ту же самую версию операционной системы, например, Windows Server 2003 Enterprise или Standard Server. 2. Во время инсталляции присвойте системе имя исходного сервера, но не подключайтесь к домену. 3. Во время инсталляции не устанавливайте дополнительные службы и выполняйте только базовую инсталляцию. 4. После завершения инсталляции операционной системы установите все необходимые дополнительные аппаратные драйверы и обновите операционную систему с помощью последнего пакета обновлений и исправлений безопасности.
1142
Технологии обеспечения отказоустойчивости ×àñòü IX
Чтобы уменьшить вероятность возникновения проблем совместимости, устанавливайте пакеты обновлений так, как описано в документе с конфигурацией сервера, чтобы обеспечить нужное функционирование всех установленных приложений. Во время восстановлений не следует вносить в систему дополнительные изменения. Вашей целью является восстановление системы в оперативное состояние, а не ее модернизация. 5. С помощью консоли управления дисками создайте и отформатируйте дисковые тома и назначьте им нужные буквенные обозначения, записанные в документе по созданию сервера. 6. Если сервер до этого был частью домена, вначале потребуется сбросить учетную запись компьютера с помощью консоли ADUC, а затем включить сервер в домен. Это обеспечит совпадение прав доступа и членства в группах, установленных ранее на этом компьютере. 7. Установите все дополнительные службы Windows Server 2003, описанные в документе по созданию сервера. 8. Установите все серверные приложения Microsoft, следуя всем специальным процессам восстановления, а сразу за восстановлением приложения восстановите и его данные. 9. Установите все сторонние приложения и при необходимости восстановите их конфигурации и данные. 10. Протестируйте функционирование системы, добавьте ее в расписание резервных копирований и запустите полное резервное копирование.
НА ЗАМЕТКУ Если на предыдущий сервер были выпущены сертификаты для защищенной передачи данных, то новый сервер должен обратиться в центр сертификации (Certification Authority — CA) за новым сертификатом, прежде чем начать зашифрованную передачу данных.
Âîññòàíîâëåíèå ñåðâåðà ñ ïîìîùüþ âîññòàíîâëåíèÿ ñîñòîÿíèÿ ñèñòåìû Если операционная система отказывается работать и перезапускаться, может понадобиться восстановление всего сервера. Если системные тома и тома данных существуют на одном и том же диске, то выполнение восстановления с помощью средства автоматического восстановления системы (Automated System Recovery — ASR) сотрет весь диск, и нужно будет восстанавливать и систему, и данные. Во многих случаях восстановление ASR проводить не требуется, необходимо лишь восстановить системный том и состояние системы. После выполнения этого процесса необходимо приступить к восстановлению приложений и их данных. Чтобы восстановить систему с помощью чистой инсталляции и имеющейся резервной копии состояния системы, выполните описанные ниже действия. 1. Остановите исходный сервер. 2. Инсталлируйте новую операционную систему на исходном системном оборудовании и дисковом томе, либо на систему с конфигурацией, как можно более
Аварийное восстановление Ãëàâà 33
1143
схожей с исходной. Устанавливать необходимо ту же самую версию операционной системы, например, Windows Server 2003 Enterprise или Standard Server. 3. Во время инсталляции присвойте системе имя исходного сервера, но не подключайтесь к домену.
НА ЗАМЕТКУ Если во время чистой инсталляции машина подключается к тому же домену, то для ее учетной записи генерируется новый идентификатор безопасности (Security Identifier — SID). Последующее восстановление состояния системы восстановит предыдущий SID компьютера, в результате чего не смогут выполняться многие службы и приложения.
4. Во время инсталляции не устанавливайте дополнительные службы и выполняйте только базовую установку. 5. После завершения установки операционной системы установите все необходимые дополнительные аппаратные драйверы и обновите операционную систему с помощью последнего пакета обновлений и исправлений безопасности. Чтобы уменьшить вероятность возникновения проблем совместимости, устанавливайте пакеты обновлений так, как описано в документации по созданию сервера, чтобы обеспечить нужное функционирование всех установленных приложений. 6. С помощью консоли управления дисками создайте и отформатируйте дисковые тома и назначьте им нужные буквенные обозначения, записанные в документации по созданию сервера. 7. После инсталляции восстановите все необходимые драйверы и обновления, чтобы новая конфигурация совпадала с предыдущей. Эту информацию можно выбрать из документации по настройке сервера (по созданию сервера). В случае необходимости выполните перезагрузку системы. После установки всех обновлений восстановите ранее скопированные данные состояния системы; после этого восстановите все дополнительные приложения и пользовательские данные.
Âîññòàíîâëåíèå ñîñòîÿíèÿ ñèñòåìû В данном разделе описано восстановление состояния рядовой или обособленной системы Windows Server 2003. Для восстановления состояния системы выполните следующие шаги: 1. Выберите в меню Start (Пуск) пункт All ProgramsÖAccessoriesÖSystem ToolsÖ Backup (Все программыÖСтандартныеÖСистемные средстваÖРезервное копирование). 2. Если резервное копирование запущено в первый раз, оно запускается в режиме мастера. Выберите выполнение в расширенном режиме, щелкнув на гиперссылке Advanced Mode (Расширенный режим). 3. Щелкните на кнопке Restore Wizard (Advanced) (Мастер восстановления), чтобы запустить мастер восстановления. 4. На экране приветствия мастера восстановления щелкните на кнопке Next (Далее).
1144
Технологии обеспечения отказоустойчивости ×àñòü IX
5. На странице What to Restore (Что следует восстановить) выберите нужный каталогизированный носитель резервной копии, раскройте выбранный каталог и установите флажок System State (Состояние системы). Щелкните на кнопке Next. 6. Если нужная лента или носитель файла резервной копии не отображается в этом окне, то отмените процесс восстановления. Затем в мастере восстановления найдите и каталогизируйте требуемый носитель и возвратитесь к шагу 1 процесса восстановления. 7. На странице Completing the Restore Wizard (Завершение мастера восстановления) щелкните на кнопке Finish (Завершить), чтобы запустить восстановление. 8. После завершения восстановления просмотрите протокол резервного копирования, а затем щелкните на кнопке Close (Закрыть) в окне Restore Progress (Процесс восстановления). 9. После получения подсказки перезагрузите систему. 10. После перезагрузки системы войдите в нее с учетной записью с необходимыми правами локального администратора и/или администратора домена. 11. После восстановления состояния системы установите все необходимые дополнительные приложения и данные.
Âîññòàíîâëåíèå ñèñòåìû ñ ïîìîùüþ âîññòàíîâëåíèÿ ASR Если произошел отказ системы и все другие варианты восстановления системы исчерпаны, можно выполнить восстановление ASR — если до этого осуществлялось резервное копирование ASR. Восстановление ASR восстанавливает конфигурации всех дисков и томов, включая переопределение томов и их форматирование. Это означает, что после завершения восстановления ASR необходимо восстановить данные, хранимые на всех томах. Это восстановление возвращает отказавшую систему в состояние полностью работающего сервера, за исключением отдельных приложений, которые после восстановления могут потребовать специальной настройки. Например, отдельного восстановления требуют данные службы удаленного хранения.
НА ЗАМЕТКУ Восстановление ASR пересоздает все дисковые тома, но если используется новая или другая система, то каждый диск должен иметь тот же или больший размер, чем диски исходного сервера. В противном случае восстановление ASR не сможет быть выполнено.
Чтобы выполнить восстановление ASR, выполните перечисленные ниже шаги. 1. Найдите дискету ASR, созданную для отказавшего узла, или создайте дискету из файлов, хранимых на носителе резервной копии ASR. За информацией по созданию дискеты ASR с носителя резервной копии ASR обратитесь к службе справки и поддержки любой системы Windows Server 2003. 2. Вставьте носитель операционной системы Windows Server 2003 в привод компакт-дисков восстанавливаемого сервера и запустите инсталляцию с этого компакт-диска.
Аварийное восстановление Ãëàâà 33
1145
3. Когда появится подсказка, нажмите клавишу , чтобы установить все драйверы запоминающих устройств сторонних разработчиков (если они нужны). Сюда входят и все дисковые и ленточные контроллеры сторонних разработчиков, не распознаваемые Windows Server 2003. 4. После получения подсказки нажмите клавишу , чтобы выполнить автоматическое восстановление системы. 5. После получения подсказки вставьте в привод дискету ASR и нажмите <Enter>. Если в системе нет локального привода гибких дисков, необходимо временно подключить его; иначе восстановление ASR не сможет быть выполнено. 6. Во время установки операционной системы происходит восстановление информацию о дисковых томах и переформатирование томов, связанных с операционной системой. После завершения этого процесса и короткого отсчета операционная система перезапускается, и начинается графическая инсталляция ОС, а резервная копия ASR пытается автоматически переподключиться к носителю резервной копии. Если носитель резервной копии находится на сетевом диске, то переподключение резервной копии ASR не сможет быть выполнено. В таком случае укажите сетевое местоположение носителя резервной копии, указав путь UNC и при необходимости введя информацию аутентификации. 7. Когда носитель будет найден, откройте его и щелкните на кнопке Next, а затем на кнопке Finish, чтобы начать восстановление оставшихся данных ASR. 8. Если после завершения восстановления ASR не были восстановлены какие-либо данные с локальных дисков, то восстановите все локальные диски. 9. Выберите в меню Start пункт All ProgramsÖAccessoriesÖSystem ToolsÖBackup. 10. Если резервное копирование запущено в первый раз, оно запускается в режиме мастера. Выберите выполнение в расширенном режиме, щелкнув на гиперссылке Advanced Mode. 11. Щелкните на кнопке Restore Wizard (Advanced), чтобы запустить мастер восстановления. 12. На экране приветствия мастера восстановления щелкните на кнопке Next. 13. На странице What to Restore выберите нужный каталогизированный носитель резервной копии, раскройте выбранный каталог и отметьте нужные данные на каждом локальном диске. Щелкните на кнопке Next. 14. На странице Completing the Restore Wizard щелкните на кнопке Finish, чтобы запустить восстановление. Поскольку необходимо восстановить только то, что не восстановила ASR, то не нужно устанавливать никакие дополнительные настройки восстановления. 15. После завершения восстановления и получения подсказки перезагрузите сервер. 16. После завершения перезагрузки войдите в восстановленный сервер и проверьте конфигурацию и функционирование сервера. 17. Если все работает нормально, то сделайте полную резервную копию и выйдите из сервера.
1146
Технологии обеспечения отказоустойчивости ×àñòü IX
Âîññòàíîâëåíèå ôàéëà çàãðóç÷èêà îïåðàöèîííîé ñèñòåìû Если система Windows Server 2003 восстанавливается с помощью восстановления ASR, может оказаться, что файл boot.ini не восстановлен. Этот файл содержит варианты загрузки различных операционных систем в мультизагрузочных системах и загрузку консоли восстановления, если она была до этого установлена. Для восстановления этого файла просто восстановите его из резервной копии в альтернативную папку или диск. Удалите файл boot.ini из корневой папки C:\ и переместите восстановленный файл из альтернативной папки в C:\, или на тот диск, на котором ранее находился файл boot.ini.
Âîññòàíîâëåíèå ñåòåâûõ ñëóæá Windows Server 2003 Резервное копирование систем Windows Server 2003 требует совсем небольшого объема знаний для выполнения нескольких задач резервного копирования. Но при необходимости восстановления необходим больший объем информации по двум различным причинам: некоторые службы Windows Server 2003 можно восстановить в предыдущую конфигурацию без влияния на всю систему, а другие предъявляют к восстановлению специальные требования.
Âîññòàíîâëåíèå ñëóæáû ñåðòèôèêàòîâ Если необходимо восстановить сервер, выполняющий службу сертификатов, то сервер и база данных сертификатов обычно можно восстановить с помощью восстановления состояния системы. Если сервер был восстановлен путем чистой инсталляции с тем же именем сервера, то вначале систему не нужно включать в домен. Необходимо восстановить состояние системы, чтобы восстановить SID учетной записи компьютера для сервера сертификатов. Если состояние системы сервера CA не было сконфигурировано или не может быть правильно восстановлено, то CA восстановить нельзя. После восстановления службы CA с помощью восстановления состояния системы можно восстановить базу данных сертификатов, если ее корректная версия еще не была восстановлена. Чтобы восстановить центр сертификации после повреждения базы данных или ошибочного удаления выпущенного сертификата, администратор должен восстановить базу данных CA. Если центр сертификации не запускается или не может правильно выпускать сертификаты, необходимо восстановить секретный ключ CA и сертификат CA. База данных CA может быть восстановлена независимо от восстановления состояния системы только в том случае, если ранее была создана резервная копия центра сертификации, как описано в главе 32. В последующих разделах предполагается, что ранее была создана резервная копия, сохраненная в каталоге c:\CaBackUp сервера CA.
Аварийное восстановление Ãëàâà 33
1147
Âîññòàíîâëåíèå ñåêðåòíîãî êëþ÷à CA è ñåðòèôèêàòà CA Чтобы восстановить секретный ключ CA и сертификат CA, выполните следующие шаги: 1. Войдите в сервер центра сертификации с учетной записью с правами локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖCertification Authority (Все программыÖСредства администрированияÖЦентр сертификации). 3. Раскройте сервер центра сертификации и выберите нужный CA. 4. Выберите в меню Action (Действие) пункт All TasksÖRestore CA (Все задачиÖ Восстановление CA). 5. Появится всплывающее окно с сообщением о том, что на время выполнения этой операции необходимо остановить службу сертификации. Щелкните на кнопке ОК, чтобы остановить эту службу. 6. На экране приветствия мастера восстановления центра сертификации (Certification Authority Restore Wizard) щелкните на кнопке Next. 7. На странице Items to Restore (Элементы для восстановления) установите флажки Private Key (Секретный ключ) и CA Certificate (Сертификат CA), введите путь к папке с резервной копией и щелкните на кнопке Next. 8. Введите пароль, указанный ранее во время создания резервной копии секретного ключа и сертификата CA. 9. На странице Completing the Certification Authority Restore Wizard (Завершение мастера восстановления центра сертификации) щелкните на кнопке Finish, чтобы восстановить секретный ключ и сертификат и перезапустить службу центра сертификации. 10. В окне центра сертификации щелкните правой кнопкой мыши на строке Certification Authority (Центр сертификации) и выберите в контекстном меню пункт Properties (Свойства). 11. На вкладке General (Общие) страницы свойств CA проверьте, восстановлен ли нужный сертификат. После этого щелкните на кнопке ОК, что закрыть страницы свойств CA, закройте консоль центра сертификации и выйдите из сервера.
Âîññòàíîâëåíèå áàçû äàííûõ CA База данных CA восстанавливается чаще, чем секретный ключ и сертификат CA, хотя тоже не очень часто. Необходимость в восстановлении базы данных может возникнуть в случае необходимости восстановления сертификата пользователя или машины после его ошибочного отзыва. Кроме того, базу данных сертификатов можно восстановить в предыдущее состояние, если она оказалась запорченной. После восстановления базы данных все новые сертификаты, выпущенные после создания резервной копии, станут неверными. Пользователям и компьютерам, для которых выпущены эти сертификаты, придется запросить новые сертификаты, и они, возможно, не смогут восстановить зашифрованные данные. Чтобы защититься от таких проблем,
1148
Технологии обеспечения отказоустойчивости ×àñòü IX
администратору необходимо почаще копировать базы данных сертификатов с помощью резервного копирования состояния системы. Для упрощения процесса восстановления серверы CA необходимо развертывать на рядовых серверах. Чтобы восстановить базу данных CA из ранее созданной резервной копии, выполните описанные ниже действия. 1. Войдите в сервер центра сертификации с учетной записью с правами локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖCertification Authority. 3. Раскройте сервер центра сертификации и выберите нужный CA. 4. Выберите в меню Action пункт All TasksÖRestore CA. 5. Появится всплывающее окно с сообщением о том, что на время выполнения этой операции необходимо остановить службу сертификации. Щелкните на кнопке ОК, чтобы остановить эту службу. 6. На экране приветствия мастера восстановления центра сертификации (Certification Authority Restore Wizard) щелкните на кнопке Next. 7. На странице Items to Restore установите флажок Certificate Database and Certificate Database Log (База данных сертификатов и журнал базы данных сертификатов) и введите путь к папке с резервной копией, как показано на рис. 33.2. Затем щелкните на кнопке Next.
Ðèñ. 33.2. Восстановление базы данных сертификатов из папки с резервной копией 8. На странице Completing the Certification Authority Restore Wizard щелкните на кнопке Finish, чтобы восстановить базу данных сертификатов и журнал базы данных сертификатов и перезапустить службу центра сертификации. 9. После завершения восстановления появится всплывающее окно с предложением запустить службу сертификатов. Если нужны дополнительные инкрементальные восстановления, щелкните на кнопке No (Нет) и продолжите процесс восстановления, в противном случае щелкните на кнопке Yes (Да).
Аварийное восстановление Ãëàâà 33
1149
10. В окне Certification Authority выберите отозванные сертификаты, выпущенные сертификаты или что-нибудь еще, чтобы проверить, что восстановлена нужная база данных. Затем щелкните на кнопке ОК, чтобы закрыть страницы свойств CA, закройте консоль Certification Authority и выйдите из сервера.
Âîññòàíîâëåíèå ïðîòîêîëà äèíàìè÷åñêîé êîíôèãóðàöèè õîñòîâ Если предыдущая резервная копия базы данных протокола динамической конфигурации хостов (Dynamic Host Configuration Protocol — DHCP) была создана вручную с помощью консоли DHCP или используется стандартная 60-минутная резервная копия базы данных, то приведенные ниже шаги восстановят базу данных DHCP на исходном или альтернативном сервере DHCP. Восстановление DHCP восстанавливает опции сервера, области действия и их опции, включая резервирование, аренду адресов и адресные пулы. Восстанавливаются полностью все данные DHCP. Если необходимо восстановить только одну потерянную конфигурацию — например, резервирование — то можно восстановить данные DHCP на альтернативном сервере с установленной службой DHCP. Этот сервер не обязательно должен быть авторизованным в лесу. После восстановления данных DHCP информацию о резервировании можно записать и вручную пересоздать на исходном сервере DHCP. Для восстановления данных DHCP на исходном или альтернативном сервере DHCP выполните следующие шаги: 1. Если система была восстановлена с помощью чистой инсталляции или ASR, и было восстановлено состояние системы, то данные DHCP уже должны быть восстановлены. Если необходим откат изменений конфигурации DHCP, то перейдите к следующему шагу. 2. Найдите ранее созданную резервную копию DHCP, которая по умолчанию находится в папке c:\Windows\system32\dhcp\backup. Если в локальной системе эта папка не существует, то восстановите ее из предыдущей резервной копии в другое место — например, c:\dhcprestore\. 3. Войдите в нужный сервер DHCP с учетной записью с полномочиями локального администратора и администратора домена. 4. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖDHCP (Все программыÖАдминистрированиеÖDHCP). 5. Если требуемого сервера DHCP нет в списке, щелкните правой кнопкой мыши на строке DHCP в левой панели и выберите в контекстном меню пункт Add Server (Добавить сервер). 6. Введите полностью определенное доменное имя соответствующего сервера DHCP и щелкните на кнопке ОК. 7. Когда сервер появится в окне, выберите его и щелкните на нем правой кнопкой мыши. Затем выберите в контекстном меню пункт Restore (Восстановить), как показано на рис. 33.3.
1150
Технологии обеспечения отказоустойчивости ×àñòü IX
Ðèñ. 33.3. Восстановление данных DHCP 8. В появившемся окне Browse for Folder (Поиск папки) найдите ранее созданную резервную копию данных DHCP, выберите эту папку и щелкните на кнопке ОК. Эта папка резервной копии DHCP должна находиться на локальном системном диске в каталоге %systemroot%\system32\dhcp\backup или в другой папке восстановления. 9. Появится всплывающее окно с сообщением о том, что для вступления изменений в силу службы DHCP должны быть остановлены и вновь запущены. Щелкните на кнопке Yes, чтобы восстановить данные и перезапустить сервер DHCP. 10. После завершения восстановления потребуется обновить консоль DHCP. Чтобы отобразить проведенные изменения, выберите в меню Action пункт Refresh (Обновить). 11. Для верификации проведенной операции загрузите клиент DHCP и проверьте правильность назначения адресной информации и опций областей. Кроме того, удостоверьтесь, что если используются резервирования, то они восстановлены в конфигурацию сервера DHCP. 12. Закройте консоль DHCP и выйдите из сервера.
НА ЗАМЕТКУ С помощью утилиты DHCPExim можно быстро выполнять экспорт в файл и импорт информации конфигурации DHCP для ее резервного хранения. Эту утилита доступна для загрузки на Web-сайте Microsoft по адресу:
http://www.microsoft.com/windows2000/techinfo/reskit/tools/new/dhcpexim-o.asp
Ñëóæáà Internet-èìåí Windows Если необходимо восстановить из предыдущей резервной копии службу Internetимен Windows (Windows Internet Name Service — WINS), то ее можно восстановить только из резервной копии состояния системы или из самой последней резервной ко-
Аварийное восстановление Ãëàâà 33
1151
пии WINS в папке %systemroot%\system32\WINS\Backup. По умолчанию резервная копия сервера WINS создается во время остановки системы. Если необходимы более частые резервные копирования, создайте резервную копию так, как описано в разделе “Создание регулярных процедур резервного копирования” главы 32. Для того чтобы восстановить данные WINS, выполните следующие шаги: 1. Войдите в сервер WINS с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖWINS (Все программыÖАдминистрированиеÖWINS). 3. Если локальный сервер WINS не виден в окне, щелкните правой кнопкой мыши на строке WINS в левой панели и выберите в контекстном меню пункт Add Server. 4. Введите имя NetBIOS или полностью определенное доменное имя сервера WINS и щелкните на кнопке ОК. 5. Выберите в левой панели сервер WINS. 6. Щелкните правой кнопкой мыши на сервере WINS, выберите в контекстном меню пункт All Tasks (Все задачи), а затем выберите пункт Stop (Остановить), чтобы остановить службу WINS, как показано на рис. 33.4.
Ðèñ. 33.4. Остановка службы WINS 7. После остановки службы щелкните правой кнопкой мыши на пиктограмме сервера и выберите в контекстном меню пункт Restore Database (Восстановить базу данных). 8. В появившемся окне Browse for Folder найдите ранее созданную резервную копию данных WINS, выберите папку и щелкните на кнопке ОК. 9. После завершения восстановления служба WINS автоматически перезапускается. Проверьте, восстановлены ли нужные конфигурации и записи WINS. 10. При необходимости устраните неполадки, закройте консоль WINS и выйдите из сервера.
1152
Технологии обеспечения отказоустойчивости ×àñòü IX
Âîññòàíîâëåíèå ñèñòåìû äîìåííûõ èìåí Зоны системы доменных имен (Domain Name System — DNS) могут быть созданы или восстановлены с помощью файлов зон, созданных Windows Server 2003 или другими системами DNS. Поскольку динамические AD-интегрированные зоны не сохраняют копию данных в файле резервной копии, то эти зоны можно просто создать заново, и серверы и рабочие станции занесут в них новые данные. Строки, внесенные в AD-интегрированные зоны вручную, потребуется вновь создать вручную. Вот почему при использовании нескольких DNS-серверов Active Directory желательно обеспечить резервирование. Чтобы восстановить стандартные первичные зоны из файла резервной копии, просто создайте новую зону прямого или обратного поиска, но укажите ее создание с помощью существующего файла резервной копии. Создание новых зон в DNS Windows Server 2003 описано в главе 9.
Âîññòàíîâëåíèå ñëóæáû ôàéëîâ Windows Server 2003 è äàííûõ Чтобы восстановить данные из файла или папки — запорченные, случайно удаленные или просто отсутствующие в общем ресурсе сервера или на томе — администратор должен сначала проверить сообщение об этом. Если в сообщении указано, что поврежден отдельный файл, администратор должен проверить права доступа общего файлового ресурса и NTFS этого файла и содержащей его папки, дабы убедиться, что ошибка не связана с доступом. Если наличие ошибки подтверждено, администратор должен предложить пользователю показать ему, как проявляется проблема. Если файл запорчен, его необходимо восстановить из резервной копии с помощью одного из методов, описанных в последующих разделах. Если пользователь утверждает, что данные потеряны или удалены с тома, то администратор должен сначала поискать этот файл в подпапках этого же тома. Если пользователь обладает полномочиями на модификацию файлов в более чем одной папке тома, то есть вероятность, что отсутствующий файл или папка был ошибочно перемещен в другую папку. Если данные найдены, то их можно восстановить в прежнем месте; в противном случае данные можно восстановить из резервной копии с помощью одного из методов, описанных в последующих разделах.
Âîññòàíîâëåíèå äàííûõ ñ ïîìîùüþ NTBackup.exe Если папки и/или файлы данных запорчены, отсутствуют или необходима ранее созданная резервная копия, данные можно восстановить с помощью NTBackup.exe, если резервная копия была создана с помощью этой утилиты. Например, если с диска D: сервера SERVER1 была удалена папка Marketing, то для восстановления данных можно воспользоваться следующей процедурой:
Аварийное восстановление Ãëàâà 33
1153
1. Войдите в SERVER1 с учетной записью с полномочиями, достаточными для восстановления файлов и папок. По умолчанию эти права имеют группы операторов резервного копирования и локальных администраторов. 2. Выберите в меню Start пункт All ProgramsÖAccessoriesÖSystem ToolsÖBackup. 3. Если это первый запуск утилиты Backup, она открывается в режиме мастера. Выберите выполнение в расширенном режиме, щелкнув на гиперссылке Advanced Mode. 4. Щелкните на кнопке Restore Wizard (Advanced), чтобы запустить мастер восстановления. 5. На экране приветствия мастера восстановления щелкните на кнопке Next. 6. На странице What to Restore выберите нужный каталогизированный носитель резервной копи, раскройте выбранный каталог и выберите в резервной копии диска D: папку Marketing, как показано на рис. 33.5.
Ðèñ. 33.5. Выбор восстанавливаемой папки 7. Если в этом окне не отображается нужная лента или файл резервной копии, отмените процесс восстановления. Затем в мастере восстановления найдите и каталогизируйте требуемый носитель и возвратитесь к процессу восстановления с шага 4. 8. На странице Completing the Restore Wizard щелкните на кнопке Finish, чтобы запустить собственно восстановление. 9. После завершения восстановления просмотрите протокол восстановления, а затем щелкните на кнопке Close в окне Restore Progress.
Âîññòàíîâëåíèå äàííûõ èç ôîíîâîé êîïèè òîìà С помощью службы фонового копирования тома можно восстанавливать отсутствующие файлы или восстанавливать предыдущие версии файлов, но только в том случае, если на этом томе включено фоновое копирование. Чтобы включить фоновое
1154
Технологии обеспечения отказоустойчивости ×àñòü IX
копирование на томе, обратитесь к шагам, описанным в разделе “Настройка фонового копирования” главы 30. Для восстановления данных из фоновых копий к тому, содержащему нужные данные, необходимо обратиться из точки общего ресурса. Например, если фоновое копирование тома включено на диске D: сервера SERVER1, то для восстановления данных с помощью фоновой копии администратор должен открыть подключение к \\SERVER1\D$. Восстановление данных из фоновой копии позволяет администратору восстановить данные не только в то же самое место, но и куда угодно. В качестве примера рассмотрим восстановление папки Marketing с диска D: сервера SERVER1 после ее удаления. Если пользователь сообщил, что на SERVER1 отсутствует папка Marketing, выполните описанные ниже действия. 1. Войдите в SERVER1 с правами доступа администратора и убедитесь, что папка Marketing действительно удалена. 2. Откройте окно проводника и войдите в ресурс \\SERVER1\D$. 3. Через несколько секунд появится окно View Previous Versions (Просмотр предыдущих версий), показанное на рис. 33.6. Если раздел File and Folder Tasks (Задачи файлов и папок) не открыт, измените режим просмотра папок.
Ðèñ. 33.6. Доступ к данным, сохраненным с помощью фонового копирования 4. Для изменения опций папки выберите в меню Tools (Сервис) пункт Folder Options (Свойства папки). В разделе Tasks (Задачи) на вкладке General (Общие) выберите строку Show Common Tasks in Folders (Отображение списка типичных задач в папках) и щелкните на кнопке ОК, чтобы обновить вид содержимого папки. 5. В левой панели окна выберите задачу View Previous Versions (Просмотр предыдущих версий). 6. На странице Share Properties (Свойства общего ресурса) перейдите на вкладку Previous Versions (Предыдущие версии).
Аварийное восстановление Ãëàâà 33
1155
7. В окне Folder Version (Версия папки) выберите нужную фоновую копию и щелкните на кнопке View (Просмотр) в нижней части окна. 8. В нашем примере выберите папку Marketing и щелкните на кнопке Copy (Копировать). 9. Закройте окно Shadow Copy и перейдите на страницу Share Properties. 10. Возвратившись в окно \\SERVER1\D$, щелкните правой кнопкой мыши в пустом месте окна и выберите в контекстном меню пункт Paste (Вставить), чтобы восстановить папку Marketing. 11. Еще раз проверьте права доступа восстановленной папки, закройте окно, а затем выйдите из сервера.
Âîññòàíîâëåíèå èíôîðìàöèîííûõ ñëóæá Internet Если информационные службы Internet (Internet Information Services — IIS) удалены или не функционируют должным образом, может потребоваться восстановление ее конфигурации. Чтобы восстановить данные метабазы IIS, выполните следующие шаги: 1. Войдите в нужный сервер IIS с учетной записью с полномочиями локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖInternet Information Services (IIS) Manager (Все программыÖАдминистрированиеÖДиспетчер IIS), чтобы открыть консоль диспетчера IIS. 3. В левой панели выберите Web-сервер. 4. Выберите в меню Action пункт All TasksÖBackup/Restore Configuration (Все задачиÖКопирование/восстановление конфигурации). 5. На странице Configuration Backup/Restore (Копирование/восстановление конфигурации) должен отображаться список автоматических резервных копий, уже созданных IIS. Выберите нужную резервную копию и щелкните на кнопке Restore (Восстановить), чтобы выполнить ручное восстановление. 6. Появится всплывающее окно с сообщением, что для восстановления данных необходимо остановить, а затем снова запустить все службы Internet. Щелкните на кнопке Yes, чтобы начать восстановление. 7. После завершения восстановления появится всплывающее окно с подтверждением успешности восстановления. Щелкните на кнопке ОК, чтобы закрыть это окно. 8. Щелкните на кнопке Close на странице Configuration Backup/Restore. 9. Возвратившись в окно диспетчера IIS, удостоверьтесь, что восстановление прошло успешно, закройте окно, а затем выйдите из сервера. По умолчанию резервные копии хранятся в папке: %systemroot%\system32\Inetsrv\MetaBack
1156
Технологии обеспечения отказоустойчивости ×àñòü IX
Âîññòàíîâëåíèå äàííûõ è æóðíàëîâ IIS Web- и FTP-папки IIS хранятся в каталоге c:\InetPub\. Журналы IIS по умолчанию расположены в папке c:\Windows\system32\LogFiles. Чтобы восстановить Web-сайт, FTP-сайт или журналы IIS, восстановите файлы либо из фоновой копии данных, либо с помощью средства копирования/восстановления, подобного Ntbackup.exe. Подробную информацию об этом процессе можно найти, соответственно, в разделах “Восстановление данных из фоновой копии тома” и “Восстановление данных с помощью NTBackup.exe” этой главы.
Âîññòàíîâëåíèå ñëóæáû êëàñòåðîâ Для кластерных узлов должны выполняться специальные процедуры резервного копирования и восстановления, что обеспечит успешное восстановление при возникновении отказа кластера. Прочитайте подробную информацию по резервному копирования и восстановлению узлов кластера в разделе “Резервное копирование и восстановление кластеров” главы 31, либо обратитесь к средству справки и поддержки Windows Server 2003.
Âîññòàíîâëåíèå êîíòðîëëåðîâ äîìåíîâ Windows Server 2003 При отказе контроллера домена Windows Server 2003 администратору нужно либо восстановить этот сервер, либо выяснить, как полностью и правильно удалить этот контроллер из домена. Потребуется рассмотреть несколько вопросов: •
Содержал ли этот контроллер домена какую-либо из перемещаемых ролей с одним мастером (FSMO) домена или леса?
•
Был ли этот контроллер домена сервером глобального каталога (GC) и если был, то был ли он единственным GC одного сайта Active Directory?
•
Если отказ сервера произошел из-за порчи Active Directory, то произошла ли репликация запорченных данных на другие контроллеры доменов?
•
Является ли этот сервер концентратором репликации или связующим сервером репликации сайта Active Directory?
С помощью вышеприведенного списка вопросов администратор может решить, как лучше всего обработать отказ. Например, если на отказавшем контроллере домена находилась роль FSMO эмулятора PDC, то можно либо восстановить сервер, либо вручную захватить роль FSMO с помощью отдельного контроллера домена. Если контроллер домена был связующим сервером репликации сайта Active Directory, то лучше всего восстановить этот сервер, поскольку в этом случае останется неизменной необходимая первичная топология репликации. Администратор должен восстановить отказавший контроллер домена так же, как восстанавливается любой другой сервер, восстановить ОС путем восстановления ASR или создать новый сервер, установить все необходимые службы, восстановить состояние системы, а затем выполнить необходимые восстановления данных на локальном диске.
Аварийное восстановление Ãëàâà 33
1157
Âîññòàíîâëåíèå Active Directory Если в Active Directory проведены нежелательные изменения или запорчена база данных Active Directory на контроллере домена, то может понадобиться восстановление базы данных Active Directory. Если не выполнялись частые резервные копирования, и администратор недостаточно хорошо понимает все варианты восстановления, восстановление Active Directory может превратиться в сложную задачу.
Âîññòàíîâëåíèå áàçû äàííûõ Active Directory База данных Active Directory содержит всю информацию, хранящуюся в Active Directory. В ней также хранится информация глобального каталога. Имя файла этой базы данных — ntds.dit, и по умолчанию он расположен в каталоге c:\Windows\NTDS\. При восстановлении контроллера домена после отказа сервера база данных Active Directory восстанавливается вместе с состоянием системы. Если при возврате сервера в оперативное состояние не предпринимаются специальное шаги, то он опрашивает все другие контроллеры доменов и ищет на них копию последней версии базы данных Active Directory. Эта ситуация называется самопроизвольным восстановлением (nonauthoritative restore) Active Directory. Если нужно выполнить откат изменения в Active Directory или откат всей базы данных по предприятию или домену, то необходимо осуществить принудительное восстановление (authoritative restore) базы данных Active Directory.
Ñàìîïðîèçâîëüíîå âîññòàíîâëåíèå Active Directory Если контроллер домена создан заново из резервной копии после полного отказа системы, то для возврата этой машины в производственную сеть достаточно простого восстановления этого сервера с помощью восстановления локальных дисков и состояния системы. Когда машина возвращена в оперативный режим и подключена к другим контроллерам домена, на восстановленный сервер реплицируются все обновления Active Directory и SYSVOL. Самопроизвольные восстановления необходимы также тогда, когда запорчена копия базы данных Active Directory одного контроллера домена, что мешает правильной загрузке этого сервера. Чтобы восстановить надежную копию базы данных Active Directory, потребуется восстановить все состояние системы, а если на контроллере домена расположены дополнительные службы, то возможно, что восстановление данных предыдущих конфигураций всех этих служб нежелательно. В подобной ситуации лучше всего попытаться восстановить базу данных Active Directory с помощью утилит обслуживания и восстановления баз данных наподобие Esentutl.exe и Ntdsutil.exe. С помощью этих утилит можно проверить согласованность базы данных, выполнить дефрагментацию, исправить и устранить неполадки в базе данных Active Directory. Чтобы получить информацию по практическому сопровождению Active Directory с помощью этих утилит, обратитесь к службе справки и поддержки Windows Server 2003. Чтобы восстановить запорченную базу данных Active Directory на одном контроллере домена, выполните описанные ниже шаги. 1. Включите питание контроллера домена, и когда на экране появится загрузчик операционной системы, нажмите клавишу .
1158
Технологии обеспечения отказоустойчивости ×àñòü IX
2. При появлении списка дополнительных опций загрузки найдите в нем пункт Directory Services Restore Mode (Режим восстановления службы каталогов), а затем нажмите клавишу <Enter>, чтобы загрузить сервер. Этот режим загружает базу данных Active Directory в автономном состоянии. При выборе этого варианта загрузки можно выполнить обслуживание и восстановление базы данных Active Directory. 3. После загрузки сервера войдите в него с именем администратора и паролем режима восстановления, которые были указаны при повышении сервера до контроллера домена. Чтобы изменить пароль режима восстановления контроллера домена, выполняющегося в нормальном режиме, воспользуйтесь утилитой Ntdsutil.exe; этот процесс рассмотрен в главе 32. 4. Выберите в меню Start пункт Run (Выполнить). 5. Введите команду NTBackup.exe и щелкните на кнопке ОК. 6. После открытия окна Backup or Restore (Резервное копирование или восстановление) щелкните на гиперссылке Advanced Mode. 7. Перейдите на вкладку Restore and Manage Media (Восстановление и управление носителями). 8. Выберите нужный носитель резервной копии, раскройте его и отметьте состояние системы. Если требуемый носитель не доступен, необходимо найти файл или загрузить ленту в ленточный привод и каталогизировать ее, прежде чем использовать для восстановления состояния системы. 9. Выберите восстановление данных на то же место и щелкните на кнопке Start Restore (Начать восстановление) в правом нижнем углу окна резервного копирования. 10. Появится всплывающее окно с сообщением, что восстановление состояния системы на прежнее место перезапишет текущее место системы. Щелкните на кнопке ОК. 11. Появится окно подтверждения восстановления, в котором можно выбрать дополнительные опции восстановления. Щелкните на кнопке ОК, чтобы начать восстановление состояния системы. 12. После завершения восстановления необходимо выполнить перезапуск системы, чтобы обновить службы и файлы, восстановленные во время этой операции. Поскольку необходимо лишь самопроизвольное восстановление базы данных Active Directory, щелкните на кнопке Yes для перезапуска сервера. 13. После перезагрузки сервера войдите в него с учетной записью администратора домена. 14. Просмотрите журнал событий сервера и информацию Active Directory, чтобы удостовериться в успешном восстановлении базы данных, а затем выйдите из сервера.
Аварийное восстановление Ãëàâà 33
1159
Ïðèíóäèòåëüíîå âîññòàíîâëåíèå Active Directory Если в Active Directory внесено изменение, порождающее проблемы, или изменен или удален объект, который необходимо восстановить во всем предприятии, следует выбрать принудительное восстановление Active Directory. Чтобы выполнить принудительное восстановление базы данных Active Directory, предпримите следующие действия. 1. Включите питание контроллера домена, и когда на экране появится загрузчик операционной системы, нажмите клавишу . 2. При появлении списка дополнительных опций загрузки найдите в нем пункт Directory Services Restore Mode, а затем нажмите клавишу <Enter>, чтобы загрузить сервер. Этот режим загружает базу данных Active Directory в автономном состоянии. При выборе этого варианта загрузки можно выполнить обслуживание и восстановление базы данных Active Directory. 3. После загрузки сервера войдите в него с именем администратора и паролем режима восстановления, которые были указаны при повышении сервера до контроллера домена. Чтобы изменить пароль режима восстановления контроллера домена, выполняющегося в нормальном режиме, воспользуйтесь утилитой Ntdsutil.exe; этот процесс рассмотрен в главе 32. 4. Выберите в меню Start пункт Run. 5. Введите NTBackup.exe и щелкните на кнопке ОК. 6. После открытия окна Backup or Restore щелкните на гиперссылке Advanced Mode. 7. Перейдите на вкладку Restore and Manage Media. 8. Выберите нужный носитель резервной копии, раскройте его и отметьте состояние системы. Если носитель не доступен, необходимо найти файл или загрузить ленту в ленточный привод и каталогизировать ее, прежде чем использовать для восстановления состояния системы. 9. Выберите восстановление данных на то же место и щелкните на кнопке Start Restore в правом нижнем углу окна резервного копирования. 10. Появится всплывающее окно с сообщением, что восстановление состояния системы на прежнее место перезапишет текущее место системы. Щелкните на кнопке ОК. 11. Появится окно подтверждения восстановления, в котором можно выбрать дополнительные опции восстановления. Щелкните на кнопке ОК, чтобы начать восстановление состояния системы. 12. После завершения восстановления необходимо выполнить перезапуск системы, чтобы обновить службы и файлы, восстановленные во время этой операции. Поскольку требуется принудительное восстановление базы данных Active Directory, то щелкните на кнопке No. 13. Закройте окно резервного копирования и выберите в меню Start пункт Run. 14. Введите команду cmd.exe и щелкните на кнопке ОК, чтобы открыть командное окно. 15. В командном окне введите команду ntdsutil.exe и нажмите клавишу <Enter>.
1160
Технологии обеспечения отказоустойчивости ×àñòü IX
16. Введите Authoritative restore и нажмите <Enter>. 17. Введите Restore Database и нажмите <Enter> для восстановления всей базы данных. В зависимости от того, находится ли этот контроллер домена в корневом домене леса, корневом домене дерева или дочернем домене раздела Active Directory, подобном разделу схемы и/или разделу контекста именования домена, информация будет реплицирована всем другим подходящим контроллерам доменов партнеров репликации. 18. Появится диалоговое окно с требованием подтверждения принудительного восстановления; щелкните на кнопке Yes, чтобы запустить принудительное восстановление. 19. В командном окне появится сообщение об успешном принудительном восстановлении. Закройте командное окно и перезагрузите сервер. 20. Загрузите сервер в нормальном режиме, войдите в него и проверьте успешность восстановления с помощью соответствующих средств Active Directory. Не забудьте проверить другие контроллеры домена: реплицированы ли на них результаты восстановления. 21. После этого выполните полное резервное копирование контроллера домена или, по крайней мере, состояния системы; по завершении резервного копирования выйдите из сервера.
×àñòè÷íîå ïðèíóäèòåëüíîå âîññòàíîâëåíèå Active Directory Большинство принудительных восстановлений Active Directory выполняются для восстановления после изменения или удаления объекта Active Directory. Например, может быть удалена, а не отключена учетная запись пользователя, либо изменена безопасность организационной единицы, в результате чего администратор оказывается заблокированным. Для восстановления только конкретного объекта, такого как учетная запись пользователя, организационная единица или контейнер, необходимо отличительное имя (distinguished name — DN) этого объекта. Для определения отличительного имени администратор может воспользоваться утилитой Ntdsutil; однако если существует LDIF-дамп службы Active Directory, то лучше воспользоваться им. Если файл LDIF не существует и DN восстанавливаемого объекта не известно, то восстановление отдельного объекта или контейнера невозможно. Чтобы упростить шаги частичного восстановления, мы воспользуемся примером восстановления одной пользовательской учетной записи с именем Khalil, ранее содержавшейся в контейнере Users домена Companyabc.com. Чтобы восстановить эту учетную запись, выполните следующие шаги: 1. Включите питание контроллера домена, и когда на экране появится загрузчик операционной системы, нажмите клавишу . 2. При появлении списка дополнительных опций загрузки найдите в нем пункт Directory Services Restore Mode, а затем нажмите клавишу <Enter>, чтобы загрузить сервер. Этот режим загружает базу данных Active Directory в автономном состоянии. При выборе этого варианта загрузки можно выполнить обслуживание и восстановление базы данных Active Directory.
Аварийное восстановление Ãëàâà 33
1161
3. После загрузки сервера войдите в него с именем администратора и паролем режима восстановления, которые были указаны при повышении сервера до контроллера домена. Чтобы изменить пароль режима восстановления контроллера домена, выполняющегося в нормальном режиме, воспользуйтесь утилитой Ntdsutil.exe; этот процесс рассмотрен в главе 32. 4. Выберите в меню Start пункт Run. 5. Введите команду Ntbackup.exe и щелкните на кнопке ОК. 6. После открытия окна Backup or Restore щелкните на гиперссылке Advanced Mode. 7. Перейдите на вкладку Restore and Manage Media. 8. Выберите нужный носитель резервной копии, раскройте его и отметьте состояние системы. Если носитель не доступен, необходимо найти файл или загрузить ленту в ленточный привод и каталогизировать ее, прежде чем использовать для восстановления состояния системы. 9. Выберите восстановление данных на то же место и щелкните на кнопке Start Restore в правом нижнем углу окна резервного копирования. 10. Появится всплывающее окно с сообщением, что восстановление состояния системы на прежнее место перезапишет текущее место системы. Щелкните на кнопке ОК. 11. Появится окно подтверждения восстановления, в котором можно выбрать дополнительные опции восстановления. Щелкните на кнопке ОК, чтобы начать восстановление состояния системы. 12. После завершения восстановления необходимо выполнить перезапуск системы, чтобы обновить службы и файлы, восстановленные во время этой операции. Поскольку необходимо лишь принудительное восстановление базы данных Active Directory, щелкните на кнопке No. 13. Закройте окно резервного копирования и выберите в меню Start пункт Run. 14. Введите команду cmd.exe и щелкните на кнопке ОК, чтобы открыть командное окно. 15. В командном окне введите команду ntdsutil.exe и нажмите клавишу <Enter>. 16. Введите Authoritative restore и нажмите <Enter>. 17. Введите Restore Object "cn=Khalil,cn=Users,dc=companyabc,dc=com", как показано на рис. 33.7, и нажмите <Enter>. 18. В командном окне появится сообщение об успешном или неудачном завершении операции восстановления. После этого введите quit и нажмите <Enter>. Повторяйте этот шаг, пока приглашение на ввод команды не станет иметь вид C:. 19. Закройте командное окно и перезагрузите сервер. 20. Войдите в сервер с учетной записью администратора домена и проверьте, что учетная запись восстановлена. Затем выйдите из сервера.
1162
Технологии обеспечения отказоустойчивости ×àñòü IX
Ðèñ. 33.7. Восстановление одной учетной записи пользователя
Âîññîçäàíèå ãëîáàëüíîãî êàòàëîãà По поводу восстановления сервера глобального каталога нет никаких специальных рекомендаций, отличных от приведенных в предыдущих разделах для восстановления Active Directory. Данные глобального каталога пересоздаются на основе содержимого базы данных Active Directory.
Âîññòàíîâëåíèå ïàïêè SYSVOL Папка SYSVOL содержит системные политики, групповые политики, сценарии запуска/остановки компьютера и сценарии входа/выхода пользователя. Если нужна предыдущая версия сценария или объекта групповой политики, необходимо восстановить папку SYSVOL. Для упрощения процесса папку SYSVOL лучше всего восстанавливать в другое место, куда можно восстановить отдельные файлы. Если восстанавливать файлы в папку SYSVOL, то служба репликации файлов сочтет этот файл новой или измененной версией и реплицирует его на остальные контроллеры доменов. Если необходимо разослать на другие контроллеры доменов всю папку SYSVOL, а база данных Active Directory не повреждена, следует выполнить первичное восстановление SYSVOL. Чтобы выполнить первичное восстановление папки SYSVOL, предпримите описанные ниже действия. 1. Включите питание контроллера домена, и когда на экране появится загрузчик операционной системы, нажмите клавишу . 2. При появлении списка дополнительных опций загрузки найдите в нем пункт Directory Services Restore Mode, а затем нажмите клавишу <Enter>, чтобы загрузить сервер. Этот режим загружает базу данных Active Directory в автономном состоянии. При выборе этого варианта загрузки можно выполнить обслуживание и восстановление базы данных Active Directory. 3. После загрузки сервера войдите в него с именем администратора и паролем режима восстановления, которые были указаны при повышении сервера до контроллера домена. Чтобы изменить пароль режима восстановления контрол-
Аварийное восстановление Ãëàâà 33
1163
лера домена, выполняющегося в нормальном режиме, воспользуйтесь утилитой Ntdsutil.exe; этот процесс рассмотрен в главе 32. 4. Выберите в меню Start пункт Run. 5. Введите команду Ntbackup.exe и щелкните на кнопке ОК. 6. После открытия окна Backup or Restore щелкните на гиперссылке Advanced Mode. 7. Перейдите на вкладку Restore and Manage Media. 8. Выберите нужный носитель резервной копии, раскройте его и отметьте состояние системы. Если носитель не доступен, необходимо найти файл или загрузить ленту в ленточный привод и каталогизировать ее, прежде чем использовать для восстановления состояния системы. 9. Выберите восстановление данных на то же место и щелкните на кнопке Start Restore в правом нижнем углу окна резервного копирования. 10. Появится всплывающее окно с сообщением, что восстановление состояния системы на прежнее место перезапишет текущее место системы. Щелкните на кнопке ОК. 11. Появится окно подтверждения восстановления, в котором можно выбрать дополнительные опции восстановления. Щелкните на кнопке Advanced (Дополнительно), чтобы появился список дополнительных опций восстановления. 12. Установите флажок When Restoring Replicated Data Sets, Mark the Restored Data as the Primary Data for All Replicas (При восстановлении реплицированных наборов данных отметить восстановленные данные как первичные данные для всех реплик), как показано на рис. 33.8.
Ðèñ. 33.8. Выбор выполнения первичного восстановления 13. Щелкните на кнопке ОК, чтобы вернуться на страницу Confirm Restore (Подтверждение восстановления), и щелкните на кнопке ОК для запуска процесса восстановления. 14. После завершения восстановления потребуется перезапустить систему, чтобы обновить службы и файлы, восстановленные во время этой операции. Поскольку необходимо лишь самопроизвольное восстановление базы данных Active Directory, щелкните на кнопке Yes.
1164
Технологии обеспечения отказоустойчивости ×àñòü IX
15. После перезагрузки сервера войдите в него с учетной записью с правами доступа администратора домена. 16. Просмотрите журнал событий сервера и папку SYSVOL, чтобы удостовериться в успешном восстановлении данных, а затем выйдите из сервера.
Âîññòàíîâëåíèå áàçû äàííûõ ñìåííûõ çàïîìèíàþùèõ óñòðîéñòâ Если в системе установлена служба Remote Storage или применяется Ntbackup.exe, то управление носителями, используемыми этими обеими службами, выполняется службой сменных запоминающих устройств (Removable Storage). Служба сменных запоминающих устройств хранит информацию о носителях, хранящихся на ленточных устройствах, в том числе и в ленточных библиотеках. Информация, содержащаяся в базе данных, может включать в себя список всех пулов носителей и носителей, присутствующих в каждом пуле. База данных службы содержит также метки носителей и другую информацию, относящуюся к носителям. В случае сбоя системы, при котором необходима загрузка операционной системы с нуля и восстановление информации о сменных запоминающих устройствах, выполните восстановление базы данных сменных носителей с помощью представленной ниже процедуры. 1. Если восстановление операционной системы невозможно, то переустановите ОС. 2. Найдите носитель резервной копии с самой последней или нужной резервной копией базы данных сменных запоминающих устройств. Эти файлы находятся в папке %systemroot%\system32\NTMSData. Чтобы найти самую последнюю копию базы данных, вставьте ленту (или ленты) резервной копии в устройство резервного копирования и каталогизируйте ее. 3. После того как лента помещена в устройство резервного копирования, откройте утилиту управления компьютером (Computer Management) из меню Administrative Tools (Администрирование). 4. В левой панели щелкните на крестике рядом со строкой Storage (Память), чтобы раскрыть ее, а затем раскройте узел Removable Storage and Libraries (Сменные запоминающие устройства и библиотеки). 5. Под строкой Libraries (Библиотеки) щелкните правой кнопкой мыши на нужном устройстве резервного копирования и выберите в контекстном меню пункт Inventory (Инвентаризация). 6. После того как ленточное устройство завершит процесс инвентаризации, в правой панели появится информация о ленте. Обратите внимание на информацию о местоположении, сообщающую о текущем пуле носителей. 7. Поместите носитель в пул носителей резервных копий. Пул носителей резервных копий имеет подпулы носителей для различных типов устройств носителей. Например, взгляните на пул носителей DLT, показанный на рис. 33.9.
Аварийное восстановление Ãëàâà 33
1165
Ðèñ. 33.9. Выбор пула носителей резервных копий DLT 8. В левой панели щелкните на крестике рядом со строкой Media Pools (Пулы носителей), а затем раскройте узел Backup Media Pool (Пул носителей резервных копий). Если пул носителей резервных копий не существует, то он автоматически создается при запуске Ntbackup.exe. 9. Если вы раскрывали списки только с помощью щелчков на крестиках, то инвентаризованные носители все еще должны присутствовать в правой панели. Если это не так, выберите в левой панели нужное ленточное устройство, как было описано ранее. 10. Щелкните и перетащите носитель резервной копии с правой панели в пул носителей резервных копий в левой панели. 11. Закройте окно утилиты управления компьютером.
НА ЗАМЕТКУ Процесс, описанный в шагах 5–9, необходим, иначе при запуске утилита Ntbackup.exe сочтет носитель импортированным или внешним носителем и предложит перезаписать информацию на нем для выделения этого носителя в пул свободных носителей — что совершенно нежелательно.
12. Выберите в меню Start пункт All ProgramsÖAccessoriesÖSystem ToolsÖBackup. 13. Если резервное копирование запущено в первый раз, оно запускается в режиме мастера. Выберите выполнение в расширенном режиме, щелкнув на гиперссылке Advanced Mode. 14. Перейдите на вкладку Restore and Manage Media и выберите либо файл, либо нужный тип ленточного устройства, чтобы начать каталогизацию. Каталогизация запускается для каждого уровня отдельно, так что для просмотра файлов в каталоге NTMSData может потребоваться несколько обзоров.
1166
Технологии обеспечения отказоустойчивости ×àñòü IX
15. После каталогизации ленты просмотрите даты последней модификации в списке файлов, реально находящихся в каталоге NTMSData, чтобы определить, достаточно ли актуальны эти версии файлов. 16. Выберите все файлы в каталоге NTMSData, и в разделе Restore Files To (Восстановить файлы в) выберите Alternate Location (Другое расположение). В качестве пути укажите расположение восстановления. Если необходимо, создайте каталог с помощью проводника Windows и укажите этот путь программе резервного копирования.
НА ЗАМЕТКУ Будет восстановлена вся иерархия папок файлов. Для уменьшения вероятности путаницы используйте для точки восстановления специальную подпапку, например, c:\RestoredData\.
17. Щелкните на кнопке Start Restore для запуска процесса восстановления. В окне Confirm Restore (Подтвердите восстановление) щелкните на кнопке ОК, чтобы запустить восстановление. 18. После завершения восстановления закройте окно Restore Progress и закройте программу резервного копирования. 19. Откройте папку My Computer (Мой компьютер) или проводник Windows и найдите файлы в восстановленном каталоге. Выделите все файлы, щелкните на них правой кнопкой мыши и выберите в контекстном меню пункт Copy. 20. Откройте оснастку Services (Службы), найдите службу Removable Storage (Сменные запоминающие устройства), щелкните на ней правой кнопкой мыши и с помощью контекстного меню остановите ее. Затем сверните это окно. 21. Откройте окно проводника Windows, войдите в каталог %systemroot%\system32\NTMSData и удалите в нем все файлы. 22. Щелкните правой кнопкой мыши на пустом месте в окне и выберите в контекстном меню пункт Paste, чтобы скопировать все ранее восстановленные файлы. 23. Восстановите окно оснастки Services, найдите службу Removable Storage, щелкните на ней правой кнопкой мыши и с помощью контекстного меню запустите ее. Затем закройте оснастку Services. 24. Откройте сменный носитель с консоли управления компьютером и проверьте, восстановлены ли нужные пулы носителей и информация о носителях. 25. Закройте консоль управления компьютером и выйдите из сервера.
Âîññòàíîâëåíèå áàçû äàííûõ Remote Storage Чтобы восстановить базу данных Remote Storage после восстановления операционной системы или в случае невозможности запуска этой службы, выполните следующие шаги:
Аварийное восстановление Ãëàâà 33
1167
1. Войдите в сервер Remote Storage с учетной записью с правами доступа локального администратора. 2. Выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖRemote Storage (Все программыÖАдминистрированиеÖУдаленное хранение). 3. В окне Remote Storage убедитесь, что служба не функционирует или нужная информация об обслуживаемом томе некорректна. 4. Вернитесь на рабочий стол, выберите в меню Start пункт All ProgramsÖAdministrative ToolsÖServices (Все программыÖАдминистрированиеÖСлужбы). 5. Найдите в оснастку Services службы Remote Storage Server (Сервер удаленного хранения) и Remote Storage Notification (Уведомления удаленного хранения) и остановите их, если хотя бы одна из них выполняется. 6. Сверните окно оснастки Services. 7. Выберите в меню Start пункт Run. 8. Введите команду cmd.exe и щелкните на кнопке ОК, чтобы открыть командное окно. 9. В командном окне войдите в папку %systemroot%\system32\RemoteStorage\Engdb и удалите все находящиеся в ней файлы. 10. В командной строке введите команду rstore.exe c:\system32\RemoteStorage\engdb.bak и нажмите клавишу <Enter>. Эта команда предполагает, что операционная система установлена в обычном месте на системном диске C:. 11. Закройте командное окно и восстановите ранее свернутое окно оснастки Services. 12. Найдите в этом окне службу Remote Storage Server и запустите ее. 13. Закройте оснастку Services и откройте консоль Remote Storage. 14. В консоли Remote Storage убедитесь, что информация обслуживаемого тома успешно восстановлена. 15. Закройте консоль Remote Storage и все остальные окна, после чего выйдите из сервера.
Âîññòàíîâëåíèå äàííûõ ïðè îòñóòñòâèè òî÷åê ïîâòîðíîé îáðàáîòêè Если файл был перенесен на носитель удаленного запоминающего устройства и заменен на томе точкой повторной обработки (reparse point) или точкой подключения (junction point), то для доступа к перенесенным данным нужны и носитель удаленного запоминающего устройства, и точка повторной обработки. Если пользователь нечаянно удалит точку повторной обработки, то для восстановления этой точки администратору придется использовать стандартные процессы восстановления файлов и папок. При отсутствии резервной копии точки повторной обработки доступ к перенесенным данным должен осуществляться другими методами.
1168
Технологии обеспечения отказоустойчивости ×àñòü IX
Для восстановления этих данных вставьте в ленточное устройство соответствующий носитель удаленного хранения данных. После загрузки носителя откройте службу сменных запоминающих устройств (Removable Storage) и при необходимости перенесите носитель из пула носителей Remote Storage в пул носителей резервных копий. После этого запустите утилиту Ntbackup.exe, каталогизируйте носитель, найдите данные и восстановите исходный файл в нужное место. Одна из проблем состоит в том, что данные не сохраняются в той же иерархии папок, что и на исходном диске, поэтому для восстановления данных необходимо знать имя и версию файла.
Äîñòèæåíèå 99,999% ãîòîâíîñòè ïðè èñïîëüçîâàíèè Windows Server 2003 Когда речь заходит об аварийном восстановлении, многие вспоминают термин “пять девяток”, или “99,999% готовности”. Хотя эта концепция достаточно проста для понимания, на самом деле достижение “пяти девяток” для сервера или сети может быть трудной и дорогостоящей задачей. Достижение 99,999% готовности означает, что сервер, приложение, сеть и все остальное, имеющее такую степень готовности, могут находиться в состоянии неготовности чуть более 5 минут в год. Это довольно высокая цель, поэтому администраторы должны подходить с осторожностью и документировать ее, явно упоминая, от чего она зависит. Например, если пропадет питание, а резервные батареи обеспечивают питание в течение только двух часов, то зависимость для сервера такова, что при пропаже питания он может выстоять не более двух часов. Чтобы обеспечить 99,999% готовности для служб, доступных в Windows Server 2003, администраторы могут встроить резервирование и репликацию на уровне данных, служб, серверов или сайтов. Резервирование на каждом из этих указанных уровней могут обеспечить многие службы Windows Server 2003, описанные в предыдущих главах данной книги — служба кластеров, балансировка сетевой нагрузки, распределенная файловая система и служба репликация файлов.
Îáåñïå÷åíèå ðåçåðâèðîâàíèÿ ñëóæáû äîìåíîâ Чтобы с помощью резервированных служб домена и сети обеспечить достижение готовности в “пять девяток”, администраторы могут использовать службы, встроенные в Windows Server 2003, и сложные структуры, предусматривающие конкретный тип отказа или аварии, для которых они запланированы. Например, если организация предоставляет в Web Internet-приложение, то “пять девяток” можно достичь в одном месте, развернув приложение в кластере серверов с балансировкой сетевой нагрузки. Чтобы предоставить это же приложение на нескольких различных сайтах, организации понадобится установить VPN между этими сайтами, чтобы для доступа к серверу из любого места использовалась одна запись DNS.
Аварийное восстановление Ãëàâà 33
1169
Ðåçþìå Большинство администраторов жутко не любят выполнять аварийное восстановление. Без надлежащего планирования и тестирования процедур резервного копирования и восстановления, в том числе планирования всех различных типов отказов, восстановление после отказа может затянуться слишком надолго или оказаться вовсе невозможным. Информация, представленная в главе 32 и в данной главе, может дать организации основные понятия о том, какие виды аварий могут случиться и как успешно выполнять резервное копирование и восстановление систем Windows Server 2003.
Ïîëåçíûå ñîâåòû •
Документируйте процедуры резервного копирования и восстановления.
•
Периодически тестируйте процедуры восстановления, чтобы проверить их аккуратность, и тестируйте носители резервных копий, чтобы быть уверенными, что данные действительно могут быть восстановлены.
•
Изолируйте отказы, прежде чем пытаться производить восстановление или исправлять проблему.
•
Выделяйте подходящие аппаратные устройства, в том числе серверы с достаточно мощными процессорами и с достаточной дисковой памятью, чтобы разместить ресурсы восстанавливаемых машин.
•
Размещайте зоны и записи DNS организации на первичных DNS-серверах, расположенных на запасной площадке поставщика Internet-услуг (ISP), либо создайте резервный DNS-сервер, зарегистрированный для домена и находящийся в обоих физических местоположениях.
•
Удостоверьтесь, что все процедуры, изменяющие записи DNS, документированы и доступны на удаленной площадке или в сторонней организации, предоставляющей услуги по хранению данных.
•
Удостоверьтесь, что в записях хостов в таблицах DNS для VPN-серверов и терминальных серверов установлены низкие значения времени существования (TTL), чтобы изменения DNS не требовали длительных периодов распространения через Internet.
•
Убедитесь в том, что сетевые соединения между всеми сайтами установлены и стабильны.
•
Как можно чаще реплицируйте файлы данных между двумя сайтами.
•
Создавайте, по крайней мере, три идентичных ленты с резервной копией сайта.
•
Храните копию всей документации по аварийному восстановлению в надежном месте, а, кроме того, храните такие копии в других местах.
•
Определяйте для дисковых массивов диски горячего резерва.
•
Применяйте для системных и загрузочных разделов массивы RAID 1.
1170
Технологии обеспечения отказоустойчивости ×àñòü IX
•
Выясните взаимозависимости приложений и служб с операционной системой, чтобы сделать выбор — пересоздавать систему или восстанавливать ее из резервной копии.
•
Не восстанавливайте состояние системы после чистой инсталляции сервера и включения его в прежний домен.
•
Идентифицируйте и документируйте специальные требования к восстановлению для каждого сервера.
•
Используйте специальную подпапку для точки восстановления наподобие c:\RestoredData\, чтобы уменьшить вероятность возникновения путаницы.
Óñòðàíåíèå ïðîáëåì, îòëàäêà è îïòèìèçàöèÿ
 ÝÒÎÉ ×ÀÑÒÈ... 34. Âåäåíèå æóðíàëîâ è îòëàäêà 35. Àíàëèç ìîùíîñòè è îïòèìèçàöèÿ ïðîèçâîäèòåëüíîñòè
×ÀÑÒÜ
X
Ведение журналов и отладка Ãëàâà 34
Âåäåíèå æóðíàëîâ è îòëàäêà
 ÝÒÎÉ ÃËÀÂÅ... •
Èñïîëüçîâàíèå äèñïåò÷åðà çàäà÷ äëÿ âåäåíèÿ æóðíàëîâ è îòëàäêè
•
Èñïîëüçîâàíèå óòèëèòû ïðîñìîòðà ñîáûòèé
•
Ìîíèòîðèíã ñèñòåìû
•
Óñòàíîâêà ýòàëîííûõ çíà÷åíèé
•
Ìîíèòîðèíã ñåòè â Windows Server 2003
•
Èñïîëüçîâàíèå ñðåäñòâ îòëàäêè, äîñòóïíûõ â Windows Server 2003
ÃËÀÂÀ
1173
34
1174
Устранение проблем, отладка и оптимизация ×àñòü X
До этой главы наше внимание было сконцентрировано на планировании, проектировании, реализации и миграции в среду Windows Server 2003. В данной главе рассматриваются журналы и средства отладки, доступные в Windows Server 2003, которые помогают организациям выявить и изолировать проблемы в своей сетевой среде. Многие из средств, описанных в данной главе, похожи на средства, используемые в среде Windows 2000 или даже Windows NT4; однако, как и большинство возможностей семейства серверов Windows, в операционной среде Windows Server 2003 возможности и функции этих средств улучшены и расширены.
Èñïîëüçîâàíèå äèñïåò÷åðà çàäà÷ äëÿ âåäåíèÿ æóðíàëîâ è îòëàäêè Одним из средств мониторинга, доступных в Windows Server 2003, является диспетчер задач (Task Manager). Он предоставляет мгновенный обзор системных ресурсов: активности процессора, активности процессов, использования памяти и потребления ресурсов. Вместо того чтобы загружать специальные средства и утилиты наблюдения или создавать сложные параметры мониторинга, можно воспользоваться диспетчером задач, чтобы быстро (обычно за несколько секунд) и наглядно увидеть состояние основных сетевых системных параметров. Помимо наблюдения за активностью процессора, активностью процессов, использованием памяти и потреблением ресурсов, диспетчер задач Windows Server 2003 предоставляет два дополнительных компонента мониторинга, отсутствующих в диспетчере задач сервера Windows 2000. Эти два дополнительных компонента позволяют отслеживать активность сети и пользователей. Диспетчер задач Windows Server 2003 очень полезен для немедленного просмотра действий системы. Он удобен тогда, когда пользователь замечает замедление времени отклика, проблемы с системой или другие непонятные проблемы с сетью. Лишь только взглянув на диспетчер задач, уже можно увидеть, использует ли сервер все доступные дисковые ресурсы, процессор, память или сетевые ресурсы. Диспетчер задач можно запустить тремя способами: •
Щелкните правой кнопкой мыши на панели задач и выберите в контекстном меню пункт Task Manager (Диспетчер задач).
•
Нажмите комбинацию клавиш .
•
Нажмите комбинацию клавиш , и в появившемся диалоговом окне Windows Security (Безопасность Windows) выберите пункт Task Manager.
После загрузки диспетчера задач вы увидите пять вкладок, как показано на рис. 34.1. Если вы работаете с другими приложениями и хотите скрыть диспетчер задач, то снимите отметку с пункта Always On Top (Поверх остальных окон) в меню Options (Параметры) диспетчера задач. Можно также сделать так, чтобы свернутый диспетчер задач не отображался в панели задач, выбрав в меню Options пункт Hide When Minimized (Скрывать свернутое). В последующих разделах мы поближе познакомимся с тем, насколько полезными могут оказаться эти компоненты.
Ведение журналов и отладка Ãëàâà 34
1175
Ðèñ. 34.1. Диспетчер задач Windows
Ìîíèòîðèíã ïðèëîæåíèé Первая вкладка диспетчера задач называется Applications (Приложения). По умолчанию установлен режим просмотра Details (Таблица), но его можно изменить на большие или маленькие значки, выбрав в меню View (Вид), соответственно, пункт Large Icons (Крупные значки) или Small Icons (Мелкие значки). На вкладке приложений слева находится список задач, а справа — состояние соответствующих приложений. Состояние помогает определить, выполняется ли приложение, и завершить приложение, если оно не отвечает на запросы, либо выполняется ненормально, либо мешает правильно работать серверу. Чтобы остановить такое приложение, выделите его и щелкните на кнопке End Task (Завершить задачу) в нижней части диспетчера задач. Можно также переключиться на другое приложение, если выполняется несколько приложений. Для этого выделите программу и щелкните на кнопке Switch To (Переключиться) в нижней части диспетчера задач.
Ìîíèòîðèíã ïðîöåññîâ Вторая вкладка диспетчера задач называется Processes (Процессы). Она содержит список процессов, выполняющихся на сервере. На ней также измеряется производительность процессов в простом формате данных. Указываются процент использования процессора, объем памяти, выделенной каждому процессору, и имя пользователя, использованное для запуска процесса, который может быть системной, локальной и сетевой службой. Если первоначальный анализ показывает, что один из процессов на сервере слишком нагружает центральный процессор (ЦП) или потребляет слишком много памяти, снижая таким образом производительность сервера, можно отсортировать процессы, щелкнув на заголовке столбца CPU (ЦП) или Mem Usage (Память). При этом процес-
1176
Устранение проблем, отладка и оптимизация ×àñòü X
сы сортируются в порядке возрастания потребления соответствующего ресурса. В этом случае можно быстро определить, какой процесс уменьшает производительность сервера. Этот процесс можно завершить, выбрав его и щелкнув на кнопке End Process (Завершить процесс).
CОВЕТ Для мониторинга системных процессов и процессов приложений можно также применять средство командной строки Process Resource Monitor (монитор ресурсов процессов, PMon), входящее в состав набора ресурсов Windows Server 2003 Resource Kit.
В панели просмотра процессов можно удалить или добавить несколько других характеристик производительности или процессов. Это могут быть PID (идентификатор процесса), время ЦП, объем виртуальной памяти, идентификатор сеанса, сбои страниц и так далее. Чтобы добавить эти характеристики, выберите в меню View пункт Columns (Столбцы), чтобы открыть страницу свойств Select Column (Выбор столбцов). Здесь можно добавить счетчики процессов или удалить их из списка процессов.
Ìîíèòîðèíã ïðîèçâîäèòåëüíîñòè На вкладке Performance (Быстродействие) можно увидеть в графическом виде использование ЦП и файла подкачки. Эта информация особенно полезна в тех случаях, когда требуется быстро определить, что именно снижает производительность. На вкладке Performance можно получить график использования процессорного времени в режиме ядра. Для этого выберите в меню View пункт Show Kernel Times (Вывод времени ядра). Время ядра на графике представлено красной линией. Это доля времени, в течение которого приложения используют службы операционной системы. Остальное процессорное время называется режимом пользователя. Процессор работает в режиме пользователя в потоках, запускаемых в системе приложениями. Если в сервере установлено несколько центральных процессоров, можно одновременно просмотреть несколько графиков ЦП, выбрав в меню View пункт CPU History (Загрузка ЦП).
Ìîíèòîðèíã ïðîèçâîäèòåëüíîñòè ñåòè На вкладке Networking (Сеть) выполняется измерение сетевого трафика для соединений с локальными серверами в графической форме, как показано на рис. 34.2. Для нескольких сетевых подключений — подключений к LAN по коммутируемым линиям, подключений к WAN, подключений к VPN или каких-нибудь других — на вкладке Networking отображается графическое сравнение трафика для всех соединений. На ней приводятся краткие сведения об адаптере, использовании сети, скорости работы канала и состоянии подключений. Для отображения линии на графике для сетевого трафика через любой интерфейс диспетчер автоматически масштабирует этот график по отношению к доступной пропускной способности. Если опция Auto Scale (Автомасштаб) не включена, то график приводится в масштабе от 0 до 100%. Чем больше процент, отображаемый на графике, тем в меньшем масштабе отображается текущий трафик. Для автомасштаба и захвата сетевого трафика выберите в меню Options пункт Auto Scale (Автомасштаб).
Ведение журналов и отладка Ãëàâà 34
1177
Ðèñ. 34.2. Вкладка Networking диспетчера задач Windows Вкладка Networking служит для быстрой оценки загрузки сети. С ее помощью можно быстро определить, насколько насыщен трафик сетевого интерфейса, или определить состояние коммуникаций сетевого подключения. В таблицу можно добавить дополнительные столбцы, выбрав в меню View пункт Select Columns (Выбрать столбцы). Можно добавлять или удалять различные характеристики сети: Bytes Throughput (Пропускная способность в байтах), Bytes Sent/Interval (Послано байтов в интервале), Unicasts Sent and Received (Послано и принято одноадресатных сообщений) и так далее.
CОВЕТ При возникновении подозрения, что в сетевом сервере возникла проблема, запустите диспетчер задач и быстро просмотрите информацию об использовании ЦП, объеме доступной памяти, использовании процессов и использовании сети. Если потребление любого или всех этих элементов достигает 60–70%, то этот ресурс либо является узким местом, либо слишком интенсивно используется. Однако если информация об использовании показывает менее 5%, то проблема, видимо, не связана с работой сервера.
Ìîíèòîðèíã àêòèâíîñòè ïîëüçîâàòåëåé На вкладке Users (Пользователи) отображается список пользователей, имеющих доступ к серверу, их состояния сеансов и имена. На вкладке Users доступны следующие пять столбцов: • User (Пользователь). Содержит пользователей, вошедших в сервер. Чтобы получить подробную информацию о компьютере, с которого подключился пользователь, выделите пользователя и выберите в меню Options пункт Show Full Account Name (Отображать полное имя учетной записи). • ID (Код). Содержит числовые коды, идентифицирующие сеансы на сервере. • Client Name (Имя клиента). Содержит имя компьютера-клиента, использующего сеанс (если оно применимо).
1178
Устранение проблем, отладка и оптимизация ×àñòü X
•
Status (Состояние). Содержит текущее состояние сеанса: Active (Активен) или Disconnected (Отключен).
•
Session (Сеанс). Содержит имена сеансов на сервере.
Èñïîëüçîâàíèå óòèëèòû ïðîñìîòðà ñîáûòèé Утилита просмотра событий (Event Viewer) — это еще один инструмент, используемый при отладке, устранении проблем или протоколировании информации для разрешения проблем, связанных с сетевым сервером. Утилита просмотра событий, окно которой показано на рис. 34.3, является встроенным средством Windows Server 2003, которое применяется для анализа и диагностики ошибок.
Ðèñ. 34.3. Утилита просмотра событий в Windows Server 2003 Microsoft определяет событие (event) как любое значительное проявление в операционной системе или приложении, требующее отслеживания информации. Событие не всегда негативно, так как успешный вход в сеть, успешная передача сообщений или репликация данных также могут генерировать события в Windows. Важно тщательно просматривать события, чтобы определить, какие из них являются информационными, а какие — критическими событиями, требующими внимания. При поиске информации о возникшем отказе сервера утилиту просмотра событий нужно использовать одной из первых. Ей также можно пользоваться для мониторинга, отслеживания, просмотра и выполнения аудита безопасности сервера и сети. Она применяется для отслеживания информации и об оборудовании, и о программном обеспечении, находящемся в сервере. Информация, предоставляемая утилитой просмотра событий, может стать хорошей отправной точкой для определения и отслеживания основной причины ошибок системы.
Ведение журналов и отладка Ãëàâà 34
1179
НА ЗАМЕТКУ В системе Windows Server 2003 ведутся журналы событий для системы, безопасности и приложений. В контроллере домена утилита просмотра событий также включает журналы службы каталогов, системы доменных имен (DNS) и службы репликации файлов (FRS). В зависимости от наличия других приложений, установленных или выполняющихся на сервере, в список журналов, обслуживаемых утилитой просмотра событий, могут быть добавлены дополнительные журналы событий.
Запустить утилиту просмотра событий можно с помощью оснастки Administrative Tools (Администрирование), либо же можно щелкнуть правой кнопкой мыши на пиктограмме My Computer (Мой компьютер) на рабочем столе и выбрать в контекстном меню пункт Manage (Управление). Эту утилиту можно также запустить, запустив консоль управления Microsoft (выбрав в меню Start (Пуск) пункт Run (Выполнить), а затем введя команду mmc.exe) или из командной строки с помощью команды eventvwr.msc.
Ýôôåêòèâíîå èñïîëüçîâàíèå óòèëèòû ïðîñìîòðà ñîáûòèé Как уже упоминалось, важность событий варьируется от простых информационных данных до серьезных или катастрофических событий наподобие отказа транспортного протокола или крупных отказов системы. Основные типы событий — это аудит успешных действий, аудит неудачных действий, информационные сообщения, предупреждения и ошибки. Значок в утилите просмотра событий обозначает важность каждого типа событий. Дерево консоли в левой панели окна просмотра событий содержит доступные для просмотра журналы, а в информационной панели в правой части окна отображаются сами события. Щелкните на журнале, чтобы просмотреть в информационной панели связанные с ним события. При просмотре журнала утилита отображает текущую информацию журнала. Во время просмотра журнала информация не обновляется, если явно не обновить содержимое утилиты. При переключении на другой журнал и последующем возврате к предыдущему журналу этот предыдущий журнал автоматически обновляется. В каждом журнале с его событиями связаны общие свойства: •
Type (Тип). Это свойство определяет важность события. Рядом с каждым типом события находится значок. Он помогает быстро определить, является ли событие уведомлением, предупреждением или ошибкой.
•
Date (Дата). Это свойство содержит дату возникновения события. События можно отсортировать по дате, щелкнув на столбце Date. Эта информация особенно полезна в отслеживании причин произошедшего ранее инцидента, например, модернизации оборудования, перед тем, как в сервере начали возникать проблемы.
•
Time (Время). Это свойство содержит время возникновения события. Может использоваться так же, как и дата.
•
Source (Источник). Это свойство указывает источник события: приложение, удаленный доступ, служба и так далее. Источник очень полезен в определении причины события.
1180
Устранение проблем, отладка и оптимизация ×àñòü X
•
Category (Категория). Это свойство определяет категорию события. Примером может служить категория Security (Безопасность), которая включает Logon/Logoff (Вход/выход), System (Система), Object Access (Доступ к объектам) и другие.
•
Event (Событие). Каждому событию назначен идентификатор события (Event ID) — число, сгенерированное источником и уникальное для всех событий. Идентификатор события можно использовать на Web-сайте поддержки Microsoft (http://www.microsoft.com/technet/) для поиска статей и решений, связанных с произошедшим на сервере событием.
•
User (Пользователь). Это свойство указывает пользователя, вызвавшего возникновения события. Пользователь — это не обязательно человек, вошедший в сервер. Примерами пользовательских событий в журнале безопасности могут быть система, локальная служба, сетевая служба и так далее.
•
Computer (Компьютер). Это свойство указывает компьютер, вызвавший возникновение события.
Чтобы просмотреть более подробную информацию о событиях, щелкните на журнале событий в дереве консоли и дважды щелкните на нужном событии в информационной панели (или выберите его и нажмите <Enter>). Утилита просмотра событий открывает страницу свойств, содержащую свойства события, как показано в примере на рис. 34.4.
Ðèñ. 34.4. Подробные свойства события В верхней части страницы приведена общая информация о событии: дата, время, пользователь, источник и так далее. В разделе Description (Описание) содержится подробное описание события и URL-адрес центра справки и поддержки Microsoft. Если щелкнуть на этой ссылке, то информация, относящаяся к событию, посылается в Microsoft в форме Internet-запроса, на который будет получена более подробная ин-
Ведение журналов и отладка Ãëàâà 34
1181
формация. Для просмотра информации о предыдущем или следующем событии щелкните на кнопке со стрелкой вверх или вниз. Чтобы скопировать информацию о событии в буфер обмена, щелкните на кнопке с изображением документа. В нижней части страницы свойств приводятся дополнительные данные о событии. В разделе Data (Данные) содержатся символы в формате байтов (шестнадцатеричном) или слов. По умолчанию информация отображается в байтовом формате, но можно переключиться в формат слов, установив переключатель Words (Слова). Можно произвести поиск конкретного события, выделив журнал и выбрав в меню View пункт Find (Найти). В появившемся диалоговом окне можно задать поиск по пользователю, компьютеру, источнику событий, информации, успешном аудите или по любому свойству или значению, хранящемуся в журнале событий. Это особенно удобно при поиске конкретных событий, состояний или другой информации, если журнал очень большой, а нужно выделить информацию о конкретном событии или моменте времени.
Ïðîñìîòð æóðíàëîâ íà óäàëåííûõ ñåðâåðàõ Утилита просмотра событий позволяет подключаться к другим компьютерам сети. Чтобы подключиться к другому компьютеру из дерева консоли, щелкните правой кнопкой мыши на строке Event Viewer (Local) (Просмотр событий – локально) и выберите в контекстном меню пункт Connect to Another Computer (Подключиться к другому компьютеру). Выберите Another Computer (Другой компьютер), а затем введите имя компьютера или найдите его в режиме обзора и щелкните на кнопке ОК. Для просмотра журналов событий на удаленном компьютере необходимы полномочия администратора или члена группы администраторов. Если новый компьютер требует низкоскоростного подключения, то для его просмотра щелкните правой кнопкой мыши на журнале, а затем выберите в контекстном меню пункт Properties (Свойства). На вкладке General (Общие) отметьте флажок Using a Low-Speed Connection (Подключение по медленной линии).
Ôèëüòðàöèÿ ñîáûòèé По умолчанию утилита просмотра событий отображает все события выбранного журнала. Фильтрация очень удобна, когда необходимо сузить просмотр. Возможность фильтрации просмотра позволяет отображать только события, удовлетворяющие конкретным критериям. Чтобы воспользоваться фильтром, выберите нужный журнал, а затем выберите в меню View пункт Filter (Фильтр). В результате появится окно свойств, показанное на рис. 34.5.
CОВЕТ Средство Event Comb (EventCombMT), входящее в состав набора ресурсов Windows Server 2003 Resource Kit, может облегчить задачу просмотра нескольких журналов событий для контроллеров доменов. Точнее, можно проверять и диагностировать репликацию, производя с помощью этой утилиты поиск конкретных EventID, относящихся к репликации. В сочетании с EventCombMT может использоваться и другое аналогичное средство — сценарий Checkrepl.vbs, позволяющий наблюдать репликацию на конкретном компьютере домена.
1182
Устранение проблем, отладка и оптимизация ×àñòü X
Ðèñ. 34.5. Фильтрация просматриваемых событий События можно фильтровать по различным полям. Возможна фильтрация по источнику событий, категории и диапазону дат. При возникновении подозрения, что какое-то приложение или служба является причиной неправильного функционирования сервера, удобна фильтрация по источнику событий. В выпадающем списке Event Source (Источник событий) на странице System Properties (Свойства системы) выберите категорию или пункт All (Все) (по умолчанию), чтобы просматривать все источники событий. Для фильтрации событий по дате укажите в полях From (С) и To (До) диапазон дат, для которых нужен просмотр информации. Для возврата в стандартный режим просмотра щелкните на кнопке Restore Defaults (Восстановить стандартные), а затем на кнопке ОК. Выберите в меню View пункт All Records (Все записи), чтобы удалить фильтр и просматривать все события в журнале.
НА ЗАМЕТКУ Фильтрация изменяет только способ отображения событий и не меняет содержимое журнала. Все события постоянно заносятся в журнал, независимо от того, включена фильтрация или нет. Если журнал архивируется из режима фильтрованного просмотра, то сохраняются все записи, даже если выбран текстовый формат файла или текстовый формат с разделителями-запятыми.
Àðõèâèðîâàíèå ñîáûòèé Время от времени журнал событий нужно архивировать. Архивирование журнала копирует его содержимое в файл. Архивирование полезно для создания записей производительностей для эталонного состояния сервера либо для хранения копии журнала, которую можно просматривать в любом месте. При архивировании журнала событий он сохраняется в одной из трех форм:
Ведение журналов и отладка Ãëàâà 34
1183
•
Текстовый файл с разделителями-запятыми (.csv). Этот формат дает возможность использовать информацию в программах типа Excel.
•
Текстовый файл (.txt). Этот формат позволяет использовать информацию в программах наподобие текстовых процессоров.
•
Файл журнала (.evt). Этот формат позволяет вновь просматривать архивированный журнал в утилите просмотра событий.
Описание событий сохраняется во всех архивированных журналах. Данные в каждой записи хранятся в следующей последовательности: дата, время, источник, тип, категория, событие, пользователь, компьютер и описание. Для архивирования щелкните правой кнопкой мыши на нужном журнале и выберите в контекстном меню пункт Save Log File As (Сохранить журнал как). В поле File Name (Имя файла) на странице результирующих свойств введите имя архивированного журнала, выберите тип файла из возможных вариантов .csv, .txt или .evt, а затем щелкните на кнопке Save (Сохранить).
НА ЗАМЕТКУ Чтобы иметь возможность архивировать журнал событий, необходимо быть как минимум членом группы операторов резервного копирования (Backup Operators).
Журналы, архивированные в формате журнала (.evt), можно открывать утилитой просмотра событий. Журналы, сохраненные в формате журнала, содержат двоичные данные для каждого зарегистрированного события. По умолчанию журналы событий хранятся на сервере, с которого запускается утилита просмотра событий, но эти данные можно архивировать на удаленный сервер, просто указав в качестве имени файла UNC-путь (наподобие \\имя_сервера\общий_ресурс\). Журналы, архивированные в формате с разделяющими запятыми (.csv) или в текстовом формате (.txt), могут быть открыты другими программами, например, Microsoft Word или Microsoft Excel. Журналы, архивированные в текстовом формате или формате с разделяющими запятыми, не содержат двоичных данных.
CОВЕТ Периодически архивируя журналы безопасности в специальном месте в сети, а затем сравнивая их с локальными журналами безопасности, можно более четко увидеть разницу между журналами, что может помочь в предупредительном обнаружении несанкционированных действий на сервере.
Íàñòðîéêà æóðíàëà ñîáûòèé Каждый журнал событий имеет связанное с ним свойство. Это свойство можно использовать для настройки каждого журнала событий. Оно определяет общие характеристики журнала в утилите просмотра событий — например, внешний вид журнала, размер журнала и действия при достижении максимального размера журнала. Для настройки журнала событий необходимо обратиться к свойствам этого журнала, выделив его и выбрав в меню Action (Действие) пункт Properties (Свойства). Подругому это можно сделать так: щелкнуть правой кнопкой мыши на журнале и выбрать в контекстном меню пункт Properties, чтобы вывести вкладку General страницы свойств этого журнала, которая показана на рис. 34.6.
1184
Устранение проблем, отладка и оптимизация ×àñòü X
Ðèñ. 34.6. Выбор свойств журнала событий В разделе Log Size (Размер журнала) указан максимальный размер журнала и действия, которые необходимо выполнить при достижении этого максимального размера. Возможны три варианта: •
Overwrite Events as Needed (Затирать события при необходимости).
•
Overwrite Events Older Than X Days (Затирать события старше X дней).
•
Do Not Overwrite Events (Не затирать события).
При выборе варианта Do Not Overwrite Events система Windows Server 2003 прекращает регистрацию событий при заполнении журнала. Хотя Windows Server 2003 сообщает о заполнении журнала, необходимо наблюдать за состоянием журналов и периодически очищать их, чтобы в них могли сохраняться новые регистрируемые события. Размеры журналов необходимо указывать кратными 64 Кб. Если указанное значение не кратно 64 Кб, то утилита просмотра событий автоматически приводит размер журнала к кратному 64 Кб. При необходимости очистить события — например, при заполнении журнала — щелкните на кнопке Clear Log (Очистить журнал) в правом нижнем углу страницы свойств. Если необходимо восстановить стандартные параметры регистрации информации, щелкните на кнопке Restore Defaults (Восстановить значения по умолчанию), чтобы сбросить информацию отслеживания событий. Если производится мониторинг удаленного сервера, подключенного по низкоскоростной линии, установите флажок Using a Low-Speed Connection. Использование низкоскоростного соединения предотвращает загрузку утилитой просмотра событий всех данных о событиях до их запроса. Эта возможность удобна при работе с журналами на удаленных серверах с медленными соединениями, например, по коммутируемой линии или по медленному WAN-соединению.
Ведение журналов и отладка Ãëàâà 34
1185
Æóðíàë áåçîïàñíîñòè Регистрация аккуратного и широкого диапазона событий безопасности в утилите просмотра событий требует понимания сути аудита в Windows Server 2003. Важно знать, что по умолчанию аудит событий отключен. С помощью аудита, который активизируется в локальной политике безопасности локального сервера, в политике безопасности контроллера домена для контроллера домена или в объекте групповой политики (Group Policy Object — GPO) службы Active Directory (AD) домена, можно отслеживать события безопасности Windows Server 2003. Можно задать внесение записи аудита в журнал событий безопасности, когда выполняются определенные действия или выполняется доступ к объекту (например, к файлу или принтеру) AD. В записи аудита фиксируются выполненное действие, пользователь, ответственный за это действие, и дата и время выполнения действия. Можно осуществлять аудит успешных и неудачных попыток действий, чтобы в следе аудита был указан пользователь (пользователи), выполнивший определенное действие в сети, или пользователь (пользователи), попытавшийся выполнить определенные не разрешенные ему действия.
Àóäèò ñèñòåìíûõ ñîáûòèé ñ ïîìîùüþ ãðóïïîâûõ ïîëèòèê Типы системных событий, аудит которых выполняется в домене с помощью групповых политик, можно указать, раскрыв в редакторе объектов групповых политик узел Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Audit Policy и дважды щелкнув на категории событий, которую необходимо изменить, в информационной панели. При первом определении параметров политики аудита для какой-либо категории событий установите флажок Define These Policy Settings (Определить эти параметры политики). Затем выполните одно из следующих действий (или оба) и щелкните на кнопке ОК: •
Для аудита успешных попыток установите флажок Success (Успех).
•
Для аудита неудачных попыток установите флажок Failure (Отказ).
Стандартное значение политики аудита для контроллеров доменов — No Auditing (Нет аудита). Это означает, что даже если аудит домена включен, то это не обязательно повлечет включение аудита контроллера домена, поскольку контроллеры доменов не наследуют локально политику аудита. Чтобы включить аудит на контроллерах доменов, необходимо использовать политику безопасности контроллера домена. В следующих примерах описано, как настроить аудит для некоторых объектов домена, сайта или организационной единицы (OU) с помощью редактора объектов групповых политик (Computer Configuration \ Windows Settings \ Security Settings). •
Ключи реестра. Выделите в панели консоли строку Registry (Реестр), дважды щелкните на ней и выберите пункт Add Key (Добавить ключ). Найдите ключ, который нужно изменить, и щелкните на кнопке ОК. Для изменения ключа реестра, который уже добавлен в GPO, щелкните правой кнопкой мыши на ключе реестра, выберите в контекстном меню пункт Properties, а затем щелкните на кнопке Edit Security (Редактировать безопасность).
1186
Устранение проблем, отладка и оптимизация ×àñòü X
•
Системные службы. Выделите нужную службу. Щелкните на ней правой кнопкой мыши и выберите в контекстном меню пункт Properties. Если необходимый параметр не выбран, установите флажок Define These Policy Setting (Определить этот параметр политики), а потом выберите параметр. Затем щелкните на кнопке Edit Security.
•
Файлы или папки. Щелкните правой кнопкой мыши на строке File System (Файловая система), а затем выберите в контекстном меню пункт Add File (Добавить файл). Найдите нужный файл и щелкните на кнопке ОК. Чтобы изменить аудит файла или папки, уже присутствующий в этом GPO, щелкните в информационной панели на файле или папке, а затем щелкните на кнопке Edit Security (Изменить безопасность).
Если для организации ведение журналов безопасности очень важно, имеет смысл настроить сервер так, что при невозможности записи в журнал событий безопасности он будет автоматически выключаться. Эта политика безопасности находится в узле Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security options. Включение этого параметра безопасности останавливает систему при невозможности записи данных аудита безопасности. Типичной причиной невозможности регистрации событий является заполнение журнала аудита безопасности при использовании в общих свойствах журнала метода Do Not Overwrite Events. В этой ситуации возникает следующая ошибка останова: STOP: C0000244 {Audit Failed}. An attempt to generate a security audit failed. STOP: C0000244 {Отказ аудита}. Неудачная попытка генерации аудита безопасности. Чтобы вернуть систему в оперативный режим после автоматического выключения в связи с событиями безопасности, включите сервер, войдите в него как администратор и очистите или заархивируйте журнал.
НА ЗАМЕТКУ В серьезных ситуациях в организации может быть принято решение об автоматическом выключении серверов при возникновении бреши в безопасности или приходу события безопасности. Однако важно отметить, что выключение сервера в середине рабочего дня негативно повлияет на всех сетевых пользователей, подключенных к автоматически выключившемуся серверу, поэтому нужно тщательно выбирать подходящую для организации политику безопасности и автоматический процесс обработки заполнения журнала. Кроме того, если единственной целью атаки является отказ в обслуживании, то при автоматическом выключении сервера она как раз и достигает своей цели.
Ìîíèòîðèíã ñèñòåìû Мониторинг системы является крайне важным аспектом общей доступности и работоспособности сети. Для обеспечения максимальной готовности к работе необходимо установить мониторинг процессов и анализ производительности системы. Это обеспечивает средства быстрого сравнения значений производительности системы в различные моменты времени и обнаружения, а возможно, и предотвращения катастрофичных инцидентов, прежде чем произойдет отказ системы.
Ведение журналов и отладка Ãëàâà 34
1187
Системный монитор (System Monitor) выполняет снимок характеристик производительности системы в регулярные моменты времени и отображает информацию в графическом формате, похожем на показанный на рис. 34.7. Затем эту информацию можно использовать для мониторинга поведения системы, предсказания требований к ресурсам в будущем, измерения загрузки компонентов системы, а также выдачи сообщений, информирующих о возможных отказах компонентов системы.
Ðèñ. 34.7. Мониторинг системы с помощью консоли производительности Windows Server 2003 наблюдает или анализирует использование памяти, сети и других системных ресурсов и операций. Недостаточно просто отслеживать использование памяти, не зная компоненты или функционирование программ, использующих память. Например, если в какой-то период времени используется 128 Мб памяти, то вместо того чтобы знать, что используется 128 Мб памяти, лучше знать, чем занята эта память, и почему ее нужно именно столько.
Ñðåäñòâà ìîíèòîðèíãà ïðîèçâîäèòåëüíîñòè Windows Server 2003 поставляется с двумя инструментами для мониторинга производительности: системный монитор (System Monitor) и журналы и оповещения производительности (Performance Logs and Alerts). Сочетание этих инструментов обеспечивает анализ производительности и информацию, используемую для поиска узких мест и устранения неполадок.
Òåðìèíû, èñïîëüçóåìûå â èíñòðóìåíòàõ ìîíèòîðèíãà ïðîèçâîäèòåëüíîñòè Определение некоторых терминов, используемых при мониторинге производительности, помогает четко понять функции системного монитора и его взаимосвязь с функционированием программ и системы. Вот три компонента, употребляемые в системном мониторе:
1188
Устранение проблем, отладка и оптимизация ×àñòü X
•
Объект (object). Компоненты, содержащиеся в системе, группируются в объекты. Объекты группируются в соответствии с функциональностью системы или с взаимодействием внутри системы. Объекты могут представлять логические элементы наподобие памяти или физические механизмы, подобные приводу жесткого диска. Количество объектов, доступных в системе, зависит от конфигурации. Например, если на сервере установлена служба Microsoft Exchange, то будут доступны некоторые объекты, относящиеся к Microsoft Exchange.
•
Счетчик (counter). Счетчики представляют собой подмножества объектов. Обычно счетчики предоставляют более подробную информацию об объекте, например, длину очереди или пропускную способность объекта. С помощью счетчиков системный монитор может собирать данные и отображать их в графическом или текстовом формате.
•
Экземпляры (instances). Если сервер содержит более одного аналогичного объекта, то каждый из них считается одним экземпляром. Например, сервер с несколькими процессорами имеет отдельные счетчики для каждого экземпляра процессора. Счетчики для нескольких экземпляров имеют также экземпляр для общих данных, собранных для всех экземпляров.
Êîíñîëü ïðîèçâîäèòåëüíîñòè Консоль производительности (Performance console) можно открыть из оснастки Administrative Tools (Администрирование), выбрав в меню Start пункт All ProgramsÖ Administrative ToolsÖPerformance (Все программыÖАдминистрированиеÖПроизводительность). Ее можно также запустить из командной строки с помощью команды Perfmon.msc. После запуска консоли производительности она загружает в консоль пустой график системного монитора. Консоль производительности содержит две утилиты: системный монитор (System Monitor) и журналы и оповещения производительности (Performance Logs and Alerts).
Ñèñòåìíûé ìîíèòîð Системный монитор предоставляет интерфейс, позволяющий анализировать данные о системе, исследовать производительность и определять узкие места. Системный монитор отображает значения счетчиков производительности в формате диаграммы, гистограммы или отчета. Режим гистограммы или диаграммы может быть использован для одновременного просмотра нескольких счетчиков, как показано на рис. 34.8. Однако каждая точка данных отображает только одно значение, не связанное с объектом. Для отображения нескольких значений удобнее режим отчета. Источники данных можно получить, щелкнув на кнопке View Current Activity (Просмотр текущей активности) в панели кнопок. А после щелчка на кнопке View Log Data (Просмотр данных журнала) данные отображаются из закрытых или пополняющихся журналов. Системный монитор — идеальное средство для диагностики и кратковременного просмотра данных о производительности. Прежде чем счетчики могут быть отображены, их необходимо добавить. Добавить счетчики можно с помощью панели кнопок. Кнопки работы со счетчиками в панели кнопок предоставляют варианты добавления (Add), удаления (Delete) и выделения (Highlight) счетчиков. С помощью кнопки Add
Ведение журналов и отладка Ãëàâà 34
1189
Counter (Добавить счетчик) можно добавить новые отображаемые счетчики. Кнопка Delete Counter (Удалить счетчик) удаляет ненужные счетчики. Кнопка Highlight (Выделить) удобна для выделения конкретного нужного счетчика; счетчик выделяется белой или четной рамкой вокруг него. Кнопку Highlight нельзя использовать в режиме отчета.
Ðèñ. 34.8. Режим графика консоли производительности CОВЕТ Назначение кнопки на панели кнопок можно узнать, поместив над этой кнопкой курсор мыши.
После щелчка на кнопке Add Counter появляется диалоговое окно, подобное показанному на рис. 34.9. В верхней части этого окна можно либо выбрать текущий сервер, либо подключиться к другому серверу в сети. Системный монитор позволяет подключиться к удаленному компьютеру и выполнять мониторинг системной производительности этого сервера. Этот процесс называется удаленный мониторинг.
CОВЕТ Если сервер перестал отвечать, то для мониторинга отказавшего сервера запустите системный монитор с другого компьютера.
В средство мониторинга системы можно добавлять объекты производительности и связанные с ними счетчики, чтобы расширить уровень детализации данных, собранных о производительности системы. Выберите счетчик и щелкните на кнопке Add (Добавить), чтобы начать его отображение. Самое первое значение в списке экземпляров — Total — позволяет добавить и отобразить все значения экземпляров. Если нужно узнать, что делает какой-либо счетчик, или узнать о нем больше, выберите этот счетчик и щелкните на кнопке Explain (Объяснение).
1190
Устранение проблем, отладка и оптимизация ×àñòü X
Ðèñ. 34.9. Добавление счетчика в консоль производительности Можно одновременно иметь более одной настройки мониторинга в более чем одной консоли производительности. Чем больше счетчиков мониторов вы установите, тем больший объем системных ресурсов будет использоваться для поддержки работы средства мониторинга системы. Если необходимо отслеживать большое количество мониторов и счетчиков системы, то лучше перенаправить выходные данные в журнал, а затем прочитать этот журнал на дисплее. В окне системного монитора можно обновить отображаемые данные, щелкнув на кнопке Clear Display (Очистить экран). Щелчок на кнопке Freeze Display (Не изменять изображение) или нажатие комбинации клавиш останавливает отображение и приостанавливает сбор данных. Восстановить сбор данных можно, вновь нажав или щелкнув на кнопке Freeze Display. Для отображения обновленного анализа данных щелкните на кнопке Update Data (Обновить отображение). Возможно также экспортировать и импортировать отображаемые данные с помощью кнопок Cut (Вырезать) и Paste (Вставить). Например, отображаемые данные можно сохранить в буфере обмена и затем импортировать в другой экземпляр системного монитора. Это обычно делается для снятия системной информации и просмотра или анализа этой информации в другой системе, чтобы не выполнять анализ на производственном сервере. Страница Properties (Свойства) имеет четыре вкладки: General (Общие), Source (Источник), Graph (График) и Appearance (Внешний вид). Обычно страница Properties предоставляет доступ к параметрам, управляющим сеткой и цветом графика, стилем отображения данных и так далее. Данные из монитора можно сохранить различными способами. Проще всего сохранить свойства отображения, сохранив управляющие настройки в виде HTML-файла. Можно сопоставить отображаемые линии и соответствующие им счетчики, выбрав цвет, соответствующий линии на графике. Системный монитор позволяет сохранять файлы журналов в формате с разделителями-запятыми (.csv) и с разделителями-табуляциями (.tsv), которые можно затем проанализировать с помощью средств сторонних разработчиков наподобие Seagate Crystal Reports. Есть и другой способ: файл с разделителями-
Ведение журналов и отладка Ãëàâà 34
1191
Crystal Reports. Есть и другой способ: файл с разделителями-запятыми или разделителями-табуляциями можно импортировать в приложение работы с электронными таблицами или базами данных, например, Microsoft Excel или Access. Windows Server 2003 позволяет также собирать данные в формате базы данных SQL, что полезно для анализа производительности на уровне предприятия, а не для отдельных серверов. С помощью отчетов, формируемых в Excel, можно лучше разобраться в данных, а также предоставить отчеты руководству. Если журнал сохранен в формате .csv, то этот файл можно открыть с помощью Microsoft Excel.
Æóðíàëû è îïîâåùåíèÿ ïðîèçâîäèòåëüíîñòè Утилита журналов и оповещений производительности (Performance Logs and Alerts) имеет два типа журналов, относящихся к производительности: журналы счетчиков (Counter log) и журналы трассировки (Trace log). Эти журналы можно использовать для более сложного анализа производительности и регистрации данных на протяжении какого-то отрезка времени. В состав утилиты также входит механизм оповещения, запускающий отображение сообщений. В анализ производительности Windows Server 2003 добавлены некоторые усовершенствования, которые отсутствовали в предыдущих версиях Windows. Одним из них является возможность выполнения сбора данных с различными учетными записями. Например, если необходимо собрать данные с удаленного сервера, требующего полномочий администратора, то система позволяет указать учетную запись с необходимыми полномочиями с помощью возможности Run As (Выполнить как). Другим усовершенствованием в Windows Server 2003 является возможность поддержки файлов журналов с размером более 1 Гб. Введение нового формата журналов позволяет дописывать данные производительности в существующий журнал.
НА ЗАМЕТКУ Сбор данных проводится независимо от того, вошел ли пользователь в наблюдаемый сервер, поскольку ведение журналов выполняется как служба.
Ниже представлены три компонента службы журналов и оповещений производительности. • Журналы трассировки. В журналы трассировки записываются трассы событий. Они обеспечивают измерение производительности, связанное с событиями, относящимися к системе и внесистемным поставщикам. Данные посылаются в журнал немедленно при возникновении события и измеряются непрерывно от возникновения события до его завершения. Это отличается от способа измерения данных системным монитором. Системный монитор измеряет данные с помощью дискретных замеров. • Журналы счетчиков. В журналы счетчиков записываются дискретные данные о системных службах, потоках и аппаратных ресурсах на основе объектов системного монитора. Эта утилита использует счетчики так же, как и системный монитор. • Оповещения. Оповещения обеспечивают возможность определять значение счетчиков, запускающих оповещения. При запуске оповещения можно настро-
1192
Устранение проблем, отладка и оптимизация ×àñòü X
ить функцию оповещения, выполняющую некоторое действие, например, отправку сообщения по сети, выполнение программы или запуск регистрации событий в журнал. Оповещения полезны для извещений в критических ситуациях (необычные действия, которые происходят не часто), таких как интенсивный сетевой трафик в карте сетевого интерфейса (NIC), на которой выполняется важное для производства приложение. Оповещения обеспечивают сообщения о том, что конкретное значение производительности некоторого ресурса стало выше или ниже порогового значения, эталонного значения или заранее установленного значения.
Íàñòðîéêà æóðíàëîâ òðàññèðîâêè Настройка и включение журналов трассировки для мониторинга активности приложения или переменной среды сводится к созданию имени файла журнала трассировки и включению занесения данных в журнал. Чтобы создать журнал трассировки, выполните следующие шаги: 1. Запустите средство мониторинга производительности, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖPerformance. 2. Дважды щелкните на пиктограмме Performance Logs and Alerts (Журналы и оповещения производительности) и щелкните один раз на строке Trace logs (Журналы трассировки). 3. Щелкните правой кнопкой мыши на пустом месте информационной панели в правой части окна и выберите в контекстном меню пункт New Log Settings (Новые параметры журнала). 4. В поле Name (Имя) введите имя создаваемого журнала трассировки, а затем щелкните на кнопке ОК. В списке установленных поставщиков и их состояния (включен или нет) щелкните на кнопке Provider Status (Состояние поставщиков), которая находится на вкладке General. По умолчанию выбран переключатель Nonsystem Providers (Несистемные поставщики), чтобы издержки на ведение журналов трассировки были минимальны. Выберите переключатель Events Logged by System Provider (События, протоколируемые системным поставщиком) и установите нужные флажки, чтобы определить регистрируемое событие. На вкладке Log File (Файлы журнала) можно настроить циклическое заполнение журнала: когда размер журнала достигнет установленного размера, он начнет перезапись с начала.
Óñòàíîâêà ýòàëîííûõ çíà÷åíèé Базовая линия, или эталонное значение (baseline) — это уровень производительности, который может быть использован в качестве отправной точки для сравнения с ним последующих значений производительности сети. При первом мониторинге сервера сравнивать полученную статистику практически не с чем. После создания базовой линии можно в любой последующий момент собрать информацию и сравнить ее с эталонным значением. Разница между текущей статистикой и эталонной статистикой
Ведение журналов и отладка Ãëàâà 34
1193
обусловлена нагрузкой на систему, выполнением приложений или различием в системной производительности. Чтобы иметь возможность установить значение базовой линии, необходимо собрать нормальный набор статистических данных на каждой системе, которые в будущем будут наблюдаться или управляться. Базовые линии нужно создавать для моментов времени с нормальной и напряженной работой. Нагрузка машины в ночное время, когда к ней подключено меньше пользователей, обеспечивает слабые эталонные значения для сравнения с ними реальных данных, полученных в середине рабочего дня. Информация, собранная в разгар рабочего дня, должна сравниваться с эталонной информацией, собранной примерно в то же время дня при нормальной нагрузке. Создание базовых линий должно производиться постоянно. Если в сервер добавляется приложение или новая служба, необходимо создать новую базовую линию, чтобы в дальнейшем можно было сравнивать данные с базовой линией самого последнего состояния производительности системы.
Óìåíüøåíèå èçäåðæåê íà ìîíèòîðèíã ïðîèçâîäèòåëüíîñòè Мониторинг производительности использует системные ресурсы, которые могут снизить производительность системы, а также повлиять на собираемые данные. Чтобы мониторинг и анализ производительности не влияли на сами наблюдаемые машины, потребуется уменьшить влияние мониторинга производительности. Можно предпринять некоторые действия, обеспечивающие сведение к минимуму издержек на мониторинг производительности на наблюдаемом сервере и получение максимально аккуратного анализа системы: •
Для мониторинга целевого сервера используйте удаленный сервер. Можно выделять серверы для мониторинга нескольких удаленных серверов. Это может привести к увеличению загрузки сети, но, по крайней мере, мониторинг и отслеживание информации несущественно загружают ЦП или дисковую активность по сравнению с выполнением средства мониторинга на отслеживаемом сервере.
•
Возможно, стоит уменьшить частоту сбора данных, так как более частый сбор данных может увеличить нагрузку на сервер.
•
Старайтесь не использовать слишком много счетчиков. Некоторые счетчики являются дорогостоящими в смысле потребления сервером системных ресурсов и могут увеличить нагрузку системы. Кроме того, мониторинг одновременно нескольких действий становится более трудным.
•
Используйте журналы, а не диаграммы. Журналы затем можно импортировать в базу данных или средство генерации отчетов. Журналы можно сохранять на жестких дисках, которые не включены в мониторинг или анализ.
Îáúåêòû, âàæíûå äëÿ ìîíèòîðèíãà Количество компонентов, служб и потоков системы и приложений, измерения которых можно производить в Windows Server 2003, настолько велико, что просто невозможно произвести мониторинг тысяч характеристик процессоров, очередей печа-
1194
Устранение проблем, отладка и оптимизация ×àñòü X
ти, сети или запоминающих устройств. Определение ролей, которые играет сервер в сетевой среде, помогает сузить объем измеряемых параметров. Серверы нужно определить и классифицировать по выполняемым ими функциям: сервер приложений, файловый сервер, сервер печати или сервер служб наподобие DNS, контроллера домена и так далее. Поскольку серверы имеют различные роли, а, следовательно, выполняют различные функции, то имеет смысл проводить мониторинг важных для производительности объектов. Это позволяет не слишком нагружать сервер наблюдением ненужных объектов для измерения или анализа их характеристик. Вообще-то, наибольшего внимания требуют четыре главные области: память, процессор, дисковая подсистема и сетевая подсистема. Все они связаны с выполняемыми сервером ролями. В приведенном ниже списке описаны объекты, которые должны отслеживаться на основе ролей сервера. •
Контроллер домена. Поскольку контроллер домена обеспечивает аутентификацию, хранит базу данных Active Directory, содержит объекты схемы и так далее, то он обрабатывает множество запросов. Для обработки всех этих запросов он использует большое количество ресурсов процессора, дисков, памяти и сети. Можно проводить мониторинг памяти, процессора, системы, сегмента сети, сетевого интерфейса и объектов протоколов, подобных TCP, UDP, NBT, NetBIOS и NetBEUI. Кроме того, можно отслеживать службу NTDS Active Directory и объекты службы LDAP сервера сайта. Службы DNS и WINS также содержат объекты, подлежащие измерению.
•
Файловый сервер и сервер печати. Серверы печати, выполняющие интенсивные графические задания, могут очень быстро использовать значительную мощность системного процессора. Файловый сервер использует очень много дисковой памяти. Для мониторинга подкачки печатных данных отслеживайте объект PrintQueue. Также для сбора данных о файлах и печати ведите мониторинг процессора, памяти, сегмента сети и логических и физических дисков.
•
Сервер совместной работы с сообщениями. Сервер обмена сообщениями, подобный Microsoft Exchange Server потребляет большое количество ресурсов процессора, дисковой и оперативной памяти. Отслеживайте использование памяти, кэша, процессора, системы и физических и логических дисков. Некоторые объекты Exchange добавляются в список объектов после установки Exchange, например, длина очереди сообщений или время отклика при разрешении имен.
•
Web-сервер. Web-сервер обычно не так интенсивно нагружает диски и больше зависит от скорости обработки или объема памяти для кэширования Webстраниц и запросов на страницы. Можно производить мониторинг использования кэша, сетевого интерфейса, процессора и памяти.
•
Сервер баз данных. Серверы баз данных наподобие Microsoft SQL Server могут сильно загрузить процессор и захватить большое количество дисковых ресурсов. Серверы баз данных используют большие объемы памяти для кэширования таблиц и данных, поэтому необходимо наблюдать за использованием памяти и временем ответа на запросы. Для наблюдения за общей производительностью системы полезен мониторинг таких объектов, как система, процессор, логический диск и физический диск.
Ведение журналов и отладка Ãëàâà 34
1195
Ìîíèòîðèíã ñåòè â Windows Server 2003 Система Windows Server 2003 поставляется с инструментальным средством Network Monitor (Сетевой монитор), которое используется для анализа трафика сетевых коммуникаций. Сетевой монитор, называемый также Netmon, предоставляет статистику использования сети и трафик пакетов, а также захватывает кадры для их анализа.
НА ЗАМЕТКУ Кроме сетевого монитора и ряда других уже названных средств, например, EventCombNT и Checkrepl.vbs, в наборе ресурсов Windows Server 2003 Resource Kit имеются и другие утилиты для выполнения анализа и диагностики сетевых действий. Рекомендуется добавить в свой арсенал еще два средства, Link Check Wizard и Chknic, которые очень удобны при поиске и устранении неполадок.
Данные все время пересылаются из одной точки сети в другую в форме сетевого трафика, поделенного на кадры. Кадр содержит такую информацию, как адрес машины назначения, исходный адрес и протоколы, присутствующие в этом кадре. Кроме существования узких мест в сервере, такие узкие места могут присутствовать и в сети при ее интенсивной загрузке. Например, может произойти отказ сетевого адаптера, в результате чего сеть наполнится неверными сетевыми потоками, которые могут уменьшить скорость передачи данных между другими устройствами в сети. Когда скорость работы сети снижается, это называется снижением доступной пропускной способности сети. Netmon можно рассматривать и как средство устранения неполадок в сети, и как средство анализа пакетов. Версия Netmon, поставляемая в составе Windows Server 2003, позволяет выполнять лишь захват кадров, посылаемых с локального сервера и к нему. Полнофункциональная версия сетевого монитора, обеспечивающая мониторинг сети всего предприятия и позволяющая производить мониторинг и анализ входящего и выходящего сетевого трафика любого компьютера сети, находится в сервере управления системами (Systems Management Server — SMS) Microsoft.
Ïðèíöèïû ðàáîòû Netmon Все компьютеры сегмента сети могут принимать и посылать кадры в своих сегментах. Сетевые адаптеры этих компьютеров обрабатывают только кадры, предназначенные им, и отбрасывают все кадры, им не адресованные. Эти сетевые адаптеры также сохраняют широковещательные и групповые кадры. После установки Netmon можно захватывать в файл все кадры, посылаемые адаптеру или сохраняемые адаптером, на котором установлен Netmon. Затем эти захваченные кадры можно использовать для дальнейшего анализа. Можно настроить фильтр захвата, чтобы захватывать только определенные кадры. Кадры можно фильтровать на основе таких критериев, как адрес источника, адрес назначения, тип захваченной информации и т.п. Можно также настроить триггеры захвата, активизирующие определенные действия, например, запуск программы, запуск захвата или прекращение захвата, в зависимости от конкретного события, произошедшего в сети.
1196
Устранение проблем, отладка и оптимизация ×àñòü X
Óñòàíîâêà Netmon Прежде чем использовать Netmon, его необходимо установить с помощью панели управления. Чтобы установить Netmon, выполните следующие шаги: 1. Откройте панель управления. 2. Щелкните на пиктограмме Add or Remove Programs (Установка и удаление программ). 3. Щелкните на пиктограмме Add/Remove Windows Components (Установка компонентов Windows), чтобы открыть мастер компонентов Windows. 4. Выберите строку Management and Monitoring Tools (Средства управления и наблюдения) и щелкните на кнопке Details (Состав). 5. Установите флажок Network Monitor Tools (Средства наблюдения сети) и щелкните на кнопке ОК. 6. Если будут затребованы дополнительные файлы, вставьте инсталляционный компакт-диск и щелкните на кнопке Next (Далее). 7. После завершения установки щелкните на кнопке Finish (Готово). Перейдите в окно Administrative Tools (Администрирование) и щелкните на строке Network Monitor (Сетевой монитор), чтобы открыть эту утилиту. После загрузки Netmon можно производить захват всех кадров, посылаемых или принимаемых сетевым адаптером той машины, на которой он установлен. Эти захваченные кадры можно затем сохранить или просматривать для дальнейшего анализа. Приложение Netmon, окно которого показано на рис. 34.10, предоставляет несколько типов информации. Окно захвата поделено на три части: статистика системы, статистика сети и захвата и статистика станции.
Ðèñ. 34.10. Консоль сетевого монитора
Ведение журналов и отладка Ãëàâà 34
1197
В верхней левой панели находится диаграмма Netmon. Она показывает текущие действия в сети в виде горизонтальных полос. Панель общей статистики (Total Statistics) расположена в правой верхней части окна и отображает все сетевые действия, зафиксированные с момента начала захвата. Панель сеанса (Session) расположена внизу слева и показывает установленный сеанс между двумя узлами. Панель статистики станции (Station Statistics) расположена внизу окна и отображает статистику о посланных и полученных кадрах для каждого узла. Панель статистики станции содержит несколько полей: Frames and Bytes Sent and Received (Послано и получено кадров и байтов), Directed Frames Sent (Послано направленных кадров), Multicasts Sent (Послано групповых сообщений), Broadcasts Sent (Послано широковещательных сообщений), а также сеть (локальный сервер), ответственная за трафик. С помощью панели статистики станции можно также определить наиболее интенсивный источник широковещательных сообщений; для этого щелкните правой кнопкой мыши на столбце Broadcasts Sent и выберите в контекстном меню пункт Sort (Сортировать).
Çàõâàò êàäðîâ ñ ïîìîùüþ Netmon Прежде чем приступить к захвату кадров, в меню Capture (Захват) потребуется выбрать сетевой адаптер (обычно первичный сетевой адаптер наблюдаемой системы). Кроме того, в меню Capture необходимо выбрать параметры буфера. Чтобы начать захват, щелкните на кнопке Start Capture (Начать захват) (она выглядит как кнопка проигрывания на магнитофоне), либо нажмите клавишу . Захват будет происходить до заполнения кадрами отведенной памяти, поэтому производите захват только нужных кадров и в течение небольшого промежутка времени. Это уменьшает влияние сетевого монитора на производительность наблюдаемого сервера. Чтобы остановить, приостановить или отобразить захваченные данные, просто выберите в меню Capture пункт Stop (Остановить), Pause (Приостановить) или Display Captured Data (Показать захваченные данные). Можно также прекратить захват и показать данные, выбрав пункт Stop and View (Остановить и показать). Чтобы сохранить захваченные кадры для последующего анализа, выберите в меню File (Файл) пункт Save As (Сохранить как) и укажите путь и имя файла для сохранения захваченных пакетов. Чтобы установить триггер захвата, выберите в меню Capture пункт Trigger (Триггер), чтобы открыть страницу свойств, похожую на показанную на рис. 34.11. На странице свойств Capture Trigger (Триггер захвата) установите переключатель Pattern Match (Соответствие образцу), чтобы запустить действие триггера при появлении в кадре указанной шестнадцатеричной или символьной строки. В текстовом поле Pattern (Образец) введите строку и укажите ее тип: ASCII или Hex. При срабатывании триггера можно запускать какое-либо действие. Для этого установите переключатель Audible Signal Only (Только звуковой сигнал), чтобы прозвучал сигнал, установите переключатель Stop Capture (Остановить захват), чтобы прекратить захват, или установите флажок Execute Command Line (Выполнить команду) и укажите команду или программу, запускаемую при срабатывании триггера. Для инициирования триггера на основе размера буфера установите переключатель Buffer Space (Память буфера), а затем укажите нужный процент. Здесь также можно указать действие, выполняемое при срабатывании триггера. Для инициирования триггера при обнаружении в кадре конкретного образца установите переключатель
1198
Устранение проблем, отладка и оптимизация ×àñòü X
Buffer Space Then Pattern Match (Память буфера, а затем совпадение с образцом) и укажите нужные процент и образец.
Ðèñ. 34.11. Страница свойств триггера захвата
Èñïîëüçîâàíèå ôèëüòðà çàõâàòà Фильтрация приводит к уменьшению объема просматриваемых и анализируемых данных. Фильтр захвата можно указать на основе адресов, протоколов и образцов данных в кадрах. Для установки фильтра выберите в меню File пункт CaptureÖFilter (ЗахватÖФильтр). Для захвата данных по указанным образцам данных в кадрах дважды щелкните в дереве решений окна Capture Filter (Фильтр захвата) на строке AND (Pattern Matches) (И (Совпадения с образцами)), а затем укажите шестнадцатеричный или текстовый образец, с которым должны совпадать захватываемые кадры. Чтобы задать фильтры захвата на основе пар адресов, аналогично тому, что показано на рис. 34.12, дважды щелкните в дереве решений на строке AND (Address Pairs) (И (Пары адресов)) или дважды щелкните на паре адресов, чтобы изменить ее. В диалоговом окне Address Expression (Адресное выражение) укажите свойства пар адресов, а затем щелкните на кнопке ОК. Захватываемые данные можно просмотреть, выбрав в меню File пункт CaptureÖ Display Captured Data (ЗахватÖПоказать захваченные данные). Появится окно со сводкой, похожее на показанное на рис. 34.13. Для захваченных данных отображаются кадр, время появления, MAC-адрес источника, MAC-адрес назначения, протокол и так далее.
НА ЗАМЕТКУ В фильтре захвата оператор EXCLUDE выполняется прежде оператора INCLUDE, независимо от порядка, в котором расположены эти операторы на странице свойств Capture Filter. Если фильтр содержит и операторы INCLUDE, и операторы EXCLUDE, то кадр отбрасывается, если он удовлетворяет критериям, указанным в операторе EXCLUDE. В этом случае сетевой монитор не проверяет, удовлетворяет ли кадр критериям оператора INCLUDE.
Ведение журналов и отладка Ãëàâà 34
1199
Ðèñ. 34.12. Выбор пар адресов в фильтре захвата
Ðèñ. 34.13. Страница сводки по захваченным данным
Èñïîëüçîâàíèå ñðåäñòâ îòëàäêè, äîñòóïíûõ â Windows Server 2003 В состав Windows Server 2003 входят несколько полезных средств для устранения неполадок и диагностирования различных проблем — от проблем подключения TCP/IP до проблем с верификацией и сопровождением. Эти средства существенно облегчают работу IT-профессионалов, позволяя им сконцентрироваться на улучшении бизнес-задач и функций, а не на выполнении указанных средств в сетевой среде.
1200
Устранение проблем, отладка и оптимизация ×àñòü X
Ñðåäñòâà TCP/IP Семейство протоколов TCP/IP является основой обмена данных в Windows Server 2003. Прежде чем начать обмен данными между машинами, необходимо сконфигурировать TCP/IP. В системе Windows Server 2003 компания Microsoft решила устанавливать TCP/IP по умолчанию во время установки ОС; кроме того, имеется возможность добавить или удалить TCP/IP с помощью графического интерфейса. Компания Microsoft также добавила четыре новых параметра (–R, –S, –4, –6) в некоторые утилиты TCP/IP из состава Windows Server 2003, которые отсутствовали в предыдущих версиях Windows. Эти параметры будут рассмотрены ниже. При отказе соединения TCP/IP необходимо определить причину или точку отказа. В Windows Server 2003 имеются надежные и полезные средства, с помощью которых можно устранять неполадки в соединениях и проверять качество соединения. Средства, описываемые в последующих восьми разделах, очень полезны для отладки проблем со связью TCP/IP.
PING PING означает “Packet Internet Groper” (“Средство прощупывания пакетами Internet”). PING используется для посылки эхо-запросов и получения эхо-ответов протокола управляющих сообщений Internet (Internet Control Message Protocol — ICMP), что позволяет проверить доступность локальной или удаленной машины. PING можно рассматривать как утилиту, посылающую другой машине сообщение “Ты все еще здесь?” В Windows Server 2003 по умолчанию PING посылает четыре ICMP-пакета и ожидает ответов в течение одной секунды. Количество посылаемых пакетов или время ожидания ответа можно изменить в опциях, доступных в PING. Кроме проверки доступности удаленных машин, с помощью PING можно определить проблемы разрешения имен. Чтобы воспользоваться утилитой PING, войдите в командное окно и введите команду PING ИмяЦели, как показано на рис. 34.14. С PING можно использовать различные параметры. Чтобы просмотреть их, введите PING /? или просто PING (без параметров). В табл. 34.1 описаны параметры утилиты PING.
Ðèñ. 34.14. Утилита PING в командном окне
Ведение журналов и отладка Ãëàâà 34
1201
Òàáëèöà 34.1. Ïàðàìåòðû óòèëèòû PING Параметр
Описание
–4
Указывает, что для опроса с помощью PING используется протокол IPv4. Этот параметр не требуется для указания целевого хоста адресом IPv4. Он нужен только при указании целевого хоста по имени.
–6
Указывает, что для опроса с помощью PING используется протокол IPv6. Как и –4, этот параметр не требуется для указания целевого хоста адресом IPv6. Он нужен только при указании целевого хоста по имени.
–a
Определяет IP-адреса по именам хостов. При успешном выполнении эта команда отображает имя хоста целевой машины.
–f
Требует, чтобы сообщения с эхо-запросами посылались с флагом Don’t Fragment (Не фрагментировать). Этот параметр доступен только в IPv4.
–i ttl
Увеличивает тайм-аут для медленных соединений. Этот параметр также устанавливает значение времени жизни пакетов (TTL). Максимальное значение равно 255.
–j СписокХостов
Маршрутизирует пакеты с помощью списка хостов, представляющего собой последовательность IP-адресов, разделенных пробелами. Хосты могут разделяться промежуточными шлюзами (свободная маршрутизация от источника).
–k СписокХостов
Аналогично –j, но хосты не могут разделяться промежуточными шлюзами (жесткая маршрутизация от источника).
–l размер
Указывает длину пакетов в байтах. По умолчанию размер равен 32. Максимальный размер равен 65527.
–n счетчик
Указывает количество посылаемых пакетов. По умолчанию равно 4.
–r счетчик
Указывает маршрут выходящих и входящих пакетов. Можно указать счетчик, равный или больший количеству переходов между источником и назначением. Значение счетчика может быть только от 1 до 9.
–R
Указывает, что трассируется полный путь туда и обратно.
–S счетчик
Задает отметку времени для количества переходов, указанного счетчиком. Значение счетчика может быть от 1 до 4.
–S АдресИст
Указывает используемый адрес источника (доступно только в IPv6).
–t
Указывает, что PING должна постоянно посылать пакеты хосту назначения до прерывания. Чтобы остановить посылку пакетов и вывести статистику, нажмите . Чтобы остановить посылку пакетов и выйти из PING, нажмите .
–v TOS
Указывает значение типа службы (Type of Service – TOS) в посылаемых пакетах. По умолчанию это значение равно 0. TOS указывается как десятичное значение от 0 до 255.
–w тайм-аут
Задает тайм-аут пакетов в миллисекундах. Если в течение тайм-аута ответ не получен, выводится сообщение об ошибке Request Timed Out (Тайм-аут запроса). По умолчанию тайм-аут равен 4 секундам.
ИмяЦели
Указывает имя хоста или IP-адрес назначения для опроса с помощью PING.
1202
Устранение проблем, отладка и оптимизация ×àñòü X
НА ЗАМЕТКУ Некоторые удаленные хосты могут быть настроены так, чтобы игнорировать трафик PING — в качестве метода предотвращения опознания хоста для повышения безопасности. Поэтому невозможность применения PING в отношении сервера не обязательно означает, что сервер не работает — просто сервер по каким-то причинам не отвечает.
Tracert Утилита Tracert обычно применяется для определения маршрута или пути к назначению за счет посылки пакетов ICMP с различными значениями времени существования. Каждый маршрутизатор, через который проходит пакет, уменьшает значение TTL по крайней мере на 1; поэтому TTL является счетчиком переходов (“прыжков”). Путь определяется с помощью ICMP-сообщений Time Exceeded (Время истекло), возвращаемых промежуточными маршрутизаторами. Некоторые маршрутизаторы не возвращают сообщения Time Exceeded для просроченных значений TTL и не захватываются утилитой Tracert. Для таких переходов выводятся звездочки. Чтобы вывести различные параметры, которые можно использовать с Tracert, откройте командное окно и введите для получения подсказки команду tracert (без параметров) или tracert /?. Параметры утилиты Tracert описаны в табл. 34.2.
Òàáëèöà 34.2. Ïàðàìåòðû óòèëèòû Tracert Параметр
Описание
–4
Указывает, что tracert.exe должна использовать для трассировки только протокол IPv4. Указывает, что tracert.exe должна использовать для трассировки только протокол IPv6. Запрещает преобразование IP-адресов маршрутизаторов в соответствующие имена хостов. Это значительно ускоряет работу Tracert. Указывает максимальное количество переходов до достижения назначения. По умолчанию равно 30. Указывает, что пакеты должны использовать свободный выбор маршрута от источника (loose source route). При свободной маршрутизации от источника промежуточные назначения могут разделяться одним или несколькими маршрутизаторами. Список хостов не может содержать более 9 адресов. Этот параметр полезен только при трассировке IPv4-адресов. Посылает пакеты в назначение по протоколу IPv6, используя назначение как промежуточное назначение для тестирования обратного маршрута. Указывает используемый исходный адрес. Этот параметр полезен только при трассировке IPv6-адресов.
–6 –d –h МаксимумПереходов –j СписокХостов
–R –S
НА ЗАМЕТКУ Утилита Tracert удобна для определения количества переходов и латентности связи между двумя точками. Даже если организация подключена к Internet по очень высокоскоростному соединению, но сама сеть Internet перегружена, либо маршрут, по которому должен проследовать пакет, требует ретрансляции информации между несколькими маршрутизаторами, то такая производительность, а значит, и латентность (задержка ответа между серверами) приведет к ощутимым задержкам в связи.
Ведение журналов и отладка Ãëàâà 34
1203
Pathping Утилита Pathping представляет собой средство трассировки маршрутов, сочетающее возможности команд PING и Tracert с некоторой дополнительной информацией, которую не выдает ни одна из этих двух команд. Pathping очень удобно использовать в сети с маршрутизаторами или несколькими маршрутами между хостами источника и назначения. Команда Pathping посылает пакеты каждому маршрутизатору на пути к назначению, а затем получает результаты от каждого пакета, возвращенного маршрутизатором. Поскольку Pathping вычисляет количество потерянных пакетов при каждом переходе, то можно легко определить, какой из маршрутизаторов является причиной проблем в сети. Чтобы вывести параметры Pathping, откройте командное окно и введите команду Pathping /?. Список параметров команды Pathping представлен в табл. 34.3.
Òàáëèöà 34.3. Ïàðàìåòðû óòèëèòû Pathping Параметр
Описание
–g СписокХостов
Позволяет находиться между хостами промежуточным шлюзам.
–h МаксимумПереходов
Указывает максимальное количество переходов до достижения цели. По умолчанию 30 переходов.
–n
Указывает, что разрешение адресов в имена хостов не обязательно.
–p период
Указывает количество секунд ожидания между опросами с помощью PING. По умолчанию составляет четверть секунды.
–q
Указывает количество запросов к каждому хосту маршрута. По умолчанию составляет 3 секунды.
–R
Определяет, поддерживают ли хосты маршрута протокол резервирования ресурсов (Resource Reservation Setup Protocol – RSVP). Поддержка RSVP на маршруте позволяет компьютерам хостов резервировать пропускную способность для потоков данных. Обратите внимание, что этот параметр записывается прописной буквой.
–T
Указывает сетевые устройства, на которых не сконфигурирован приоритет второго уровня. Параметр записывается прописной буквой.
Ipconfig Утилита Ipconfig выводит все значения конфигурации TCP/IP. Она особенно полезна на машинах, выполняющих DHCP. С ее помощью можно обновить настройки DHCP и определить, какие значения конфигурации TCP/IP назначены с помощью DHCP. Если Ipconfig применяется без параметров, то она выводит IP-адреса, маски подсетей и шлюзы для адаптеров машины. Адаптеры могут быть физическими сетевыми адаптерами или логическими адаптерами наподобие коммутируемых соединений. Параметры Ipconfig перечислены в табл. 34.4.
1204
Устранение проблем, отладка и оптимизация ×àñòü X
Òàáëèöà 34.4. Ïàðàìåòðû óòèëèòû Ipconfig Параметр
Описание
/all
Выводит все значения конфигурации TCP/IP.
/displaydns
Выводит содержимое кэша распознавателя клиента DNS.
/flushdns
Очищает и сбрасывает кэш распознавателя клиента DNS. Это относится и к динамически созданным записям.
/registerdns
Устанавливает ручную динамическую регистрацию для имен DNS и IP-адресов, сконфигурированных на компьютере. Это особенно удобно при устранении неполадок в регистрации имен DNS и при устранении проблем с динамическим обновлением между DNSсервером и клиентом.
/release [Адаптер]
Посылает DHCP-серверу сообщение об освобождении DHCP, чтобы сбросить настройки адаптеров, сконфигурированные с помощью DHCP. Этот параметр доступен только для клиентов с включенным DHCP. Если адаптер не указан, конфигурация IP-адреса освобождается для всех адаптеров.
/renew [Адаптер]
Обновляет конфигурацию DHCP для всех адаптеров (если адаптер не указан) или для конкретного адаптера, если указан параметр Адаптер. Этот параметр доступен только для клиентов с включенным DHCP.
/setclassid Адаптер [IDкласса]
Конфигурирует идентификатор класса DHCP для указанного адаптера. Можно сконфигурировать идентификатор класса DHCP для всех адаптеров, указав вместо Адаптер обобщенный символ (*).
/showclassid Адаптер
Выводит идентификатор класса DHCP для указанного адаптера.
НА ЗАМЕТКУ Утилита Ipconfig определяет назначенную системе конфигурацию: стандартный шлюз, DNSсерверы, локальный IP-адрес, маска подсети и так далее. При отладке проблем с сетью с помощью Ipconfig можно проверить правильность установленных в системе настроек TCP/IP, чтобы сервер мог надлежащим образом функционировать в сети.
Arp ARP означает “Address Resolution Protocol” — “Протокол разрешения адресов”. Утилита Arp позволяет отображать и модифицировать на локальной машине таблицу ARP, которая объединяет физические MAC-адреса машин и соответствующие им IPадреса. Arp увеличивает скорость работы соединения, устраняя необходимость сравнения MAC-адресов с IP-адресами в последующих соединениях. В табл. 34.5 описаны параметры утилиты Arp.
Ведение журналов и отладка Ãëàâà 34
1205
Òàáëèöà 34.5. Ïàðàìåòðû óòèëèòû Arp Параметр
Описание
–a [InetАдрес] [–N ИфейсАдрес]
Выводит таблицу ARP для всех адаптеров машины. Используйте команду Arp –a с параметром InetАдрес (IP-адрес) для отображения строки кэша ARP для конкретного IP-адреса.
–d InetАдрес [ИфейсАдрес]
Удаляет строку с указанным IP-адресом (InetАдрес). Используйте параметр ИфейсАдрес (IP-адрес, назначенный интерфейсу) для удаления строки из таблицы указанного интерфейса. Для удаления всех строк укажите вместо InetАдрес обобщенный символ (*).
–g [InetАдрес] [–N ИфейсАдрес]
Аналогично параметру –a.
–s InetАдрес EtherАдрес [ИфейсАдрес]
Добавляет в кэш ARP статическую строку, разрешающую IP-адрес (InetАдрес) в физический адрес (EtherАдрес). Для добавления статической строки кэша ARP в таблицу конкретного интерфейса используйте IP-адрес, назначенный этому интерфейсу (ИфейсАдрес).
Netstat Как должно быть понятно из названия, утилита Netstat (Network Statistics — Сетевая статистика) используется для вывода статистики для всех активных подключений, мониторинга подключений к удаленному хосту и мониторинга IP-адресов или доменных имен хостов с установленными подключениями. Параметры Netstat перечислены в табл. 34.6.
Òàáëèöà 34.6. Ïàðàìåòðû óòèëèòû Netstat Параметр
Описание
–a
Выводит все подключения и прослушиваемые порты по имени хоста.
–an
Аналогично параметру –a, но выводит подключения и прослушиваемые порты по IP-адресам.
–e
Выводит количество Ethernet-пакетов и байтов, принятых и посланных хостом.
–n
Выводит адреса и номера портов без разрешения адресов в имена хостов.
–o
Выводит TCP-подключения, включая соответствующий идентификатор процесса (PID). Используется в сочетании с –a, –n и –p. В предыдущих версиях Windows этот параметр отсутствовал.
–p протокол
Выводит статистику для указанного протокола. Могут быть указаны протоколы TCP, UDP, TCPv6 и UDPv6. В сочетании с –s можно использовать для TCP, UDP, ICMP, IP, TCPv6, UDPv6, ICMPv6 или IPv6.
1206
Устранение проблем, отладка и оптимизация ×àñòü X Окончание табл. 34.6
Параметр
Описание
–s
Выводит статистику по протоколам. Может использоваться с параметром –p для указания набора протоколов.
–r
Выводит таблицу маршрутов. Отображается следующая информация: сетевой адрес назначения, сетевая маска, шлюз, интерфейс и метрика (количество переходов).
[Параметр] Интервал
Выводит информацию через указанный интервал времени. Интервал задает количество секунд. Для прекращения вывода данных нажмите .
NetDiag Средство тестирования связности сети (Network Connectivity Tester, NetDiag) является диагностическим средством командной строки, предназначенным для тестирования связности, конфигурации и безопасности сети. Оно входит в состав средств поддержки (Support Tools) на дистрибутивном носителе Windows Server 2003. Это средство собирает информацию и тестирует конфигурацию сети, сетевые драйверы, протоколы, связность и доступность распространенных целей. Его лучше использовать первым, если в системе возникли проблемы с сетевой связностью. Одним замечательным свойством средства NetDiag.exe является то, что оно не требует параметров, тем самым упрощая его использование. Администратору могут быть выданы простые инструкции, которым он должен последовать, а затем нужно будет потратить много времени на анализ результатов. Хотя параметры не требуются, они все же возможны (табл. 34.7).
Òàáëèöà 34.7. Ïàðàìåòðû óòèëèòû NetDiag Параметр
Описание
/q
Краткий вывод (только ошибки).
/v
Подробный вывод.
/l
Запись протокола в NetDiag.log.
/debug
Еще более подробный вывод.
/d: ИмяДомена
Находит в домене контроллер домена.
/fix
Исправляет небольшие проблемы.
/DCAccountEnum
Перечисляет учетные записи компьютеров контроллеров доменов.
/test: ИмяТеста
Выполняет только указанные тесты.
/skip: ИмяТеста
Пропускает указанные тесты.
При указании выполняемых или пропускаемых тестов обязательные тесты все равно выполняются.
Ведение журналов и отладка Ãëàâà 34
1207
DCDiag Средство диагностики контроллера домена (Domain Controller Diagnostic, DCDiag) анализирует состояние контроллеров и служб доменов в лесу Active Directory. Оно входит в средства поддержки (Support Tools) на дистрибутивном носителе Windows Server 2003. Это замечательное средство тестирования общего назначения служит для проверки работоспособности инфраструктуры Active Directory. С его помощью могут быть выполнены тесты контроллеров доменов на связность, ошибки репликации, права доступа, верные роли, связность и другие общие проверки работоспособности Active Directory. Возможны даже тесты, не специфичные для контроллеров доменов, например, может ли сервер быть повышен до уровня контроллера домена (тест DcPromo), или правильно ли он регистрирует свои записи в DNS (тест RegisterInDNS). Средство DCDiag выполняется только на контроллерах доменов, за исключением тестов DcPromo и RegisterInDNS. При запуске без параметров тестируется текущий контроллер домена. При этом выполняются все основные тесты, чего обычно достаточно в большинстве случаев. Параметры DCDiag перечислены в табл. 34.8.
Òàáëèöà 34.8. Ïàðàìåòðû óòèëèòû DCDiag Параметр
Описание
/s:КонтроллерДомена
Использует контроллер домена в качестве домашнего сервера.
/n:КонтекстИменования
Использует для тестирования указанный контекст именования (NetBIOS, FQDN или отличительное имя).
/u:Домен\ИмяПользователя /p:{*|Пароль|""}
Использует для выполнения указанные полномочия.
/a
Тестирует все контроллеры домена в сайте.
/e
Тестирует все контроллеры домена в предприятии.
/q
Краткий вывод (только ошибки).
/v
Подробный вывод.
/I
Игнорирует сообщения о незначительных ошибках.
/fix
Исправляет небольшие проблемы.
/f:ФайлЖурнала
Производит запись в указанный журнал.
/ferr:ФайлЖурналаОшибок
Записывает ошибки в указанный журнал.
/c
Полностью выполняет все тесты.
/test:ИмяТеста
Выполняет только указанные тесты.
/skip:ИмяТеста
Пропускает указанные тесты.
При указании выполняемых или пропускаемых тестов обязательные тесты все равно выполняются.
1208
Устранение проблем, отладка и оптимизация ×àñòü X
Route Средство Route особенно полезно при устранении неполадок в некорректных статических маршрутах или для добавления маршрута в таблицу маршрутов для создания временного обхода проблемного шлюза. Статические маршруты можно использовать вместо неявных маршрутов, заданных стандартным шлюзом. Применяйте Route для добавления статических маршрутов, чтобы переадресовывать пакеты, адресуемые шлюзу, указанному по умолчанию и таким образом избежать появления циклов, снизить время прохождения пакетов и так далее. В табл. 34.9 перечислены параметры Route.
Òàáëèöà 34.9. Ïàðàìåòðû óòèëèòû Route Параметр
Описание
–add
Добавляет маршрут в таблицу. Чтобы маршрут остался и присутствовал в последующих сеансах, используйте параметр –p.
–Delete –Print –change –назначение –шлюз IF интерфейс –mask сетеваяМаска
Удаляет маршрут из таблицы.
–METRIC метрика –f –p
Указывает метрику, или стоимость, маршрута.
Печатает маршрут. Изменяет существующий маршрут. Указывает адрес хоста. Указывает адрес шлюза для Route. Указывает интерфейс для модифицируемой таблицы маршрутизации. Использует указанную маску подсети. Если маска не задана, то по умолчанию используется 255.255.255.255. Удаляет из таблицы маршрутизации все элементы шлюзов. Используется с параметром –add для создания постоянного маршрута.
Nslookup Утилита Nslookup применяется для опроса DNS. Эту утилиту можно рассматривать как простой клиент диагностики DNS-серверов. Она может работать в двух режимах: интерактивном и автономном. Применяйте автономный режим для просмотра одного фрагмента данных. Для просмотра более чем одного фрагмента данных воспользуйтесь интерактивным режимом. Из интерактивного режима можно выйти в любое время, нажав . Для выхода из утилиты в командном режиме следует ввести exit. Если Nslookup используется без параметров, то она опрашивает стандартный сервер DNS. Параметры Nslookup перечислены в табл. 34.10.
Òàáëèöà 34.10. Ïàðàìåòðû óòèëèòû Nslookup Параметр
Описание
–ИскомыйКомпьютер
Выводит информацию для указанного компьютера. По умолчанию используется текущий стандартный сервер DNS.
–Сервер –Подкоманда
Указывает DNS-сервер. Указывает одну или несколько подкоманд Nslookup в виде параметра командной строки. Для вывода списка доступных подкоманд введите знак вопроса (?).
Ведение журналов и отладка Ãëàâà 34
1209
Çàïóñê è âîññòàíîâëåíèå ñèñòåìû Утилита запуска и восстановления системы (System Startup and Recovery) сохраняет информацию о запусках системы, ошибках системы и отладочную информацию. Она также управляет поведением системы (что должно делаться) в случае отказа системы. Для того чтобы открыть утилиту запуска и восстановления системы, щелкните правой кнопкой мыши на пиктограмме My Computer, выберите в контекстном меню пункт Properties, перейдите на вкладку Advanced (Дополнительно), а затем щелкните на строке Settings (Параметры) в разделе Startup and Recovery (Запуск и восстановление), чтобы вывести страницу свойств, показанную на рис. 34.15.
Ðèñ. 34.15. Страница запуска и восстановления В поле Default Operating System (Операционная система, загружаемая по умолчанию) содержится информация, отображаемая при запуске. Обычно это название операционной системы вроде Microsoft Windows Server 2003 Enterprise Server. Можно изменить эту информацию, щелкнув на кнопке Edit (Правка) или отредактировав файл boot.ini. На машинах с двойной загрузкой присутствуют строки для каждой операционной системы. Опция Time to Display List of Operating Systems (Время отображения списка операционных систем) указывает время, в течение которого выводится имя операционной системе при ее запуске. По умолчанию это время составляет 30 секунд и может быть увеличено или уменьшено. В разделе System Failure (Отказ системы) можно указать действие, выполняемое при возникновении отказа системы. Имеется три возможных варианта. Первый вариант — Write an Event to The System Log (Записать событие в системный журнал). Это действие недоступно в Windows Server 2003, поскольку оно происходит по умолчанию при каждом возникновении терминальной ошибки. Второй вариант — Send an Administrative Alert (Отправить административное оповещение) — посылает уведомление.
1210
Устранение проблем, отладка и оптимизация ×àñòü X
Последний вариант — Automatically Restart (Выполнить автоматическую перезагрузку) — автоматически перезагружает систему в случае отказа системы. В разделе Write Debugging Information (Запись отладочной информации) указывается, куда система должна записывать отладочную информацию в случае отказа системы. Здесь можно указать, какую отладочную информацию записывать: малый дамп памяти (64 Кб) (Small memory dump (64 КB)), дамп памяти ядра (Kernel memory dump), полный дамп памяти (Complete memory dump) или ничего (none). Опция Write Debugging Information требует на загрузочном томе наличия файла подкачки с размером физической оперативной памяти плюс 1 Мб. Значит, в системе с RAM объемом 512 Мб должен быть создан файл подкачки размером 513 Мб. Можно сэкономить ресурсы памяти, если в опции Write Debugging Information указать (none) и сбросить флажок Send an Administrative Alert. Объем сэкономленной памяти зависит от сервера; драйверы, обеспечивающие выполнение этих возможностей, требуют около 60–70 Кб.
Îòëàäêà, ñâÿçàííàÿ ñ ïàìÿòüþ Многие сценарии устранения неполадок так или иначе связаны с памятью, например, с потреблением слишком большого объема памяти ошибочным приложением или процессом. В состав набора ресурсов Windows Server 2003 входит множество полезных утилит, облегчающих процесс устранения неполадок. Две из них специально разработаны для работы с памятью: •
Монитор памяти (memmonitor.exe). Это средство командной строки осуществляет мониторинг памяти процессов и при превышении объемом используемой памяти указанного предельного значения выполняет указанные действия.
•
Средство выявления утечки ресурсов (memtriage.exe). Если процесс запрашивает память и не возвращает ее системе, возникает утечка памяти. Используйте это средство для мониторинга, протоколирования и анализа использования памяти и облегчения определения, является ли процесс причиной утечки памяти.
Ìåõàíèçì ãåíåðàöèè îò÷åòîâ î ïðîãðàììíûõ îøèáêàõ В Windows Server 2003 можно получать отчеты о программных ошибках. Это осуществляет механизм генерации отчетов об ошибках. Ошибки, о которых сообщает этот механизм, могут быть отправлены в компанию Microsoft, чтобы в дальнейшем можно было устранить их причины. Этот механизм можно открыть, щелкнув правой кнопкой мыши на папке My Computer, выбрав в контекстном меню пункт Properties, перейдя на вкладку Advanced и щелкнув на кнопке Error Reporting (Отчет об ошибках), чтобы вывести окно, показанное на рис. 34.16. Можно отключить отчет о программных ошибках, установив переключатель Disable Error Reporting (Отключить отчет об ошибках). Можно, наоборот, разрешить отчет о программных ошибках. Доступны следующие варианты сообщений: Windows Operating System (Операционная система Windows), Unplanned Machine Shutdowns (Непредусмотренные остановы машины), Programs (Программы) (можно выбрать нужные программы, щелкнув на кнопке Choose Pro-
Ведение журналов и отладка Ãëàâà 34
1211
grams (Выбор программ)) и Force Queue Mode for Program Errors (Задать режим очереди для программных ошибок).
Dr. Watson for Windows Dr. Watson for Windows является отладчиком программ. Команда технической поддержки Microsoft может использовать информацию, полученную и записанную Dr. Watson, для устранения неполадок. При возникновении ошибки генерируется текстовый файл, однако можно также создать файл аварийного дампа. Dr. Watson автоматически запускается в случае возникновения программной ошибки. Однако его можно запустить и вручную, набрав в командной строке команду drwtsn32. После запуска Dr. Watson появляется окно, показанное на рис. 34.17. Журнал, генерируемый Dr. Watson, можно просмотреть в текстовом редакторе. Этот файл содержит следующую информацию: идентификатор процесса приложения, дата и время возникновения ошибки, сама ошибка, вызвавшая ошибку программа, имя функции, идентификатор задачи и так далее.
Ðåçþìå Средства ведения журналов и отладки помогают администратору осуществлять мониторинг, управление и устранение проблем в сети. Многие средства, используемые для обнаружения сетевых проблем в среде Windows Server 2003, улучшены по сравнению с предыдущими версиями приложений в более ранних редакциях операционной системы Windows. Ключом к разрешению проблем является ведение и мониторинг журналов с целью обнаружения и исследования ошибок и восстановления системы на основе разрешения проблемы.
Ðèñ. 34.16. Окно механизма сообщений об ошибках
Ðèñ. 34.17. Окно Dr. Watson for Windows
1212
Устранение проблем, отладка и оптимизация ×àñòü X
В дополнение к средствам и утилитам, поставляемым в составе Windows Server 2003, существуют ресурсы, подобные базе данных Microsoft TechNet (http://www.microsoft.com/technet/). Благодаря улучшениям утилит и средств, а также оперативным базам данных технических исследований, разрешение проблем в сетевой среде Windows Server 2003 существенно упрощается.
Ïîëåçíûå ñîâåòû •
Используйте диспетчер задач для быстрого просмотра таких системных ресурсов, как занятость процессора, активность процессов, использование памяти и потребление ресурсов.
•
Используйте утилиту просмотра событий для проверки на наличие проблем в Windows Server 2003.
•
Отфильтровывайте нужные события в утилите просмотра событий.
•
Архивируйте журналы безопасности в централизованном месте в сети, а затем периодически просматривайте их и сравнивайте с локальными журналами безопасности.
•
Установите политику аудита так, чтобы при заполнении журнала безопасности сервер немедленно выключался. Это предотвращает перезапись генерируемых журналов или стирание старых журналов.
•
Организуйте процесс мониторинга и анализа производительности системы, чтобы обеспечить максимальное время готовности и удовлетворить соглашениям об уровне сервиса.
•
Запускайте системный монитор для наблюдения серверов с удаленного компьютера.
•
При наблюдении большого количества серверов используйте запись информации в журнал.
•
Создавайте базовые линии производительности.
•
Создавайте новые базовые линии, когда в сервер добавляются новые приложения или службы.
•
Постарайтесь уменьшить частоту сбора данных, дабы уменьшить объем собираемых и анализируемых данных.
•
Для захвата данных о производительности используйте журналы.
•
Фильтруйте данные, захватываемые Netmon, для облегчения администрирования, обслуживания и устранения неполадок.
•
Попытайтесь найти в наборе ресурсов Windows Server 2003 Resource Kit средства и документацию, облегчающие мониторинг, анализ и устранение неполадок.
•
Не используйте в Netmon одновременно фильтры INCLUDE и EXCLUDE.
•
Используйте Tracert для определения количества переходов и латентности связи между двумя точками сети.
Àíàëèç ìîùíîñòè è îïòèìèçàöèÿ ïðîèçâîäèòåëüíîñòè
 ÝÒÎÉ ÃËÀÂÅ... •
Îïðåäåëåíèå àíàëèçà ìîùíîñòè
•
Ñîçäàíèå ýòàëîííûõ ïîëèòèê è ìåòðèê
•
Èñïîëüçîâàíèå ñðåäñòâ àíàëèçà ìîùíîñòè
•
Ìîíèòîðèíã ïðîèçâîäèòåëüíîñòè ñèñòåìû
•
Îïòèìèçàöèÿ ïðîèçâîäèòåëüíîñòè â çàâèñèìîñòè îò ðîëåé ñåðâåðà
•
Óïðàâëåíèå èñïðàâëåíèÿìè
ÃËÀÂÀ
35
1214
Устранение проблем, отладка и оптимизация ×àñòü X
Анализ мощности (capacity analysis) и оптимизация производительности являются двумя взаимосвязанными процессами, которыми слишком часто пренебрегают. Тем не менее, эти процессы отвечают на распространенные вопросы, возникающие во время проектирования или сопровождения сетевой среды. Причины такого пренебрежения многочисленны, но чаще всего IT-специалисты увязают в повседневном администрировании и аварийных задачах, либо их отпугивает впечатление загадочности, окружающее эти процедуры. Эти процессы требуют опыта и знания. Не менее важен тот факт, что управление этими процессами является искусством, однако оно не требует никаких “магических пассов”. Если инвестировать время в эти процессы, впоследствии будет потрачено меньше времени на устранение неполадок или выполнение аварийных задач, а значит, будет сохранена нервная система и уменьшены производственные затраты.
Îïðåäåëåíèå àíàëèçà ìîùíîñòè В основном анализ мощности применяется для минимизации неизвестных или неизмеримых переменных, например, количества гигабайтов или терабайтов памяти, которые потребуются системе в последующие несколько месяцев или лет для адекватного роста системы. Большое количество неизвестных переменных возникает из-за того, что сетевые среды, производственные требования и люди постоянно меняются. В результате анализ мощности является искусством постольку, поскольку он требует опыта и знаний. Если вам когда-либо приходилось составлять требования к конфигурации нового сервера или оценивать, достаточно ли вычислительной мощности, чтобы выдержать различные нагрузки в настоящее время и обозримом будущем, то при таком проектировании и конфигурировании может помочь правильный анализ мощности. Эти процессы анализа мощности помогают устранить элементы неизвестности и принять максимально аккуратные решения — за счет большего понимания среды Windows Server 2003. Эти знания и понимание в дальнейшем помогают уменьшить время и затраты, связанные с поддержкой и проектированием инфраструктуры. В результате вы обретаете больший контроль над средой, уменьшаете затраты на сопровождение и поддержку, сводите к минимуму аварийные ситуации и более эффективно используете свое время. Максимальная эффективность бизнес-операций зависит от сетевых систем при выполнении многих различных действий, таких как транзакции или обеспечение безопасности. Недостаточно используемые системы, возможно, просто являются тратой денег и приносят мало пользы. С другой стороны, перегруженные системы, либо системы, которые не могут справиться со всей нагрузкой, препятствуют выполнению бизнес-задач или транзакций за приемлемое время и являются причиной потери возможностей либо мешают продуктивной работе пользователей. В любом случае такие системы обычно не очень-то помогают ведению дел. Чтобы поддерживать сетевые системы хорошо приспособленными под существующие нагрузки, анализ мощности ищет баланс между доступными ресурсами и нагрузкой на эти ресурсы. Этот баланс обеспечивает нужный объем вычислительной мощности для текущих и ожидаемых нагрузок. Эта концепция балансировки ресурсов выходит за пределы технических деталей конфигурации сервера, включая и такие вопросы, как оценка количества администраторов, которые могут понадобиться для сопровождения различных систем среды.
Анализ мощности и оптимизация производительности Ãëàâà 35
1215
Многие из этих вопросов связаны с анализом мощности, и ответы на них заранее неизвестны, поскольку их невозможно предсказать с абсолютной точностью. В анализе мощности есть процессы, которым необходимо следовать для уменьшения сложности и устранения некоторых загадок оценки потребностей в ресурсах. Эти процессы включают в себя сведения о поставщиках, измерения производственной производительности, анализ использования существующих ресурсов системы и прочие факторы. С помощью этих процессов можно получить максимально ясное представление о сетевой среде и уйти от ограниченного понимания системы. Кроме того, вы также получаете больший контроль над системами и увеличиваете свои шансы успешной поддержки надежности, степени обслуживания и доступности системы. Не существует набора правил или формального способа начать процесс анализа мощности. Однако надежным и эффективным средством начать предупредительное управление системой является создание системных политик и процедур. Политики и процедуры, кратко говоря, помогают сформировать уровни обслуживания и ожидания пользователей. После классификации и определения этих политик и процедур облегчается оценка нагрузок на систему, что позволяет создать приемлемые эталонные значения производительности.
Ïðåèìóùåñòâà àíàëèçà ìîùíîñòè Переоценить преимущества анализа мощности практически невозможно. Анализ мощности помогает определить и сформировать общую работоспособность системы, создав эталонные значения производительности, а, кроме того, в результате анализа появляется ценное понимание направления развития системы. Анализ может быть использован для обнаружения и существующих, и потенциальных узких мест, а также для оценки, как изменение методов управления может повлиять на производительность сейчас и в будущем. Кроме того, он позволяет обнаруживать и разрешать вопросы, связанные с производительностью, заранее, а не тогда, когда они перерастут в проблему и о них узнает руководство. Другим преимуществом анализа мощности является то, что его можно применять к небольшим средам и масштабировать до систем уровня предприятия. Уровень усилий, необходимых для начального запуска процессов анализа мощности, варьируется в зависимости от размера среды и географических и политических делений. Приложив предварительно небольшие усилия, можно сэкономить время и затраты и получить знание и контроль над сетевой средой.
Ñîçäàíèå ýòàëîííûõ ïîëèòèê è ìåòðèê Как уже упоминалось, рекомендуется начать с определения политик и процедур, относящихся к уровням и целям обслуживания. Поскольку все среды отличаются по своей структуре, создаваемые политики не могут быть универсальным рецептом; необходимо подстраивать их под конкретные деловые требования и среду. Кроме того, необходимо стремиться создать политики, формирующие ожидания пользователей и, что более важно, отсеивающие эмпирические данные. По сути политики и процедуры определяют, как предполагается использовать систему — то есть создают рекомендации, помогающие пользователям понять, что систему нельзя использовать любыми удобными им способами. Эти политики и процедуры
1216
Устранение проблем, отладка и оптимизация ×àñòü X
дают много преимуществ. Например, в среде с успешно работающим политиками и процедурами и замедлением сетевой производительности можно предположить, что нет групп лиц, играющих в многопользовательскую сетевую игру, нет отдельных лиц, посылающих всем огромные почтовые вложения с помощью глобального списка адресов, и что в сети не находится неисправный Web- или FTP-сервер. Сетевая среда формируется больше производственными требованиями, чем ITотделом. Поэтому не менее важно получить представление об ожиданиях и требованиях пользователей с помощью собеседований, анкет, обследований и тому подобного. Ниже приведены некоторые примеры политик и процедур, относящихся к конечным пользователям, которые можно реализовать в среде. •
Размер сообщения не может превышать 2 Мб.
•
Бета-версии программ могут быть установлены только на лабораторном оборудовании (то есть не на клиентских машинах или серверах в промышленной среде).
•
Все вычислительные ресурсы предназначены только для делового применения (другими словами, не разрешены игры и использование компьютеров в личных целях).
•
Поддерживаются в сети и разрешаются только определенные приложения.
•
Размеры домашних каталогов не должны превышать 300 Мб для каждого пользователя.
•
Пользователи должны либо заполнять формы Outlook технической поддержки, либо запрашивать помощь по специальному телефонному номеру службы поддержки.
Однако политики и процедуры составляются не только для конечных пользователей. Их можно также создавать и применять и к IT-персоналу. В этом случае политики и процедуры могут служить рекомендациями по техническим вопросам, правилам использования и необходимому набору правил внутреннего распорядка. Ниже приведены некоторые примеры политик и процедур, которые можно применять к IT-персоналу. •
Резервные копии системы должны включать данные о состоянии системы и должны создаваться каждый рабочий день до 05:00.
•
Обычное системное обслуживание должно выполняться только утром по субботам с 05:00 по 08:00.
•
Обычные запросы технической поддержки должны выполняться в пределах двух рабочих дней.
•
Срочные запросы технической поддержки должны выполняться в течение четырех часов после получения запроса.
•
Персонал технической поддержки вначале должен использовать на клиентских машинах удаленный рабочий стол, прежде чем пытаться разрешить проблему локально.
•
Все планируемые остановки серверов должны утверждаться начальником ITотдела по крайней мере за неделю.
Анализ мощности и оптимизация производительности Ãëàâà 35
1217
Êîíòðîëüíûå çàìåðû ïðîèçâîäèòåëüíîñòè Определение политик и процедур начинается с отсечения некоторых не измеряемых переменных и эмпирических данных, усложняющих процесс принятия решения. Следующим шагом подготовки к анализу мощности является начало сбора эталонных значений производительности. Эталонные значения (базовые линии) обеспечивают начальную точку, с которой можно сравнивать полученные результаты. По большей части определение эталонных уровней производительности требует работы с жестко фиксированными числами, представляющими работоспособность системы. С другой стороны, некоторые переменные имеют вид статических представлений наподобие характеристик нагрузки, требований или рекомендаций поставщиков, отраслевых оценок производительности и собранных данных.
Îïðåäåëåíèå õàðàêòåðèñòèê íàãðóçêè Вряд ли все системы вашей среды являются отдельным элементами со своими характеристиками нагрузки. Большинство (если не все) сетевых сред содержат системы, зависящие от других систем, либо взаимосвязанные с другими нагрузками. Это делает оценку характеристик нагрузки в лучше случае трудной. Нагрузки определяются группировкой процессов или задач, требуемыми ресурсами и типом выполняемой работы. Примерами определения характеристик нагрузки могут быть функции, выполняемые различными отделами, время дня, тип требуемой обработки (пакетная или в реальном времени), внутренние функции предприятия (например, расчет зарплаты), объем работ и многое другое. Итак, почему так важна классификация нагрузок? Определение системных нагрузок позволяет определить соответствующие требования к ресурсам для каждой из них. Таким образом, появляется возможность правильного планирования ресурсов в соответствии с уровнями производительности, ожидаемыми и требуемыми каждой нагрузкой.
Êîíòðîëüíûå çàìåðû Контрольные замеры (benchmark) представляют собой средство измерения производительности различных продуктов: операционных систем, практически всех компонентов компьютера и даже целых систем. Многие компании с помощью контрольных замеров получают существенные преимущества, поскольку очень многие профессионалы полагаются на них при определении, какие компоненты являются наиболее подходящими для их сетевой среды. Как нетрудно догадаться, отделы снабжения и сбыта слишком часто используют результаты контрольных замеров, чтобы привлечь внимание IT-профессионалов. По этой причине важно исследовать результаты контрольных замеров и компании или организации, выполняющие эти замеры. Производители по большей части сообщают правдивые результаты, но всегда лучше сверить их с другими источниками, особенно если эти результаты выглядят подозрительно. Например, если производитель предоставляет контрольные замеры для конкретного продукта, то удостоверьтесь, что они не противоречат другим контрольным замерам, выполненным сторонними организациями (например, журналами, специальными организациями и домашними тестовыми лабораториями). Если такие результаты не доступны, необходимо поговорить с
1218
Устранение проблем, отладка и оптимизация ×àñòü X
другими IT-профессионалами, чтобы получить общее представление о вопросе, или самостоятельно произвести контрольные замеры продукта, прежде чем ввести его в промышленную эксплуатацию. Хотя в силу приемов работы отделов снабжения и сбыта контрольные замеры могут вызывать некоторое подозрение, их реальным назначением является указание уровней производительности, которые можно ожидать при использовании продукта. Контрольные замеры очень удобны для принятия решений, но они не должны быть единственным источником оценки и измерения производительности. Используйте результаты контрольных замеров только в качестве отправной точки во время анализа мощности. Также рекомендуется тщательно рассмотреть их интерпретацию. В табл. 35.1 перечислены компании и организации, предоставляющие статистические данные контрольных замеров и связанную с ними информацию; некоторые из них предлагают также средства для оценки производительности продуктов.
Òàáëèöà 35.1. Îðãàíèçàöèè, ïðåäîñòàâëÿþùèå êîíòðîëüíûå çàìåðû Название компании/организации
Web-адрес
Transaction Processing Council
http://www.tpc.org/
VeriTest
http://www.etestinglabs.com/
Computer Measurement Group
http://www.cmg.org/
Èñïîëüçîâàíèå ñðåäñòâ àíàëèçà ìîùíîñòè Для сбора данных и их анализа в Windows Server 2003 можно применять постоянно растущее количество средств, созданных для платформ Windows NT4, Windows 2000 и Unix и их производных. Некоторые из этих средств позволяют даже предсказать мощность системы, в зависимости от количества предоставленной им информации. Компания Microsoft также предлагает несколько удобных утилит, либо встроенных в Windows Server 2003, либо продаваемых в виде отдельных продуктов. Некоторые из этих утилит включены в операционную систему: менеджер задач, сетевой монитор и консоль производительности (называемая также монитором производительности или системным монитором). Данные, собранные этими приложениями, можно экспортировать в другие приложения, подобные Microsoft Excel или Access, для оценки и анализа. Другие утилиты Microsoft, продаваемые отдельно — это сервер управления системами (Systems Management Server — SMS) и диспетчер операций Microsoft (Microsoft Operations Manager — MOM).
Âñòðîåííûé èíñòðóìåíòàëüíûé íàáîð Арсенал утилит Windows Server 2003, предназначенных для анализа мощности, включает в себя средства командной строки и средства с графическим интерфейсом. В данном разделе рассматриваются диспетчер задач, сетевой монитор и консоль производительности, входящие в состав операционной системы Windows Server 2003.
Анализ мощности и оптимизация производительности Ãëàâà 35
1219
Äèñïåò÷åð çàäà÷ Диспетчер задач (Task Manager) Windows Server 2003 похож на своего предшественника из Windows 2000 тем, что он предоставляет множество возможностей. С его помощью можно просматривать и наблюдать в реальном времени информацию, связанную с процессором, памятью, приложениями, сетью и процессами данной системы. Эта утилита очень удобна для быстрого просмотра основных индикаторов работоспособности системы с минимальным влиянием на производительность. Для запуска диспетчера задач воспользуйтесь одним из следующих способов: •
Нажмите комбинацию клавиш .
•
Щелкните правой кнопкой мыши на панели задач и выберите в контекстном меню пункт Task Manager (Диспетчер задач).
•
Нажмите комбинацию клавиш , а затем выберите пункт Task Manager.
При запуске диспетчера задач вы увидите окно, похожее на показанное на рис. 35.1. Окно диспетчера задач содержит следующие пять вкладок: •
• • •
•
Applications (Приложения). На этой вкладке отображаются выполняющиеся в данный момент пользовательские приложения. Здесь можно также запускать и завершать приложения. Processes (Процессы). На этой вкладке находится таблица с информацией о процессах, выполняющихся в системе в данный момент. Performance (Производительность). На этой вкладке находится графическое или табличное представление основных системных параметров в реальном времени. Networking (Сеть). На этой вкладке отображается входящий и исходящий сетевой трафик машины. Отображается график использования сети в виде процента от общей доступной пропускной способности сети для конкретного адаптера. Users (Пользователи). На этой вкладке отображаются пользователи, находящиеся в данный момент в системе.
Кроме вкладок, диспетчер задач по умолчанию содержит внизу окна строку состояния. Эта строка состояния, показанная на рис. 35.2, содержит количество выполняющихся процессов, процент использования ЦП и объем используемой в данный момент памяти. Как видите, диспетчер задач предоставляет в реальном времени большое количество ценной информации о производительности. Это средство особенно полезно для определения проблемных процессов или приложений и для получения общей картины работоспособности системы. Однако существуют и ограничения, не позволяющие применять этот полезный инструмент для длительного или хронологического анализа. Например, диспетчер задач не может сохранять собранную информацию о производительности; он может отслеживать только некоторые аспекты работоспособности системы, а отображаемая информация относится только к локальной машине. Даже только по этим причинам диспетчер задач не может быть одним из основных средств для целей планирования мощности (для оценки производительности с помощью диспетчера задач необходимо локально войти в систему или подключиться к ней с помощью терминальной службы).
1220
Устранение проблем, отладка и оптимизация ×àñòü X
Ðèñ. 35.1. Окно диспетчера задач после инициализации
Ðèñ. 35.2. Все процессы, выполняющиеся в системе
Ñåòåâîé ìîíèòîð Существуют две версии сетевого монитора, которые можно использовать для оценки сетевой производительности. Первая версия включена в состав Windows Server 2003, а другая является частью сервера управления системами. Обе они имеют один и тот же интерфейс, показанный на рис. 35.3, но версия, встроенная в операционную систему, является слегка усеченной по функциональности по сравнению с версией SMS.
Ðèñ. 35.3. Унифицированный интерфейс сетевого монитора
Анализ мощности и оптимизация производительности Ãëàâà 35
1221
Сетевой монитор, встроенный в Windows Server 2003, создан для мониторинга сетевой активности только локальных машин. Эта утилита создана с учетом задач безопасности, относящихся к возможности захвата и наблюдения трафика на удаленных машинах. Если бы версия операционной системы имела такую возможность, то любой пользователь с установленным сетевым монитором мог бы использовать его для получения несанкционированного доступа к системе. Поэтому данная версия захватывает только кадры, входящие и исходящие из локальной машины. Для установки сетевого монитора выполните перечисленные ниже шаги. 1. Запустите оснастку Add or Remove Programs (Установка и удаление программ), выбрав в меню Start (Пуск) пункт Control Panel (Панель управления). 2. В окне Add or Remove Programs щелкните на пиктограмме Add/Remove Windows Components (Установка и удаление компонентов Windows). 3. В мастере компонентов Windows (Windows Components Wizard) выберите вариант Management and Monitoring Tools (Средства управления и наблюдения), а затем щелкните на кнопке Details (Состав). 4. В окне Management and Monitoring Tools выберите строку Network Monitor Tools (Средства наблюдения сети) и щелкните на кнопке ОК. 5. Если появится требование дополнительных файлов, вставьте компакт-диск Windows Server 2003 или введите путь к инсталляционным файлам, расположенным в сети. 6. После установки найдите и запустите сетевой монитор, выбрав в меню Start пункт All ProgramsÖAdministration Tools (Все программыÖАдминистрирование). Как уже упоминалось, SMS-версия сетевого монитора является полной версией монитора, интегрированного в Windows Server 2003. Самое существенное различие между этими двумя версиями состоит в том, что SMS-версия может беспрепятственно работать через сеть (то есть она может наблюдать и захватывать сетевой трафик, входящий и исходящий из удаленных машин). Она также может обнаруживать маршрутизаторы в сети, обеспечивать разрешение имен в IP-адреса и производить общий мониторинг всего трафика, проходящего в сети. Поскольку SMS-версия сетевого монитора может захватывать и наблюдать весь сетевой трафик, она представляет собой потенциальную угрозу для безопасности. С ее помощью можно скомпрометировать любой незашифрованный сетевой трафик; поэтому крайне важно ограничить количество IT-персонала, имеющего необходимый доступ к этой утилите. Но SMS-версия сетевого монитора более подходит для целей анализа мощности, так как она достаточно удобна для наблюдения сетевого трафика из одного централизованного места. Она также позволяет в реальном времени отслеживать и захватывать данные для хронологического анализа. Однако для всех практических целей установка SMS только из-за возможностей сетевого монитора не имеет большого смысла, особенно учитывая, что можно приобрести более удобные сторонние утилиты.
Êîíñîëü ïðîèçâîäèòåëüíîñòè Многие IT-специалисты предпочитают работать с консолью производительности (Performance Console), поскольку она входит в состав операционной системы и позволяет захватывать и наблюдать каждый измеряемый системный объект Windows
1222
Устранение проблем, отладка и оптимизация ×àñòü X
Server 2003. Это средство является оснасткой консоли управления Microsoft (Microsoft Management Console — MMC), поэтому для его использования не нужен этап долгого ознакомления. Консоль производительности можно найти и запустить из группы Administrative Tools (Администрирование), доступной через меню Start. Консоль производительности, показанная на рис. 35.4, является наилучшей утилитой для анализа мощности, содержащейся в операционной системе. С помощью этой утилиты можно анализировать данные практически всех аспектов системы — и в реальном времени, и задним числом. Этот анализ данных можно просмотреть в виде диаграмм, отчетов и журналов. Данные в формате журнала можно сохранить для дальнейшего использования, чтобы можно было исследовать данные за отдельные короткие периоды времени.
Ðèñ. 35.4. Начальное окно консоли производительности Поскольку консоль производительности доступна всем, работающим с операционной системой, и она имеет множество встроенных функций, мы предполагаем, что вы будете использовать эту утилиту.
Ñðåäñòâà ñòîðîííèõ ðàçðàáîò÷èêîâ Несомненно, среди утилит сторонних разработчиков есть много замечательных средств для анализа мощности. Большинство из них предоставляют дополнительные функции, отсутствующие в консоли производительности Windows Server 2003, но они и дороже стоят. Можно попробовать поработать с некоторыми сторонними утилитами, чтобы лучше понять, какие дополнительные возможности они предоставляют по сравнению с консолью производительности. Вообще говоря, эти утилиты расширяют возможности консоли производительности: планирование выполнения, улучшенные возможности отчетов, гораздо лучшие возможности хранения данных, возможность мониторинга систем, отличных от Windows, и алгоритмы для последующего анализа трендов. Некоторые из этих сторонних средств перечислены в табл. 35.2.
Анализ мощности и оптимизация производительности Ãëàâà 35
1223
Òàáëèöà 35.2. Ñòîðîííèå ñðåäñòâà ïëàíèðîâàíèÿ ìîùíîñòè Название утилиты
Компания
Web-сайт
AppManager Suite
NetIQ Corporation
Openview
Hewlett-Packard
http://www.netiq.com/solutions/systems/ http://www.openview.hp.com/ http://www.bmc.com/ http://www.infosysman.com/ http://www.robomon.com/ http://www.ca.com/
PATROL
BMC Software
PerfMan
Information Systems
RoboMon
Heroix
Unicenter TNG
Computer Associates
Хотя большинство продуктов сторонних разработчиков вносят в процедуры анализа мощности дополнительные возможности, существуют аргументы и за, и против использования их вместо бесплатной консоли производительности. Наиболее очевидный аспект — стоимость приобретения программных лицензий для мониторинга предприятия, но есть и менее очевидные факторы: •
Большое количество администраторов, необходимых для поддержки продукта в процедурах анализа мощности.
•
Некоторые продукты сторонних разработчиков требуют специального обучения работе с ними. Это увеличивает необходимость обучения — либо у разработчика, либо на месте — просто для поддержки продукта.
Главное здесь — решить, что именно необходимо для выполнения адекватных и эффективных процедур анализа мощности в вашей среде. Вы можете решить, что вполне достаточно пользоваться консолью производительности, либо что ваша сетевая среда, в силу ее сложности, требует использования стороннего продукта, охватывающего все тонкие моменты.
Ìîíèòîðèíã ïðîèçâîäèòåëüíîñòè ñèñòåìû Анализ мощности не предназначен для сбора как можно большего количества информации; он нужен для сбора соответствующих индикаторов работоспособности системы и требуемого объема информации. Несомненно, с помощью счетчиков производительности можно захватывать и отслеживать огромные объемы информации. Имеется более 1000 счетчиков, поэтому необходимо тщательно выбирать объекты мониторинга. В противном случае можно собрать столько информации, что с этими данными будет трудно работать, и из них будет трудно сделать выводы. Учтите, что в отношении анализа мощности “больше” не обязательно значит “лучше”. Этот процесс больше связан с эффективностью. Поэтому необходимо максимально аккуратно настроить мониторинг анализа мощности в соответствии с конфигурацией сервера. Каждая система Windows Server 2003 имеет обычный набор ресурсов, влияющих на производительность, надежность, стабильность и доступность. По этой причине важно производить мониторинг этого обычного набора ресурсов. Обычный набор ресурсов составляют четыре ресурса: память, процессор, дисковая подсистема и сетевая подсистема. Они также являются наиболее распространенными поставщиками узких мест в производительности. Узкое место (bottleneck) можно опре-
1224
Устранение проблем, отладка и оптимизация ×àñòü X
делить двумя способами. Наиболее обычным представлением об узком месте является представление о нем, как о наиболее медленной части системы. Это может быть и оборудование, и программное обеспечение, но обычно оборудование работает быстрее, чем программы. Если ресурс перегружен или просто не предназначен для обработки высоких нагрузок, то система может снизить производительность. В любой системе самый медленный ее компонент по определению считается узким местом. Например, Web-сервер может быть оснащен мощным блоком оперативной памяти, дисковой памятью и высокоскоростной картой сетевого интерфейса (NIC), но если дисковая подсистема содержит старые, относительно медленные диски, то Webсервер может не справиться с эффективной обработкой запросов. Это узкое место (то есть ветхая дисковая подсистема) может снизить работоспособность других ресурсов. Менее распространенная, но столь же важная форма узкого места — это когда система имеет значительно больше ОЗУ, процессоров или других системных ресурсов, чем необходимо приложению. В подобных случаях система создает очень большие файлы подкачки, и ей приходится управлять очень большими наборами дисков или памяти, но не использовать эти ресурсы. Когда приложению понадобится обращение к памяти, процессорам или дискам, система может оказаться занятой управлением лишними ресурсами, создавая таким образом ненужное узкое место, вызванное наличием слишком большого количества ресурсов в системе. Значит, оптимизация производительности означает не только устранение таких вариантов, когда ресурсов слишком мало, но и таких вариантов, когда ресурсов в системе очень много. Кроме обычного набора ресурсов, на мониторинг нужных параметров могут влиять функции, выполняемые Windows Server 2003. Так, например, мониторинг определенных аспектов производительности системы на файловых серверах даст результаты, отличные от аналогичных результатов для контроллера домена (DC). Существует множество функциональных ролей (совместное использование файлов и принтеров, совместное использование приложений, функционирование баз данных, работа Webсервера, роли контроллеров доменов и т.п.), которые может обслуживать Windows Server 2003, и важно понимать все эти роли, присущие каждой серверной системе. Выявляя эти функции и отслеживая их вместе с обычным набором ресурсов, можно получить гораздо больший контроль и понимание системы. В последующих разделах приводится более глубокое обсуждение, какие конкретные счетчики необходимо отслеживать для различных компонентов, составляющих обычный набор ресурсов. Важно понимать, что есть и другие счетчики, которые должны быть учтены в дополнение к описанным в данной главе. Приведенный ниже материал следует рассматривать как базовую линию минимального количества счетчиков, при котором можно начать выполнение процедур анализа мощности и оптимизации производительности. Ниже в данной главе будут определены некоторые роли серверов и базовые линии мониторинга с помощью описания минимального количества отслеживаемых счетчиков.
Îñíîâíûå íàáëþäàåìûå ýëåìåíòû Основные элементы, с которых начинается анализ мощности и оптимизация производительности — это наиболее распространенные причины появления узких мест: память, процессор, дисковая подсистема и сетевая подсистема.
Анализ мощности и оптимизация производительности Ãëàâà 35
1225
Ìîíèòîðèíã ïàìÿòè ñèñòåìû Доступная системе память обычно является наиболее распространенным источником проблем, связанных с производительностью системы. Причина просто состоит в том, что в системах Windows Server 2003 обычно устанавливаются неправильные объемы памяти. По определению Windows Server 2003 стремится использовать большое количество памяти. К счастью, наиболее легким и экономичным способом разрешения проблем производительности является добавление в систему дополнительной памяти. Это может существенно увеличить производительность и надежность. При первом запуске консоли производительности в Windows Server 2003 начинается наблюдение трех счетчиков. Один из этих счетчиков является важным счетчиком, относящимся к памяти: Pages/sec (Страниц в секунду). Стандартная настройка консоли производительности показана на рис. 35.4. На ней видны три счетчика, наблюдаемые в реальном времени. Целью этих счетчиков является предоставление простого и быстрого способа получения базового представления о работоспособности системы. В объекте памяти имеется множество важных счетчиков, с помощью которых можно определить потребности системы в памяти. Большинство сетевых сред не требуют совместного наблюдения всех счетчиков для получения аккуратного представления о производительности. Для длительного наблюдения довольно аккуратную картину потребности в памяти могут дать два очень важных счетчика: Page Faults/sec (Страничных ошибок в секунду) и Pages/sec (Страниц в секунду). Используя только эти два счетчика памяти, можно понять, сконфигурирована ли система с нужным объемом памяти. Страничные ошибки возникают в системе, когда процесс требует код или данные, отсутствующие в его рабочем наборе (working set). Рабочий набор — это количество памяти, выделенное отдельному процессору. В этом случае процессу нужно выбрать код или данные из другой части физической памяти (это называется ошибкой программной страницы — soft fault) или, что хуже, из дисковой подсистемы (ошибкой страницы диска — hard fault). Современные системы могут обрабатывать большое количество ошибок программных страниц без существенного снижения производительности. Но поскольку ошибки страниц диска требуют доступа к дисковой подсистеме, они могут привести к значительному времени ожидания процесса, что может существенно снизить производительность. Разница между скоростью доступа к памяти и к дисковой подсистеме экспоненциальна даже для самых быстрых дисков. Счетчик Page Faults/sec сообщает и об ошибках программных страниц, и об ошибках страниц диска. Нередко можно увидеть, что этот счетчик показывает довольно значительные величины. В зависимости от загрузки системы этот счетчик может показывать до нескольких сотен ошибок в секунду. Если эта величина превышает несколько сотен страничных ошибок в секунду на протяжении длительного времени, необходимо начать просматривать другие счетчики памяти, чтобы обнаружить, где находится узкое место. Возможно, наиболее важным счетчиком памяти является счетчик Pages/sec. Он показывает количество страниц, прочитанных или записанных на диск, и, таким образом, напрямую представляет количество ошибок страниц диска, наблюдаемых в системе. Компания Microsoft рекомендует увеличить объем памяти, если в системе постоянно наблюдается в среднем более 5 страничных обменов в секунду. Реально за-
1226
Устранение проблем, отладка и оптимизация ×àñòü X
метное замедление производительности наблюдается, если это значение постоянно превышает 20. Поэтому важно внимательно следить за этим счетчиком при превышении им значения 10 страниц в секунду.
НА ЗАМЕТКУ Счетчик Pages/sec также очень важен при определении пробуксовки системы. Термин “пробуксовка” (thrashing) используется для описания ситуаций, когда в системе происходит более 100 страничных обменов в секунду. В системах Windows Server 2003 пробуксовка недопустима, поскольку зависимость от разрешения ошибок памяти дисковой подсистемой существенно влияет на то, насколько эффективно система может выдерживать нагрузку.
Àíàëèç èñïîëüçîâàíèÿ ïðîöåññîðà Если наблюдается заметное снижение производительности системы, чаще всего в первую очередь анализируется ресурс процессора. Для целей анализа мощности необходимо отслеживать два счетчика: % Processor Time (Процент процессорного времени) и Interrupts/sec (Прерываний в секунду). Счетчик % Processor Time отображает процент общего использования процессора. Если в системе установлено более одного процессора, то включается экземпляр для каждого из них, а также общий (комбинированный) счетчик. Если этот счетчик в течение длительного времени в среднем показывает 50% или более, то вначале нужно просмотреть другие системные счетчики, чтобы выявить все процессы, которые могут неправильно использовать процессоры, либо подумать о модернизации процессора или процессоров. Вообще-то постоянное использование процессора в диапазоне 50% не обязательно неблагоприятно влияет на обработку системой данных нагрузок. Когда среднее использование процессора превышает 65% или более, производительность может стать невыносимо низкой. Счетчик Interrupts/sec также является хорошим индикатором работоспособности процессора. Он показывает количество прерываний от устройств, которые процессор (управляемый либо аппаратно, либо программно) обрабатывает в секунду. Как и счетчик Page Faults/sec, упомянутый в разделе “Мониторинг памяти системы”, этот счетчик может показывать очень большие числа (тысячи) без существенного влияния на обработку системой ее нагрузки.
Îöåíêà äèñêîâîé ïîäñèñòåìû Двумя главными компонентами дисковой подсистемы являются приводы и контроллеры жестких дисков. Для мониторинга статистики жестких дисков в Windows Server 2003 имеются только объекты и счетчики консоли производительности. Но некоторые производители могут предлагать дополнительные счетчики, предназначенные для мониторинга их контроллеров жестких дисков. Два объекта, измеряющие производительность жестких дисков — это Physical Disk (Физический диск) и Logical Disk (Логический диск). В отличие от своего предшественника (Windows 2000), Windows Server 2003 автоматически включает по умолчанию объекты дисков при запуске системы. Хотя компоненты дисковых подсистем становятся все более и более мощными, все же именно они часто являются узкими местами, поскольку их скорость на порядки меньше скоростей других ресурсов. Однако в зависимости от конфигурации системы последствия этого могут быть минимальными или вовсе незаметными.
Анализ мощности и оптимизация производительности Ãëàâà 35
1227
Мониторинг с помощью объектов Physical Disk и Logical Disk обходится довольнотаки дешево. Каждый объект требует небольших затрат ресурсов при его использовании для мониторинга. Но если они не нужны для мониторинга, следует держать их отключенными. Процедуры активизации и отключения объектов дисковой подсистемы в Windows Server 2003 достаточно просты. Для отключения объектов дисков введите команду diskperf –n. Чтобы затем их активизировать, воспользуйтесь командой diskperf –y либо diskperf –y \\mycomputer для включения их на удаленных машинах, работающих не под Windows Server 2003. Windows Server 2003 также предоставляет больше возможностей, когда необходима отдельная активизация или отключение каждого объекта. Для указания, какой объект нужно включить или выключить, используйте параметры d (для объекта Physical Disk) и v (для объекта Logical Disk). Для сведения системных издержек к минимуму отключайте счетчики дисковой производительности, если их мониторинг в ближайшем будущем не планируется. Однако для целей анализа мощности важно постоянное наблюдение системы и постоянное информирование об изменениях в тенденциях использования ресурсов. Единственным способом выполнения этого является постоянная активность этих счетчиков. Итак, какие конкретные счетчики дисковой подсистемы следует наблюдать? Наиболее информативными счетчиками для дисковой подсистемы являются счетчики % Disk Time (Процент времени работы дисков) и Avg. Disk Queue Length (Средняя длина очереди к дискам). Счетчик % Disk Time отражает время, которое тратит выбранный физический или логический привод на обслуживание запросов чтения/записи. Значение Avg. Disk Queue Length является средним значением за промежуток времени; это математическое представление количества ожиданий доступа к приводу. Если количество ожиданий часто превышает 2, то диски не справляются с обслуживанием нагрузки, и могут наблюдаться задержки в производительности.
Ìîíèòîðèíã ñåòåâîé ïîäñèñòåìû Сетевая подсистема, из-за наличия множества различных переменных, является одной из значительно более трудных для мониторинга подсистем. Количество используемых в сети протоколов, карты сетевого интерфейса, сетевые приложения, топологии, строение подсетей и многое другое играют важную роль в сети, но они также увеличивают ее сложность при попытках определения узких мест. Каждая сетевая среда имеет различные переменные, поэтому счетчики, которые необходимо отслеживать, будут разными. Информация, которую нужно получить с помощью мониторинга сети, связана с активностью сети и ее пропускной способностью. Эту информацию можно получить и с помощью одной консоли производительности, но это будет в лучшем случае трудно. Вместо этого лучше применять другие средства, например, сетевой монитор в сочетании с консолью производительности, чтобы получить наилучшее представление о сетевой производительности. Для облегчения усилий по мониторингу и анализу можно также обдумать использование сторонних средств анализа сетей наподобие сетевых анализаторов пакетов (sniffer — “снифферов”). Совместное использование этих средств может расширить область мониторинга и дать более адекватную картину происходящих в линиях процессов.
1228
Устранение проблем, отладка и оптимизация ×àñòü X
Поскольку TCP/IP является набором протоколов, на которых основана работа сетевой подсистемы Windows Server 2003, данное обсуждение анализа мощности сконцентрировано на этом протоколе. Счетчики TCP/IP добавляются (по умолчанию) после установки протокола. Существует несколько различных объектов сетевой производительности, относящихся к протоколу TCP/IP: ICMP, IPv4, IPv6, Network Interface, TCPv4, UDPv6 и другие. Другие счетчики, подобные FTP-серверу и WINS-серверу, добавляются после установки этих служб. Поскольку оптимизации TCP/IP посвящены целые книги, этот раздел посвящается лишь нескольким важным счетчикам, которые необходимо отслеживать для целей анализа мощности. Вначале следует рассмотреть счетчики ошибок Network Interface (Сетевой интерфейс): Packets Received Errors (Ошибок в принятых пакетах) и Packets Outbound Errors (Ошибок в отправленных пакетах) — очень полезные для определения, насколько легко трафик проходит по сети. Большее количество ошибок означает большее количество пакетов, порождающих более интенсивный сетевой трафик. При наличии большого количества ошибок в сети ее пропускная способность снижается. Причиной этому могут быть плохие NIC, ненадежные каналы и так далее. Если пропускная способность в сети снижается из-за интенсивного трафика, необходимо внимательно наблюдать за трафиком, генерируемым сетевыми службами, перечисленными в табл. 35.3.
Òàáëèöà 35.3. Ñ÷åò÷èêè ñåòåâûõ ñëóæá äëÿ ìîíèòîðèíãà ñåòåâîãî òðàôèêà Счетчик
Описание
NBT Connection: Bytes Total/sec (Соединение NBT: Всего байт в секунду)
Отслеживает сетевой трафик, генерируемый соединениями NBT.
Redirector: Bytes Total/sec (Перенаправление: Всего байт в секунду)
Обрабатывает количество полученных байтов данных для статистических расчетов.
Server: Bytes Total/sec (Сервер: Всего байт в секунду)
Отслеживает сетевой трафик, генерируемый службой сервера.
Îïòèìèçàöèÿ ïðîèçâîäèòåëüíîñòè â çàâèñèìîñòè îò ðîëåé ñåðâåðà Кроме мониторинга обычного набора узких мест (память, процессор, дисковая подсистема и сетевая подсистема), функциональные роли сервера добавляют и другие счетчики, требующие отслеживания. В последующих разделах кратко описываются некоторые из наиболее часто встречающихся ролей для Windows Server 2003, которые также требуют использования дополнительных счетчиков производительности.
Ñåðâåð òåðìèíàëüíûõ ñëóæá Терминальный сервер имеет свои собственные объекты производительности для консоли производительности: Terminal Services Session (Сеанс терминальной службы) и Terminal Services (Терминальные службы). Он предоставляет статистику по ресур-
Анализ мощности и оптимизация производительности Ãëàâà 35
1229
сам наподобие количества ошибок, активности кэша, сетевого трафика с терминального сервера и другой активности, связанной с сеансом. Многие из этих счетчиков похожи на присутствующие в объекте Process. Вот некоторые примеры: % Privileged Time (% привилегированного времени), % Processor Time (% процессорного времени), % User Time (% пользовательского времени), Working Set (Рабочий набор), Working Set Peak (Пик рабочего набора) и так далее.
НА ЗАМЕТКУ Более подробную информацию о терминальных службах можно найти в главе 27.
Три важных области, которые обязательно должны отслеживаться при анализе мощности терминального сервера — это память, процессор и процессы приложений для каждого сеанса. Процессы приложений отслеживать и контролировать труднее всего, из-за существенных различий в поведении программ. Например, все приложения могут быть 32-разрядными, но некоторые из них могут быть не сертифицированы для работы в Windows Server 2003. В терминальной службе могут также выполняться самодельные приложения, плохо спроектированные или слишком интенсивно использующие ресурсы для выполнения своих функций.
Êîíòðîëëåðû äîìåíîâ Контроллер домена (DC) Windows Server 2003 содержит Active Directory (AD) и может содержать дополнительные роли, например, отвечать за одну или более перемещаемых ролей с одним мастером (Flexible Single Master Operations — FSMO) (мастер схемы, мастер именования домена, мастер RID, эмулятор PDC или мастер инфраструктуры) или сервер глобального каталога (GC). Кроме того, в зависимости от размера и структуры системы DC может обслуживать множество других функциональных ролей. В данном разделе будет рассмотрен мониторинг AD, репликации и DNS.
Ìîíèòîðèíã AD Служба Active Directory является основой систем Windows Server 2003. Она используется для выполнения многих различных функций, в частности, аутентификации, авторизации, шифрования и групповых политик. Поскольку в сетевой среде Windows Server 2003 AD играет центральную роль, она должна выполнять свои функции максимально эффективно. Более подробная информация об AD Windows Server 2003 находится в главе 4. Можно оптимизировать каждую функцию Active Directory, но в данном разделе будут рассмотрены объекты NTDS и Database. Объект NTDS предоставляет различные индикаторы и статистики производительности AD, полезные для определения мощности загрузки AD. Многие из этих счетчиков можно использовать для определения текущих загрузок и влияния этих загрузок на другие ресурсы системы. В этом объекте относительно немного счетчиков, поэтому рекомендуется включать мониторинг всех их в дополнение к общему набору объектов узких мест. Комбинируя эти счетчики, можно определить, слишком ли загружена система. Другим объектом производительности, который нужно использовать для мониторинга AD, является объект Database. По умолчанию этот объект не установлен, поэтому его потребуется добавить вручную, чтобы начать собирать больше информации об AD.
1230
Устранение проблем, отладка и оптимизация ×àñòü X
Для загрузки объекта Database выполните следующие шаги: 1. Скопируйте DLL-библиотеку производительности (esentprf.dll), находящуюся в каталоге %SystemRoot%\System32, в любой каталог (например, c:\esent). 2. Запустите редактор реестра (Regedt32.exe). 3. Создайте ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ESENT 4. Создайте ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ESENT\Performance 5. Создайте подключ ESENT\Performance. 6. Создайте значение Open с типом данных REG_SZ и строкой OpenPerformanceData. 7. Создайте значение Collect с типом данных REG_SZ и строкой OpenPerformanceData. 8. Создайте значение Close с типом данных REG_SZ и строкой OpenPerformanceData. 9. Создайте значение Library с типом данных REG_SZ и строкой c:\esent\esentprf.dll. 10. Выйдите из редактора реестра. 11. Откройте командное окно и войдите в каталог %SystemRoot%\System32. 12. В командной строке запустите команду Lodctr.exe Esentprf.ini. После завершения установки объекта Database можно запустить консоль производительности и использовать этот объект для мониторинга AD. Некоторые счетчики, содержащиеся в объекте Database и относящиеся к мониторингу AD, описаны в табл. 35.4.
Òàáëèöà 35.4. Ñ÷åò÷èêè ïðîèçâîäèòåëüíîñòè AD Счетчик
Описание
Database Cache % Hit (% обращений к кэшу базы данных)
% запросов страниц файла базы данных, обработанных кэшем базы данных без выполнения файловых операций. Если этот процент низок (85% или ниже), то стоит подумать над увеличением объема памяти.
Database Cache Page Fault Stalls/sec (Простоев при страничных ошибках кэша базы данных в секунду)
Количество страничных ошибок в секунду, которые было невозможно обслужить, так как в кэше базы данных не было страниц, доступных для выделения. В системах с верным объемом памяти это количество должно быть низким.
Database Cache Page Faults/sec (Страничных ошибок кэша базы данных в секунду)
Количество запросов страниц в секунду для файла базы данных, при которых диспетчер кэша базы данных выделял из кэша новую страницу.
Database Cache Size (Размер кэша базы данных)
Объем системной памяти, используемой диспетчером кэша базы данных для хранения наиболее используемой информации базы данных с целью предотвращения файловых операций.
Ìîíèòîðèíã DNS Система доменных имен (DNS) была главным механизмом разрешения имен в Windows 2000 и продолжает оставаться таковой в Windows Server 2003. Более подробная информация о DNS находится в главе 9. В Windows Server 2003 доступно множест-
Анализ мощности и оптимизация производительности Ãëàâà 35
1231
во счетчиков, предназначенных для мониторинга различных аспектов DNS. Наиболее важными категориями для анализа мощности являются время и нагрузка отклика разрешения, а также производительность репликации. Счетчики, перечисленные в табл. 35.5, используются для расчета трафика запросов имен и нагрузки, обслуживаемой DNS-сервером. Эти счетчики необходимо отслеживать вместе с общим набором узких мест для определения работоспособности системы при различных нагрузках. Если пользователи замечают замедление откликов, то можно сравнить рост использования количества запросов с информацией производительности из счетчиков памяти, процессора, дисковой подсистемы и сетевой подсистемы.
Òàáëèöà 35.5. Ñ÷åò÷èêè äëÿ ìîíèòîðèíãà DNS Счетчик
Описание
Dynamic Update Received/Sec (Принято динамических обновлений в с.)
Среднее количество запросов динамических обновлений, принимаемых DNS-сервером, в секунду.
Recursive Queries/Sec (Рекурсивных запросов в секунду)
Среднее количество рекурсивных запросов, принимаемых DNS-сервером, в секунду.
Recursive Query Failure/Sec (Отказов рекурсивных запросов в секунду)
Среднее количество отказов рекурсивных запросов в секунду.
Secure Update Received/Sec (Принято защищенных обновлений в секунду)
Среднее количество запросов защищенных динамических обновлений, принимаемых DNSсервером, в секунду.
TCP Query Received/Sec (Принято TCP-запросов в секунду)
Среднее количество TCP-запросов, принимаемых DNS-сервером, в секунду.
TCP Response Sent/Sec (Послано TCP-ответов в секунду)
Среднее количество TCP-ответов, посылаемых DNS-сервером, в секунду.
Total Query Received/Sec (Всего принято запросов в секунду)
Среднее количество запросов, принимаемых DNSсервером, в секунду.
Total Response Sent/Sec (Всего послано ответов в секунду)
Среднее количество ответов, посылаемых DNSсервером, в секунду.
UDP Query Received/Sec (Принято UDP-запросов в секунду)
Среднее количество UDP-запросов, принимаемых DNS-сервером, в секунду.
UDP Response Sent/Sec (Послано UDP-ответов в секунду)
Среднее количество UDP-ответов, посылаемых DNS-сервером, в секунду.
Сравнение результатов с другими DNS-серверами среды может также помочь определить, нужно ли переложить некоторую часть обработки запросов имен на другие, менее загруженные, DNS-серверы. Еще один важный аспект DNS — производительность репликации. Windows Server 2003 поддерживает старую репликацию DNS, известную под названием переноса зон, которая копирует информацию с первичного DNS на все вторичные серверы. Существует два типа старой репликации DNS: инкрементальная (распространяются только изменения, чтобы не загружать пропускную способность) и полная (весь файл зоны реплицируется на вторичные серверы). Полные переносы зон (AXFR) происходят при первоначальных переносах, а затем выполняются инкрементальные переносы зон (IXFR). Счетчики производительности
1232
Устранение проблем, отладка и оптимизация ×àñòü X
и для AXFR, и для IXFR (табл. 35.6) измеряют и запросы, и успешные переносы. Важно отметить, что если в сетевой среде DNS сосуществует с не-Windows системами, рекомендуется, чтобы эти системы поддерживали IXFR.
Òàáëèöà 35.6. Ñ÷åò÷èêè ïåðåñûëêè çîí DNS Счетчик
Описание
AXFR Request Received (Принято запросов AXFR)
Общее количество запросов на полный перенос зоны, полученных службой DNS-сервера при работе в качестве главного сервера зоны.
AXFR Request Sent (Послано запросов AXFR)
Общее количество запросов на полный перенос зоны, отправленных службой DNS-сервера при работе в качестве вторичного сервера зоны.
AXFR Response Received (Принято ответов AXFR)
Общее количество запросов на полный перенос зоны, полученных службой DNS-сервера при работе в качестве вторичного сервера зоны.
AXFR Success Received (Принято успешных AXFR)
Общее количество полных переносов зон, полученных службой DNS-сервера при работе в качестве вторичного сервера зоны.
AXFR Success Sent (Послано успешных AXFR)
Общее количество полных переносов зон, успешно посланных службой DNS-сервера при работе в качестве главного сервера зоны.
IXFR Request Received (Принято запросов IXFR)
Общее количество запросов на инкрементальный перенос зоны, полученных главным DNS-сервером.
IXFR Request Sent (Послано запросов IXFR)
Общее количество запросов на инкрементальный перенос зоны, посланных вторичным DNS-сервером.
IXFR Response Received (Принято ответов IXFR)
Общее количество ответов на инкрементальный перенос зоны, полученных вторичным DNS-сервером.
IXFR Success Received (Принято успешных IXFR)
Общее количество успешных инкрементальных переносов зон, полученных вторичным DNS-сервером.
IXFR Success Sent (Послано успешных IXFR)
Общее количество успешных инкрементальных переносов зон, посланных главным DNS-сервером.
Если сетевая среда полностью интегрирована с Active Directory, то все счетчики, перечисленные в табл. 35.6, будут нулевыми.
Ìîíèòîðèíã ðåïëèêàöèè AD Измерение производительности репликации AD является сложным процессом в силу наличия многих переменных, связанных с репликацией. Это, в частности, следующие переменные: •
Сравнение внутрисайтовой и межсайтовой репликации.
•
Используемое сжатие (если применяется).
•
Доступная пропускная способность.
•
Сравнение входящего и исходящего трафика репликации.
К счастью, счетчики производительности имеются для каждого возможного сценария репликации AD. Эти счетчики находятся в объекте NTDS и имеют префикс
Анализ мощности и оптимизация производительности Ãëàâà 35
1233
первичного процесса, ответственного за репликацию AD — агента репликации каталогов (Directory Replication Agent — DRA). Следовательно, для мониторинга репликации AD потребуется отслеживать счетчики с именами, начинающимися на DRA.
Èñïîëüçîâàíèå äèñïåò÷åðà ñèñòåìíûõ ðåñóðñîâ Windows Диспетчер системных ресурсов Windows (Windows System Resource Manager — WSRM) — средство, входящее в состав версий Windows Server 2003 Enterprise или Datacenter — позволяет администраторам получить дополнительный контроль над приложениями и процессами. Точнее, WSRM можно применять для контроля над использованием приложением или процессом процессора и памяти, а также родственности процессов. Можно создать политики, устанавливающие ограничения или максимальные значения для приложений и процессов. Например, можно настроить политику, позволяющую процессу A использовать только 10% мощности процессора в определенные промежутки времени или же все время. Такое планирование управляется встроенной календарной функцией. Утилита WSRM, окно которой показано на рис. 35.5, предлагает интуитивный способ получения контроля над системой и оптимизации производительности приложений и всей системы. Для управления всеми службами, которые могут выполняться в системе и связаны с системой, автоматически устанавливается стандартная политика. Можно также создать специальные политики для конкретных приложений.
Ðèñ. 35.5. Интерфейс WSRM Одним из наиболее значительных свойств WSRM является возможность управления с ее помощью приложениями, выполняющимися из терминальных служб. С помощью WSRM можно пресекать сеансы потенциально злоумышленных пользователей, прежде чем соответствующее приложение захватит большинство ресурсов сервера или даже блокирует другие сеансы. Когда приложение или процесс начинает выходить за рамки выделенных ему ресурсов (указанных в политике WSRM), служба WSRM пытается ввести использование ресурса процессом в заданный целевой диапазон.
1234
Устранение проблем, отладка и оптимизация ×àñòü X
Óïðàâëåíèå èñïðàâëåíèÿìè Компания Microsoft применяет предупредительный подход при поддержании надежности и доступности Windows Server 2003, принимая меры, помогающие быть в курсе и применять самые последние пакеты обновлений и оперативные исправления. Любой, кто занимается администрированием систем на базе Windows, видимо, понимает важность применения последних модернизаций системы — исправлений ошибок, модернизаций производительности и исправлений безопасности. Пакеты обновлений (service pack) и обновления (update) предназначены для обеспечения оптимальной производительности, надежности и стабильности. Обновления — это отдельные исправления, а пакеты обновлений объединяют множество таких обновлений в единый комплекс модернизации. Сами пакеты обновлений не содержат новых возможностей. В них присутствуют только основные усовершенствования и исправления ошибок. Все это составляет более надежный, более устойчивый пакет обновлений, который с большей вероятностью предотвратит потерю надежности и доступности. Пакеты обновлений обладают также следующими преимуществами: •
Они могут определять текущий уровень шифрования и поддерживать эту версию (например, 56-битную или 128-битную).
•
Их не нужно применять повторно после установки компонентов или служб системы.
Обновления являются реакцией Microsoft на необходимость быстрого выпуска надежных исправлений. Они удобны тем, что для исправления проблемы нет необходимости ожидать выхода следующего пакета обновлений. Обновления часто направлены на решение одной проблемы. В настоящее время они содержат встроенные проверки целостности, обеспечивающие, что обновление не будет применено к более старой версии, нежели существующая. Оперативные исправления можно выполнять в командной строке с помощью утилиты hotfix.exe.
Àâòîìàòèçàöèÿ óïðàâëåíèÿ èñïðàâëåíèÿìè Для сетевой среды Windows Server 2003 существуют различные решения автоматизации исправлений. Все они нацелены на отслеживание появления самых последних пакетов обновлений и индивидуальных обновлений без больших административных затрат. Компания Microsoft предлагает два таких решения. Первое их них — Windows Update со службой автоматического обновления (Automatic Updates), а другое — служба обновлений программ (Software Update Services), описанная ниже. Windows Update (Обновление Windows) является Web-службой с элементами управления ActiveX, которая сканирует систему и определяет, доступны ли какие-либо исправления, критические обновления или обновления продуктов, и нужно ли их устанавливать. Она предоставляет удобный и легкий способ поддержания актуальности системы. Однако ее отрицательной стороной является то, что все равно необходимо заходить на Web-сайт обновлений Windows (http://windowsupdate.microsoft.com/) и выбирать компоненты для загрузки и установки. Более того, этот процесс затрудняет управление и выбор, какие обновления можно безопасно применять к клиентам и серверам.
Анализ мощности и оптимизация производительности Ãëàâà 35
1235
Àâòîìàòè÷åñêîå îáíîâëåíèå Windows Как вы, возможно, уже понимаете, метод автоматического обновления Windows за счет отслеживания пакетов обновлений, оперативных исправлений и других различных обновлений является хорошим подспорьем для сетевых сред Windows, однако с автоматизацией исправлений дело обстоит не так. Пользователи или администраторы все равно должны следить за каждой системой и загружать соответствующие компоненты. С этим методом связан и ряд других ограничений, например, он не позволяет сохранять обновления на диске для более поздней их установки, нет механизмов распространения обновлений на другие системы, и не существует административный контроль над тем, какие обновления уже применены к системам Windows во всей инфраструктуре сети организации. Служба обновлений программного обеспечения Windows (Software Update Services) является логическим расширением Windows Update, которое решает проблему автоматизации и обеспечивает максимально высокий уровень контроля для IT-персонала организации. Это средство создано специально для управления и распространения обновлений Windows в среде AD на системах Windows 2000 и выше. Служба обновления программного обеспечения состоит из сервера Windows Server 2003, предпочтительно расположенного в демилитаризованной зоне (DMZ), и агента или службы на стороне клиента. В заранее запланированные моменты времени сервер обновлений получает обновления непосредственно с общедоступного Web-сайта обновлений Windows и сохраняет их на диске. Затем администраторы могут протестировать обновления, прежде чем позволить им распространяться по сети. Путь, из которого берется обновление, зависит от того, как настроен сервер обновлений программного обеспечения Windows. Пакеты обновлений и индивидуальные обновления после их одобрения могут рассылаться в заранее заданные моменты времени через объекты групповых политик (GPO) на клиентские и серверные системы, системы могут самостоятельно загрузить обновления из intranet-сети либо обновления можно распространить на другие серверы, которые в конце концов разошлют их по сети всем системам. Последний вариант очень удобен для больших компаний или организаций, поскольку он распределяет нагрузку, к тому же за рассылку обновлений на все системы отвечает не один сервер. Другие преимущества использования службы обновления программ вытекают из следующих возможностей управления: •
Службой обновления программ можно управлять через Web-интерфейс с помощью браузера Internet Explorer 5.5 или выше.
•
Синхронизация со службой обновления программного обеспечения и процесс одобрения содержимого подвержен аудиту и регистрации в журнале.
•
Ведется статистика загрузок и установок обновлений.
CОВЕТ Если необходим еще более тонкий контроль над автоматизацией управления исправлениями (например, улучшенные возможности составления отчетов), рассмотрите возможность применения сервера управления системами (Systems Management Server) или продуктов от сторонних разработчиков.
1236
Устранение проблем, отладка и оптимизация ×àñòü X
Ðåçþìå Хотя можно легко завязнуть в повседневных задачах администрирования и аварийных задачах, все же важно отступить чуть-чуть назад и начать процессы и процедуры анализа мощности и оптимизации производительности. Эти процессы и процедуры могут минимизировать сложность среды, помочь обрести контроль над средой и оценить предстоящие требования ресурсов.
Ïîëåçíûå ñîâåòû •
Потратьте некоторое время на выполнение анализа мощности, чтобы сэкономить время на устранение неполадок и решение аварийных задач.
•
Используйте процессы анализа мощности, чтобы отсеять неизвестные параметры.
•
Создайте в системе политики и процедуры, чтобы начать предупредительное управление системой.
•
После создания в системе политик и процедур начните определение характеристик загрузок систем.
•
Используйте метрики производительности и другие переменные, такие как характеристика нагрузки, требования или рекомендации производителей, промышленные замеры производительности и статистические данные, для создания базовых линий.
•
Используйте результаты контрольных замеров только в качестве общего руководства или отправной точки.
•
Используйте диспетчер задач для быстрой оценки производительности.
•
Используйте журналы и оповещения производительности для регулярного захвата данных о производительности.
•
Подумайте, использовать ли диспетчер операций Microsoft или сторонние продукты для проведения мониторинга производительности, анализа мощности и данных и составления отчетов.
•
Тщательно выбирайте отслеживаемые параметры, чтобы информация не оказалась громоздкой.
•
Как минимум, выполняйте мониторинг наиболее распространенных источников появления узких мест производительности: памяти, процессора, дисковой подсистемы и сетевой подсистемы.
•
Выявляйте и отслеживайте функции и роли сервера наряду с общим набором ресурсов.
•
Исследуйте счетчики ошибок, связанных с сетью.
•
Автоматизируйте процесс и процедуры управления исправлениями с помощью службы обновления программного обеспечения, сервера управления системами или какого-то продукта от сторонних разработчиков.
Èíòåãðèðîâàííûå ñëóæáû ïðèëîæåíèé Windows
 ÝÒÎÉ ×ÀÑÒÈ... 36. Ñëóæáà Windows SharePoint 37. Ñëóæáà Windows Media
×ÀÑÒÜ
XI
Служба Windows SharePoint Ãëàâà 36
Ñëóæáà Windows SharePoint
 ÝÒÎÉ ÃËÀÂÅ... •
Èñòîðèÿ òåõíîëîãèé SharePoint
•
Îïðåäåëåíèå íåîáõîäèìîñòè â ñëóæáå Windows SharePoint
•
Èíñòàëëÿöèÿ ñëóæáû Windows SharePoint
•
Îñíîâíûå âîçìîæíîñòè ñëóæáû Windows SharePoint
•
Âîçìîæíîñòè êîíå÷íîãî ïîëüçîâàòåëÿ â WSS
•
Íàñòðîéêà è ðàçðàáîòêà WSS-ñàéòîâ
ÃËÀÂÀ
1239
36
1240
Интегрированные службы приложений Windows ×àñòü XI
Windows Server 2003 уже зарекомендовала себя как мощная надежная операционная система с большим набором возможностей. Встроенные средства и службы предоставляют различные функции, превосходящие все другие продукты и предыдущие версии Windows. В дополнение к этим возможностям Windows Server 2003 содержит также поддержку и лицензирование дополнительных служб, которые можно свободно загружать, инсталлировать и сопровождать. Одним из таких средств является служба Windows SharePoint Services (WSS). В новой версии технологии SharePoint компания Microsoft реализовала то, что она считает платформой следующего поколения для совместного использования файлов и совместной работы. В настоящее время существует много путаницы о том, что же в точности представляет собой SharePoint. Эта путаница возникает из-за того, что технология SharePoint состоит из двух различных продуктов — службы Windows SharePoint, о которой пойдет речь в данной главе, и отдельного приложения SharePoint Portal Server. Данная глава посвящена эффективному использованию службы Windows SharePoint Services для расширения функциональности Windows Server 2003. Здесь описаны история и возможности WSS, а также объясняются общая структура и опции инсталляции. Кроме того, описываются и объясняются основные отличия между WSS и полным продуктом Portal — SharePoint Portal Server 2003. Описана инсталляция WSS и продемонстрированы ее основные функции.
Èñòîðèÿ òåõíîëîãèé SharePoint Служба Windows SharePoint Services имеет довольно сложную историю. Многочисленные попытки смены торговой марки приложения и его объединения с другими программами Microsoft еще более запутали и администраторов, и пользователей. Следовательно, нужно как следует разобраться, что такое WSS и как она устроена.
Ïðåäøåñòâåííèê WSS: ñëóæáà áðèãàäíîé ðàáîòû SharePoint В конце 1999 года в качестве первого шага своей стратегии управления знаниями Microsoft опубликовала концепцию цифровой инструментальной панели и выпустила стартовый набор цифровой инструментальной панели (Digital Dashboard Starter Kit), мастер бригадных папок Outlook 2000 (Outlook 2000 Team Folder Wizard) и обновление бригадной производительности (Team Productivity Update) для BackOffice 4.5. Эти продукты использовали существующие технологии Microsoft, и поэтому пользователи и разработчики могли разрабатывать решения, не покупая дополнительных продуктов. Эти инструменты и разработанные решения, которые использовали их, и сформировали базис, известный как бригадная служба SharePoint (SharePoint Team Services) — предшественник Windows SharePoint Services. После выпуска Office XP бригадную службу SharePoint стали продвигать на передний план в качестве средства будущего, с помощью которого работники не из числа IT-персонала могли легко создавать Web-сайты для совместной бригадной работы и совместного использования информации. Бригадная служба, входящая в Office XP, появилась в виде серверных расширений Office (Office Server Extensions) и серверных
Служба Windows SharePoint Ãëàâà 36
1241
расширений FrontPage (FrontPage Server Extensions). Первоначальные серверные расширения были построены на основе сервера и обеспечивали пустую стандартную Web-страницу. Следующее поколение серверных расширений содержало средство авторской разработки Web-страниц — FrontPage. Бригадная служба была продуктом серверного расширения третьего поколения, и с ее помощью можно было создавать замечательные Web-сайты.
Ïåðâîíà÷àëüíûé ñåðâåð ïîðòàëîâ SharePoint Продукт WSS невозможно полностью понять, не разобравшись в сопутствующем ему продукте — серверу порталов SharePoint (SharePoint Portal Server — SPS). Сервер порталов SharePoint еще более расширяет возможности WSS, позволяя создавать платформы порталов предприятий. Хотя пути этих двух продуктов объединись, первоначальные версии SPS вначале отличались от первоначальных версий WSS. В 2001 году Microsoft выпустила сервер порталов SharePoint Portal Server 2001. Его целью было предоставление настраиваемой среды портала, предназначенной для совместной работы, управления документами и совместного использования знаний. Этот продукт содержал технологию “цифровой инструментальной панели” Digital Dashboard, обеспечивающую следующее замечательное решение. SharePoint Portal был продуктом, который смог объединить Web-сайты, возникающие при бригадной работе. Первоначальный продукт Microsoft SharePoint Portal содержал систему управления документами, обеспечивающую возможности входной и выходной регистрации документов, а также контроль версий и прохождения утверждения. Эти возможности отсутствовали в бригадной службе SharePoint. SharePoint Portal содержал также возможность поиска не только в библиотеках документов, но и во внешних источниках: в других Web-сайтах и общедоступных папках Exchange. Поскольку большая часть информации, доступ к которой обеспечивался порталом, была не структурирована, то для хранения данных была выбрана система Web Storage System (Система Web-хранилищ) — в отличие от более структурированных продуктов баз данных наподобие SQL, которая использовалась в бригадной службе SharePoint. Получилось так, что Web Storage System является той же самой технологией, что и используемая в Microsoft Exchange. Однако последующие реализации SharePoint, как и WSS, используют базу данных SQL.
Îòëè÷èÿ ìåæäó ïðîäóêòàìè SharePoint Поскольку пользователям Office XP/Frontpage не нужно было доплачивать за бригадную службу SharePoint, то многие организации решали воспользоваться этой “бесплатной” технологией, чтобы поэкспериментировать с использованием порталов. Простота бригадной службы облегчала ее инсталляцию и начало работы с ней. Хотя ее функциональность была не такой устойчивой, как полное решение сервера порталов SharePoint, те, кто работали со знаниями, оценили преимущества совместной работы всех членов команды. Адаптация сервера порталов SharePoint происходила медленно. В условиях жесткой экономии организации еще не были готовы вкладывать средства в совершено новый способ сотрудничества, даже если он и обеспечивал эффективность работы.
1242
Интегрированные службы приложений Windows ×àñòü XI
Кроме того, интерфейс SharePoint Portal не был интуитивным и последовательным, что затрудняло его использование. Наличие двух отдельных продуктов с похожими названиями вносило путаницу. Часто говорили просто о “SharePoint”, и не было понятно, идет ли речь о SharePoint Portal, или о бригадной службе SharePoint, или об обеих этих технологиях. Даже при упоминании полного названия приложения все равно существовала путаница в отношении отличий между этими двумя продуктами и при определении, какой из них лучше использовать в конкретных ситуациях. Многие удивлялись, почему в бригадной службе SharePoint для хранения информации применяется механизм хранения данных SQL, а в сервере порталов SharePoint используется система Web-хранилищ. Было понятно, что в управлении развитием продукта нет четкой стратегии.
Ñîâðåìåííîå íàïðàâëåíèå òåõíîëîãèè SharePoint â Microsoft В компании Microsoft внимательно присмотрелись к происходящему с точки зрения реалий рынка и использовали эту информацию для создания своей технологии SharePoint. В компании Microsoft считают, что в современном мире оперативных технологий и сотрудничества людям нужны разные подходы к своей работе. И основной целью стала разработка набора продуктов для лучшего управления их совместной работы. Кроме анализа сотрудничества в Microsoft также был произведен анализ, что произошло с ее продуктами SharePoint. В результате этого Microsoft модифицировала стратегию управления знаниями и совместной работы. В Microsoft начали говорить о “технологии SharePoint”, с ударением на встраивание этой технологии в среду .NET и, следовательно, о встроенной поддержке Web-служб на базе XML. В версии продуктов SharePoint, выпущенной в 2003 году, Microsoft разработала службу Windows SharePoint в качестве движка для среды совместной бригадной работы. Служба Windows SharePoint (Windows SharePoint Services) пришла на смену бригадной службе SharePoint (SharePoint Team Services) и включает в себя много новых и улучшенных возможностей, некоторые из которых раньше входили в сервер порталов SharePoint Portal Server. Кроме того, в это же время служба Windows SharePoint была включена в виде необязательного компонента в операционную систему Windows Server 2003. Сервер порталов SharePoint продолжает оставаться отдельным серверным продуктом. Он основан на технологии службы Windows SharePoint и остается решением уровня предприятия для объединения внутренних и внешних источников информации. Сервер порталов SharePoint позволяет производить поиск в нескольких сайтах и обеспечивает интеграцию бизнес-приложений в портал. Последняя версия SharePoint более тесно интегрирована с Microsoft Office 2003, облегчая пользователям персонализацию своей работы. Например, пользователи могут создавать рабочие пространства встреч и документов непосредственно из продуктов Office 2003. Новые и улучшенные возможности обеспечивают также персонализацию и личную настройку с помощью Web-браузера. Пользователям для персонализации своего сайта больше не нужны полномочия администратора для создания сайта или знание Frontpage или программирования. На рис. 36.1 показаны некоторые возможности личной настройки, доступные через браузер.
Служба Windows SharePoint Ãëàâà 36
1243
Ðèñ. 36.1. Возможности личной настройки SharePoint, доступные через браузер Совместная работа возможна и непосредственно из приложений Office 2003. Доступ к рабочему пространству SharePoint возможен непосредственно из приложения Word или Excel 2003 с помощью специальной панели задач Shared Workspaces (Общие рабочие пространства). В панели задач отображаются члены рабочего пространства, состояние документа и задачи, помещенные в рабочее пространство. Это позволяет пользователям использовать преимущества совместной работы из SharePoint, не покидая привычные им продукты Office. Новые и улучшенные варианты развертывания позволили организациям любого размера использовать технологии SharePoint и поддерживать гибкую базу пользователей.
Îïðåäåëåíèå íåîáõîäèìîñòè â ñëóæáå Windows SharePoint Служба Windows SharePoint является одним из приложений, в отношении которых существует значительное непонимание. Этому в существенной мере способствовала путаница с предыдущими названиями продукта, но для эффективного использования этой платформы необходим фундаментальный переворот в мышлении. Понимание сущности WSS и способов ее полного применения является важным шагом к реализации эффективности, которую может обеспечить система.
Èçìåíåíèå ìåòîäîëîãèè ñ ôàéëîâûõ ñåðâåðîâ íà ïëàòôîðìó óïðàâëåíèÿ äîêóìåíòàìè WSS WSS выходит за свои первоначальные рамки приложения обеспечения бригадной работы через Web и является полностью оснащенной платформой для работы с документацией, содержащей новые функции. Эти возможности, доступные ранее только в
1244
Интегрированные службы приложений Windows ×àñòü XI
полнофункциональном сервере порталов SharePoint, позволяют WSS эффективное хранение и управление документами в ориентированной на транзакции среде Microsoft SQL Server 2000. Для организаций это значит, что роль традиционного файлового сервера для хранения документов снижается, и он может быть эффективно заменен. Такие элементы, как документы Word, таблицы Excel и так далее, хранятся в базе данных WSS. Наряду с этими возможностями управления документами к пользователям приходит осознание, что их обычные способы работы с хранением нескольких версий файлов на файловом сервере больше не являются удобными и эффективными. Для эффективного использования WSS требуется сдвиг мышления от традиционных подходов.
Îáåñïå÷åíèå áðèãàäíîãî ñîòðóäíè÷åñòâà ñ ïîìîùüþ WSS Служба Windows SharePoint, как и ранее бригадная служба SharePoint, продемонстрировала, как можно эффективно использовать бригадные Web-сайты для обеспечения совместной работы членов бригады или организации. Информация, относящаяся к группе людей или проекту, может эффективно перенаправляться к лицам, которым она необходима в первую очередь, избавляя их от необходимости поиска в сети нужных им данных. После развертывания осознание эффективности и совместной работы действительно потрясает. Хорошей аналогией с SharePoint является электронная почта. До применения электронной почты было трудно понять ее ценность. Но после ее использования трудно представить, как без нее обойтись. То же самое относится и к возможностям SharePoint. Организации, в которых развернута WSS или полнофункциональный сервер порталов SharePoint, не могут представить себе работу без них.
Íàñòðîéêà WSS â ñîîòâåòñòâèè ñ ïîòðåáíîñòÿìè îðãàíèçàöèè Если стандартных возможностей WSS оказывается недостаточно или они не удовлетворяют специфическим требованиям организации к Web, WSS можно легко настроить. К WSS-сайту можно мгновенно “подключить” легко настраиваемые Web-части (Web Parts), при этом понимание HTML-кода не требуется. Более квалифицированные разработчики могут использовать ASP.NET или другие программные средства для создания специализированного кода, предназначенного для работы в WSS. Можно создать и дополнительные улучшения WSS-сайтов — с помощью Frontpage 2003, позволяющего относительно просто выполнить большую и серьезную настройку. В общем случае все, что можно запрограммировать на работу с Web-службой, может работать с WSS.
Èíñòàëëÿöèÿ ñëóæáû Windows SharePoint Инсталляция службы Windows SharePoint является довольно простым действием, не требующим какого-то сложного конфигурирования. Необходимо всего лишь загрузить с сайта Microsoft инсталляционный пакет WSS, выполнить нужные подготови-
Служба Windows SharePoint Ãëàâà 36
1245
тельные действия и инсталлировать приложение. Более сложные инсталляции, например, включающие полную версию SQL Server, не намного более трудны. До начала инсталляции необходимо выбрать подходящую серверную среду и выполнить требования для инсталляции WSS.
Òðåáîâàíèÿ äëÿ ðàáîòû WSS Любое проектирование WSS должно учитывать различные будущие требования к оборудованию и программному обеспечению. Ниже приведен список минимальных рекомендаций Microsoft для сервера Windows SharePoint. Важно заметить, что этот список содержит только необходимый для поддержки абсолютный минимум. В большинстве случаев серверы, развернутые для WSS, должны быть более мощными, чем продиктовано минимальными требованиями.
Àïïàðàòíîå è ïðîãðàììíîå îáåñïå÷åíèå •
Процессор, совместимый с Intel Pentium III, или более мощный.
•
512 Мб оперативной памяти или больше.
•
550 Мб доступной дисковой памяти или больше.
•
Windows Server 2003 (любая версия, но Web Edition требует полной инсталляции SQL Server).
•
Установленные информационные службы Internet (IIS) со службами ASP.NET, SMTP и WWW.
•
SQL Server (Standard/Enterprise) или Microsoft SQL Server 2000 Desktop Engine (MSDE или WMSDE).
Клиенты обращаются к WSS с помощью Web-браузера. Microsoft поддерживает несколько различных Web-браузеров для работы со службой Windows SharePoint: •
Microsoft Internet Explorer 5.x с установленным пакетом обновлений Service Pack 2.
•
Internet Explorer 6.0 или более поздний.
•
Netscape Navigator 6.2 или более поздний.
После выполнения всех этих требований в системе Windows Server 2003 можно инсталлировать WSS.
Ïîäðîáíûå øàãè ïîäãîòîâêè ê èíñòàëëÿöèè После инсталляции Windows Server 2003 и выполнения всех предварительных условий можно инсталлировать компоненты IIS, необходимые для работы с WSS. Инсталляция этих элементов описывается следующими шагами: 1. Войдите в сервер с учетной записью с полномочиями локального администратора. 2. Выберите в меню Start (Пуск) пункт SettingsÖControl Panel (НастройкаÖПанель управления). 3. Дважды щелкните на пиктограмме Add or Remove Programs (Установка и удаление программ).
1246
Интегрированные службы приложений Windows ×àñòü XI
4. Щелкните на пиктограмме Add/Remove Windows Components (Установка компонентов Windows). 5. Выберите строку Application Server (Сервер приложений) и щелкните на кнопке Details (Состав). 6. В списке компонентов отметьте пункт ASP.NET. 7. Выберите информационные службы Internet (IIS) и щелкните на кнопке Details. 8. Отметьте компонент SMTP Service (Служба SMTP), как показано на рис. 36.2, два раза щелкните на кнопке ОК, а затем на кнопке Next (Далее).
Ðèñ. 36.2. Инсталляция необходимых компонентов IIS 9. Получив приглашение, вставьте компакт-диск с Windows Server 2003 в привод и щелкните на кнопке ОК. 10. После завершения работы мастера щелкните на кнопке Finish (Готово). К этому моменту процесс инсталляции IIS должен быть завершен. Для проверки успешности инсталляции можно просмотреть журнал Configure Your Server (Конфигурирование вашего сервера). При наличии проблем в этом журнале будет содержаться информация об ошибках. Если они есть, то их причины потребуется устранить, иначе возможна неверная работа WSS. Для дальнейшей верификации успешной инсталляции IIS войдите в диспетчер служб IIS, выбрав в меню Start пункт Administration Tools Ö Internet Information Services (IIS) Manager (Средство администрированияÖДиспетчер службы информации Internet (IIS)). В новой инсталляции Windows Server 2003 конфигурация IIS должна быть такой, как показано на рис. 36.3. На этом рисунке отображены расширения Webслужб (Web Service Extensions).
Îáíîâëåíèå WSS-ñåðâåðà è ïðèìåíåíèå èñïðàâëåíèé После установки программного обеспечения Windows Server 2003 и его конфигурирования в качестве сервера приложений необходимо инсталлировать и верифицировать последние пакеты обновлений и индивидуальные обновления.
Служба Windows SharePoint Ãëàâà 36
1247
Ðèñ. 36.3. Диспетчер IIS с расширениями Web-служб Поскольку уязвимости безопасности могут существенно повлиять на работу сервера вплоть до ее невозможности, очень важно устанавливать на серверы все последние исправления. Инсталляция службы Windows SharePoint должна выполняться только после проведения всех обновлений и исправлений Windows Server 2003. Это гарантирует надежность сервера с точки зрения безопасности и инсталляцию последних технологических исправлений. В новой системе Windows Server 2003 удобным способом для запуска процесса обновления и применения исправлений является средство Windows Update (Обновление Windows). Некоторые организации пользуются другими способами применения обновлений, поскольку они могут быть уже загружены и инсталлированы или распространены с сервера службы обновлений программ (Software Update Services — SUS) Microsoft или с сервера управления системами (Systems Management Server — SMS). При отсутствии SUS, SMS или другой системы распространения программного обеспечения процесс обновления операционной системы сервера существенно облегчает Web-сайт обновлений Windows (Windows Update). Этот процесс почти полностью автоматизирован и запускается щелчком на пиктограмме Windows Update (Обновление Windows), которая находится в меню Start, в разделе All Programs (Все программы). Выбор этого приложения запускает подключение к одному из сайтов обновлений Microsoft Windows, тем не менее, адрес сайта можно ввести в браузере и вручную (http://windowsupdate.microsoft.com).
НА ЗАМЕТКУ В новых инсталляциях Windows Server 2003 по умолчанию включена расширенная конфигурация безопасности Internet Explorer. Для этого требуется добавление новых сайтов в зону Trusted Sites Zone (Зона доверяемых сайтов). После открытия IE и ввода URL-адреса появится окно сообщений Internet Explorer с дополнительной информацией на эту тему. Текущий сайт можно добавить в зону доверяемых сайтов, щелкнув в этом окне на кнопке Add (Добавить), затем на кнопке Add в следующем окне, и затем на кнопке Close (Закрыть). Хотя этот процесс занимает время, он позволяет обезопасить сервер. Отключить расширенную конфигурацию безопасности IE можно с помощью следующих шагов: выберите в меню Start пункт
1248
Интегрированные службы приложений Windows ×àñòü XI
SettingsÖControl PanelÖAdd or Remove ProgramsÖAdd or Remove Windows Components (НастройкаÖПанель управленияÖУстановка и удаление программÖУстановка и удаление компонентов Windows), выберите строку Internet Explorer Enhanced Security Configuration (Расширенная конфигурация безопасности Internet Explorer), щелкните на кнопке Details и снимите отметку с компонента Administrator Groups (Группы администраторов) и/или с других групп. Щелкните на кнопке ОК, потом на кнопке Next, а после завершения процесса — на кнопке Finish.
Войдя на этот сайт, выберите ссылку Scan for Updates (Поиск обновлений), после чего на локальном сервере запускается быстрое сканирование, а затем в левой панели появляются рекомендации по предлагаемым критическим обновлениям, пакетам обновлений и индивидуальным обновлениям для семейства Windows Server 2003 и драйверов.
ВНИМАНИЕ! Хотя применение обновлений к системе Windows Server 2003 более надежно, чем в отношении предыдущих версий серверных ОС, и появление проблем при работе сервера менее вероятно, все же эти обновления следует вначале протестировать в лабораторной среде и проверить на работу в сети, прежде чем реализовать их в производственной среде Windows Server 2003.
После инсталляции исправлений и обновлений страница windowsupdate.microsoft.com предоставляет в панели обновления Windows (Windows Update) возможность просмотра хронологии инсталляции (View Installation History), в которой перечислены оперативные исправления, загруженные с сайта. Этот список не будет точным на сто процентов, если с установленными элементами проводились изменения (например, если после этого был деинсталлирован одно или несколько исправлений или обновлений), однако является хорошим отображением загруженных элементов и состояния инсталляции. При неудачной инсталляции одного или нескольких элементов их потребуется переустановить. Кроме того, список обновлений можно просмотреть, выбрав в меню Start пункт SettingsÖControl PanelÖAdd or Remove Programs (НастройкаÖПанель управленияÖ Установка и удаление программ). Дополнительную информацию по каждому элементу можно получить, выполнив на нем щелчок; в результате появится возможность удаления элемента с сервера, а так же гиперссылка на сайт support.microsoft.com и статья базы знаний с более подробной технической информацией о данном обновлении.
Âûïîëíåíèå èíñòàëëÿöèè ñëóæáû Windows SharePoint Сама инсталляция WSS является очень простым процессом. Перед началом установки потребуется принять одно серьезное решение: использовать ли бесплатную версию SQL Server 2000 — Windows MS SQL Desktop Engine (WMSDE) — либо инсталлировать уже развернутый экземпляр SQL Server 2000 Standard/Enterprise. Приведенный здесь процесс описывает инсталляцию с бесплатной базой данных WMSDE, которую можно применять в небольших реализациях WSS до 10 сайтов. Инсталляционный файл службы Windows SharePoint должен быть загружен непосредственно с сайта Microsoft, поскольку он отсутствует на компакт-диске Windows Server 2003. Он доступен по адресу: http://www.microsoft.com/windowsserver2003/techinfo/sharepoint/wss.mspx
Служба Windows SharePoint Ãëàâà 36
1249
После его загрузки можно запустить процесс инсталляции, выполнив следующие шаги: 1. Дважды щелкните на файле STSV2.exe, чтобы извлечь инсталляционные файлы и скопировать их на диск C. 2. Установите флажок, соответствующий согласию с условиями лицензионного соглашения, и щелкните на кнопке Next. 3. Выберите переключатель Typical Installation (Типичная инсталляция), как показано на рис. 36.4, и щелкните на кнопке Next.
Ðèñ. 36.4. Инсталляция WSS НА ЗАМЕТКУ Если устанавливаемый WSS-сервер будет частью серверной фермы, или группы нескольких WSS-серверов, работающих с одной и той же информацией, то можно инсталлировать WSS без локальной базы данных SQL, а вместо нее использовать базу данных SQL фермы. Этот метод удобен при балансировке нагрузки данного сервера с несколькими WSSсерверами.
4. После проверки, что программа установки предлагает инсталлировать WSS, щелкните на кнопке Install (Установить). После этого мастер установки приступит к копированию файлов и инсталляции WSS на локальный сервер. После инсталляции мастер откроет окно Internet Explorer и сообщит, что необходим перезапуск IIS. 5. Выберите в меню Start пункт Run (Выполнить), введите cmd.exe и нажмите клавишу <Enter>, чтобы открыть командное окно. 6. Введите команду iisreset, перезапускающую IIS, как показано на рис. 36.5. Затем программа установки инсталлирует службу Windows SharePoint. После инсталляции на сервере можно запустить браузер Internet Explorer и указать в нем локальную машину (http://localhost). Поскольку служба Windows SharePoint устанав-
1250
Интегрированные службы приложений Windows ×àñòü XI
ливается на стандартный Web-сервер, то должен появиться Web-сайт службы Windows SharePoint, как показано на рис. 36.6.
НА ЗАМЕТКУ Если необходимо, чтобы служба Windows SharePoint использовала существующую полную версию SQL Server 2000 (или просто ту, которая уже инсталлирована на самом сервере), то установка WSS должны выполняться несколько по-другому. Извлеките все файлы в какоенибудь место на диске, запустив STSV2.exe и отменив установку. Затем можно установить WSS из командного окна с помощью следующей команды (в предположении, что файлы извлечены на диск C:\): C:\program files\sts2setup_1033\setupsts.exe remotesql=yes. Затем выполните обычную установку, но в опциях, приведенных на рис. 36.4, отметьте Server Farm (Серверная ферма).
Ðèñ. 36.5. Перезапуск IIS после инсталляции WSS
Ðèñ. 36.6. Новый WSS-сайт
Служба Windows SharePoint Ãëàâà 36
1251
Îñíîâíûå âîçìîæíîñòè ñëóæáû Windows SharePoint После инсталляции WSS эта система может использоваться для создания Webсайтов, управления документами и предоставления других возможностей. Освоение и опробование возможностей, доступных в WSS, является важным подготовительным шагом к эффективному использованию службы Windows SharePoint, поэтому ниже будет приведен обзор этих возможностей. В последующих разделах будут рассмотрены возможности, уже доступные работникам, использующим Microsoft Word 2003 после инсталляции в сети службы Windows SharePoint. Обратите внимание, что общие рабочие пространства могут быть созданы и из других приложений Office 2003: Excel, PowerPoint и Visio.
Ñîçäàíèå îáùåãî ðàáî÷åãî ïðîñòðàíñòâà èç Microsoft Word При открытии или создании документа в Word 2003 в меню Tools (Сервис) появляется пункт Shared Workspace (Общее рабочее пространство), при выборе которого в правой части экрана отображается интерфейс общего рабочего пространства. Пользователю предлагается ввести имя рабочего пространства — по умолчанию это имя документа — и выбрать сайт SharePoint, на котором будет находиться это рабочее пространство. Затем пользователь может определять, какие члены будут включены в рабочее пространство, вводя либо домен, либо имя пользователя и адрес электронной почты, либо и то и другое. На сайте можно также задать уровень участия этих членов с различными уровнями полномочий: Reader (Читатель), Contributor (Соавтор), Web Designer (Web-разработчик) или Administrator (Администратор). Шесть вкладок в области общего рабочего пространства предоставляют информацию и средства пользователю, создавшему сайт, а также другим пользователям, которые открывают файл: •
Status (Состояние). Содержит сообщения об ошибках или ограничениях, относящиеся к файлу.
•
Members (Члены). Содержит список различных членов рабочего пространства и признак, находятся ли они в оперативном режиме.
•
Tasks (Задачи). Предоставляет пользователю возможность просматривать задачи, назначенные членам сайта, или создавать новые задачи.
•
Documents (Документы). Отображает все другие документы и папки, доступные в рабочем пространстве, и разрешает добавление в рабочее пространство других документов или папок.
•
Links (Ссылки). Отображает все URL-ссылки на сайте и позволяет добавлять в рабочее пространства новые URL-ссылки.
•
Document Information (Информация о документе). Отображает основную информацию о файле, например, кто создал или изменил его, и позволяет просматривать хронологию изменений.
1252
Интегрированные службы приложений Windows ×àñòü XI
Эти возможности обеспечивают пользователю “инструментальную панель”, предоставляя ценную информацию о документе, и помогают другим пользователям совместно работать над документом.
CОВЕТ Отображение присутствия в оперативном режиме может быть выполнено с помощью виртуального сервера, если установлены пакеты Office 2003, Live Communications Server 2003 и последняя версия Windows Messenger (Обмен сообщениями Windows). При указании курсором мыши на имя члена сайта активизируются смарт-теги (интеллектуальные ярлычки) имени работника (Person Name Smart Tags).При щелчке на кнопке со стрелкой вниз становятся доступными другие средства, например, уведомление, находится ли работник в оперативном режиме или доступен ли он для мгновенного обмена сообщениями. Среди других возможностей — Schedule a Meeting (Назначить встречу), Send Mail (Послать письмо) и Edit User Information (Редактировать информацию о пользователе).
С помощью этих основных возможностей пользователь Word может в считанные минуты создать специализированную рабочую среду, содержащую других сотрудников, и которая может содержать другие важные документы. Эта легкость применения имеет большое значение для быстрого привыкания к Windows SharePoint.
Ðàáîòà íà ñàéòå ñëóæáû Windows SharePoint Щелкнув на ссылке Open Site in Browser (Открыть сайт в браузере), работник увидит в своем браузере открытое рабочее пространство (рис. 36.7), которое содержит целый диапазон новых возможностей, отражающих всю мощь службы Windows SharePoint.
НА ЗАМЕТКУ Обратите внимание, что если пользователи сети просто дважды щелкнут на файле, чтобы открыть его из сетевой папки или в сеансе Word, то они будут проинформированы, что этот документ является частью рабочего пространства, и появится вопрос, хотят ли они обновить открываемый документ на основе информации, доступной в рабочем пространстве. Эта возможность уведомляет любого, кто обращается к документу, что этот документ связан с рабочим пространством, и по желанию можно войти на этот сайт.
Стандартное рабочее пространство появляется в окне браузера, содержащего местоположение файла в строке адреса браузера, а ниже ее — специальную строку меню SharePoint. Вот стандартные компоненты сайта, которые появляются на панели быстрого запуска: •
Documents (Документы).
•
Pictures (Изображения).
•
Lists (Списки).
•
Discussions (Обсуждения).
•
Surveys (Обзоры).
Остальная часть страницы является местом для Web-частей (Web Parts), по умолчанию это:
Служба Windows SharePoint Ãëàâà 36 •
Announcements (Объявления).
•
Shared documents (Общие документы).
•
Tasks (Задачи).
•
Members (Члены).
•
Links (Ссылки).
1253
Ðèñ. 36.7. Рабочее пространство службы Windows SharePoint Администратор рабочего пространства, а также члены сайта с полномочиями соавтора или Web-разработчика могут легко модифицировать содержимое рабочего пространства, щелкнув на элементе Modify Shared Page (Модифицировать общую страницу), который находится в правом верхнем углу страницы, и выбрав пункт Design This Page (Создать эту страницу). Для заинтересованных или опытных пользователей можно выбрать и добавить в рабочее пространство новые Web-части. С помощью этого процесса можно быстро создать страницу, содержащую документ, который конечный пользователь хочет совместно использовать с другими сотрудниками, а также расширить страницу, чтобы включить другие ресурсы, необходимые для совместной работы. В результате на основе браузера создается рабочая среда, предоставляющая множество различных средств и возможностей для управления документами и совместной работой. Например, создатель этого нового сайта может выбрать пользователей или группы, чтобы разрешить им доступ и ограничить их возможности по добавлению, изменению или удалению элементов, хранящихся на сайте. Затем он может назначать этим пользователям задачи, связанные с целями сайта, и эти задачи при открытии документа в Word 2003 будут отображаться в панели Shared Workspace (Общее рабочее пространство).
1254
Интегрированные службы приложений Windows ×àñòü XI
Ïîíÿòèå áèáëèîòåê äîêóìåíòîâ Библиотеки документов могут оказаться наиболее востребованными возможностями, поскольку они представляют собой место, где могут храниться и управляться документы и папки; библиотеки документов предоставляют некоторые возможности, не доступные в стандартном общем файловом ресурсе сервера. Члены команды, работающие над исходным документом (в данном случае — “Windows 2000 Server Upgrade SOW r5”) могут загружать в эту библиотеку соответствующие документы, носящие справочный характер. Это устраняет необходимость распечатки сопутствующей документации для личных встреч или отправки файлов или гиперссылок по электронной почте. Как видно на рис. 36.8, с документом на странице Shared Documents (Общие документы) можно произвести несколько действий.
Ðèñ. 36.8. Доступные действия на странице Shared Documents CОВЕТ По умолчанию в библиотеках присутствует возможность обзора в стиле проводника, позволяющая работать с файлами в библиотеках аналогично работе с файлами в проводнике (Explorer) Microsoft Windows. В окне проводника файлы и папки можно удалять, переименовывать, копировать и вставлять с рабочего стола. Кроме того, для удаления, перемещения и копирования можно выбирать несколько файлов и папок. Эта возможность дает пользователям возможность использовать знакомые им средства и процессы для управления своими документами в библиотеках службы Windows SharePoint. Чтобы иметь возможность применять окно проводника, должна быть установлена клиентская программа, совместимая со службой Windows SharePoint — такая как Microsoft Office 2003 и Microsoft Internet Explorer 5 или более поздняя.
•
View Properties (Просмотреть свойства). Отображает имя файла и заголовок, присвоенный документу (если он есть), кто и когда создал документ, а также кто и когда модифицировал его.
Служба Windows SharePoint Ãëàâà 36
1255
•
Edit Properties (Редактировать свойства). Здесь можно изменить имя хранимого в SharePoint файла и заголовок документа.
•
Edit in Microsoft Word (Редактировать в Microsoft Word). Если пользователь имеет права на редактирование, он может открыть документ для редактирования в Microsoft Word. Обратите внимание, что если документ является документом Microsoft Office, будет указано соответствующее приложение, например, Excel или PowerPoint.
•
Delete (Удалить). Если пользователь имеет права на удаление в библиотеке общих документов, то он может удалить файл.
•
Check Out (Закончить). Если документ закончен, он резервируется для того, кто отметил его как законченный, и только он может модифицировать этот документ. Поэтому даже если этот работник и не открыл документ, никто другой не может редактировать его. Администратор сайта может перевести документ в состояние сданного (check-in).
•
Version History (Хронология версий). Позволяет пользователю увидеть другие версии документа, которые можно открывать или просматривать, а также видеть комментарии, добавленные к этим версиям другими пользователями сайта. Кроме того, можно удалять старые версии, если пользователь имеет на это права.
•
Alert Me (Известить меня). Пользователь может выбрать отправку себе сообщения по электронной почте в случае изменения файла.
НА ЗАМЕТКУ Извещения являются очень мощным средством в службе SharePoint Windows. Пользователь может установить извещение на отдельный элемент, хранящийся в списке SharePoint, например, документ, чтобы при изменении этого документа пользователь получил почтовое сообщение об изменении. Кроме того, извещение можно назначить всей библиотеке документов, чтобы пользователь получил сообщение при изменении, добавлении или удалении любого элемента. Эти сообщения могут посылаться сразу же либо в виде сводки за день или неделю. Это основной способ продвижения информации службой Windows SharePoint к пользователям ее сайтов, что улучшает информационный оборот.
•
Discuss (Обсудить). При выборе эта опция открывает документ в Word или другом поддерживаемом приложении Microsoft Office и позволяет создавать примечания, прикрепляемые к документу для облегчения совместной работы. Эти примечания хранятся вне документа и позволяют вести хронологические записи соображений различных участников без изменения содержимого самого документа.
•
Create Document Workspace (Создать рабочее пространство документа). Это тот же самый процесс, с помощью которого было создано первоначальное рабочее пространство, и в случае данного примера он излишен, поскольку он бы привел к созданию еще одного рабочего пространства в существующем рабочем пространстве. Но для других документов, отправленных в библиотеку, это позволяет создать рабочее пространство, выделенное для конкретного документа.
Другие возможности, содержащиеся на странице Shared Documents — это создание нового документа, загрузка других документов на сайт, создание новой папки, фильтрация документов и редактирование списка в таблице.
1256
Интегрированные службы приложений Windows ×àñòü XI
Èñïîëüçîâàíèå áèáëèîòåê èçîáðàæåíèé Библиотека изображений может содержать различные типы файлов: JPEG, BMP, GIF, PNG, TIF, WMF и EMF. Примерами могут быть фотографии членов команды или снимки экранов документов из прикладных приложений, которые могут быть доступны не всем пользователям. Например, изображение экрана, захваченное из бухгалтерского приложения, может быть сохранено в библиотеке в формате BMP, чтобы все пользователи сайта могли увидеть эту информацию. Аналогично можно сохранить диаграмму Visio или блок-схему Project Gantt в одном из этих форматов, либо как HTML-файл, а затем сохранить в библиотеке изображений, чтобы они стали доступными для пользователей сайта, на рабочих станциях которых эти программные продукты не установлены. Сохраняя информацию в графическом виде, а не в формате исходного файла, во многих случаях можно сократить объем необходимой дисковой памяти, при этом пользователи не смогут изменить содержимое исходных документов. Могут быть также включены схемы с пояснением, как найти офис клиента или цифровые фотографии презентаций. Некоторые средства редактирования доступны в самих библиотеках изображений Microsoft (если установлен пакет Office 2003): настройка яркости и контраста, настройка цветовой гаммы, обрезка, вращение и отражение, удаление красных глаз и изменение размера. Можно посылать изображения по электронной почте непосредственно из библиотеки, либо можно начать обсуждение фотографий или других документов библиотеки. Изображения можно отсортировать с помощью фильтра по их типу файлов, просматривать в режиме слайд-шоу, отмечать для редактирования, просматривать хронологию версий или назначать им уведомления. Хотя этот тип библиотек может не быть полезным в каждом рабочем пространстве совместной работы, он все же предоставляет набор инструментов, удобный для создания информационных бюллетеней, сложных публикаций или для менее формального использования, например, для освещения событий, происходящих в компании.
Ðàáîòà ñî ñïèñêàìè SharePoint Списки используются WSS многими способами, и некоторые из Web-частей, присутствующих на стандартном сайте рабочего пространства, на самом деле являются списками. Могут быть созданы следующие списки: •
Links (Ссылки). Эти списки содержат внутренние или внешние URL-ссылки или ссылки на сетевые диски.
•
Announcements (Объявления). Эти списки обычно содержат новости, которые могут быть интересны работникам, посещающим данный сайт; им можно назначить срок годности.
•
Contacts (Контакты). Контакты можно создавать с нуля с помощью предоставляемого шаблона либо импортировать их из Outlook. Этот тип списка может помочь в прояснении, кто включен в работу над конкретным проектом или сайтом, каковы их роли, как связаться с ними, и может содержать специализированные поля.
Служба Windows SharePoint Ãëàâà 36
1257
•
Events (События). На сайте можно создавать события и заполнять их временем начала и завершения, описаниями, информацией о местоположении и их частотой или повторяемостью. Возможность создания рабочего пространства для события предоставляется при его создании. События могут отображаться в виде списка или календаря. События можно экспортировать в Outlook, при этом в календарь, содержащий события, будет добавлена новая папка. Однако в Outlook этот календарь будет доступен только для чтения.
•
Tasks (Задачи). Каждую задачу можно назначить члену сайта, присвоить ей даты начала и завершения выполнения и уровень приоритета и отслеживать процент готовности. Однако эти задачи никак не связаны с Outlook, поэтому они специфичны для сайта SharePoint.
•
Issues (Вопросы). Вопросы слегка отличаются от задач, содержат ссылки на категории и каждая получает свой собственный идентификационный номер. Лицам, назначенным вопросу, могут автоматически посылаться по электронной почте уведомления при назначении им вопроса и при изменениях в назначенном вопросе.
•
Custom List (Пользовательский список). Если ни один из шаблонных списков не содержит требуемую комбинацию элементов, нужно создать специализированный список. Это позволяет работникам создавать списки, определяя, сколько столбцов будет в списке, и вид данных, содержащихся в данном столбце — например, текст, вариант (выбираемый из выпадающего списка), числа, денежные данные, дата/время, выбор (информация, уже содержащаяся на сайте), да/нет, гиперссылка или изображение либо вычисления на основе информации из других столбцов. Имея такую возможность комбинирования данных и подключения других данных, содержащихся на сайте в других списках, можно создавать достаточно сложные базы данных с информацией, относящейся к сайту. Например, пользовательский список может содержать события из списка событий, отслеживая затраты и задачи, связанные с каждым событием.
•
Data imported from a spreadsheet (Данные, импортированные из электронной таблицы). Список можно не создавать с нуля, а импортировать в него данные из электронной таблицы (лучше всего из таблиц Excel). Затем эти данные можно активно использовать на сайте без необходимости открывать их в Excel. Далее их можно экспортировать для использования в других приложениях.
Для любого списка пользователям сайта доступны дополнительные опции. На рис. 36.9 оказан простой список задач, открытый в окне Datasheet (Таблица данных) (для этого нужен Office 2003), а также дополнительные опции, доступные на панели задач. После отображения списка в окне Datasheet в него можно добавлять новые строки — либо с помощью инструментальной панели, либо щелкнув на строке, которая начинается со звездочки. Можно вывести итоговые суммы по всем столбцам, щелкнув на опции Totals (Итоги). Щелчок на опции Task Pane (Панель задач) делает доступными средства, отраженные на рис. 36.9 в области Office Links (Связи с Office), в том числе связь с Excel, печать отчетов, построение диаграмм, создание сводной таблицы в Excel или экспорт в Access и создание в нем связанной таблицы.
1258
Интегрированные службы приложений Windows ×àñòü XI
Ðèñ. 36.9. Опции списка задач, доступные в окне Datasheet
Èñïîëüçîâàíèå îáñóæäåíèé SharePoint Следующая опция в панели Quick Launch (Быстрый запуск) предназначена для ведения обсуждений, что является ключевым компонентом для онлайнового сотрудничества. Хотя для сообщения между собой нескольких человек хорошо подходит и электронная почта, она становится неудобной при наличии очень многих участников, так как могут образоваться несколько тем обсуждения, и первоначальная тема дискуссии может быть потеряна. С помощью доски объявлений или форума с несколькими темами можно одновременно видеть все высокоуровневые темы, и читатели могут выбрать интересующую их тему и просматривать все отклики на первоначальное сообщение. Если пользоваться только электронной почтой, то работники не смогут управлять тем, какие почтовые сообщения им получать, а Web-часть обсуждений в SharePoint предоставляет пользователям возможность решать, какие сообщения читать и на какие отвечать. Члены бригады с соответствующими правами могут также управлять обсуждениями, удаляя темы и ответы, не соответствующие обсуждению, или удаляя завершенные темы. Этот уровень контроля облегчает эффективное общение и поощряет участие различных членов команды. На рис. 36.10 показан пример обсуждения предложения, готовящегося к отправке. Значок скрепки сообщения верхнего уровня означает, что к нему прикреплен документ, предназначенный для просмотра. Два других пользователя сайта оставили свои отклики. Обсуждения могут проводиться по любому документу Office, помещенному на сайте SharePoint. Данные хранятся в базе данных SharePoint, а не в самом документе. Это поощряет членов команды делиться своими заметками и соображениями о документе в контролируемой среде, непосредственно связанной с документом. В зависимости от того, членами какого сайта являются участники группы, они могут только просматривать различные потоки обсуждений, либо участвовать, редактировать или даже удалять части обсуждения. Для обсуждений очень удобна возможность извещений, поскольку пользователи могут определять, нужно ли извещать их об изменениях в каком-либо потоке обсуждения, а если нужно, то когда. Это устраняет необходимость регулярного просмотра
Служба Windows SharePoint Ãëàâà 36
1259
различных обсуждений их участниками, так как они могут получить почтовое сообщение, информирующее о появившихся изменениях.
Ðèñ. 36.10. Пример доски обсуждений
Îïðîñû Пункт Surveys (Опросы) также содержится в области быстрого запуска рабочего пространства документа. С помощью службы SharePoint можно легко и быстро создать опрос, запрашивающий ввод информации от пользователей сайта по любому количеству тем. Их можно сконфигурировать на запрос информации по любой теме, которую можно вообразить, например, функциональность сайта, содержащаяся на нем информация или любые относящиеся к делу темы. Кроме сбора информации с помощью опросов, их результаты можно просматривать по отдельности, отображать в графическом виде или экспортировать в электронную таблицу для дальнейшего анализа. Опросы можно сконфигурировать так, что они будут анонимными, то есть не будет сохраняться и предоставляться информация о лицах, отвечающих на опрос, однако эту информацию можно и отображать. Кроме того, возможны и несколько ответов на вопрос, и ограничение одним ответом. Другие возможности — позволять участникам опроса просматривать ответы других или только собственный ответ, либо позволять им редактировать свой ответ или ответы других участников (или не разрешать ничего). Здравый смысл подсказывает, что пользователи не должны изменять ответы на опросы после их отправки, но в некоторых ситуациях будет разумным позволить людям возвращаться к своему ответу и изменять его.
Âîçìîæíîñòè êîíå÷íîãî ïîëüçîâàòåëÿ â WSS Предыдущая версия службы Windows SharePoint внесла путаницу в ряды конечных пользователей. Пользовательский интерфейс был противоречивым, и были затрудне-
1260
Интегрированные службы приложений Windows ×àñòü XI
ны переходы между страницами. Например, на некоторых страницах были кнопки возврата (Back), на других были элементы меню, на которых нужно было щелкнуть для возврата, а на некоторых для обеспечения возврата не было ничего, и приходилось использовать кнопку возврата браузера или вводить URL-адрес, чтобы вернуться туда, куда надо. Кроме того, присутствовали функции, которые было необходимо выполнять вне WSS, другие функции можно было выполнить только внутри WSS, а некоторые — любым способом. В службе Windows SharePoint улучшен пользовательский интерфейс, а также имеется более тесная интеграция с Microsoft Office 2003. Пользователь, работающий с документом в Word 2003, может решить, что необходима совместная работа, и создать общее рабочее пространство, пригласить пользователей к участию в этой работе и назначить некоторые основные задачи — и все это не покидая пакет Office 2003. Служба Windows SharePoint предоставляет конечному пользователю гораздо лучший набор возможностей для настройки и персонализации сайтов. Пользователи могут создавать свои собственные персональные сайты с их собственными документами, собственные ссылки и другое содержимое, важное лично для них — в отличие от работы с “обобщенным” Web-сайтом с “обобщенным” содержимым, которое может не сочетаться с их положением в организации. Некоторые из новых и исправленных возможностей, доступных для улучшения работы конечного пользователя, обсуждаются в последующих разделах.
Ðàñøèðåíèå âîçìîæíîñòåé óïðàâëåíèÿ äîêóìåíòàìè Раньше, если нужно было какое-либо управление документами, например, управление пересмотром документов с помощью входящей и исходящей регистрации и контроль версий, необходимо было использовать полный сервер порталов SharePoint. Поняв, что эти возможности удобны в любой среде совместной работы с документами, компания Microsoft перенесла многие возможности управления документами в базовую среду службы Windows SharePoint. Теперь в службу Windows SharePoint входят следующие возможности: •
Входящая и исходящая регистрация документов, гарантирующая, что исправленные фрагменты не переписываются другим пользователем.
•
Управление версиями документов для отслеживания изменений.
•
Возможность требования утверждения при проверке документа в службе управления качеством. Кроме этих изменений, служба Windows SharePoint предоставляет пользователю гибкость в создании структурированной среды охранения документов, в отличие от относительно плоского вида пространства документов в более старых версиях. Кроме того, служба Windows SharePoint более тесно интегрирована с Microsoft Office 2003, обеспечивая улучшенные возможности, доступные непосредственно из интерфейса Office. Вот эти возможности: •
Создание папок в библиотеке документов и просмотр всех документов в библиотеке, в том числе и из подпапок.
Служба Windows SharePoint Ãëàâà 36
1261
•
Создание рабочего пространства документа службы Windows SharePoint непосредственно из Word 2003, что обеспечивает возможность легкого создания сайтов для совместной работы.
•
Простое сохранение и выборка документов SharePoint из приложений Office 2003. Работа с SharePoint 2001 и Microsoft Office была трудной для IT-персонала и тех лиц, которые пытались использовать Office как начальный этап для совместной работы. Улучшения в Microsoft Office 2003 и службе Windows SharePoint сделали сохранение документов в рабочем пространстве столь же легким, как и их сохранение в общем файловом ресурсе.
•
Доступ к библиотекам документов, аналогичный доступу к общим файловым ресурсам за счет поддержки Web-папок HTTP DAV, что устраняет необходимость в изучении пользователями совершенно нового набора команд.
•
Просмотр документов Office в браузере без необходимости установки Office на клиентский компьютер. Это позволяет удаленным и мобильным пользователям просматривать документы, хранящиеся в SharePoint, находясь в дороге вдали от клиентского компьютера, например, в киоске аэропорта или за чашкой кофе в Internet-кафе.
Ââåäåíèå â ðàáî÷èå ïðîñòðàíñòâà ñîâåùàíèé Когда в организациях проводятся совещания, то обычно имеется повестка дня, какие-то документы, связанные с совещаниями, а зачастую и дополнительные задачи. Хотя для рассылки повестки дня и документов до совещания можно использовать электронную почту и посылать дополнительные задачи и извещения о совещании, лучшим решением было бы иметь всю информацию, связанную с совещанием, доступной в одном месте. Рабочее пространства совещаний, введенные в службе Windows SharePoint, предоставляют такую возможность — место для управления всей документацией и задачами, связанными с совещанием. Рабочие пространства совещаний можно создать из сайта или с помощью функции “планирование совещаний” в Outlook 2003. Если совещание запланировано с помощью Outlook 2003, то имеется возможность создания рабочего пространства совещания службы Windows SharePoint для хранения повестки дня совещания, списка участников, документов, относящихся к совещанию, и любых действий, выполняемых в результате проведения совещания. При создании рабочего пространства совещания имеется несколько шаблонов совещаний. В дополнение к “стандартному” одиночному рабочему пространству совещания существуют и другие их типы: •
Совещания для принятия решения.
•
Социальные собрания.
•
Несколько совещаний.
На рис. 36.11 показаны различные шаблоны, которые можно выбрать при создании нового сайта.
1262
Интегрированные службы приложений Windows ×àñòü XI
Ðèñ. 36.11. Шаблоны для новых сайтов SharePoint
Èñïîëüçîâàíèå ïåðñîíàëüíûõ ñàéòîâ Для пользователей WSS доступен для настройки специальный сайт, называемый My Site (Мой сайт). Этот сайт имеет два представления: одно может видеть только его создатель (личное представление), а другое доступно другим пользователям (общедоступное представление). Личное представление можно использовать для хранения личных документов, задач и ссылок, а общедоступное представление можно применять для передачи информации другим пользователям. Содержимое личного сайта зависит от аудитории его обладателя. Из My Site можно изменить информацию профиля пользователя и просмотреть список документов, созданных пользователем или владельцем сайта. (Этот список может также отображаться под названием Documents By This User (Документы данного пользователя) в профиле пользователя.) Web-часть My Links (Мои ссылки) может использоваться для добавления ссылок на элементы, находящиеся как внутри, так и вне сайта. Можно также добавить запросы на поиск. Web-часть My News (Мои новости) дает возможность пользователю просматривать содержимое указанных новостей на домашней странице. Кроме того, имеются Web-части для добавления в личный сайт экранов Inbox (Входящие), Task (Задача) и Calendar (Календарь) из Exchange 2000 и Exchange 2003.
Èíòåãðàöèÿ ñ Microsoft Office 2003 Главной целью при создании службы Windows SharePoint была более тесная интеграция с Microsoft Office. Хотя технологии службы Windows SharePoint поддерживают и более ранние версии Office, доработки и улучшения в Microsoft Office 2003 предлагают пользователям более эффективный способ доступа к общим рабочим пространствам документам и командным сайтам. Эта простота доступа к информации поощряет пользователей к совместному использованию документов, совместной работе и общению при обсуждении проектов, инициатив или идей. Например, вместо простого открытия документа в Microsoft Office 2000 и работы с этим документом, пользователь, открывающий этот же документ с сервера SharePoint с помощью Microsoft Office
Служба Windows SharePoint Ãëàâà 36
1263
2003, видит не только документ, но и новую панель задач, содержащую список членов бригадного сайта, на котором хранится документ (в формате Instant Messenger), состояние документа, а также любые задачи и ссылки, связанные с документом. На рис. 36.12 показан пример того, как выглядит новая панель задач общего рабочего пространства Microsoft Office 2003.
Ðèñ. 36.12. Панель задач общего рабочего пространства, отображаемая в Word 2003 Конкретно, интеграция с Microsoft Office 2003 означает следующие моменты: •
Вся настройка рабочего пространства документа может быть выполнена из интерфейса Word 2003. С помощью панели задач общего рабочего пространства можно создать рабочее пространство документа, назначить права доступа пользователям, добавить ссылки, относящиеся к документу и создать задачи.
•
Рабочее пространство документа доступно через панель задач при открытии документа в Word 2003. Отображается состояние членов (находятся ли они в оперативном режиме), кроме того, можно посылать сообщения членам команды, переходить по ссылкам и просматривать и изменять задачи.
•
При создании совещания с помощью Outlook 2003, можно также создать рабочее пространство совещания SharePoint для хранения информации, относящейся к совещанию.
•
Контакты SharePoint можно просматривать непосредственно в Outlook 2003.
НА ЗАМЕТКУ Хотя контакты SharePoint можно просматривать в Outlook 2003, они на самом деле не “интегрированы” в Outlook: автоматической синхронизации между SharePoint и Outlook 2003 нет. Контакты SharePoint в Outlook 2003 считаются отдельным списком контактов и доступны только для чтения.
1264
Интегрированные службы приложений Windows ×àñòü XI
•
В библиотеке SharePoint копируются метаданные и свойства файлов из документов Office — следовательно, в SharePoint нет необходимости повторного ввода информации о файлах, если она уже введена в Office.
•
Документы SharePoint можно присоединять к почтовым сообщениям в форме общих вложений (shared attachment). Когда пользователь получает сообщение, оно содержит ссылку на рабочее пространство, по которой можно обратиться к общему вложению.
•
На сайтах WSS можно производить поиск с инструментальной панели Research and Reference (Исследование и справка) Office 2003.
•
Документы, хранящиеся в библиотеках изображений SharePoint, можно редактировать с помощью нового средства редактирования изображений из Office 2003.
Ëè÷íàÿ íàñòðîéêà ñëóæáû SharePoint В дополнение к личному сайту, служба Windows SharePoint содержит много способов, которыми пользователи могут выполнить личную настройку среды SharePoint. Некоторые формы личной настройки можно выполнить из Office 2003, а некоторые доступны непосредственно из WSS. Ниже приведен список различных способов личной настройки пользователями внешнего вида SharePoint. •
Пользователи могут создавать личные сайты и личные представления, настроенные в соответствие с собственными вкусами и методами их работы. Изменения в бригадных сайтах сохраняются в профиле пользователя и применяются при каждом посещении сайта пользователем.
•
Новости могут посылаться пользователям в зависимости от их принадлежности к той или иной аудитории. Учитывая объем доступной информации, это эффективное средство настройки содержимого в зависимости от интересов пользователя.
•
Пользователям может быть дана возможность создания сайтов без привлечения IT-персонала. Типичным современным сценарием, когда в организации нет приложения порталов наподобие WSS, может быть следующий: Пользователь решает, что для совместной работы над проектом был бы полезен Web-сайт. Пользователь предоставляет начальнику отдела обоснование необходимости наличия Web-сайта и получает от него разрешение. Начальник отдела передает этот запрос в IT-отдел, чтобы там создали сайт. Начальник IT-отдела рассматривает запрос и помещает его в список низкоприоритетных, поскольку на разработку сайта требуется время, а пользователи могут работать совместно и в существующей среде посредством электронной почты и общих сетевых дисков. Когда IT-персонал приступает к проекту, пользователи уже закончили работу, и сайт им не нужен. Если пользователи могут самостоятельно создавать общие сайты и рабочие пространства и не проходить через волокиту с их созданием IT-персоналом, то они чаще будут их использовать и быстро оценят получаемые при этом преимущества.
Служба Windows SharePoint Ãëàâà 36
1265
Èñïîëüçîâàíèå ñïèñêîâ Каждый список в службе Windows SharePoint является Web-частью, следовательно, их легко можно настроить с помощью браузера. Списки улучшены во многих отношениях, включая поддержку дополнительных типов полей, например, форматированного текста, полей с несколькими значениями и вычисляемых полей. Значения полей могут также вычисляться. Типы полей можно изменять после создания списка, что дает возможность адаптации к не вполне стабильным данным. В службе Windows SharePoint также имеется много новых вариантов просмотра списков. Фильтрация представлений списков может быть выполнена и на основе вычислений. Например, можно просмотреть все события на следующей неделе, установив фильтр на основе даты: дата должна быть не больше, чем текущая дата плюс семь дней. Другим новым представлением является представление календаря событий, который позволяет отображать любой список, в котором есть поле даты и времени, с помощью дневного, недельного или месячного представления календаря. Агрегированные представления позволяют суммировать данные в числовых полях и отображать эту сумму. Итоговые суммы можно считать по всему представлению или по его подмножеству. Группирующие представления позволяют произвести группировку по одному столбцу, а затем сортировку в каждой группе. Новым видом списка является библиотека изображений. Графики и фотографии можно хранить в библиотеке изображений и по желанию просматривать в виде диафильма или списка миниатюр, автоматически генерируемого SharePoint. Пользователи Microsoft Office 2003 могут редактировать списки в представлении Datasheet (Таблица данных). Эта опция представляет данные в виде электронной таблицы и предоставляет возможности редактирования, присущие электронным таблицам, например, копирование и вставка, добавление строк и возможности заполнения. Для некоторых типов ввода и редактирования данных представление в виде таблицы может быть быстрее традиционного стиля редактирования списков SharePoint. В службе Windows SharePoint имеются новые средства безопасности для списков. Списку можно назначить полномочия, чтобы его могли изменять только конкретные лица. Для обладателей списка также имеется возможность утверждать или отбрасывать элементы, отправленные для включения в список. Ниже перечислены другие новые возможности списков. •
Пользователи могут создавать свои собственные личные списки, не видимые другими пользователями.
•
Извещения для списков содержат имя пользователя, внесшего изменение в список, и измененный элемент списка.
•
Возможность добавления и удаления вложений для элемента списка.
•
Возможность создания регулярных событий в списке событий.
Óëó÷øåíèÿ èçâåùåíèé SharePoint Извещения (alerts) в службе Windows SharePoint — это то, что в предыдущих версиях называлось уведомлениями (notifications). Извещения улучшены в том смысле, что в них указывается причина извещения — изменение или добавление информации — и теперь содержат отслеживание дополнительных элементов. Предыдущие версии SharePoint
1266
Интегрированные службы приложений Windows ×àñòü XI
отслеживали запросы поиска и документы. В дополнение к этим элементам служба Windows SharePoint посылает извещения о следующих событиях: •
Сводки новостей.
•
Сайты, добавленные в каталог сайтов.
•
Списки и библиотеки SharePoint.
•
Элементы списков.
•
Пользователи сайтов WSS.
•
Папки библиотек документов, оставленные для обратной совместимости.
Для просмотра извещений службы Windows SharePoint можно использовать Microsoft Outlook 2003, в которой содержатся правила для сортировки и фильтрации извещений в специальные папки.
Äîïîëíèòåëüíûå íîâûå èëè óëó÷øåííûå âîçìîæíîñòè äëÿ êîíå÷íûõ ïîëüçîâàòåëåé Существует множество других новых и улучшенных возможностей, делающих работу конечных пользователей более удобной. Эти возможности перечислены ниже. •
Каталог сайтов (Site Directory), содержащий список всех сайтов WSS.
•
Возможность для пользователей создавать сайт SharePoint со страницы каталога сайтов и указывать, что нужно добавить сайт в каталог и что нужно проиндексировать содержимое сайта. Это обеспечивает уровень безопасности для защиты секретной информации, например, данных отдела кадров.
•
Поддержка массовой загрузки файлов. В старых версиях файлы нужно было загружать по отдельности. В службе Windows SharePoint поддерживаются массовые загрузки файлов (например, весь каталог или папка). Это экономит много времени для организаций, которые переносят в SharePoint большие количества документов.
•
Возможность выбора одного их нескольких шаблонов сайтов при создании нового сайта. Организации могут также создавать свои собственные шаблоны сайтов (например, с логотипом и цветовой схемой организации), чтобы установить уровень совместимости между различными типами сайтов в организации.
•
Возможность создания опросов и автоматического вычисления и предоставления результатов.
•
Дополнительные улучшения в процессе опроса. Теперь средство опроса поддерживает ответ на вопрос с помощью шкалы и возможность выбора пользователями всех ответов, которые могут соответствовать вопросу.
•
Везде, где на сайте службы Windows SharePoint появляется имя члена сайта, доступно меню присутствия пользователя. Меню присутствия интегрировано с Active Directory, Exchange и Windows Messenger для предоставления информации о местоположении офиса и состояния свободен/занят. Это меню можно использовать при планировании совещаний и посылке почтовых сообщений.
•
Командные обсуждения, которые можно разворачивать и сворачивать.
Служба Windows SharePoint Ãëàâà 36 •
1267
Если пользователь пытается обратиться к ресурсу, на доступ к которому у него нет прав, служба Windows SharePoint автоматически генерирует запрос владельцу ресурса на предоставление прав доступа к этому ресурсу. На рис. 36.13 показан пример автоматического запроса владельцу на разрешение доступа.
Ðèñ. 36.13. Cгенерированный SharePoint запрос на разрешение доступа к ресурсу
Íàñòðîéêà è ðàçðàáîòêà WSS-ñàéòîâ Служба Windows SharePoint содержит множество превосходных новых возможностей, облегчающих настройку с помощью интерфейса браузера. Это предоставляет непрограммистам механизм создания и настройки сайтов, удовлетворяющих их требованиям. Для разработчиков ниже приведен обзор технической структуры SharePoint. Служба Windows SharePoint построена на платформе .NET. Использование платформы .NET позволяет SharePoint ассимилировать информацию из различных систем в одно интегрированное решение. ASP.NET содержит много новых возможностей и является более надежной, безопасной и масштабируемой, чем ASP. Использование ASP.NET уменьшает объем кода, необходимого для написания схожих решений ASP. Серверная база данных SQL в SharePoint предоставляет доступ к внутренним компонентам базы данных, использующих стандартные средства. С точки зрения приложения интеграция с BizTalk предоставляет доступ к более чем 300 соединителям приложений через обращения к Web-службам. В службе Windows SharePoint сайты и списки можно сохранять в виде шаблонов в библиотеке шаблонов, сайтов или списков, а затем сделать их доступными для всех сайтов в коллекции. Кроме того, имеется библиотека для Web-частей, которую можно совместно использовать во всех сайтах коллекции. Подобные возможности обеспечивают среду для разработки полностью настраиваемых решений WSS. Дополнительные возможности настройки и разработки описаны в последующих разделах.
1268
Интегрированные службы приложений Windows ×àñòü XI
Íàñòðîéêà SharePoint ñ ïîìîùüþ áðàóçåðà Пользуясь браузером, можно добавить в бригадный сайт логотип, применить тему, модифицировать список или создать новую страницу Web-части. В бригадной службе SharePoint был шаблон, содержащий три “зоны” для помещения Web-частей и порождающий представление с тремя столбцами. В службе Windows SharePoint имеются дополнительные доступные для выбора раскладки зон, что делает настройку более дружественной к пользователю. Имеется новое средство — Web Part Tool Pane (Панель инструментов Web-частей) — позволяющее легко настраивать сайты. Это средство предоставляет следующие возможности: •
Перетаскивание с помощью мыши Web-части на страницу.
•
Настройка Web-части.
•
Изменение логотипа сайта домашней страницы.
Администратору сайта доступен контроль над поступлениями в библиотеки Webчастей и над тем, кто имеет доступ к библиотекам для добавления Web-частей в сайт. На рис. 36.14 продемонстрирована панель инструментов Web-частей с ее различными библиотеками Web-частей и возможностью отображения содержимого библиотеки.
Ðèñ. 36.14. Внешний вид панели инструментов Web-частей для доступа к библиотекам Web-частей
Óëó÷øåíèÿ ðàçðàáîòêè øàáëîíîâ ñàéòîâ Служба Windows SharePoint содержит несколько шаблонов, которые можно использовать при создании нового сайта. Каждый шаблон включает в себя набор возможностей из службы Windows SharePoint для удовлетворения отдельных потребностей в совместной работе. Существуют шаблоны для:
Служба Windows SharePoint Ãëàâà 36 •
Совместной работы над документами.
•
Бригадного сотрудничества.
•
Обычных совещаний.
•
Совещаний для принятия решений.
•
Социальных собраний.
•
Нескольких совещаний.
1269
Если эти шаблоны не удовлетворяют требованиям организации, можно быстро создать специальные шаблоны, применяя средства настройки браузера, используя FrontPage или другое средство Web-разработки, либо с помощью программирования. Например, если организация всегда помещает на домашнюю страницу логотип своей компании и использует специальные Web-части, уникальные для данной организации, она может сохранить сайт в виде шаблона, а затем при необходимости просто дублировать его с целью обеспечения совместимости и безопасности.
Óëó÷øåíèå èíòåãðàöèè ñ FrontPage 2003 В командной службе SharePoint было трудно модифицировать сайты SharePoint. FrontPage 2003 более тесно интегрирован со службой Windows SharePoint и полностью поддерживает Web-части, страницы Web-частей и зоны Web-частей. Это означает, что с помощью FrontPage 2003 можно добавлять или настраивать Web-части для удовлетворения требований организации по их внешнему виду и содержанию. Web-части перед опубликованием на сайте SharePoint можно просмотреть в FrontPage, что обеспечивает “аудит” для проверки, что изменения проведены так, как нужно. С помощью клиента FrontPage можно создавать резервные копии и восстанавливать сайты службы Windows SharePoint — эта весьма необходимая возможность отсутствовала в предыдущих версиях продукта. Другие возможности, предоставляемые FrontPage 2003, обеспечивают следующие моменты: •
Развертывание сайта в организации с помощью пакетов решений. Это предоставляет средства для реализации изменений и модификаций в организациях, имеющих несколько сайтов и серверов.
•
Поиск в библиотеках Web-частей непосредственно из FrontPage 2003. Это позволяет FrontPage 2003 быть полным средством редактирования для Web-страниц — в отличие от двухшагового процесса, в котором вначале Web-части добавлялись с помощью интерфейса WSS, а затем изменялись с помощью FrontPage.
•
Создание шаблонов списков и создание, редактирование и удаление отображений списков SharePoint. Для опытных пользователей FrontPage интерфейс SharePoint может быть неудобен для выполнения подобных функций. Следовательно, при создании шаблонов и управлении отображениями списков для этих пользователей более удобным может оказаться FrontPage.
•
Объединение Web-частей из нескольких страниц или одной и той же страницы для создания нового пользовательского интерфейса. Поскольку FrontPage является средством Web-разработки, то он содержит больше возможностей и более
1270
Интегрированные службы приложений Windows ×àñòü XI
гибок, чем SharePoint, поэтому для более полной настройки доступны и эти возможности. •
Использование новой Web-части отображения данных XSL, доставляющей на сайты SharePoint данные из внешних источников. Это замечательная новая возможность интеграции, свидетельствующая о стремлении Microsoft к действительно интегрированному решению Office.
Ðåçþìå Служба Windows SharePoint является отличным способом расширения возможностей и без того мощной операционной системы Windows Server 2003. Инсталляция WSS позволяет серверу стать системой управления документами и совместной работой уровня предприятий. Улучшенные возможности, присутствующие в WSS, и тесная интеграция с Microsoft Office 2003 позволяет организациям быстро улучшить производительность и качество своей работы. Кроме того, масштабируемость WSS и ее построение на основе надежной базы данных Microsoft SQL 2000 является мощным стимулом для развертывания и применения технологии WSS.
Ïðàêòè÷åñêèå ñîâåòû •
Подумайте о применении полной версии SQL Server 2000 для реализаций WSS с более чем 10 сайтами.
•
Как можно реже пользуйтесь возможностью хранению версий документов в библиотеках документов WSS, чтобы базы данных SQL не слишком разрастались.
•
Поддерживайте современное состояние сервера WSS с помощью всех исправлений и обновлений Windows Server 2003 и SQL Server 2000 для уменьшения риска атак или неверной работы.
•
Разверните серверы (или один сервер) WSS, заменяющие файловые серверы для хранения документов, чтобы воспользоваться новыми интегрированными преимуществами предоставляемых WSS возможностей по управлению документами.
•
Не допускайте увеличения количества виртуальных серверов, созданных на один сервер WSS, свыше 10, дабы избежать снижения производительности.
•
Используйте FrontPage 2003 для предоставления расширенного администрирования, сопровождения сайтов и возможностей резервного копирования и восстановления.
•
Используйте полное приложение SharePoint Portal Server, если нужно добавить в сайты WSS средства управления и организации на уровне предприятия, либо для объединения информации из различных систем в централизованный портал.
Ñëóæáà Windows Media
 ÝÒÎÉ ÃËÀÂÅ... •
Çíàêîìñòâî ñî ñëóæáîé Windows Media
•
Èñïîëüçîâàíèå ñëóæáû Windows Media äëÿ ïðÿìûõ òðàíñëÿöèé â ðåàëüíîì âðåìåíè
•
Òðàíñëÿöèÿ õðàíèìûõ îòäåëüíûõ ôàéëîâ
•
Ðàçìåùåíèå êàòàëîãà âèäåîôàéëîâ äëÿ âîñïðîèçâåäåíèÿ ïî òðåáîâàíèþ
•
Îáúåäèíåíèå íåñêîëüêèõ ôàéëîâ â îäíó ñîâìåñòíóþ òðàíñëÿöèþ
•
Êîäåð ìåäèàäàííûõ Windows
•
Ïðÿìàÿ òðàíñëÿöèÿ ñîáûòèÿ
•
Çàõâàò àóäèî- èëè âèäåîäàííûõ äëÿ âîñïðîèçâåäåíèÿ â áóäóùåì
•
Èñïîëüçîâàíèå äðóãèõ îïöèé êîäåðà ìåäèàäàííûõ Windows
•
Èñïîëüçîâàíèå Microsoft Producer äëÿ ñîçäàíèÿ ñëîæíûõ ïðåçåíòàöèé
ÃËÀÂÀ
37
1272
Интегрированные службы приложений Windows ×àñòü XI
Много лет назад слово данные означало текстовые файлы, электронные таблицы или другие текстовые документы. Однако позднее данные стали означать и такие форматы, как видео- и аудиофайлы. В отличие от текстовых файлов с относительно небольшими размерами в 100 или 250 Кб, аудио- и видеофайлы имеют объем от 3–5 Мб до сотен мегабайтов. Поскольку эти типы файлов требуют гораздо больших объемов памяти, организации уже не могут просто помещать эти файлы на файловые серверы, чтобы пользователи могли сохранять их и обращаться к ним. Эти файлы необходимо хранить и управлять ими с помощью медиасерверов с возможностью управления требованиями к пропускной способности, чтобы минимизировать недоступность пропускной способности сети организации. Компания Microsoft предоставляет несколько средств, помогающих пользователям и администраторам управлять видео- и аудиоданными. Для серверного компонента в состав Windows Server 2003 входит служба Microsoft Windows Media Service, которая имеет возможность захвата и опубликования видео- и аудиоданных. Microsoft предоставляет два главных средства (оба доступны для бесплатной загрузки), выполняющих преобразование медиаданных (Windows Media Encoder), а также настройку данных для презентаций (Microsoft Producer for PowerPoint 2003). В этой главе рассматриваются оба серверных компонента Windows Media, а также доступные для загрузки средства, предоставляющие возможности редактирования и опубликования для пользователей и администраторов.
Çíàêîìñòâî ñî ñëóæáîé Windows Media Служба Windows Media представляет собой компонент, встроенный в операционную систему Windows Server 2003. Служба Windows Media позволяет администраторам организации организовывать видео- и аудиофайлы, предназначенные для опубликования другим пользователям. Функция опубликования устанавливает полосу пропускания, которая будет использована во время распространения файлов, управляет количеством пользователей, одновременно обращающихся к аудио- и видеофайлам, и управляет общими запросами к полосе пропускания функций службы Windows Media. Правильно сконфигурировав и оптимизировав функции служб Windows Media, организация может свести к минимуму излишние требования на распространение служб Windows Media в сети. Потребуется принять решения, будет ли распространение: •
прямой широковещательной передачей в реальном времени;
•
отдельными широковещательными передачами;
•
несколькими файлами, объединенными в одну широковещательную передачу;
•
несколькими файлами в одном каталоге для выборочного широковещания.
Различные варианты опубликования рассматриваются на протяжении этой главы в практических советах, рекомендациях и приемах по конфигурированию и реализации службы опубликования, предназначенных для удовлетворения различным требованиям к опубликованию в организации.
Служба Windows Media Ãëàâà 37
1273
Ñèñòåìíûå òðåáîâàíèÿ äëÿ ñëóæáû Windows Media Помимо требований системы Windows Server 2003 (Standard Edition, Enterprise Edition или Datacenter Edition), основные требования для службы Windows Media выглядят следующим образом: •
Процессор с частотой 550 МГц.
•
Оперативная память 1 Гб.
•
Сетевой Ethernet-адаптер, работающий с TCP/IP.
•
521 Мб свободной дисковой памяти (6 Мб для системных файлов, 15 Мб для инсталляционных файлов и минимум 500 Мб для хранения данных).
НА ЗАМЕТКУ Некоторые возможности, например, функциональность однонаправленной доставки информации (Multicast Content Delivery), требуют для своей работы, чтобы служба Windows Media была установлена на Windows Server 2003 версии Datacenter Edition.
Главное для системы службы Windows Media — иметь достаточно мощный процессор для обработки запросов на медиапотоки, достаточный объем ОЗУ для кэширования медиапотоков и достаточный объем дисковой памяти для хранения совместно используемых и публикуемых видеофайлов.
CОВЕТ Для повышения производительности системы службы Windows Media можно разместить операционную систему и файлы программ на одном диске, а видеофайлы — на другом, что отделит обычные процессы сервера от чтения и записи видеофайлов. Кроме того, применение наборов дисков с чередованием вместе с мощным кэшем контроллера жесткого диска сможет улучшить и последовательные, и параллельные запросы на чтение/запись видеофайлов.
Òåñòèðîâàíèå íàãðóçêè íà ñëóæáó Windows Media Для организаций, желающих протестировать нагрузку реальных запросов к медиасерверу Windows на чтение/запись видеоданных, Microsoft предоставляет средство эмуляции нагрузки — эмулятор загрузки медиаданных Windows (Windows Media Load Simulator) для службы Windows Media ряда 9. Это средство доступно для свободной загрузки с Web-сайта Microsoft по адресу http://www.microsoft.com/windows/windowsmedia/9series/server/loadsim.aspx После загрузки средства эмуляции нагрузки его можно установить, запустив программу wmloadsetup.exe. Сначала будет выдан запрос на предмет принятия условий лицензионного соглашения для этой программы. После щелчка на кнопке Yes (Да) начинается установка средства. После инсталляции появится вопрос, хотите ли вы запустить программу эмуляции нагрузки. Если вы щелкнете на кнопке Yes, запустится эмулятор. Если вы предпочтете запустить эмулятор позднее, то эту программу можно запустить, выбрав в меню Start (Пуск) пункт All ProgramsÖWindows Media Load Simulator (Все про-
1274
Интегрированные службы приложений Windows ×àñòü XI
граммыÖЭмулятор нагрузки медиаданных Windows), а затем щелкнув на пиктограмме Windows Media Load Simulator (Эмулятор нагрузки медиаданных Windows). После появления окна эмулятора нагрузки перейдите на страницу Properties (Свойства), чтобы ввести нужные параметры для тестирования видеонагрузки на медиасервер Windows. Параметры конфигурации свойств должны быть похожи на показанные на рис. 37.1. После выбора свойств щелкните на кнопке Start Test (Начать тестирование), чтобы начать процесс эмуляции.
Ðèñ. 37.1. Страница свойств средства эмуляции нагрузки НА ЗАМЕТКУ Хотя программа эмуляции называется эмулятором нагрузки, на самом деле производится чтение и запись информации на рабочем медиасервере Windows. В отличие от некоторых эмуляторов нагрузки, эмулирующих даже действия сервера, эмулятор нагрузки медиаданных Windows для службы Windows Media ряда 9 на самом деле работает на полностью функционирующем сервере. Это обеспечивает реальные транзакции для тестирования аппаратного и программного обеспечения и виды трафика LAN/WAN для целей тестирования.
Óñòàíîâêà ñëóæáû Windows Media Поскольку служба Windows Media входят в состав операционной системы Windows Server 2003, процесс инсталляции просто добавляет компонент службы Windows Media. Для инсталляции компонента в существующей системе Windows Server 2003 выполните следующие шаги: 1. Выберите в меню Start пункт SettingsÖControl Panel (НастройкиÖПанель управления), а затем дважды щелкните на пиктограмме Add/Remove Programs (Установка и удаление программ).
Служба Windows Media Ãëàâà 37
1275
2. Щелкните на пиктограмме Add/Remove Windows Components (Установка компонентов Windows), найдите раздел Windows Media Services (Служба Windows Media) и отметьте требуемый пункт. Щелкните на кнопке Next (Далее), чтобы начать инсталляцию компонентов, а по завершении инсталляции щелкните на кнопке Finished (Готово).
Êîíôèãóðèðîâàíèå ñëóæáû Windows Media После инсталляции службы Windows Media настроены на автоматический запуск. Следующим шагом должно быть конфигурирование службы Windows Media, чтобы удовлетворить требованиям организации к опубликованию видео- и аудио данных. Для этого запустите средство администрирования MMC Windows Media Services, выбрав в меню Start пункт All ProgramsÖAdministrative ToolsÖWindows Media Services (Все программыÖАдминистрированиеÖСлужба Windows Media). Появится экран, похожий на приведенный на рис. 37.2.
Ðèñ. 37.2. Средство администрирования MMC службы Windows Media
Èñïîëüçîâàíèå ñëóæáû Windows Media äëÿ ïðÿìûõ òðàíñëÿöèé â ðåàëüíîì âðåìåíè Сервер службы Windows Media можно использовать в качестве хоста для трансляции видеоданных в реальном масштабе времени. Присоединив камеру к серверу трансляции, можно захватывать видеоданные и публиковать их для нескольких пользователей. Прямые видеотрансляции в реальном времени обычно используют-
1276
Интегрированные службы приложений Windows ×àñòü XI
ся организациями для выпуска пресс-релизов или объявлений, распределенных трансляций сеансов конференций или обучающих уроков, либо видеопубликации совещаний компании.
Êîíôèãóðèðîâàíèå ñåðâåðà äëÿ ïðÿìûõ òðàíñëÿöèé â ðåàëüíîì âðåìåíè Чтобы сконфигурировать медиасервер Windows для прямых трансляций в реальном времени, необходимо настроить точку публикации для прямого обмена данными. Процесс конфигурации выполняется следующим образом: 1. В оснастке Windows Media Services MMC щелкните правой кнопкой мыши на элементе Publishing Points (Точки опубликования) в дереве навигации и выберите в контекстном меню пункт Add Publishing Point (Wizard) (Добавить точку опубликования (мастер)). 2. Пропустите экран приветствия мастера, щелкнув на кнопке Next. 3. Введите имя точки опубликования, описывающее функцию. В случае прямой трансляции можно выбрать что-нибудь вроде “Производственное совещание компании 13-01-05”. Щелкните на кнопке Next.
НА ЗАМЕТКУ Имя точки опубликования не должно содержать специальных символов, подобных <, >, \, ?, %, &, ', #, ", {, }, [, ] и *. Эти символы будут мешать успешной публикации трансляции через Internet.
4. Выберите пункт Encoder (A Live Stream) (Кодер (прямой поток)) и щелкните на кнопке Next. 5. Выберите пункт Broadcast Publishing Point (Точка опубликования трансляции) и щелкните на кнопке Next. 6. Выберите в качестве опции доставки Unicast (Однонаправленная) или Multicast (Широковещательная) для точки опубликования трансляции, а затем щелкните на кнопке Next.
Îäíîíàïðàâëåííàÿ èëè øèðîêîâåùàòåëüíàÿ? Опция однонаправленной доставки устанавливает видеопоток “один к одному” между медиасервером Windows и каждой клиентской системой, а опция широковещательной доставки передает один видеопоток, доступный одновременно нескольким пользователям. Метод однонаправленной доставки проще сконфигурировать и, скорее всего, он будет работать, не требуя существенных изменений в сетевой инфраструктуре (конфигурация маршрутизаторов, брандмауэров и системы). Однако однонаправленная доставка является средой, существенно загружающей полосу пропускания. Поскольку каждый сеанс связи клиента с сервером представляет собой отдельный видеопоток, трансляция на 10 пользователей означает 10 видеопотоков от сервера к клиентам, а трансляция на 100 пользователей запустит 100 видеопотоков от сервера к клиентам.
Служба Windows Media Ãëàâà 37
1277
Для относительно небольшой среды медиасервера Windows однонаправленную доставку легче реализовать, но внимательно обдумайте применение однонаправленной доставки в больших или широко распространенных средах. Широковещательный метод доставки посылает в сеть один видеопоток, доступный одновременно нескольким клиентским системам. При использовании потока широковещательной доставки неважно — нужен ли доступ к системе 10 или 100 пользователям — в любом случае выполняется лишь одна трансляция. Однако для работы широковещательной доставки необходимо сконфигурировать маршрутизаторы, чтобы они поддерживали широковещательную маршрутизацию. Клиентские системы, получающие широковещательные трансляции, должны работать под управлением Windows 2000, Windows XP Professional или Windows Server 2003. Дополнительным аргументом при выборе между методами однонаправленной и широковещательной доставки является предполагаемое количество клиентов, которое будут подключаться к потоку трансляции, и варианты клиентских конфигураций. Если важна совместимость для приема трансляций от различных систем, а количество подключений к потоку трансляций ограничено, то однонаправленный метод обеспечит лучшую совместимость. Если организация управляет конфигурациями настольных компьютеров и уверена, что клиентские системы могут принимать широковещательные трансляции, а организация транслирует видеоинформацию, предназначенную для многих пользователей, то метод широковещательной доставки снизит требование к пропускной способности сети. 7. Введите URL-адрес кодера. Обычно это имя медиасервера Windows — наподобие http://server или http://media.companyabc.com — в зависимости от того, включено ли имя сервера в DNS. Щелкните на кнопке Next. 8. Отметьте флажок Enable Logging (Включить запись в журнал), если вы хотите регистрировать события медиаданных, и щелкните на кнопке Next. 9. На следующем экране будет показана сводка данных по создаваемой точке опубликования, похожая на приведенную на рис. 37.3. Можно выбрать запуск точки опубликования после окончания работы мастера. Если вы хотите перехватывать и архивировать события прямой трансляции, установите флажок Start Archiving When Publishing Point Starts (Запуск архивирования при запуске точки опубликования). Щелкните на кнопке Next. 10. Перед завершением работы мастера опубликования будет предложен на выбор один из трех вариантов создания файла: • Create an Announcement File (.asx) or Web Page (.htm) (Создание файла объявления (.asx) или Web-страницы (.htm)). Файл объявления похож на файл приглашения, с помощью которого можно извещать пользователей об ожидаемых прямых трансляциях или доступности сеансов воспроизведения видеоданных по требованию. • Create a Wrapper Playlist (.wsx) (Создание списка воспроизведения оболочки (.wsx)). Список воспроизведения оболочки представляет собой данные, которые можно добавить в начало или конец трансляции. Примером списка воспроизведения оболочки могут быть начальные или завершающие сообщения, объявления или идентификация трансляции.
1278 •
Интегрированные службы приложений Windows ×àñòü XI Create a Wrapper Playlist (.wsx) and Announcement File (.asx) or Web Page (.htm) (Создание списка воспроизведения оболочки (.wsx) и файла объявления (.asx) или Web-страницы (.htm)). Выбор этой опции запускает оба мастера — файла объявления и списка воспроизведения оболочки — для создания приглашения, а также возможности добавления информации в начало или конец трансляции.
Выберите один из этих трех вариантов либо сбросьте флажок After the Wizard Finishes (После завершения мастера), если вам не нужен ни один из них. После этого щелкните на кнопке Finish.
Ðèñ. 37.3. Сводка по создаваемой точке опубликования
Çàïóñê ïðÿìîé òðàíñëÿöèè â ðåàëüíîì âðåìåíè Прямая трансляция может быть запущена сразу же или в более позднее время. Многие организации создают точку опубликования прямой трансляции и тестируют сеанс, дабы удостовериться, что он работает нормально. Вот некоторые аспекты, которые важно проверить: проверка доступности камеры и освещения, проверка работы микрофона и проверка приемлемости качества и громкости звука. После тестирования прямой трансляции сеанс можно прекратить и запустить во время прямой трансляции. Для запуска трансляции щелкните правой кнопкой мыши на точке опубликования и выберите в контекстном меню пункт Start (Запустить), как показано на рис. 37.4. После завершения трансляции щелчок на кнопке Stop (Остановить) прекращает сеанс трансляции.
Òðàíñëÿöèÿ õðàíèìûõ îòäåëüíûõ ôàéëîâ Система службы Windows Media может быть настроена как хост для трансляции отдельного видеофайла. Трансляция отдельного видеофайла обычно настраивается по требованию (on-demand), что означает, что воспроизведение видеофайла запрашива-
Служба Windows Media Ãëàâà 37
1279
ется пользователем. Воспроизведения видеофайлов по требованию обычно используются для просмотра таких видеофайлов, как обучающие уроки или записанные совещания или презентации.
Ðèñ. 37.4. Запуск точки опубликования
Êîíôèãóðèðîâàíèå ñåðâåðà äëÿ îäèíî÷íîãî âîñïðîèçâåäåíèÿ âèäåîôàéëîâ ïî òðåáîâàíèþ Чтобы настроить медиасервер Windows на трансляции воспроизведения видеофайлов по требованию, необходимо сконфигурировать точку опубликования для обмена данными по требованию. Процесс конфигурации выглядит следующим образом: 1. В оснастке Windows Media Services MMC щелкните правой кнопкой мыши на элементе Publishing Points в дереве навигации и выберите в контекстном меню пункт Add Publishing Point (Wizard). 2. Пропустите экран приветствия мастера, щелкнув на кнопке Next. 3. Введите имя точки опубликования, описывающее функцию. В случае трансляции одного файла по требованию можно выбрать что-нибудь вроде “Совещание компании 14-01-05”. Щелкните на кнопке Next.
НА ЗАМЕТКУ Имя точки опубликования не должно содержать специальных символов наподобие <, >, \, ?, %, &, ', #, ", {, }, [, ] и *. Эти символы будут мешать успешному опубликованию трансляции через Internet.
4. Выберите пункт One File (Useful for a Broadcast of an Archived File) (Один файл (удобно для трансляции архивного файла)) и щелкните на кнопке Next.
1280
Интегрированные службы приложений Windows ×àñòü XI
5. Выберите один из вариантов — Broadcast Publishing Point (Точка опубликования трансляции) или On-Demand Publishing Point (Точка опубликования по требованию) — и щелкните на кнопке Next.
Øèðîêîâåùàòåëüíîå îïóáëèêîâàíèå èëè îïóáëèêîâàíèå ïî òðåáîâàíèþ? Широковещательное опубликование (опубликование трансляции) представляет собой процесс помещения публикации видеоданных в расписание, по аналогии с телевизионной программой. При этом заранее задается время, когда будет выполняться воспроизведение хранимого видеофайла. Это можно применять в среде, в которой в специально установленное время дня воспроизводятся обучающие видеофильмы для просмотра их работниками. Опубликование по требованию является процессом, когда отдельное лицо запрашивает воспроизведение видеофайла. Это предоставляет пользователям гибкость при решении, когда просматривать этот файл. Поскольку все сеансы видеопросмотра по требованию независимы, то невозможно воспользоваться преимуществами широковещательного сеанса, так как видеофайл просматривается индивидуально. Следовательно, вариант доставки по умолчанию для видеофайлов, опубликованных по требованию — однонаправленный, а широковещательный вариант не поддерживается. Поскольку при выборе видеофайлов, опубликованных для трансляции, вероятно, что несколько пользователей одновременно запросят трансляцию, организация может выбрать широковещательную трансляцию видеофайлов, если удаленные клиентские системы и сетевая инфраструктура поддерживают широковещательную маршрутизацию видеоданных. При широковещательной доставке опция Enable Unicast Rollover (Включить преобразование в однонаправленную передачу) обеспечивает поток однонаправленной доставки, если удаленный клиент не поддерживает широковещательных трансляций. Теперь то, что было выбрано на шаге 5 — точка опубликования трансляции или точка опубликования по требованию — определяет опции, доступные в остальных шагах мастера. Если на шаге 5 выбрана точка опубликования по требованию, то вам нужно будет либо добавить новую точку опубликования (что вернет мастер на шаг 2), либо вы можете выбрать Use an Existing Publishing Point (Использовать существующую точку опубликования), а затем щелкнуть на кнопке Next, чтобы завершить работу с точкой опубликования файла по требованию. Если на шаге 5 вы выбрали точку опубликования трансляции, то вам потребуется выбрать другие варианты. 1. Выберите опцию доставки — Unicast или Multicast — для точки опубликования трансляции, а затем щелкните на кнопке Next. 2. После этого нужно указать имя публикуемого файла. Выберите этот файл и щелкните на кнопке Next. 3. Отметьте пункт Enable Logging, если вы хотите регистрировать события медиаданных, и щелкните на кнопке Next.
Служба Windows Media Ãëàâà 37
1281
4. На следующем экране будет показана сводка данных по создаваемой точке опубликования, схожая с приведенной на рис. 37.3. Можно выбрать запуск точки опубликования после окончания работы мастера. Если вы хотите перехватывать и архивировать события прямой трансляции, установите флажок Start Archiving When Publishing Point Starts. Щелкните на кнопке Next. 5. Перед завершением работы мастера опубликования вам будет предложен на выбор один из трех вариантов создания файла: •
Create an Announcement File (.asx) or Web Page (.htm). Файл объявления похож на файл приглашения, с помощью которого можно извещать пользователей об ожидаемых прямых трансляциях или доступности сеансов воспроизведения видеоданных по требованию.
•
Create a Wrapper Playlist (.wsx). Список воспроизведения оболочки представляет собой данные, которые можно добавить в начало или конец трансляции. Примером списка воспроизведения оболочки могут быть начальные или завершающие сообщения, объявления или идентификация трансляции.
•
Create a Wrapper Playlist (.wsx) and Announcement File (.asx) or Web Page (.htm). Выбор этой опции запускает оба мастера — файла объявления и списка воспроизведения оболочки — для создания приглашения, а также возможности добавления информации в начало или конец трансляции.
Выберите один из этих трех вариантов либо сбросьте флажок After the Wizard Finishes, если вам не нужен ни один из них. После этого щелкните на кнопке Finish.
Çàïóñê òî÷êè îïóáëèêîâàíèÿ îäíîãî ôàéëà Точка опубликования одного файла может быть запущена сразу же или в более позднее время. Если трансляция назначена на другое время, то обычно точки опубликования одного файла запускаются сразу же, чтобы они были доступны в любое время. Тестирование точки опубликования файла позволяет проверить правильную работу процесса сеанса. Вот некоторые аспекты, которые важно проверить: проверка доступности камеры и освещения, проверка работы микрофона и проверка приемлемости качества и громкости звука.
Ðàçìåùåíèå êàòàëîãà âèäåîôàéëîâ äëÿ âîñïðîèçâåäåíèÿ ïî òðåáîâàíèþ Если организация желает опубликовать целый каталог файлов, то медиасервер Windows можно сконфигурировать на опубликование нескольких видеофайлов. Размещение каталога видеофайлов обычно ведется для воспроизведения по требованию, чтобы пользователи имели доступ к нескольким файлам. Если при трансляции одного файла с точкой опубликования связан один файл, то размещение каталога устраняет необходимость в выборочном опубликовании каждого файла. Вместо этого публикуется каталог, и файлы можно просто копировать в этот каталог, а пользователи могут запрашивать их.
1282
Интегрированные службы приложений Windows ×àñòü XI
Íàñòðîéêà ñåðâåðà íà ðàõìåùåíèå êàòàëîãà âîñïðîèçâîäèìûõ âèäåîôàéëîâ Чтобы сконфигурировать медиасервер Windows на воспроизведение по требованию любого файла из каталога сервера, потребуется сконфигурировать точку опубликования для публикации каталога файлов. Процесс конфигурации сводится к выполнению перечисленных ниже действий. 1. В оснастке Windows Media Services MMC щелкните правой кнопкой мыши на элементе Publishing Points в дереве навигации и выберите в контекстном меню пункт Add Publishing Point (Wizard). 2. Пропустите экран приветствия мастера, щелкнув на кнопке Next. 3. Введите имя точки опубликования, описывающее функцию. В случае трансляции каталога файлов можно выбрать что-нибудь вроде “Обучающие файлы компании”. Щелкните на кнопке Next.
НА ЗАМЕТКУ Имя точки опубликования не должно содержать специальных символов наподобие <, >, \, ?, %, &, ', #, ", {, }, [, ] и *. Эти символы будут мешать успешному опубликованию трансляции через Internet.
4. Выберите опцию Files (Digital Media Playlists) in a Directory (Useful for Providing Access for On-Demand Playback Through a Single Publishing Point) (Файлы (списки воспроизведения цифровых медиаданных) в каталоге (удобно для обеспечения доступа для воспроизведения по требованию через одну точку опубликования)) и щелкните на кнопке Next. 5. Выберите один из вариантов: Broadcast Publishing Point или On-Demand Publishing Point. Для принятия решения относительно точки опубликования обратитесь к врезке “Широковещательное опубликование или опубликование по требованию?”. Щелкните на кнопке Next. Теперь то, что было выбрано на шаге 5 — точка опубликования трансляции или точка опубликования по требованию — определяет опции, доступные в остальных шагах мастера. Если на шаге 5 была выбрана точка опубликования по требованию, будет задано несколько вопросов: 1. Потребуется ввести имя каталога, в котором будут храниться опубликованные файлы. Можно также указать доступ к подкаталогу с помощью обобщенных символов (wildcards). Щелкните на кнопке Next. 2. Выбор режима воспроизведения позволяет зацикливать видеофильмы, тасовать их, либо выполнять и то, и другое, либо ничего. Выберите нужный режим и щелкните на кнопке Next.
Служба Windows Media Ãëàâà 37
1283
Çàöèêëèâàíèå, òàñîâàíèå, òî è äðóãîå èëè íè÷åãî Зацикливание (looping) видеофильмов означает, что по завершении фильма он продолжает воспроизведение с начала. Это удобный вариант для киосков и других общедоступных систем, в которых видеофильм повторяется снова и снова. Тасование (shuffle) означает, что для воспроизведения будет выбираться случайный видеофайл из каталога. Этот вариант предоставляет организации возможность выбора отображаемых потоковых файлов. Это может оказаться весьма удобным вариантом для рекламных объявлений или систем в публичных киосках. Однако процесс тасования воспроизводит в случайном порядке видеофайлы из каталога только один раз. Воспроизведение завершается после показа всех файлов. Если выбраны и зацикливание, и тасование, то видеофайлы из каталога будут бесконечно воспроизводиться в случайном порядке. Это наилучший вариант для организаций, которые хотят постоянно показывать различные видеофайлы. Можно также не выбирать ни один из упомянутых вариантов. Это наилучший выбор для публикации и воспроизведения по требованию любого видеофайла из каталога. Видеофайлы выбираются отдельно и воспроизводятся один раз. После завершения воспроизведение прекращается и позволяет пользователю выбрать воспроизведение другого файла. 3. Выберите опцию Enable Logging, если вы хотите регистрировать события видеоданных, а затем щелкните на кнопке Next. 4. На следующем экране будет показана сводка данных по создаваемой точке опубликования. Можно выбрать запуск точки опубликования после окончания работы мастера. Если вы хотите перехватывать и архивировать события прямой трансляции, установите флажок Start Archiving When Publishing Point Starts. Щелкните на кнопке Next. Если на шаге 5 была выбрана точка опубликования трансляции, потребуется выбрать несколько других опций: 1. Выберите опцию доставки — Unicast или Multicast — для точки опубликования трансляции, а затем щелкните на кнопке Next. 2. После этого необходимо указать имя публикуемого файла. Выберите этот файл и щелкните на кнопке Next. 3. При выборе воспроизводимых данных можно указать возможность зацикливания видеофайлов, тасования, того и другого или ничего. Выберите нужный режим и щелкните на кнопке Next. 4. Отметьте пункт Enable Logging, если вы хотите регистрировать события медиаданных, и щелкните на кнопке Next. 5. На следующем экране будет показана сводка данных по создаваемой точке опубликования, как показано на рис. 37.5. Можно выбрать запуск точки опубликования после окончания работы мастера. Если вы хотите перехватывать и архивировать события прямой трансляции, установите флажок Start Archiving When Publishing Point Starts. Щелкните на кнопке Next.
1284
Интегрированные службы приложений Windows ×àñòü XI
Ðèñ. 37.5. Просмотр сводки данных о точке опубликования каталога Независимо от выбора опубликования трансляции или по требованию перед завершением работы мастера опубликования вам будет предложен на выбор один из трех вариантов создания файла: •
Create an Announcement File (.asx) or Web Page (.htm). Файл объявления похож на файл приглашения, с помощью которого можно извещать пользователей об ожидаемых прямых трансляциях или доступности сеансов воспроизведения видеоданных по требованию.
•
Create a Wrapper Playlist (.wsx). Список воспроизведения оболочки представляет собой данные, которые можно добавить в начало или конец трансляции. Примером списка воспроизведения оболочки могут быть начальные или завершающие сообщения, объявления или идентификация трансляции.
•
Create a Wrapper Playlist (.wsx) and Announcement File (.asx) or Web Page (.htm). Выбор этой опции запускает оба мастера — файла объявления и списка воспроизведения оболочки — для создания приглашения, а также возможности добавления информации в начало или конец трансляции.
Выберите один из этих трех вариантов либо сбросьте флажок After the Wizard Finishes, если вам не нужен ни один из них. После этого щелкните на кнопке Finish.
Çàïóñê ôàéëà èç òî÷êè îïóáëèêîâàíèÿ êàòàëîãà Из точки опубликования каталога можно просмотреть один файл. В зависимости от выбранного варианта пользователь просто вводит URL-адрес точки опубликования каталога (например, mms://media.companyabc.com/pubpoint/), а за ним имя отдельного файла из этого каталога (вроде training-jan-21.wmv). Полный URL-адрес будет таким: mms://media.companyabc.com/pubpoint/training-jan-21.wmv. Преимущество точки опубликования каталога состоит в том, что администратор медиаданных может просто копировать в каталог дополнительные файлы, а первоначальный URL-адрес ката-
Служба Windows Media Ãëàâà 37
1285
лога точки опубликования остается одним и тем же — для каждого файла меняется лишь его имя. Можно также создать единую точку опубликования без необходимости публикации файлов по отдельности.
Îáúåäèíåíèå íåñêîëüêèõ ôàéëîâ â îäíó ñîâìåñòíóþ òðàíñëÿöèþ Бывают случаи, когда администратору трансляций необходимо объединить несколько медиафайлов, но у него есть возможность опубликования только одного видеопотока. Тогда отдельные медиафайлы добавляются в список воспроизведения, а затем опубликовывается этот список воспроизведения; при этом одна точка опубликования воспроизводит весь список файлов. Концепция списка воспроизведения часто применяется в отношении аудиофайлов, когда составляется список музыкальных файлов, но распространяется только один поток. Либо файл со списком воспроизведения можно постоянно обновлять, чтобы включать в него новые медиафайлы, требующие публикации и распространения. Преимуществом создания списка воспроизведения и объединения данных в одну трансляцию является возможность создания лишь одной точки трансляции, доставляющей пользователям несколько файлов.
Êîíôèãóðèðîâàíèå ñåðâåðà äëÿ òðàíñëÿöèè ñïèñêà âîñïðîèçâåäåíèÿ íåñêîëüêèõ ôàéëîâ Чтобы настроить медиасервер Windows на трансляцию нескольких файлов в одном потоке, потребуется сконфигурировать точку опубликования для трансляции списка воспроизведения. Процесс конфигурации выглядит следующим образом: 1. В оснастке Windows Media Services MMC щелкните правой кнопкой мыши на элементе Publishing Points в дереве навигации и выберите в контекстном меню пункт Add Publishing Point (Wizard). 2. Пропустите экран приветствия мастера, щелкнув на кнопке Next. 3. Введите имя точки опубликования, описывающее функцию. В случае трансляции списка воспроизведения нескольких файлов можно выбрать что-нибудь вроде “Список воспроизведения материалов конференции”. Щелкните на кнопке Next.
НА ЗАМЕТКУ Имя точки опубликования не должно содержать специальных символов наподобие <, >, \, ?, %, &, ', #, ", {, }, [, ] и *. Эти символы будут мешать успешному опубликованию трансляции через Internet.
4. Выберите опцию Playlist (a Mix of Files and/or Live Streams That You Combine into a Continuous Stream) (Список воспроизведения (список файлов и/или прямых потоков, комбинируемых в непрерывный поток)) и щелкните на кнопке Next. 5. Выберите один из вариантов: Broadcast Publishing Point или On-Demand Publishing Point. Для принятия решения относительно точки опубликования обратитесь к врезке “Широковещательное опубликование или опубликование по требованию?”. Щелкните на кнопке Next.
1286
Интегрированные службы приложений Windows ×àñòü XI
Теперь то, что было выбрано на шаге 5 — точка опубликования трансляции или точка опубликования по требованию — определяет опции, доступные в остальных шагах мастера. Если на шаге 5 выбрана точка опубликования по требованию, нужно ответить на несколько вопросов: 1. Необходимо ответить, хотите ли вы добавить новую точку опубликования (или список воспроизведения) — обычно это требуется. Выберите пункт Add a New Publishing Point и щелкните на кнопке Next. 2. Далее следует вести имя списка воспроизведения, в котором будут перечислены опубликованные файлы. Введите имя существующего списка или выберите опцию Create a New Playlist (Создать новый список). Щелкните на кнопке Next. 3. Если было выбрано создание нового списка, вам будет предложено добавить медиафайлы и объявления в свой файл со списком воспроизведения, как показано на рис. 37.6. Щелкните на кнопке Next.
Ðèñ. 37.6. Выбор медиафайлов, добавляемых в список воспроизведения 4. Введите имя списка воспроизведения и щелкните на кнопке Next. 5. Выбор режима воспроизведения позволяет зацикливать видеофильмы, тасовать их, либо выполнять и то, и другое, либо ничего. Дополнительная информация по этим опциям приведена ранее в данной главе во врезке “Зацикливание, тасование, то и другое или ничего”. Щелкните на кнопке Next. 6. Отметьте пункт Enable Logging, если вы хотите регистрировать события медиаданных, и щелкните на кнопке Next. 7. На следующем экране будет показана сводка данных по создаваемой точке опубликования, как показано на рис. 37.5. Можно выбрать запуск точки опубликования после окончания работы мастера. Если вы хотите перехватывать и ар-
Служба Windows Media Ãëàâà 37
1287
хивировать события прямой трансляции, то установите флажок Start Archiving When Publishing Point Starts. Щелкните на кнопке Next. Если вы выбрали опцию точки опубликования трансляции, вам будут заданы другие вопросы: 1. Выберите опцию доставки — Unicast или Multicast — для точки опубликования трансляции, а затем щелкните на кнопке Next. 2. Если было выбрано создание нового списка опубликования, будет предложено добавить в файл вашего списка медиаданные и объявления. Щелкните на кнопке Next. 3. Введите имя списка воспроизведения и щелкните на кнопке Next. 4. При выборе воспроизводимых данных можно указать возможность зацикливания видеофайлов, тасования, того и другого или ничего. Дополнительная информация по этим опциям приведена ранее в данной главе во врезке “Зацикливание, тасование, то и другое или ничего”. Щелкните на кнопке Next. 5. Отметьте пункт Enable Logging, если вы хотите регистрировать события медиаданных, и щелкните на кнопке Next. 6. На следующем экране будет показана сводка данных по создаваемой точке опубликования, как показано на рис. 37.5. Можно выбрать запуск точки опубликования после окончания работы мастера. Если вы хотите перехватывать и архивировать события прямой трансляции, установите флажок Start Archiving When Publishing Point Starts. Щелкните на кнопке Next. Независимо от выбора опубликования трансляции или по требованию перед завершением работы мастера опубликования будет предложен на выбор один из трех вариантов создания файла: •
Create an Announcement File (.asx) or Web Page (.htm). Файл объявления похож на файл приглашения, с помощью которого можно извещать пользователей об ожидаемых прямых трансляциях или доступности сеансов воспроизведения видеоданных по требованию.
•
Create a Wrapper Playlist (.wsx). Список воспроизведения оболочки представляет собой данные, которые можно добавить в начало или конец трансляции. Примером списка воспроизведения оболочки могут быть начальные или завершающие сообщения, объявления или идентификация трансляции.
•
Create a Wrapper Playlist (.wsx) and Announcement File (.asx) or Web Page (.htm). Выбор этой опции запускает оба мастера — файла объявления и списка воспроизведения оболочки — для создания приглашения, а также возможности добавления информации в начало или конец трансляции.
Выберите один из этих трех вариантов либо сбросьте флажок After the Wizard Finishes, если вам не нужен ни один из них. После этого щелкните на кнопке Finish.
1288
Интегрированные службы приложений Windows ×àñòü XI
Çàïóñê ñïèñêà âîñïðîèçâåäåíèÿ èç òî÷êè îïóáëèêîâàíèÿ ñïèñêà âîñïðîèçâåäåíèÿ Можно запустить список воспроизведения, чтобы начать воспроизведение медиаданных, содержащихся в этом списке. В зависимости от выбранного варианта, пользователь просто вводит URL-адрес точки опубликования каталога (например, mms://media.companyabc.com/Corp Playlist). Список воспроизведения файлов начнет опубликование первого из медиаклипов и переберет все файлы до их завершения. Если в параметрах конфигурации точки опубликования был выбран вариант зацикливания, то список воспроизведения будет постоянно воспроизводить медиаданные из списка. Если было выбрано тасование, воспроизведение элементов списка будет производиться в случайном порядке. Все опции, выбранные во время настройки конфигурации, можно в любое время изменить, чтобы переконфигурировать параметры, первоначально созданные во время процесса работы мастера.
Êîäåð ìåäèàäàííûõ Windows Для любого производителя медиаданных, работающего с аудио- и видеоданными, бесплатный кодер медиаданных Windows от Microsoft является необходимым инструментом для захвата и преобразования медиаданных. Хотя для захвата и опубликования видеофайлов можно воспользоваться медиасервером Windows, вряд ли производитель данных захочет разъезжать с медиасервером. Вместо этого, загрузив кодер медиаданных Windows и установив его на любом ноутбуке или рабочей станции с Windows 2000 или XP, производитель может путешествовать с мобильной системой вместо сервера.
НА ЗАМЕТКУ Кодер медиаданных Windows доступен для загрузки по адресу
http://www.microsoft.com/downloads/details.aspx?FamilyID=5691ba02-e496-465abba9-b2f1182cdf24&DisplayLang=en. Кроме того, кодер медиаданных Windows предоставляет средства для преобразования файлов из одного видеоформата в другой, например, из формата AVI в формат MPG. Одно из существенных ограничений кодера медиаданных Windows связано с невозможностью выполнять с его помощью простое редактирование медиафайлов. Для этого потребуется загрузить и использовать средства сторонних разработчиков.
Ñðåäñòâà ðåäàêòèðîâàíèÿ Поскольку компания Microsoft не предоставляет бесплатно загружаемые средства редактирования видеофайлов, то производителям данных придется воспользоваться другими инструментами для выполнения простой обрезки начала или конца видеофайла или для слияния видеофайлов. Имеются десятки профессиональных программ редактирования видеофайлов и составления материалов, наподобие Premiere Pro от Adobe или VideoStudio компании Ulead. Имеются также сотни условно-бесплатных и бесплатных средств сторонних разработчиков, которые можно загрузить из Internet за небольшую плату или вовсе бесплатно.
Служба Windows Media Ãëàâà 37
1289
Если вы ищете инструменты для обрезки видеофайлов, которые могут отсечь данные в начале или конце файла, либо разделять видеофайлы на несколько файлов, важно обратить внимание, записывает ли эта утилита исходных файл в новом видеоформате или же она просто выделяет порции файла и сохраняет исходный видеоформат для всего файла. Одним из таких инструментов, обеспечивающих очень простую и дешевую обрезку видеофайлов и возможность их разделения, является программа AVI/MPEG/ASF/WMV Splitter от BoilSoft. Этот инструмент стоит меньше $25 и выполняет обрезку файлов, сохраняя их первоначальный формат и структуру. Дополнительную информацию можно почерпнуть по адресу http://www.boilsoft.com. BoilSoft предоставляет также менее чем за $20 утилиту AVI/MPEG/RM/WMV Joiner, комбинирующую несколько файлов в один большой файл. Это удобно, когда несколько небольших файлов нужно объединить и создать единый потоковый видеосеанс. Больше всего затруднений у производителей видеоданных возникает при выборе утилиты, удовлетворяющей всех их потребностям. Большинство загружаемых средств имеют пробные версии с периодом опробования, позволяющим поработать с программой перед ее приобретением. Если вы сразу не найдете нужное средство, возвращайтесь в Internet и продолжайте поиск. Похоже, что существуют инструменты для всех операций нужных при редактировании видео- и аудиоданных.
Òðåáîâàíèÿ äëÿ êîäåðà ìåäèàäàííûõ Windows Кодер медиаданных Windows работает на настольных компьютерах под управлением Windows 2000 и Windows XP, а также на серверах Windows 2000 и Windows 2003. Базовая конфигурация системы зависит от задачи, выполняемой программой кодера медиаданных Windows. Рекомендованные компанией Microsoft конфигурации систем перечислены в табл. 37.1.
Òàáëèöà 37.1. Òðåáîâàíèÿ äëÿ êîäåðà ìåäèàäàííûõ Windows Задача кодирования
Требуется
Рекомендуется
Преобразование файлов
Процессор 266 МГц, например, Intel Pentium с MMX
Процессор 500 МГц, например, Intel Pentium III или AMD Athlon
64 Мб доступной памяти
128 Мб доступной памяти
Процессор 266 МГц, например, Intel Pentium с MMX
Процессор 866 МГц, например, Intel Pentium III или AMD Athlon
64 Мб доступной памяти
128 Мб доступной памяти
Поддержка устройства захвата видео- и аудиоданных
Поддержка устройства захвата видео- и аудиоданных
Захват и трансляция аудиофайлов
1290
Интегрированные службы приложений Windows ×àñòü XI Окончание табл. 37.1
Задача кодирования
Требуется
Рекомендуется
Захват и трансляция аудио- и видеофайлов для наборных модемов и пользователей со средней полосой пропускания с помощью кодеков Windows Media Audio 9 и Windows Media Video 7
Процессор 300 МГц, например, Intel Pentium III или AMD Athlon
Процессор 866 МГц, например, Intel Pentium III или AMD Athlon
Захват и трансляция аудио- и видеофайлов для наборных модемов и пользователей со средней полосой пропускания с помощью кодеков Windows Media Audio 9 и Windows Media Video 9
Захват и трансляция аудио- и видеофайлов для пользователей с высокой полосой пропускания, применяющих кодеки Windows Media Audio 9 и Windows Media Video 9
64 Мб доступной памяти
256 Мб доступной памяти
Поддержка устройства захвата видео- и аудиоданных
Поддержка устройства захвата видео- и аудиоданных
Модем 28,8 Кбит/c или 56 Кбит/c
Подключение со скоростью передачи данных 100–500 Кбит/c
Процессор 1,5 ГГц, например, Intel Pentium 4 или AMD Athlon
Сдвоенный процессор 1 ГГц, например, Intel Pentium III или Xeon или AMD Athlon MP
64 Мб доступной памяти
256 Мб доступной памяти
Поддержка устройства захвата видео- и аудиоданных
Поддержка устройства захвата видео- и аудиоданных
Модем на 28,8 Кбит/c или 56 Кбит/c
Подключение со скоростью передачи данных 100–500 Кбит/c
Процессор 1,5 ГГц, например, Intel Pentium 4 или AMD Athlon
Сдвоенный процессор 2 ГГц, например, Intel Xeon или AMD Athlon MP
64 Мб доступной памяти
256 Мб доступной памяти
Поддержка устройства захвата видео- и аудиоданных
Поддержка устройства захвата видео- и аудиоданных
Подключение со скоростью передачи данных 500 Кбит/c и выше
Подключение со скоростью передачи данных 500 Кбит/c и выше
Как и в случае большинства приложений обработки видеоданных, требования к памяти, скорости обработки и дисковой памяти довольно высоки. Чем быстрее работает система, тем быстрее она выполняет захват и обработку информации. Если скорость системы недостаточна, то зачастую пропускаются кадры, что приводит к дерганию и скачкам в обрабатываемом видеофайле. Рекомендуется протестировать производительность системы, дабы удостовериться, что она удовлетворяет требованиям организации к качеству.
Служба Windows Media Ãëàâà 37
1291
Óñòàíîâêà êîäåðà ìåäèàäàííûõ Windows После загрузки кодера медиаданных Windows с Web-сайта Microsoft эта программа может быть установлена в любой системе, которая удовлетворяет требованиям, перечисленным в табл. 37.1. Процесс инсталляции выполняется следующим образом: 1. Запустите файл WMENCODER.EXE, чтобы начать процесс инсталляции. 2. Пропустите экран приветствия мастера установки, щелкнув на кнопке Next. 3. После принятия лицензионного соглашения отметьте пункт I Accept the Terms of the License Agreement (Я согласен с условиями лицензионного соглашения) и щелкните на кнопке Next. 4. Выберите специальную папку для инсталляции или просто щелкните на кнопке Next, если вы согласны с папкой, предложенной по умолчанию. Затем щелкните на кнопке Install (Установить), чтобы приступить к установке. 5. После завершения щелкните на кнопке Finish. После инсталляции кодер медиаданных Windows можно запустить, выбрав в меню Start пункт All ProgramsÖWindows MediaÖWindows Media Encoder (Все программыÖ Медиаданные WindowsÖКодер медиаданных Windows). После запуска кодера вы увидите экран New Session (Новый сеанс), похожий на показанный на рис. 37.7.
Ðèñ. 37.7. Варианты нового сеанса кодера медиаданных Windows
Ïðÿìàÿ òðàíñëÿöèÿ ñîáûòèÿ Кодер медиаданных Windows можно применять в сочетании с медиасервером Windows для прямой трансляции событий. Это дает организациям возможность использовать медиасервер Windows в качестве сервера для опубликования происходящих данных нескольким пользователям. Кроме того, в качестве системы захвата видео/аудиаданных для опубликования медиасервером Windows могут применяться ноутбуки или другие мобильные или портативные устройства.
1292
Интегрированные службы приложений Windows ×àñòü XI
Ïîäãîòîâêà ê ïðÿìîé òðàíñëÿöèè Во время подготовки к прямой трансляции необходимо сконфигурировать и протестировать основные функции рабочей станции Windows 2000/Windows XP, сервера Windows 2000/Windows 2003 или системы с картой захвата видео- и аудиоданных. Камера и аудиоустройства должны иметь возможность захватывать и записывать видеои аудиоданные с требуемым уровнем качества. Если удаленная система работает нормально, можно начинать прямую трансляцию.
Ïðîâåäåíèå ïðÿìîé òðàíñëÿöèè Чтобы запустить прямую трансляцию, на транслирующей системе должен быть запущен кодер медиаданных Windows. После его запуска выполните перечисленные ниже шаги. 1. Выберите пиктограмму Broadcast a New Event (Трансляция нового события) и щелкните на кнопке ОК. 2. Выберите исходные видео- и аудиоустройства, которые будут захватывать событие. После этого щелкните на кнопке Next.
НА ЗАМЕТКУ Для систем только с одним источником видео- и аудиоданных по умолчанию будет доступна опция с этими единственными устройствами. Однако для систем с инсталлированной картой аудио- и видеозахвата может быть также доступен аудиовыход этой карты, так что аккуратно отнеситесь к выбору нужных видео- и аудиоустройств. При выборе аудеоустройства можно щелкнуть на кнопке Configure (Конфигурировать) и удостовериться, что микрофон включен. Многие системы автоматически отключают микрофон, вследствие чего звук не захватывается, хотя и выбрано корректное устройство.
3. Следующая настройка позволяет системе кодера медиаданных Windows либо передавать видео- и аудиопоток на сетевой медиасервер Windows, либо позволяет медиасерверу Windows начать принимать данные от системы кодера. Выберите один из этих вариантов и щелкните на кнопке Next.
НА ЗАМЕТКУ Выбор того, передавать или принимать медиаданные, зависит от того, к чему вы ближе. Если ближе к вам система кодера медиаданных Windows (вы находитесь в помещении, где происходит событие), то вы, возможно, выберете передачу видео- и аудиопотока на медиасервер Windows. Передача данных из системы кодера заставляет медиасервер Windows автоматически начать публикацию сеанса. Если система кодера медиаданных Windows установлена в помещении, а вы находитесь рядом с сервером — не обязательно там, где находятся система кодера — то вы можете удаленно начать захват, запустив сеанс с помощью медиасервера Windows.
Если была выбрана передача данных на медиасервер Windows, потребуется выполнить следующие шаги: 1. Нужно будет ввести имя медиасервера Windows и точку опубликования, при этом есть возможность копирования параметров точки опубликования из другой конфигурации. После полного заполнения форма выглядит примерно так, как показано на рис. 37.8. После завершения заполнения щелкните на кнопке Next.
Служба Windows Media Ãëàâà 37
1293
Ðèñ. 37.8. Передача прямой трансляции на медиасервер 2. На следующем экране необходимо задать опции кодирования. Будут показаны различные скорости передачи в битах: Total Bit Rate (Общая скорость передачи в битах), Frame Rate (Скорость кадров) и Output Size (Выходной размер). Выберите нужную скорость (или скорости) передачи в битах и щелкните на кнопке Next.
Âûáîð ñêîðîñòè (ñêîðîñòåé) ïåðåäà÷è â áèòàõ Имея возможность выбора поддерживаемой скорости (скоростей) передачи в битах, учитывайте необходимое качество, а также полосу пропускания, доступную для опубликования медиафайлов. Если пользователи для получения публикуемых данных подключаются по наборному соединению, то не нужна скорость (скоростей) передачи в битах, превышающая полосу пропускания, которая доступна для сеанса модема с наборным соединением. Если у пользователя модем на 56 Кбит/с, то это не значит, что пользователь получает данные со скоростью 56 Кбит/с. Необходимо выбрать скорость передачи в битах, меньшую, чем доступная полоса пропускания. Для кодирования можно выбрать несколько скоростей передачи в битах, чтобы можно было выбрать скорость модема (возможно, 24 Кбит/с или 37 Кбит/с), скорость DSL/кабельного модема (возможно, 135 Кбит/с или 240 Кбит/с) или высокая скорость (возможно, 500 Кбит/с и более). При нескольких выбранных скоростях передачи в битах будет использована та, которая удовлетворяет скорости передачи удаленной клиентской системы. Следовательно, пользователь, подключенный по DSL, может получить данные на скорости 135 Кбит/с, а пользователь, подключившийся по наборному модему, может получать те же данные на скорости 24 Кбит/с. При выборе нескольких скоростей передачи в битах необходимо иметь в виду размер захваченного файла. Чем большая скорость передачи в битах выбрана, тем большим будет файл. Каждая выбранная опция скорости передачи в битах кодирования будет захватывать видео- и аудиопоток для этого режима.
1294
Интегрированные службы приложений Windows ×àñòü XI
Следовательно, если выбрано 12 вариантов скорости передачи в битах кодирования, в файле будут храниться 12 потоков данных. Кроме того, необходимо учитывать желательную доступную полосу пропускания. Даже если все пользователи имеют высокоскоростные сетевые подключения и могут принимать поток, закодированный со скоростью передачи в битах 768 Кбит/с, но файл публикуется с помощью однонаправленной трансляции, сеть может оказаться перегруженной слишком большим объемом данных. Видеопоток, закодированный на меньшей скорости, позволяет доступ к информации большему количеству пользователей. 3. Для прямых трансляций можно создать и сохранить на диске архивную копию файла трансляции. Это позволит в дальнейшем вновь воспроизвести сеанс. Установите флажок создания архивного файла и введите имя файла для захвата сеанса. Щелкните на кнопке Next. 4. В файл трансляции можно добавить такую информацию, как заголовок, автор, авторские права, скорость оцифровки и описание. Эта информация не обязательна. Введите нужную информацию и щелкните на кнопке Next. 5. На следующем экране можно начать трансляцию после щелчка на кнопке Finish либо просто завершить конфигурирование, а сеанс запустить позже. Выберите то, что необходимо, и щелкните на кнопке Finish. Если был выбран прием данных от кодера, инициированный медиасервером Windows, нужно будет выполнить описанные ниже шаги. 1. Введите свободный порт HTTP, который будет использоваться для передачи данных между медиасервером Windows и системой кодера медиаданных Windows. По умолчанию используется порт 8080, но, щелкнув на кнопке Find Free Port (Найти свободный порт), можно выполнить поиск открытого порта. Щелкните на кнопке Next. 2. На следующем экране можно выбрать опции кодирования. Будут показаны различные скорости передачи в битах: Total Bit Rate, Frame Rate и Output Size. Выберите требуемую скорость (скорости) передачи в битах. При возникновении вопросов обратитесь к врезке “Выбор скорости (скоростей) передачи в битах”. Щелкните на кнопке Next. 3. Для прямых трансляций можно создать и сохранить на диске архивную копию файла трансляции. Это позволит в дальнейшем вновь воспроизводить сеанс. Установите флажок создания архивного файла и введите имя файла для захвата сеанса. Щелкните на кнопке Next. 4. В файл трансляции можно добавить такую информацию, как заголовок, автор, авторские права, скорость оцифровки и описание. Эта информация не обязательна. Введите нужную информацию и щелкните на кнопке Next. 5. На следующем экране можно начать трансляцию после щелчка на кнопке Finish либо просто завершить конфигурирование, а сеанс запустить позже. Выберите то, что нужно, и щелкните на кнопке Finish.
Служба Windows Media Ãëàâà 37
1295
Для прямых трансляций лучше протестировать процесс трансляции, дабы удостовериться, что освещение, качество звука и видеоданных находятся на должном уровне. Можно опробовать различные скоростипередачи в битах, чтобы получить максимально хорошие результаты, удовлетворяющие требованиям организации. Хотя производитель для получения лучшего качества может выбрать и большую скорость передачи в битах, результаты могут оказаться не лучше тех, которые получены с меньшими скоростями и предположительно с носителем публикации более низкого качества. Если меньшая скорость передачи в битах дает приемлемые результаты, то ее выбор может уменьшить требования к пропускной способности в сети, что приведет к меньшей загрузки сети и позволит организации одновременно иметь больше медиапотоков.
Çàõâàò àóäèî- èëè âèäåîäàííûõ äëÿ âîñïðîèçâåäåíèÿ â áóäóùåì Если необходимо захватить сеанс, но нет необходимости в его непосредственной прямой трансляции, то опция Capture Audio or Video (Захват аудио- или видеоданных) позволяет кодеру медиаданных Windows захватывать и кодировать сеанс для воспроизведения в будущем. С помощью этой возможности можно захватывать учебные сеансы или конференции, пресс-релизы, которые будут транслироваться в более позднее время или день, либо мероприятия, проходящие в организации, например, вечеринки. Захваченные данные можно сохранить и воспроизвести либо с помощью трансляции по расписанию, либо по требованию.
Ïîäãîòîâêà çàõâàòûâàåìîãî ñåàíñà Чтобы подготовить захватываемый сеанс, нужно сконфигурировать и протестировать базовую функциональность рабочей станции Windows 2000/Windows XP, сервера Windows 2000/Windows 2003 с совместимой камерой и микрофоном или системы с картой захвата видео- и аудиоданных. Камера и звуковые устройства должны иметь возможность захватывать и записывать видео- и аудиоданные с должным уровнем качества. После проверки работы удаленной системы можно приступить к захвату сеанса.
Çàõâàò ñåàíñà äëÿ ïîñëåäóþùåé òðàíñëÿöèè Для захвата сеанса кодер медиаданных Windows должен быть запущен на системе с камерой, микрофоном и достаточным объемом дисковой памяти для захвата данных. После запуска кодера выполните следующие шаги: 1. Выберите пункт Capture Audio or Video (Захват аудио- или видеоданных) и щелкните на кнопке ОК. 2. Выберите устройство-источник видео- и аудиоданных, которое будет захватывать событие. Прочитайте врезку “Выбор скорости (скоростей) передачи в битах”, чтобы почерпнуть дополнительную информацию по выбору опций захвата. Щелкните на кнопке Next. 3. Введите имя сохраняемого файла. Щелкните на кнопке Next.
1296
Интегрированные службы приложений Windows ×àñòü XI
НА ЗАМЕТКУ Не беспокойтесь о добавлении расширения к имени файла. Для видеофайлов выбирается расширение .wmv (Windows Media Video), а для аудиофайлов — расширение .wma (Windows Media Audio).
4. Выберите способ, в соответствие с которым необходимо распространять свои данные. Вы можете выбрать один из следующих вариантов: Windows Media Server (Streaming) (Медиасервер Windows (поток)), Web Server (Progressive Download) (Web-сервер (прогрессивная загрузка), Windows Media Hardware Profiles (Профили оборудования работы с медиаданными Windows), PocketPC или File Archive (Архивный файл). Щелкните на кнопке Next.
Âûáîð ìåòîäà ðàñïðîñòðàíåíèÿ äàííûõ При наличии выбора метода распространения данных различные варианты определяют опции, которые появятся на следующем экране мастера. Если выбран вариант медиасервера Windows (поток), то в захваченных данных будут несколько вариантов битрейта, так как медиасерверы Windows поддерживают переменные битрейты, и различные пользователи могут получать различные потоки медиаданных в зависимости от полосы пропускания их подключения. Если выбран вариант Web-сервера с прогрессивной загрузкой, то отмечена рекомендуемая опция, поскольку Web-серверы поддерживают распределение только с одной скоростью передачи в битах. Обычно опция Web-сервера выбирает наименьший вариант скорости передачи в битах, дабы учесть различные возможности подключений пользователей Web. Вариант профилей оборудования медиаданных Windows предоставляет возможность выбора одной скорости передачи в битах для видеоданных и одной скорости передачи в битах для аудиоданных, более высокой, нежели в варианте Web-сервера. Если в системе определен профиль оборудования медиаданных Windows, можно сгенерировать желаемую пропускную способность и качество. Устройства PocketPC обычно имеют ограниченный объем кэша, буфера и памяти, поэтому рекомендуется вариант с более низкой скоростью передачи в битах. Она становится наименьшим общим знаменателем для захвата и воспроизведения медиаданных. И, наконец, опция архивного файла создает наименьший захваченный файл. Однако качество видеоданных обычно плохое, хотя аудиоданные хорошего качества. Этот параметр предполагает, что аудиоинформация более важна, чем визуальная. Выбор правильного метода записи для системы, воспроизводящей данные, приводит к лучшим результатам. 5. В захваченный файл можно добавить дополнительную информацию: заголовок, автора, авторские права, частоту и описание. Введите нужную информацию и щелкните на кнопке Next. 6. На следующем экране вы можете выбрать, начать ли захват после щелчка на кнопке Finish, либо просто завершить конфигурирование и запустить сеанс позднее. Выберите требуемый вариант и щелкните на кнопке Finish.
Служба Windows Media Ãëàâà 37
1297
Поскольку сеанс прямой трансляции не доступен для просмотра, то иногда трудно определить, каким будет результирующее качество захваченных видео- и аудиоданных. Тестируя различные методы захвата и опробуя разные скорости передачи в битах, можно определить, будет ли приемлемым качество результирующих видеоданных и распределение видеоданных.
Èñïîëüçîâàíèå äðóãèõ îïöèé êîäåðà ìåäèàäàííûõ Windows Кодер медиаданных Windows может также преобразовывать видеоданные и захватывать отдельные экраны из видеосеанса. Эти функции являются полезными возможностями, предоставляющими производителям медиаданных простейшие средства редактирования и опубликования данных.
Çàõâàò îòäåëüíîãî ýêðàíà ñ ïîìîùüþ ïðîãðàììû êîäåðà ìåäèàäàííûõ Windows Захват отдельного экрана из видеоданных не так прост, как может показаться на первый взгляд. Простое нажатие комбинации клавиш не захватывает видеоданные. При этом в том месте, где воспроизводятся видеоданные, обычно получается серый прямоугольник. Средства захвата экрана сторонних разработчиков также обычно не захватывают видеоэкраны: Они обычно захватывают битовое изображение с видеоэкрана, а видеоданные DirectX или потоковые данные кэшируют видеоданные, которые не отображаются на активном экране. Средство, подобное встроенному в кодер медиаданных Windows, предоставляет пользователям возможность захвата видеоэкранов. Функция захвата экрана в кодере медиаданных Windows позволяет пользователям захватывать видеосеанс. Это удобно, если вы смотрите Web-трансляцию, видеопоток или какой-то другой сеанс, который иначе не доступен для загрузки и воспроизведения в более позднее время. С помощью захвата всего видео- и аудиосеанса с помощью кодера медиаданных Windows можно обойти все ограничения доступа к потоковой информации. Чтобы захватить экран с помощью кодера медиаданных Windows, выполните описанные ниже действия. 1. Щелкните на опции Capture a Screen (Захват экрана) и щелкните на кнопке ОК. 2. В окне Screen Capture Session (Сеанс захвата экрана) выберите захват конкретного окна, области экрана или всего экрана. Выберите захват аудиоданных со стандартного аудиоустройства, установив соответствующий флажок, а затем щелкните на кнопке Next. 3. В зависимости от варианта, выбранного на шаге 2, укажите окно или область, подлежащие захвату, а затем щелкните на кнопке Next. 4. Введите имя файла, в который необходимо произвести захват, и щелкните на кнопке Next. 5. Введите параметр качества: низкое, среднее или высокое. Щелкните на кнопке Next.
1298
Интегрированные службы приложений Windows ×àñòü XI
6. В захваченный файл можно добавить дополнительную информацию: заголовок, автора, информацию об авторских правах, скорость и описание. Введите нужную информацию и щелкните на кнопке Next. 7. На следующем экране можно выбрать, начинать ли захват после щелчка на кнопке Finish либо просто завершить конфигурирование и запустить сеанс позднее. Выберите нужный вариант и щелкните на кнопке Finish. После захвата сеанса его можно воспроизвести, открыв файл с помощью медиапроигрывателя Windows или другого средства воспроизведения видеофайлов.
Ïðåîáðàçîâàíèå âèäåîäàííûõ â âèäåîôîðìàò ìåäèàäàííûõ Windows Производителю медиаданных может понадобиться преобразование файла. Часто бывает так, что видеофайл сохраняется в формате или кодируется с помощью кодека, который нечасто применяется или его трудно распространять. Кроме того, видеофайл можно сохранить в формате, который не поддерживает возможности опубликования медиасервера Windows. Одним из способов преобразования файла является применение возможности захвата экрана кодером медиаданных Windows, описанное в разделе “Захват отдельного экрана с помощью программы кодера медиаданных Windows”. Другим способом преобразования видеоданных является применение функции преобразования, встроенной в кодер медиаданных Windows. Кодер медиаданных Windows может преобразовывать данные из форматов ASF, AVI, BMP, JPG, MPG, MP3, WAV, WMA и WMV в видеоформат WMV, поддерживаемый медиасервером Windows. Для выполнения преобразования файла выполните следующие действия: 1. Щелкните на опции Convert a File (Преобразование файла) в программе кодера медиаданных Windows и щелкните на кнопке ОК. 2. Выберите исходный файл, который нужно преобразовать. Выберите каталог и имя файла, куда должен быть записан результат. Щелкните на кнопке Next. 3. Выберите способ распространения данных. Возможные варианты — File Download (Загрузка файла), Hardware Devices (CD, DVD, Portable) (Аппаратные устройства (CD, DVD, портативные)), Windows Media Server (Streaming) (Медиасервер Windows (потоковый)), Web Server (Progressive Download) (Webсервер (прогрессивная загрузка)), Windows Media Hardware Profiles (Профили оборудования медиаданных Windows), PocketPC или File Archive (Архивация в файл). Подробности можно найти на врезке “Выбор метода распространения данных”. Щелкните на кнопке Next. 4. На следующем экране будет предложено выбрать опции кодирования. Будут доступны различные скорости передачи в битах для кодирования в вариантах Total Bit Rate, Frame Rate и Output Size. Выберите нужную скорость (скорости) передачи в битах и щелкните на кнопке Next. 5. В захваченный файл можно добавить дополнительную информацию: заглавие, автора, информацию об авторских правах, скорость и описание. Введите необходимую информацию и щелкните на кнопке Next.
Служба Windows Media Ãëàâà 37
1299
6. На следующем экране можно выбрать, начать ли захват после щелчка на кнопке Finish либо просто завершить конфигурирование и запустить сеанс позднее. Выберите нужный вариант и щелкните на кнопке Finish. После преобразования файла его можно воспроизвести, открыв файл с помощью медиапроигрывателя Windows или другого средства воспроизведения видеофайлов.
Èñïîëüçîâàíèå Microsoft Producer äëÿ ñîçäàíèÿ ñëîæíûõ ïðåçåíòàöèé С помощью приложения Microsoft Producer (Продюсер Microsoft) можно создавать автоматизированные презентации PowerPoint с аудио- и видеоданными. Слайдовые презентации можно связать с видеоданными, а также аудиоданными, с возможностью синхронизации между слайдами и медиаданными.
Çàãðóçêà è èíñòàëëÿöèÿ Microsoft Producer Приложение Microsoft Producer для Microsoft Office PowerPoint 2003 можно бесплатно загрузить по адресу http://www.microsoft.com/downloads/details.aspx?familyid=1B3C76D5-FC75-4F9994BC-784919468E73&displaylang=en Эта программа работает с PowerPoint 2003 или PowerPoint XP (2002). После загрузки запустите файл MSPROD2.EXE, чтобы установить Microsoft Producer. Инсталляция проходит следующим образом: 1. Щелкните на кнопке Next, чтобы пропустить экран приветствия мастера установки. 2. Введите имя пользователя и название организации, а затем укажите, хотите ли вы инсталлировать программу для всех пользователей компьютера или только для пользователя текущего сеанса. Щелкните на кнопке Next. 3. После прочтения лицензионного соглашения установите флажок I Accept the Terms of This Agreement (Я принимаю условия этого соглашения) и щелкните на кнопке Next. 4. Выберите либо вариант Typical Installation (Типичная установка), либо Custom Installation (Пользовательская установка). При типичной установке инсталлируются оба компонента, входящие в состав продюсера, поэтому обычно нет причин выбирать пользовательскую инсталляцию. Щелкните на кнопке Next. 5. Для запуска установки щелкните на кнопке Install (Установка). По завершении щелкните на кнопке Finish.
1300
Интегрированные службы приложений Windows ×àñòü XI
Ïðèìåíåíèå ïîäêëþ÷àåìîãî ìîäóëÿ Microsoft Producer После инсталляции можно запустить приложение Microsoft Producer и создать с его помощью файл презентации с интегрированными медиаданными. Выполните перечисленные ниже действия. 1. Запустите Microsoft Producer, выбрав в меню Start пункт All ProgramsÖMicrosoft OfficeÖMicrosoft Producer (Все программыÖMicrosoft OfficeÖПродюсер Microsoft). 2. Выберите вариант Use the New Presentation Wizard (Использовать мастер новой презентации), чтобы начать новый проект Microsoft Producer. 3. На экране приветствия щелкните на кнопке Next. 4. Выберите один из шаблонов презентаций. Если вы не уверены, какой из них нужен, начните со стандартного шаблона, а затем опробуйте другие варианты. Щелкните на кнопке Next.
НА ЗАМЕТКУ Если вам нужно только добавить аудиосопровождение в презентацию PowerPoint, то шаблон Standard Audio – Resizable Slides (Стандартные аудиоданные – слайды изменяемого размера) предоставляет левую панель для управления аудиоданными и правую панель, на которой можно изменить размер слайдов в зависимости от разрешения монитора пользователя. Шаблон Standard Video (320×240) – Resizable Slides (Стандартные аудиоданные (320×240) – слайды изменяемого размера) предоставляет раздел видеоданных в левом верхнем углу, средства управления сеансом также на левой панели и область слайдов изменяемого размера в правой части.
5. Выберите шрифт, размер, цвет и фон для оглавления, а также файл с фоном области слайдов. Щелкните на кнопке Next. 6. Введите название презентации, а также любую информацию об ее авторе, образ вводной страницы и описание. Щелкните на кнопке Preview (Предварительный просмотр), чтобы посмотреть, как выглядит вводная страница, и щелкните на кнопке Next. 7. Выберите путь и слайды, которые будут входить в данный проект. Они могут быть в формате презентаций PPT и PPS или в формате изображений JPG, JPEG, JPE, GIF, PNG, BMP, TIF, DIB, WMF или EMF. Можно выбрать несколько файлов и изображений. Щелкните на кнопке Next. 8. Выберите путь для аудио- и видеофайлов, которые будут входить в данный проект. Эти файлы могут быть в видеоформатах AVI, MPG, M1V, MP2, MP2V, MPEG, MPE, MPV2, WM, WMV и ASF или в аудиоформатах WAV, AIF, AIFF, AIFC, SND, MP3, AU, MPA, WMA и ASF. Можно выбрать несколько аудио- и видеофайлов, и даже можно щелкнуть на кнопке Capture (Захват) для захвата данных, транслируемых в реальном времени. Щелкните на кнопке Next. 9. Вам будет предложен вариант синхронизации слайдов презентации и аудио/ видеоданных. Обычно нужно щелкать на кнопке Yes, чтобы организовать содержимое с учетом нужных медиаданных и слайдов. Щелкните на кнопке Next. Щелкните на кнопке Finish, чтобы приступить к импорту панелей управления, слайдов, аудио- и видеоданных презентации.
Служба Windows Media Ãëàâà 37
1301
10. На странице Synchronize Slide (Синхронизация слайдов) щелкните на кнопке Play (Воспроизведение), чтобы запустить просмотр видео/аудиоданных. Интерфейс синхронизации Microsoft Producer показан на рис. 37.9.
Ðèñ. 37.9. Интерфейс синхронизации Microsoft Producer По завершении проект можно сохранить в виде файла Microsoft Producer для дальнейших модификаций или изменений. Но, кроме того, одной из главных функций Microsoft Producer является опубликование интегрированной презентации. Опубликованная презентация сохраняется в файлах JPEG и WMV, которые допускают просмотр в стандартном браузере. Для опубликования файла презентации выполните следующие действия: 1. На экране Microsoft Producer выберите в меню File (Файл) пункт Publish (Опубликовать). 2. Выберите сайт воспроизведения, выбрав либо пункт My Computer (Мой компьютер), My Network Places (Мои сетевые местоположения), либо пункт Web Server (Web-сервер). Щелкните на кнопке Next.
НА ЗАМЕТКУ Выбирайте пункт My Computer для опубликования презентации в файле, который затем можно записать на компакт-диск или DVD или обратиться к нему из стандартного файлового сервера. Выбирайте пункт My Network Places для опубликования презентации в общем сетевом ресурсе или портале SharePoint, либо в общем ресурсе службы Windows SharePoint. Выбирайте Web Server для опубликования презентации на Web-сервере, чтобы информация Microsoft Producer хранилась на Web-сервере, а медиаданные — в системе медиасервера Windows.
1302
Интегрированные службы приложений Windows ×àñòü XI
3. Введите местоположение, где будут опубликованы файлы. Щелкните на кнопке Next. 4. Подтвердите заглавие, автора презентации, изображение на вводной странице и описание для информационной страницы презентации. Щелкните на кнопке Next. 5. В параметрах публикации выберите опцию Choose Publish Settings for Different Audiences (Выбор параметров публикации для различных аудиторий) вместо рекомендуемой опции Use Suggested Settings (Использовать предложенные параметры), чтобы иметь возможность выбрать качество и скорость передачи данных. Щелкните на кнопке Next.
НА ЗАМЕТКУ Как упоминалось во врезке “Выбор скорости (скоростей) передачи в битах”, необходимо выбрать скорость передачи в битах, которая бы соответствовала доступной полосе пропускания, используемой для воспроизведения. Если вы собираетесь записать презентацию на компакт-диск, постарайтесь, чтобы данные поместились на нем. Если вы планируете опубликовать сеанс в Internet, необходимо выбрать полосу пропускания, доступную для подключений ваших удаленных клиентов.
6. На экране Publish Your Presentation (Опубликовать презентацию) щелкните на кнопке Next для обработки презентации.
Ðåçþìå Служба Windows Media представляет собой сочетание серверных компонентов и средств, помогающих организациям выйти за пределы текстовых сообщений и использовать обмен аудио- и видеоданными. Служба Windows Media является компонентом, поставляемым в составе Windows Server 2003, который можно легко включить на серверной системе. Однако серверный компонент выполняет в основном функции опубликования и распространения — он зависит от подключаемых модулей, подобных кодеру медиаданных Windows, для обеспечения функциональности захвата и преобразования. Даже имея в наличии функции сервера службы Windows Media и средства загрузки кодера медиаданных Windows, все равно нужны средства редактирования и обрезки сторонних разработчиков. А с помощью подключаемых модулей наподобие Microsoft Producer захваченные видео- и аудиоданные можно интегрировать в презентации Microsoft PowerPoint. Служба Windows Media предоставляет организациям новый способ проведения обучения работников и прямой трансляции совещаний, а также интеграции аудио- и видеоданных в обычные презентации PowerPoint.
Ïðàêòè÷åñêèå ñîâåòû •
Для повышения производительности в системе службы Windows Media разместите системные файлы и файлы приложений на одном наборе жестких дисков, а файлы данных — на другом наборе.
Служба Windows Media Ãëàâà 37
1303
•
Используйте эмулятор нагрузки медиаданных Windows для тестирования производительности системы службы Windows Media в реальном времени.
•
Для запуска широковещательной трансляции служба Windows Media должна выполняться на Windows Server 2003 редакции Enterprise.
•
Для имен точек опубликования используйте стандартные символы DNS (A–Z, a–z, 0–9 и знак минус), чтобы при необходимости доступа к опубликованным данным это можно было сделать через Internet.
•
При опубликовании трансляции для десятков пользователей по сетевой инфраструктуре, поддерживающей широковещательные трансляции, используйте функцию Multicast службы Windows Media для сведения к минимуму требований к полосе пропускания системы.
•
Используйте функцию зацикливания в опциях воспроизведения данных, если опубликовываемый видеофильм должен постоянно повторяться, например, в общественных киосках или рекламных системах.
•
Комбинируйте публикуемые файлы в списках воспроизведения с помощью опции конфигурации точки опубликования службы Windows Media MMC.
•
Загрузите кодер медиаданных Windows, чтобы получить свободно распространяемые средства захвата и преобразования файлов. Запускайте кодер медиаданных Windows в системе с максимально доступными объемами ОЗУ, быстродействием процессора и дисковой памятью. В случае недостаточной производительности системы в процессе захвата или преобразования видеоданных будут пропускаться кадры и снижаться качество видеоданных.
•
При захвате данных с помощью кодера медиаданных Windows проверьте, что включен микрофон для захвата аудиоданных, поскольку по умолчанию микрофон обычно отключен.
•
Выбирайте скорость передачи в битах для захвата и преобразования, соответствующую пользовательским требованиям. Хотя наивысшее качество может оказаться предпочтительнее, требования к полосе пропускания при одновременном доступе нескольких пользователей к данным с высоким качеством может полностью загрузить доступную полосу пропускания сети.
•
Используйте Microsoft Producer — подключаемый модуль для Microsoft PowerPoint — для синхронизации аудио- и видеоданных со слайдами и презентациями PowerPoint и получения высококачественных автоматических сеансов воспроизведения презентаций.
1304
Прилагаемый компакт-диск
Ïðèëàãàåìûé êîìïàêò-äèñê Компакт-диск, прилагаемый к этой книге, содержит пакеты возможностей Windows Server 2003 Feature Packs, инструменты Windows Server 2003 Tools, средство просмотра состояния службы репликации файлов File Replication Service (FRS) Status Viewer, инструментальный набор совместимости приложений Windows Application Compatibility Toolkit 3.0, пакет инструментов администрирования Windows Server 2003 Administration Tools Pack, инструменты Windows Server 2003 Resource Kit Tools, комплекты Windows Rights Management Services Client SDK и Windows Rights Management Services Server SDK, а также 15 сеансов обучения через Web от Рэнда Моримото и его команды из Convergent Computing.
Èíñòðóêöèÿ ïî óñòàíîâêå 1. Вставьте компакт-диск в соответствующий привод. 2. Дважды щелкните на пиктограмме My Computer (Мой компьютер), которая расположена на рабочем столе. 3. Дважды щелкните на пиктограмме, представляющей привод для чтения компакт-дисков. 4. Дважды щелкните на файле start.exe. Для доступа к информации на компактдиске следуйте подсказкам, периодически выдаваемым на экран.
НА ЗАМЕТКУ Если функция AutoPlay (Автозапуск) включена, файл start.exe будет запущен автоматически, как только вы вставите компакт-диск в привод.
Предметный указатель
1305
Ïðåäìåòíûé óêàçàòåëü A A, См. Запись хоста, 302 AAAA, 304; 305 ACL, См. Список управления доступом, 83; 86; 178; 279; 471; 521; 649; 686; 715; 720; 949; 1094 Active Directory, 48; 57; 61; 66; 70; 79–86; 96; 103; 117; 126 ADMT, См. Средство миграции Active Directory, 83; 86; 489; 511–528; 552–559; 562–564; 566; 569-570 ADS, См. Служба автоматического развертывания, 145; 675; 766 ADSI, См. Утилита интерфейса службы Active Directory, 160; 537; 543; 750; 758–762; 765–772; 782; 786 APIPA, 127; 134; 256; 334; 340 ASP.NET, 55; 366–369; 378; 385; 757; 1244–1246; 1267
B
D DACL, См. Список разграничительного контроля доступа, 159; 611 DAS, См. Сервер доступа к данным, 811; 821; 822; 826; 828; 829 DDNS, 173; 179; 317; 336 DFS, См. Распределенная файловая система, 50; 59; 73; 91; 349; 602; 686; 708; 958; 979–981; 1000–1005; 1007–1019; 1025; 1030; 1121 DIT, См. Информационное дерево каталога, 159; 746 DNS, См. Служба доменных имен, 49; 56; 58; 63; 84; 86; 102; 107; 127; 139; 142; 149; 151; 161; 171–179; 184 DSA, См. Агент системы каталогов, 159; 740 DSML, См. Язык разметки службы каталогов, 55; 81
F
FrontPage, 367; 756; 1241; 1269; 1270 FSMO, См. Гибкие операции с одним BITS, См. Фоновая интеллектуальная мастером, 162; 199; 491; 541; 744; 796; пересылка данных, 415; 837; 838 1095; 1156; 1229 BOOTP, См. Протокол самонастройки, 332; FTP, См. Протокол передачи файлов, 361– 333 363; 378–383; 386; 390; 395; 713; 983; 1081; C 1103; 1122; 1156; 1216; 1228 C#, 55 G CA, См. Центр сертификации, 251; 388; 436–438; 474; 846; 971; 1117; 1142; GPMC, См. Консоль управления 1146–1149 групповыми политиками, 80; 655; 658; CAL, См. Лицензия на доступ клиента, 132; 665–674; 683; 688; 690–696; 949; 951–958 820; 820; 828; 882; 892; 905; 906 H CNAME, См. Запись канонического имени HDML, См. Язык разметки для карманных узла, 304; 306 устройств, 458 COM+, 366; 378; 650; 1063; 1066; 1104 HTML, 56; 458; 672; 692; 694; 753–757; 814; Common Language Runtime, См. Среда 1190; 1244; 1256 выполнения с общим языком, 400 CRM, См. Приложение управления работой I с клиентами, 93; 574; 579 ICMP, См. Протокол управляющих сообщений Internet, 836; 1200; 1228
1306
Предметный указатель
IGMP, См. Протокол управления группами Internet, 837; 842; 859; 863 IP-телефония, 70 ISDN, 304; 796; 836; 837 ISTG, См. Генератор межсайтовой топологии, 241; 246; 255; 535; 606
J JScript, 55; 706; 754; 757
K KCC, См. Компонент проверки целостности знаний, 236; 237; 245; 255; 262 KEY, 304
L L2TP, 391; 396; 430; 433; 446; 469; 835; 837; 845; 846–851; 857; 874–876; 962
M MB, 304 MIIS, См. Сервер идентификации и объединения Microsoft, 85; 263; 279–289; 817 MMC, См. Консоль управления Microsoft, 81; 86; 178; 271–273; 307 MNS, См. Ресурс мажоритарного набора узлов, 1037; 1042; 1047; 1050; 1061; 1089 MOM, См. Диспетчер операций Microsoft, 84; 476; 724; 747; 802; 804; 807–832 MX, См. Запись обмена почтой, 304; 325
N
NLB, См. Балансировка сетевой нагрузки, 365; 433; 801; 887; 891; 907–908; 1031–1040; 1079–1090 NNTP, См. Протокол передачи сетевых новостей, 362; 383; 384; 1078 NS, См. Запись сервера имен, 302; 307; 308 NTLM, См. Диспетчер локальной сети NT, 156; 273
O ODBC, 55; 393 OSPF, См. Протокол маршрутизации Open Shortest Path First, 836; 841; 858; 859; 863 OU, См. Организационная единица, 103; 161; 166–169; 191; 209–212; 217–231; 403
P PKI, См. Инфраструктура открытых ключей, 388; 428; 435; 438; 439; 446; 474 PPTP, 430; 433; 835–837; 845–851; 874–876; 962 PTR, См. Запись указателя, 304; 306 PXE, См. Среда выполнения до загрузки, 144; 145; 928; 931
R RARP, См. Протокол обратного преобразования адреса, 332; 333 RAS, См. Служба удаленного доступа, 132; 867; 874 RIS, См. Служба удаленной инсталляции, 61; 78; 138; 143–146; 927–938; 1120 RP, 304 RR, См. Запись ресурса, 294; 301 RRAS, См. Сервер маршрутизации и удаленного доступа, 49; 176; 433–435; 441; 816; 835–842; 845; 852; 857–862 Run As, 403; 404; 425; 944; 972; 1191
NAT, 49; 73; 259; 262; 434; 441; 836–838; 857–860; 864; 1042 NAT, См. Трансляция сетевых адресов, 49; 73; 259; 433; 440; 836–838; 856–859; 863; S 1042 NDS, См. Служба каталогов Novell, 126; 150; SLA, См. Соглашение об уровне 277–280; 759 обслуживания, 102; 365; 788; 1096; 1101; NetBIOS, 84; 206; 331; 349; 351; 354; 418; 469; 1130 491; 504; 534; 551; 557; 739 SMS, См.Сервер управления системами, 138; 145; 415; 581; 608; 669; 816; 872; 940; 955; 1098; 1195; 1218; 1220–1221; 1247
Предметный указатель SOA, См. Запись начала полномочий, 301; 302; 307; 308; 310; 313; 324 SRV, См. Запись службы, 173; 303; 314; 319–322; 327 SSI, См. Единая регистрация, 271; 448; 451; 455–458; 461 SSM, См. Монитор состояния сервера, 85; 818 SUS, См. Служба обновления программного обеспечения, 80; 87; 414–425; 726; 728; 747; 940; 1247 SYSVOL, 499; 505; 541; 608; 623; 650; 658; 665; 668; 684; 740; 981; 1015; 1066; 1104; 1139; 1157; 1162; 1164
U Unicode, 127; 317; 327; 639 USN, См. Концепция последовательных номеров обновлений, 235; 236
V
1307
А Агент системы каталогов, 159 Архитектура без общих ресурсов, 1045 Аудит, 347; 386; 395; 411; 995; 1030; 1178 Аутентификация анонимная, 386 базовая, 386 интегрированная Windows, 386 с помощью .NET Passport, 386 с помощью дайджеста, 386
Б Базирование, 790 Балансировка сетевой нагрузки, 50; 376; 433; 801; 886; 887; 891; 907–909; 1032 Безопасность, 49; 67; 152; 174; 223; 347; 362364; 372; 382; 385; 387; 388; 400 Брандмауэр, 103; 105; 405; 441; 821; 828; 859; 860; 867; 911; 1081
В
VBScript, 55; 421; 706; 708; 749; 754–759; 765; Вид с высоты 768–770 10 000 футов, 91; 94; 120; 121 Visual Basic, 55; 674; 706; 720; 750; 752–754; 1000 футов, 91; 93; 100; 105; 120; 121 50 000 футов, 91–94; 100; 105; 120; 121 768 Виртуальная частная сеть, 58; 85; 251; 429; Visual C, 55; 754; 768 469; 843; 844; 875; 962; 975 VPN, См. Виртуальная частная сеть, 85; 94; Виртуальный сервер кластера, 1036 102; 172; 251; 391; 405; 428–435 Возврат функций, 1038; 1053; 1054; 1135 W Время существования, 301; 312; 313 WAP, См. Протокол беспроводного Г доступа, 458 Генератор межсайтовой топологии, 246 WAS, См. Служба Web-администриГибкие операции с одним мастером, 162 рования, 362; 376; 377 Глобальный каталог, 162; 331; 357 Web-сервер, 55; 59; 62–64; 70; 132; 363 кэширование, 68; 210 Web-служба XML, 70 синхронизация, 69; 241 Web-ферма, 55; 63; 1080 Готовность 99,999%, 64; 65; 365; 1129; 1168 Windows .NET Framework, 54–56 Группа WKS, 304 IETF, 70; 71; 86 WSH, См. Хост сценариев Windows, 131; глобальная, 168; 169; 215; 216; 227; 613 273; 719; 754–756 доступа, 212–214 WSRM, См. Диспетчер системных ресурсов кластерных ресурсов, 1036 Windows, 82; 915; 1233 локальная домена, 168; 169; 215; 216; 612 локальная компьютера, 169; 213; 215 рассылки, 168; 212–214; 225; 231; 611
1308
Предметный указатель
с возможностью работы с электронной почтой, 212; 214 универсальная, 169; 215; 216; 225; 612–614
Групповая политика, 80; 138; 145; 222; 425; 622–627; 657–662; 665–675; 687
Д Диспетчер локальной сети NT, 156 операций Microsoft, 84; 476; 724; 808; 829; 881; 914; 1218; 1236 системных ресурсов Windows, 82; 1233
И Информационное дерево каталога, 159 Инфраструктура открытых ключей, 435
К Каталог сеансов, 64; 77; 886; 887; 891; 900; 907–910; 913; 922 Кворумный диск кластера, 1036 Кластер, 1036; 1041–1046; 1085 Кластеризация, 344; 1035 активно-активная, 1039 активно-пассивная, 1038
Доверительное отношение, 83; 86; 153; 155; Кластерный ресурс, 1036 158; 163–165; 176; 182–191 Ключ сокращенное, 183 транзитивное, 164; 176; 182–184; 187; 535 явное, 183
Е Единая регистрация, 271; 448
З Запись канонического имени узла, 304 начала полномочий, 301 обмена почтой, 304 ресурса, 294; 295; 301–303; 306; 316 сервера имен, 303 службы, 303 указателя, 304 хоста, 249; 301; 318
Запрос DNS, 310 итеративный, 311 рекурсивный, 311
Зона, 304–309 DNS, 304 вторичная, 307; 320 заглушка, 307; 308 обратного просмотра, 306 первичная, 306 перенос, 308
асинхронный, 309 инкрементный, 310 полный, 309 прямого просмотра, 306; 308
открытый, 435 секретный, 435; 1118; 1147
Компонент Performance Logs and Alerts, 323; 1187; 1191; 1192 проверки целостности знаний, 245
Консолидатор, 811; 821 Консоль управления Microsoft, 719 управления групповыми политиками, 79; 658
Контроллер домена, 58; 61; 63; 69; 163; 170; 176; 179; 200; 206–209; 234–237; 245–254 главный, 153; 162 резервный, 161; 216; 495; 524; 551
Концепция последовательных номеров обновлений, 235 Корень, 195; 200– 204; 269; 296; 305; 320; 1004; 1011
Л Лес, 62; 83; 156–158; 162–165; 176–179; 184; 191–196; 202; 205; 488–491 интегрированный, 182; 198
Лицензия на доступ клиента, 96; 131; 892 Per Device, 131; 906 Per Server, 131; 146
Локальный кворумный ресурс, 1036
Предметный указатель
М Мастер RID, 163; 541 именования доменов, 162; 541 инфраструктуры, 163; 541 конфигурирования сервера, 176; 297; 298; 338; 351; 406; 433; 540; 895 операций, 162; 529; 537; 541; 549; 665 создания области, 336 схемы, 162; 537; 541 управления сервером, 366; 367
Метабаза IIS, 391; 713 Миграция, 49; 61; 83–98; 104 Модель с выделенным корнем, 188 с единственным доменом, 188; 189 с несколькими деревьями в одном лесу, 188; 193; 194 с несколькими доменами, 188; 191 с фиктивным доменом, 188; 192; 201 создания интегрированных лесов, 188; 196
Монитор состояния сервера, 84 Мониторинг, 84; 364; 386; 395 Мост, 244; 245; 262
О Обобщенный кластерный ресурс, 1037 Операционная система Novell NetWare, 56; 81; 126; 273; 573; 759; 818; 830 Windows 2000, 48; 54; 56; 60–80; 83; 86; 90 сетевая, 92; 95; 273; 582
Организационная единица, 61; 166–169; 190; 193; 202; 210; 212; 218; 489–491; 503; 506 Оснастка Active Directory Users and Computers, 66; 81; 220–222; 404; 500; 508; 525; 615–617; 624; 644
System Monitor, 323; 713; 1187; 1188 Отличительное имя, 161
П Пакет возможностей, 48; 53; 55; 79; 81; 280 обновлений, 726; 794; 803; 937; 1234
Паспорт Microsoft, 68
1309
Переадресатор, См. Ретранслятор, 315 Перенос зоны, 308 асинхронный, 309 инкрементный, 310 полный, 309
Планирование, 48; 61; 90; 119; 289; 364; 444 Подхват функций, 65; 75; 340–343 100/100, 342; 343 50/50, 340–342 80/20, 342
Преобразование имен, 294; 331; 349 Приложение кластерное, 1037 некластерное, 1037 управления работой с клиентами, 93
Программа regsrv32, 55 Прокси-сервер, 417; 857; 870 Пространство имен, 172; 184; 194; 198; 202; 282; 285; 297; 301; 311 Протокол DHCP, 49; 56; 58; 63; 102; 127; 134; 173; 291; 312; 313; 330; 357 HTTP, 362; 372–374; 390; 458; 713 IPSec, 49; 67; 70; 73; 152; 175; 256; 259 IPv4, 70; 256–260; 1201; 1202; 1228 IPv6, 70; 87; 233; 256–260; 304; 857; 1201; 1202; 1205; 1228 IPX/SPX, 151 Kerberos, 152; 156; 174; 303; 313; 317; 349; 363; 401; 408; 439; 442; 470; 678; 702; 914 LDAP, 151; 160; 166; 210; 214; 218; 278; 280; 285; 303; 479; 759 NetBEUI, 151; 154; 349; 1194 SMTP, 86; 214; 240; 243; 245; 253; 262; 304; 362; 383–385; 603; 713; 760 SSL, 152; 363; 370; 380; 382; 387–390; 395 TCP/IP, 70; 127; 134; 151; 154; 159; 294; 300; 324; 330–334; 340; 349; 378; 383; 496; 502 WINS, 102; 128; 291; 295; 316; 329–333 X.500, 154; 159; 177 беспроводного доступа, 458 маршрутизации Open Shortest Path First, 836 обратного преобразования адреса, 332 передачи сетевых новостей, 384 передачи файлов, 378 простой электронной почты, 383 самонастройки, 333
1310
Предметный указатель
сквозной туннелирования, 430; 836 службы каталогов, 150; 161 туннелирования, 430; 837; 848 управления группами Internet, 837 управляющих сообщений Internet, 836
Р Распределенная файловая система, 73; 91; 980; 1000 Резервное копирование, 61; 72; 119; 125; 982; 1013; 1019; 1025; 1062– 1076; 1086 Реплика, 1002 Репликация, 69; 72; 85; 154; 161; 169–171; 177; 187; 210; 234; 237; 240–246; 251–255 Ресурс MNS, 1037 мажоритарного набора узлов, 1037
Ретранслятор, 315
С Сайт, 49; 62; 67; 73; 80; 92; 103 стоимость, 246
Связь сайта, 170; 171 Сервер BizTalk, 43; 56; 1267 DHCP, 58 DNS, 58; 173; 293–301; 307; 308; 310–325 IIS, 56; 137; 146; 174; 361–380; 384–396 ISA, 56; 405; 479; 816 Microsoft Exchange, 56; 59; 103; 160; 212 SharePoint, 55; 82; 96; 117; 479; 688; 693 Web, 55; 59; 63; 70; 132; 363; 364–370 глобального каталога, 58 доступа к данным, 811 идентификации и объединения Microsoft, 264; 280; 290 кластера, 58; 1058; 1060 маршрутизации и удаленного доступа, 433; 816; 865 медиасервер, 1274; 1279; 1282; 1291–1293 печати, 56; 63; 276; 366; 581; 712; 1194 приложений, 56; 366; 378; 383; 1246 распределенной файловой системы, 59 терминальный, 58; 878; 882; 895; 900; 907 удаленного доступа, 58; 433 управления системами, 138; 145; 940; 1098; 1218; 1235; 1247
файловый, 56; 63; 276; 355; 366; 401; 406; 411; 414; 479; 980; 1101; 1194; 1244
Сертификат, 436 Сигнал активности кластера, 1036 Системный реестр HKEY_CLASSES_ROOT, 633; 634; 637; 638 HKEY_CURRENT_CONFIG, 633; 634; 637 HKEY_CURRENT_USER, 633; 634; 636– 638; 686; 704 HKEY_LOCAL_MACHINE, 335; 560; 633– 637; 640; 642–644; 653; 686; 704; 863; 910– 912 HKEY_USERS, 633; 634; 638–640; 642
Служба Services for NetWare, 81; 263; 273; 276; 289 Services for Unix, 263–266; 269–273; 289 Web-администрирования, 362 Windows Media, 50; 1237; 1271–1282; 1285 Windows SharePoint Services, 50; 82; 789; 1237; 1239–1256; 1260–1262; 1264–1270 автоматического развертывания, 145 доменных имен, 58; 1118
динамическая, 173 каталогов Novell, 150 обновления программного обеспечения, 400; 415–417; 1236 сертификатов, 1117 удаленного доступа, 58; 132 удаленной инсталляции, 78; 138
Смарт-карта, 404; 438; 846; 876 Соглашение об уровне обслуживания, 1101 Список разграничительного контроля доступа, 159 управления доступом, 83; 279
Среда выполнения до загрузки, 145; 931 выполнения с общим языком, 400
Средство миграции Active Directory, 83; 509– 513; 516; 517; 524; 559; 566 подготовки системы, 138
Схема Active Directory, 159
Т Тестирование прототипа, 61; 114 Технология IPSec NAT Traversal, 73; 440 Технология Plug and Play, 124; 145; 635
Предметный указатель Том RAID, 982–984; 988 динамический, 983 зеркальный, 984 расширенный, 983 с чередованием, 984
Транзитивное доверительное отношение, 155 Трансляция сетевых адресов, 73; 433; 440 Туннель, 430; 844; 847; 848
У Узел, 679; 702; 704; 891; 1035; 1036; 1040 Утилита CHOICE.EXE, 720 DCPromo, 73; 126; 252; 260; 539; 551; 740 DFScmd.exe, 1018 diskpart.exe, 985; 986; 1138 DNSCMD, 326 FORFILES.EXE, 720 FREEDISK.EXE, 720 frsdiag.exe, 85 Fsutil.exe, 995; 1032 GETTYPE.EXE, 720 INUSE.EXE, 720 IPCONFIG, 324 Netsh, 345; 837; 839; 857; 860–862 NSLOOKUP, 323; 324 ntbackup.exe, 1013; 1062; 1091; 1104–1107; 1127 PowerCfg.exe, 720 RIPrep, 78; 138; 143; 146 SETX.EXE, 720 Sfc.exe, 1000; 1001 Sigverif.exe, 999 sonar.exe, 85 Sysprep, См. Средство подготовки системы, 138; 143–146; 934; 946 TAKEOWN.EXE, 720 TIMEOUT.EXE, 720 TRACERT, 325; 326 WHERE.EXE, 720 WHOAMI.EXE, 720 интерфейса службы Active Directory, 160
1311
Ф Файл HOSTS, 295; 323 Http.sys, 362; 375; 393 LMHOSTS, 354 unattend.bat, 143 unattend.txt, 139; 140; 143; 937
Файловая система FAT, 129; 130; 411; 741; 982–985; 990; 1010 FAT32, 130; 411; 741; 983; 985; 990; 1010 NTFS, 129; 146; 279; 290; 385; 391; 395; 401 распределенная, 50; 59; 73; 91; 602
Фильтр ISAPI, 372 Фоновая интеллектуальная пересылка данных, 415 Фоновая копия тома, 71
Х Хост сценариев Windows, 131; 273; 719; 754 Хостинг, 56; 59
Ц Центр сертификации, 436; 474; 475; 704; 1117; 1142; 1146 головной предприятия, 436 подчиненный предприятия, 436 самостоятельный головной, 436 самостоятельный подчиненный, 437
Ш Шаблон безопасности, 407; 408 Шифрование, 251; 382; 388; 412; 429; 431; 435; 439; 574; 843–846; 849; 850; 887; 901; 970; 982; 1117 асимметричное, 435 открытым ключом, 435 симметричное, 435
Э Эмулятор PDC, 162
Я Язык XML, 66; 70; 81; 207; 364; 1242 разметки для карманных устройств, 458 разметки службы каталогов, 81
Научно-популярное издание Рэнд Моримото, Кентон Гардиньер, Майкл Ноэл, Омар Драуби
Microsoft Windows Server 2003 Полное руководство 2-е издание Верстка Т.Н. Артеменко Художественный редактор С.А. Чернокозинский Издательский дом “Вильямс” 101509, г. Москва, ул. Лесная, д. 43, стр. 1 Изд. лиц. ЛР № 090230 от 23.06.99 Госкомитета РФ по печати Подписано в печать 20.01.2005. Формат 70×100/16. Гарнитура Times. Печать офсетная. Усл. печ. л. 105,78. Уч.-изд. л. 83,66. Тираж 3000 экз. Заказ № .
Отпечатано с диапозитивов в ФГУП “Печатный двор” Министерства РФ по делам печати, телерадиовещания и средств массовых коммуникаций. 197110, С.-Петербург, Чкаловский пр., 15.