Перед тем как погрузиться в подробное изучение Windows XP Professional, давайте познакомимся с общими концепциями построения сетей и соответствующей терминологией. Знание этих базовых положений пригодится нам при рассмотрении более сложных вопросов. В лекции приведен обзор концепций сетевой работы, включая общие понятия о том, как компьютер обрабатывает данные и как это используется при организации сетевого взаимодействия. Дополнительно рассказывается о семиуровневой модели взаимодействия открытых систем (Open Systems Interconnect, OSI), о сетевых протоколах, с которыми вы встретитесь при работе с Windows XP Professional, о сетях Ethernet и гигабитный Ethernet и беспроводном оборудовании. Завершит лекцию обзор технологий глобальных сетей (Wide Area Network, WAN).

Если вы хорошо разбираетесь в организации сетей, то можете пропустить эту лекцию.

Перед тем как приступить к изучению сетей и их организации, давайте разберемся в технологии работы компьютера. Это важно, поскольку способы обработки информации внутри машины действительны и для сетевых технологий. В этом разделе мы рассмотрим, как компьютеры обмениваются данными.

Для большинства пользователей является загадкой, что же происходит в "том углу", где находится сервер и концентратор. Некоторые настолько запутались в работе своего компьютера, что им нет никакого дела до сервера и до того, что "эти компьютерщики" с ним делают. На самом же деле серверы, как и другое сетевое оборудование, - это просто компьютеры. Основное различие между рабочей станцией, сервером и маршрутизатором состоит в их конфигурации.

У сетевых устройств, в отличие от обычных компьютеров, нет мониторов и дисководов. Так происходит потому, что они выполняют одну-единственную функцию - передают трафик. Им не нужно хранить информацию или выводить ее на дисплей. Сетевые устройства, как и персональные компьютеры, имеют центральный процессор, память и операционную систему.

Для обмена данными компьютеры, образующие сеть, должны передавать друг другу электрические сигналы при помощи различных аппаратных средств (о которых мы поговорим позже). Эти сигналы проходят по лабиринту транзисторов и микросхем внутри компьютера, а затем отправляются по соединительным кабелям к другим сетевым устройствам.

Во время передачи от одного устройства к другому сигнал сначала попадает на сетевую интерфейсную плату (Network Interface Card, NIC), или сетевой адаптер. Сетевой адаптер преобразует электрические волновые импульсы в данные, понятные компьютеру. Он интерпретирует каждый волновой импульс как одно из состояний: включено (on) или выключено (off). Этот процесс называется преобразованием в двоичную форму. Состояние on означает двоичное число 1, а состояние off - 0. Данные, поступившие в компьютер, превращаются в биты. Файл, состоящий из битов, называется двоичным файлом.

Примечание. В оптоволоконных сетях в двоичную форму переводятся световые импульсы, также представляющие собой сигналы on и off.

Колебания напряжения электрических импульсов (своего рода азбука Морзе) преобразуются в двоичную форму. Естественно, эти колебания происходят за очень короткие промежутки времени. Период времени между двумя колебаниями называется циклом, обратная величина к периоду называется частотой, частота измеряется в герцах (Гц). Так, процессор в сетевой плате, работающий со скоростью 100 Мб/с, генерирует сто миллионов импульсов в секунду.

Мы уже сказали, что биты являются основными блоками при обработке данных. Это действительно так, но компьютеру неудобно обрабатывать информацию по одному биту в каждый момент времени. Это выглядит так, как если бы вы, решив построить во дворе печь для барбекю, шли в магазин, приносили один кирпич, укладывали его и шли за следующим. Ясно, что вы сразу купите столько кирпичей, сколько вам требуется, а затем приступите к строительству.

Примерно так и компьютер обрабатывает биты - он собирает их в группы по 8 битов в каждой, которые называются байтами. Байт считается единицей информации. Один символ, введенный с клавиатуры, представляется одним байтом. Буква "к" в слове "клавиатура" - это 1 байт или 8 битов. Все слово "клавиатура" состоит из 10 байтов или 80 битов.

Объединение битов в байты - это логичный способ повышения эффективности работы компьютера. В результате система функционирует быстрее, ее легче программировать и отлаживать. Определение места расположения отдельного бита является задачей компьютера.

Хотя приложения (а следовательно, их пользователи и разработчики) манипулируют байтами, компьютеры все-таки должны обрабатывать каждый отдельный бит. Операция перевода битов в байты в центральном процессоре может занять слишком много времени. Для ускорения этого процесса используются слова. Слова состоят из байтов так же, как байты состоят из битов. Слово включает в себя то количество байтов, которое процессор способен обработать за один цикл.

Например, процессор типа Intel Pentium III является 32-битным. Это означает, что он обрабатывает 32 бита (или 4 байта) за один полный цикл. С развитием технологий скорость обработки данных процессором возрастает. В результате на место 32-битного процессора приходит 64-битный, такой как Itanium, манипулирующий восьмибайтовыми словами.

Архитектура компьютера - это состав всех его компонентов. В напечатанном виде такая подробная схема займет несколько сотен страниц. И все же некоторые компоненты остаются абстрактными. Точная реализация этих специфических участков архитектуры является задачей разработчиков.

Отделение архитектуры от спецификации продуктов реализуется с помощью уровней абстракции. Уровень абстракции - это фиксированный интерфейс между двумя компонентами системы. Этот уровень отслеживает отношения между функциями и их реализацией c обеих сторон.

Уровни абстракции становятся полезны тогда, когда в одном компоненте системы происходят изменения. В этом случае не требуется модификация другого компонента, поскольку уровни абстракции гарантируют совместимость:

• между различными компонентами внутри системы;
• между различными продуктами, реализующими архитектуру.

Абстракция - это всегда "головная боль", но она решает множество проблем. Например, позволяет различным командам разработчиков работать над проектами, дающими одинаковый результат. Примером служат DVD-дисководы, которые создаются различными производителями, но при этом отвечают DVD-спецификациям.

Существует несколько типов архитектур компьютера различной степени открытости. Наиболее хорошо изученной считается архитектура Microsoft/Intel 80x86. Другие архитектуры включают в себя Java, дисковые массивы RAID (Redundant Array of Inexpensive Disks) и прочее. Самой важной архитектурой является эталонная модель OSI, благодаря которой возможно существование интернета и связь между различными компьютерными платформами.

Примечание. О модели OSI мы будем рассказывать позже в разделе "Модель взаимодействия открытых систем".

На первый взгляд может показаться, что стоит лишь соединить два компьютера кабелем, и они без проблем начнут обмениваться информацией. К сожалению, все гораздо сложнее.

Существует несколько причин для использования сетевых устройств в различных точках сети. В малом офисе компьютеры объединяются с помощью концентратора, или хаба (hub) либо небольшого коммутатора (switch), соединенного с сервером. В крупной организации работает большее количество коммутаторов, соединенных с несколькими серверами. При работе с интернетом к этому набору добавляются маршрутизаторы (router). Давайте более подробно рассмотрим работу этих устройств, выясним их функции и место в сети.

Пару десятилетий назад аббревиатура LAN (Local Area Network - локальная вычислительная сеть) применялась для описания сетей любого размера. Независимо от количества компьютеров - два или четыре тысячи - все они объединялись в одну сеть. Позже, когда размер сетей значительно вырос, началось их разделение на сети меньшего размера.

Примечание. Благодаря LAN-сегментации, у нас появился маршрутизатор - основа интернета. Маршрутизатор был изобретен одним человеком из Стенфорда (его рабочая станция находилась в одной локальной сети), который хотел общаться со своей женой (ее рабочая станция располагалась в другой локальной сети). Эти двое и положили начало небольшой компании, о которой вы, наверное, слышали - компании Cisco.

Без маршрутизаторов невозможно было бы существование интернета. Маршрутизатор делает именно то, на что указывает его название - направляет данные из одной локальной сети к другому маршрутизатору, тот - к следующему, и этот процесс повторяется до тех пор, пока информация не достигнет места назначения. Маршрутизаторы играют роль дорожной полиции, разрешая пересылку данных только авторизованным машинам, чтобы гарантировать конфиденциальность личной информации. Осуществляя поддержку соединений удаленного доступа (dial-in) и выделенных линий, маршрутизаторы обрабатывают ошибки, ведут статистику использования сети и обеспечивают безопасность данных.

Интернет осуществляет информационную связь между несколькими компьютерами, поэтому разработчики осознали потребность в инструменте для поддержки этой связи. В основном, интернет использует для своих нужд существующие телекоммуникационные линии. Для того чтобы компьютер А в США установил связь с компьютером Б в Голландии, необходимо:

• проложить маршрут связи в телекоммуникационной системе;
• передать по этому маршруту пакеты - блоки данных, пересылаемые с помощью интернета.

Эти задания выполняют маршрутизаторы, передавая по одному пакету в единицу времени.

Примечание. Пакеты аналогичны словам, т. е. представляют собой группы байтов одинакового размера. Отличие в том, что пакеты не обрабатываются компьютером, а передаются по телекоммуникационной системе, а затем конвертируются в данные, используемые принимающим устройством.

Функции маршрутизаторов уникальны и заключаются в следующем.

• Поддержка различных протоколов (Ethernet, Token Ring, ISDN и др.) для успешной реализации совместимости компьютеров.
• Установка связи между локальными и глобальными сетями с возможностью создания широкомасштабных сетей при минимуме централизованного планирования.
• Фильтрация нежелательного трафика посредством изоляции областей, в которых сообщения могут транслироваться всем пользователям сети.
• Обеспечение безопасности за счет контроля трафика с помощью списков разрешений доступа.
• Обеспечение стабильности работы за счет предоставления множества внутрисетевых маршрутов.
• Автоматическая прокладка новых маршрутов и выбор наиболее оптимальных, устранение искусственных ограничений, возникающих на пути расширения и улучшения работы сети.

Маршрутизаторы похожи на универсальных переводчиков - их важнейшим качеством является способность одновременной поддержки нескольких сетевых протоколов. Именно благодаря этому несовместимые компьютеры могут поддерживать связь друг с другом, несмотря на различие в архитектуре сети, операционных системах, формате данных и т. д.

Способность маршрутизаторов отфильтровывать нежелательный трафик также очень важна для работы в сети. Некоторые представляют себе интернет территорией, где отсутствуют законы, и каждый может делать все, что ему вздумается. На самом деле сетевые администраторы могут оградить вас от нежелательной информации, соответствующим образом настроив свои маршрутизаторы. Это дает возможность эффективной работы в режиме онлайн, снижая ощущение, что кто-то посторонний просматривает секретные документы и файлы.

Серверы - это компьютеры сети, управляющие важнейшими операциями ее функционирования. В локальных сетях серверы предоставляют информацию компьютерам-клиентам, а в более крупных сетях управляют работой файловой системы и печатью.

Функции сервера могут быть и узкоспециализированными в зависимости от потребностей компании, назначения и размеров сети. Одни серверы будут выполнять уникальные функции, а другие - дублирующие, в зависимости от важности возложенной на них работы.

На количество и размещение серверов влияют несколько факторов. Небольшой организации нужен всего один сервер для связи с компьютерами-клиентами. В крупных организациях серверы выполняют более специализированные задания. Как показано на рис. 1.1, в компании Acme Consolidated Consumer Products используется несколько серверов, выполняющих различные функции.

• Веб-сервер содержит информацию веб-сайта (веб-страницы и онлайновый каталог).
• Файловый сервер централизованно хранит файлы компании.
• Сервер печати хранит задания для печати на принтере.
• Сервер приложений содержит приложения, с которыми работают посетители веб-сайта и служащие компании.
• Почтовый сервер контролирует электронную почту.

Каждый из этих серверов может быть отдельным устройством, но это не обязательно. На одном компьютере можно разместить несколько отдельных серверов, если правильно их настроить.

Концентраторы и коммутаторы - это те самые устройства, чей внешний вид больше всего пугает пользователей, со множеством портов, к которым присоединены кабелями пятой категории компьютеры этих пользователей. Основной функцией концентраторов и коммутаторов является соединение многочисленных устройств (персональных компьютеров, принтеров, других концентраторов и коммутаторов) с серверами.

Концентратор (хаб) предназначен для соединения нескольких персональных компьютеров с одним сервером. Его принцип работы напоминает работу распределителя электропитания, который используется для подключения к одной розетке нескольких устройств (телевизора, DVD-плеера, спутниковой тарелки и т.д.) При обмене данными между сервером и его клиентами хаб разделяет одно соединение на несколько.

Хаб передает один и тот же сигнал на все выходные порты, поэтому данные распространяются на все устройства локальной сети, подключенные к нему. Остается загадкой, почему в ваш компьютер не попадают данные, предназначенные для коллеги за соседним столом. Это происходит благодаря тому, что каждый компьютер отфильтровывает те пакеты, которые ему не предназначены.

Коммутатор во многом похож на концентратор. Оба устройства имеют панель с портами (разъемами), к которым подключается кабель типа "витая пара". Концентраторы и коммутаторы образуют в локальной сети домен и используются для прямой доставки сообщений через главную магистраль сети.

Коммутатор отличается от хаба тем, что может создавать в сети выделенные (частные) соединения. В нашем примере с распределителем электропитания электрический ток разделяется на несколько потоков, подводимых ко всем устройствам в помещении. Эта аналогия соответствует работе коммутатора не полностью, поскольку он работает избирательно. Тут в большей степени подходит сравнение с системой коммутации, используемой в локальной АТС. Когда вы звоните своей матери по городскому телефону, то коммутатор работает таким образом, что образуется изолированная цепь, чтобы вы могли вести приватную беседу по поводу тети Джулии. Если бы соединение осуществлялось с помощью концентратора, то ваша беседа транслировалась бы на каждый телефонный аппарат, подключенный к нему. На рис. 1.2 показано отличие в работе концентратора и коммутатора.

Коммутаторы удобны тем, что они разделяют полосу пропускания. В коммутируемых сетях все устройства получают полный доступ к полосе пропускания физической среды передачи данных, и для выполнения передачи требуются доли секунды.

Концентратор принимает кадры (фреймы) от одного хоста (устройства, подключенного к сети и работающего через протокол TCP/IP) и пересылает их на все хосты, которые с ним связаны. Коммутатор просматривает кадры, поступающие через его порты, и сразу передает их порту (или портам) другого коммутатора. Весь процесс происходит очень быстро, поэтому коммутаторы передают одновременно несколько потоков данных. Таким образом, коммутатор может поддерживать десятки хостов посредством одного коммутируемого порта. На самом деле в каждый момент времени от порта к порту пересылается один кадр, но процесс выполняется настолько быстро, что становится прозрачным для всех работающих хостов.

Для того чтобы сетевые устройства могли общаться друг с другом, они должны "говорить" на одном языке. Однако множество компаний разрабатывают свои собственные фирменные устройства и операционные системы, поэтому возникает вопрос - как определить лучшую из них? Кто принимает решение о том, на каком языке эти устройства обмениваются информацией?

На этот вопрос дала ответ Международная организация по стандартизации (International Standards Organization, ISO), расположенная в Париже. В 1978 г. ISO обнародовала эталонную модель взаимодействия открытых систем (Open System Interconnection, OSI). Эта модель состоит из семи уровней и является стандартом для разработки интерфейсов взаимодействующих устройств, она стала основой для создания популярного межсетевого протокола IP (Internet Protocol).

Семиуровневая модель OSI является базой для осуществления взаимодействия в сетях, т. е. компьютерная система одного разработчика получает возможность обмениваться данными с системой другого разработчика. Трудности обмена информацией между различными системами напоминают разговор представителей двух разных национальностей. Если вы предложите выходцу из Германии поговорить с уроженцем Аргентины, то попытка общения потерпит неудачу при условии, что никто из говорящих не знает языка страны собеседника. С компьютерами все обстоит еще хуже, так как они не могут размахивать руками и говорить на языке жестов. Без модели OSI компьютер Macintosh не сможет получить доступ к PC-серверу и обменяться информацией с Novell-сервером.

Модель OSI делит сеть на семь функциональных уровней, поэтому ее иногда называют семиуровневым стеком. Каждый уровень соответствует функции или набору функций, которые выполняются во время прохождения данных по сети. Модель OSI является стандартом, поэтому не имеет значения, какие протоколы взаимодействуют друг с другом. Если протоколы работают в рамках семиуровневого стека, то на каждом уровне действуют одни и те же правила, создавая межпротокольную связь.

Каждый уровень имеет свой собственный протокол взаимодействия между устройствами (см. рис. 1.3). Для установки соединения в рамках стандартизированного взаимодействия каждый уровень обращается к другому уровню для управления определенным фрагментом сетевого соединения. Между уровнями всегда имеется фиксированный интерфейс, позволяя установку соединения с помощью различных протоколов.

Таким образом, наличие абстрактных уровней облегчает кажущуюся невыполнимой задачу по установке соединения. Чем выше мы поднимемся по стеку, начиная с самых основ - электрических сигналов в среде передачи данных, тем ближе подойдем к пользователю - к реальному содержанию пересылаемых данных. Ниже приведено описание уровней модели OSI.

• 1 уровень - физический. Здесь устанавливается стандарт физической среды передачи для транспортировки данных между двумя устройствами, уточняются электрические и механические характеристики сигнала (витая пара, оптоволоконный кабель, коаксиальный кабель и сетевой адаптер).
• 2 уровень - канальный. Контролирует доступ в сеть и гарантирует прохождение кадров по каналам сети. Наиболее популярным здесь является протокол CSMA/CD (Множественный доступ с контролем несущей и обнаружением коллизий).
• 3 уровень - сетевой. Здесь осуществляется управление перемещением данных между различными сетями. Протоколы этого уровня отвечают за поиск устройства, которому предназначены данные. Примерами протоколов третьего уровня являются IP, IPX и Apple Talk.
• 4 уровень - транспортный. Контролирует доставку одного фрагмента данных к пункту назначения и в правильном порядке; здесь работают протоколы TCP и UDP.

Примечание. Мы будем обсуждать протоколы TCP и UDP в гл. 3.

• 5 уровень - сеансовый. Отвечает за установку и завершение соединений, организует сеансы связи между двумя устройствами. Протоколами этого уровня являются LDAP и RPC.
• 6 уровень - уровень представлений. Здесь данные форматируются для вывода на дисплей и принтер; используются протоколы LPP и NetBIOS.
• 7 уровень - уровень приложений. В верхней части стека находятся протоколы, используемые для выполнения задач: SMTP для работы с электронной почтой, HTTP для веб-браузеров и серверов, Telnet для сеансов связи с удаленными терминалами и множество других.

Примечание. Обратите внимание на правильное значение названия "уровень приложений"! Здесь имеются в виду сетевые, а не программные прикладные приложения типа текстовых редакторов или электронных таблиц. Сетевые приложения включают в себя электронную почту, веб-браузеры и протокол пересылки файлов (FTP).

Понять, как работает модель OSI, легче, если мы взглянем на нее под другим углом зрения. Модель взаимодействия открытых систем имеет вертикальную структуру, которая называется стеком, а мы расположим ее горизонтально. В предыдущем разделе мы поднимались от уровня 1 и до уровня 7. На этот раз начнем с уровня 7 (ближайшего к пользователю) и пройдем по стеку до физического уровня. Это поможет нам разобраться во взаимодействии различных уровней.

В основе любого сообщения лежит полезная нагрузка. Ее размеры и содержимое зависят от программного приложения. Важно понять, что при пересылке данных вся полезная нагрузка обычно не помещается в одном сообщении. Чаще всего эта нагрузка разбивается на отдельные небольшие порции, к заголовкам которых добавляются протоколы, управляющие сообщением. Величина порции полезной нагрузки зависит от используемого приложения. Например, если вы открыли сессию Telnet с библиотекой, то будет передаваться небольшой объем данных (коды клавиш, которые вы нажимаете, и числа). А вот при загрузке файла с FTP-сайта величина полезной нагрузки будет гораздо больше и составит миллионы байтов в тысячах пакетов.

Помимо полезной нагрузки имеются протоколы, управляющие передачей сообщения. Первые три уровня в этой модели управляют используемым сетевым приложением (уровень приложений), форматом представления данных (уровень представлений) и характеристиками соединения (сеансовый уровень). Например, порт 25 идентифицирует SMTP-приложение электронной почты.

Примечание. Порты не являются физическими объектами, как можно предположить из их названия. Это, скорее, логические зоны компьютера, где ожидается получение информации определенного типа.

При переходе на следующий уровень - транспортный - размер сообщения немного увеличивается. Здесь главная задача состоит в предоставлении принимающему компьютеру сведений о поступающем сообщении, а также в том, чтобы он не был перегружен пакетами. Кроме того, этот уровень дает гарантию того, что все передаваемые пакеты дойдут до получателя.

Следующий уровень, добавляемый к сообщению, - сетевой уровень. Именно на этом этапе сообщение превращается в пакет или дейтаграмму. В заголовок пакета включается логический сетевой адрес, по которому передается сообщение. В числе других сетевые протоколы включают в себя и протокол IP.

За сетевым уровнем следует канальный уровень. Здесь считываются данные, представленные в двоичном виде, и добавляются к формату, который называется кадром. Формат кадра задается протоколом сетевого адаптера (например, Ethernet или ATM). В заголовке каждого кадра содержится MAC-адрес (Media Access Control) - адрес управления доступом к среде для сетевого устройства. У каждого сетевого адаптера есть свой уникальный MAC-идентификатор.

Вот мы и дошли до физического уровня. Вы помните, что на этом уровне сообщение преобразуется в последовательность импульсов, передающих данные в двоичном виде. Это последний уровень стека, и он не зависит от того, в каком виде передается сигнал, - в виде электрических импульсов обычной сети или световых импульсов оптоволоконной линии. Импульсы обрабатываются платами сетевого интерфейса, программное обеспечение сетевой среды в этом процессе не участвует.

Теперь поговорим о технологиях, с помощью которых происходит передача пакетов данных. Сетевые технологии работают в сегментах локальных сетей и называются также LAN-технологиями или сетевыми спецификациями. Самой популярной сетевой технологией является Ethernet, но вы можете подыскать для своей сети другую, более подходящую технологию.

В этом разделе мы обсудим технологию Ethernet и ее разновидности: Ethernet, работающий на скорости 1 Гбит/с (гигабитный Ethernet), и Ethernet, работающий на скорости 10 Гбит/с (десятигигабитный Ethernet); поговорим о технологиях Token Ring, ATM (Asynchronous Transfer Mode) и беспроводной сети.

Как уже было сказано выше, сетевые технологии реализуются на канальном уровне стандартной модели OSI. Это значит, что их можно охарактеризовать физическими носителями и способом управления доступом к этим носителям. Работа в сети требует наличия связности отдельных сетевых устройств и определенного порядка их взаимодействия. По этой причине канальный уровень передачи данных еще называют уровнем управления доступом к среде или MAC-уровнем. Сообщения, расположенные на этом уровне, называются фреймами.

Порядок взаимодействия в сетевом соединении обеспечивается только за счет МАС-адресов (серийных номеров или идентификаторов). Для передачи сообщения из локальной сети во внешнюю необходим протокол сетевого уровня, например IP. Сетевые технологии могут функционировать только в коммутируемых объединенных сетях, т.е. их целесообразно использовать в локальных сетях или при передаче по простым, неразветвленным, протяженным маршрутам.

Сетевые технологии работают на двух уровнях.

• Сети общего доступа. Сетевые технологии обеспечивают связь между устройствами, рабочими группами и общими ресурсами типа принтеров и серверов. Такие локальные сети формируются с помощью хабов или коммутаторов и обеспечивают соединение "местного" масштаба. Например, в крупном учреждении сети общего доступа могут охватить один этаж.
• Магистральные сети. Сетевые технологии устанавливают связи между сетями общего доступа и такими устройствами, как серверы баз данных и почтовые серверы. Магистральные сети включают в себя маршрутизаторы и LAN-коммутаторы. Обычно они служат для соединения сетей внутри одного здания или студенческого городка. На рисунке 1.4 показано различие между сетями общего доступа и магистральными сетями.

До сих пор в этой лекции мы обсуждали тот факт, что разные компьютеры могут общаться друг с другом с помощью уникальных, присущих только им способов. Но общаются не только компьютеры. Некоторые компании разработали свои собственные средства преодоления межсетевого пространства как локального, так и глобального масштаба.

В 1970 г. корпорация Xerox разработала первую версию Ethernet. Спустя десять лет, в результате совместных усилий с компаниями Intel и Digital Equipment Corporation (позже превратившейся в Compaq), в 1983 г. была выпущена вторая версия. В последующие 20 лет Ethernet стала лидирующей сетевой технологией. Возможно, такой популярности Ethernet обязана своей дешевизне. Сетевая карта Ethernet стоит меньше 10 долларов, а некоторые производители интегрируют Ethernet-карты в материнские платы своих компьютеров.

Наряду с популярностью возрастала и мощность Ethernet. Термин Ethernet стал применяться при описании технологии со скоростью передачи данных в 10 Мб/с. Fast Ethernet, внедренный в 1995 г., работал на скорости 100 Мб/с. В следующем году появился гигабитный Ethernet, а в 2002 г. в качестве стандарта был предложен 10-гигабитный Ethernet, который выводит технологию Ethernet на просторы глобальных вычислительных сетей (WAN). Технология Ethernet удовлетворяет спецификации IEEE 802.3.

Примечание. Институт инженеров по электротехнике и электронике (Institute for Electronics Engineers - IEEE), возникший еще в 20 веке, разработал стандарты для первого и второго уровней модели OSI. Стандарты 3 уровня (и выше) выпустила инженерная группа проектирования интернета (Internet Engineering Task Force - IETF).

Популярность Ethernet нередко вызывает удивление. Эта технология изначально не является эффективной. На самом деле только 37 % полосы пропускания подходит для ее функционирования, так как Ethernet работает в условиях одновременного использования канала связи. Устройства, подключенные к локальной сети Ethernet, прослушивают линию и ожидают ее освобождения для отправки сообщения. Если два устройства одновременно начинают передачу данных, и их пакеты сталкиваются, то обе передачи прерываются, и рабочие станции через некоторое время, определяемое случайным образом, осуществляют новую попытку отправки данных.

Ethernet использует алгоритм CSMA/CD (Carrier Sense Multiple Access with Collision Detection - множественный доступ с контролем несущей и обнаружением конфликтов) для прослушивания линии, распознавания коллизии и прерывания передачи. CSMA/CD является "светофором" технологии Ethernet и служит для предотвращения беспорядочных столкновений пакетов в сети. На рисунке 1.5 показано, как работает алгоритм CSMA/CD.

Технология Ethernet использует общую среду передачи, поэтому все устройства локальной сети Ethernet получают все сообщения, а затем проверяют, совпадает ли адрес назначения с собственным адресом устройства. Если адреса совпадают, то сообщение принимается и проходит через все семь уровней стека, в противном случае сообщение отбрасывается.

Реализация коммутируемой архитектуры сети Ethernet имеет преимущество в том, что линии, связывающие коммутатор с устройствами, подключенными к сети, получают полосу пропускания максимальной ширины. Это объясняется тем, что передаваемые пакеты не отправляются широковещанием ко всем устройствам сети, а передаются от коммутатора к пункту назначения.

Гигабитный Ethernet является расширением Ethernet-стандарта до скорости 1000 Мб/с. Такой скачок вызван тем, что он наследует возможности других Ethernet-спецификаций (исходного 10-мегабитного Ethernet и 100-мегабитного Fast Ethernet).

Технология гигабитного Ethernet является основным конкурентом технологии ATM. (Об этой технологии мы будем кратко говорить далее). Так как Ethernet является самой популярной сетевой технологией, то гигабитный Ethernet выигрывает у ATM, поскольку является более изученным. Изначально он разрабатывался для эксплуатации в локальных сетях, но при возрастании скорости передачи данных до 1 Гбит/с его можно использовать в качестве WAN-технологии.

Несмотря на высокую скорость передачи, Ethernet не совсем подходит для глобальных сетей. Эта технология использует кадры переменного размера - от 64 до 1400 байт, что не соответствует характеристикам ATM по качеству обслуживания (Quality of Service, QoS).

Примечание. Качество обслуживания (QoS) гарантирует наиболее эффективную отправку и получение пакетов. В лекции 5 мы более подробно рассмотрим QoS и его реализацию в Windows XP.

Разумеется, о конкретных нуждах и эксплуатационных возможностях организации можно говорить долго. Если компания не делает акцент на характеристики QoS и имеет достаточную базу знаний об Ethernet, то идеальным решением для нее является гигабитный Ethernet. Популярным решением такой сети является подключение локальных сетей общего доступа с технологией Fast Ethernet к магистральной сети, работающей по технологии гигабитного Ethernet.

Следующей ступенькой в развитии Ethernet стал 10-гигабитный Ethernet. Скорости передачи 10 Мбит/с и 100 Мбит/с в технологии Ethernet делают ее хорошим способом доступа к данным, гигабитный Ethernet становится претендентом на роль WAN. А 10-гигабитная реализация Ethernet становится настоящей глобальной сетевой технологией.

10-гигабитный Ethernet использует Ethernet-протокол, формат кадра и размер кадра, определенные в спецификации IEEE 802.3. Переменный размер кадров по-прежнему остается проблемой, однако принципиальных трудностей для группировки множества мелких пакетов в один большой транк (trunk) технологии 10-гигабитного Ethernet, не существует. Все "за" и "против" должны рассматриваться для конкретной организации или ситуации.

У вас могло сложиться впечатление, что весь мир пользуется Ethernet-соединениями, но все же это не единственный стандарт для локальных сетей. Технология Token Ring является главным конкурентом Ethernet в борьбе за лидерство в LAN-технологиях. По крайней мере, так было до сих пор. Token Ring отличается своей архитектурой и не совместим с Ethernet во всем, что касается сетевых карт, соединительных кабелей и программного обеспечения.

Примечание. Технология Ethernet определяется в спецификации IEEE 802.3, технология Token Ring - в спецификации IEEE 802.5.

Token Ring (кольцевая сеть с маркерным доступом) называется так, потому что образует из хостов (узлов) логическое кольцо. Сегменты локальной сети, организованной по технологии Token Ring, передают сигналы по очереди от одного хоста к следующему, как если бы кабель на самом деле представлял собой одно гигантское кольцо. На практике хосты не обязательно соединяются по кругу, более того, конфигурация их соединения может иметь обычную топологию "звезда" (см. рис. 1.6). Обратите внимание на то, что вместо хаба или коммутатора в центре звезды находится модуль множественного доступа (Media Access Unit - MAU).

Технология Ethernet в процессе принятия решения о том, какой хост будет широковещательным, отслеживает освобождение линии связи. Технология Token Ring действует более упорядоченно: протокол с эстафетной передачей маркера контролирует трафик, посылая специальный кадр - маркер (token) - от хоста к хосту. Только хост, владеющий маркером, получает право на передачу информации, что позволяет устранять коллизии пакетов.

По сути, Token Ring избегает коллизий за счет времени ожидания, так как каждому хосту приходится ждать своей очереди на передачу. Однако только этим все не ограничивается. Исключение коллизий пакетов в значительной степени способствует более полному использованию полосы пропускания. Token Ring использует до 75 % полосы пропускания, в то время как теоретический максимум использования у Ethernet составляет около 37 %. В первых реализациях Token Ring скорость передачи данных составляла 4 Мбит/с. Сейчас большинство локальных сетей с технологией Token Ring повысили свою скорость до 16 Мбит/с. Это не так много по сравнению со 100-мегабитным Fast Ethernet, но, как уже говорилось, Token Ring работает гораздо эффективнее, чем Ethernet.

Не стоит забывать, что деньги тоже имеют значение. Token Ring не стал лидирующим стандартом только потому, что имеет более высокие цены за трафик.

Организация локальных сетей Token Ring стоит дороже из-за технологической сложности механизма эстафетной передачи маркера и использования сетевых карт, которые передают пакеты в упорядоченном режиме.

Технология асинхронного режима передачи (Asynchronous Transfer Mode, ATM) отличается от других сетевых технологий тем, что каждая передача состоит из 53-байтовых ячеек. Ячейки - это блоки фиксированной длины и, подобно пакетам, представляют собой части сообщения. Формат фиксированной длины позволяет получать уникальные характеристики.

• Ориентация на виртуальные каналы связи. Сетевые соединения, использующие ячейки, наиболее эффективно работают в режиме двухточечного соединения (point-to-point), когда принимающая станция находится в состоянии активности и готова к приему и обработке ячеек.
• Скорость. Благодаря одинаковой величине ячеек устройства, обслуживающие технологию АТМ, могут точно определить заголовок ячейки и начало блока данных. Это ускоряет процесс обработки и позволяет АТМ-сетям работать со скоростью до 622 Мбит/с.
• Качество обслуживания (QoS). Прогнозируемые скорости передачи данных и виртуальные каналы позволяют гарантировать высокий уровень обслуживания для большей части трафика.

АТМ-технология отличается от технологии Ethernet и Token Ring тем, что является коммутируемой технологией, в которой виртуальные каналы устанавливаются до начала передачи. Ethernet и Token Ring не создают виртуальных каналов, более того, они отсылают сообщение хосту без предварительного уведомления, оставляя задачу определения оптимального маршрута маршрутизаторам.

Ячейки АТМ достаточно малы (53 байта) по сравнению с Ethernet-пакетами, имеющими размер от 64 до 1500 байт, поэтому их быстрее обрабатывать и легче осуществлять контроль.

Еще одной отличительной чертой АТМ является то, что эта технология разработана для оптоволоконных кабелей, работающих в технических условиях синхронных оптических сетей (Synchronous Optical Network, SONET). SONET является ANSI-стандартом, который определяет характеристики физических интерфейсов, подключаемых к оптоволоконным кабелям.

Архитектура ATM-сетей эффективно использует полосу передачи для максимальных скоростей, на 75% превышая эффективность технологии Token Ring. Скорость передачи для большинства магистральных АТМ-сетей составляет 155 Мбит/с (ОС-3) или 622 Мбит/с (ОС-12). Скорость передачи для сильно нагруженных междугородных линий связи составляет 622 Мбит/с (ОС-12) и 2,488 Гбит/с (ОС-48).

Примечание. ОС определяет оптический носитель и является мерой скорости при передаче данных по оптоволоконным линиям.

Функциональные особенности вышеописанных сетевых технологий сильно отличаются друг от друга. Одни технологии являются более распространенными, другие - более дорогими, третьи - более эффективными. Хотя технологии Ethernet, АТМ, Frame Relay обладают уникальными функциями, у них есть одна общая черта - необходимость физического соединения между хостами, независимо от того, что их соединяет: медный кабель "витая пара" или оптическое волокно. Беспроводные локальные сети (Wireless LAN, WLAN) "освобождают" устройства от физической привязки к сети, при этом сохраняя возможность передачи данных.

Технологической базой для работы беспроводных локальных сетей является стандарт IEEE 802.11. Он введен в эксплуатацию в начале 90-х годов прошлого века и применяется в нелицензированном диапазоне частот 2,4 ГГц. Первые версии стандарта 802.11 поддерживали скорость передачи данных от одного до двух мегабит в секунду. Усовершенствованный стандарт 802.11b повысил эту скорость до 5,5 Мбит/с и 11 Мбит/с, что достигается расширением спектра сигнала по принципу прямой последовательности (DSSS), т. е. использованием другой схемы модуляции.

Появилась новая версия протокола 802.11а, работающая на скорости 54 Мбит/с, но она еще не завоевала такой популярности, как версия 802.11b. Протоколы 802.11 и 802.11b работают на частоте 2,4 ГГц, а версия 802.11а - на частоте 5,8 ГГц. Вместо DSSS в этой версии используется ортогональное мультиплексирование деления частоты (Orthogonal Frequency Division Multiplexing, OFDM).

Целью разработки стандарта 802.11а было следующее:

• создать спецификацию МАС-уровня и физического уровня для беспроводных соединений;
• предоставить беспроводную связь автоматическому оборудованию, устройствам или станциям, требующим быстрого соединения;
• представить стандарт для глобального и повсеместного использования.

Примечание. Именно из-за третьего пункта IEEE выбрал в качестве рабочей частоты 2,4 ГГц. Это нелицензированная полоса частот, предназначенная для использования в промышленности, науке и медицине.

Архитектура беспроводных локальных сетей, работающих по стандарту 802.11, напоминает архитектуру сетей сотовой телефонной связи. Используя сетевую архитектуру, описанную ниже, беспроводные компьютерные сети пользуются преимуществами роуминга телефонных сетей, обеспечивая высокие скорости передачи данных.

• Ячейки и наборы. Беспроводная локальная сеть (WLAN) 802.11 поделена на ячейки. Каждая ячейка управляется точкой доступа (access point, АР). Точка доступа - это устройство, осуществляющее обмен данными с беспроводными сетевыми картами. Одна точка доступа не может удовлетворять все запросы локальной беспроводной сети, поэтому имеется возможность присоединения множества точек доступа к общей магистрали. При совместной работе нескольких АР образуется так называемая распределенная система (distribution system). Независимо от размера сети и наличия подключенных к ней узлов, группа беспроводных устройств рассматривается верхними уровнями модели OSI в качестве одной локальной сети IEEE 802.11.
• Физический уровень. Протокол 802.11 охватывает физический уровень и МАС-уровень. Он распространяется на следующие виды беспроводных носителей: с расширением спектра сигналов со скачкообразной перестройкой частоты, с расширением спектра сигнала по принципу прямой последовательности и инфракрасные. Один МАС-уровень поддерживает все три физических уровня.

Использование архитектуры сотовой связи позволяет беспроводным устройствам соединяться, разъединяться и совершать роуминг от ячейки к ячейке. Более подробная информация о работе беспроводных сетей в Windows XP Professional приведена в лекции 5.

Вычислительная сеть не ограничивается длиной кабеля пятой категории или диапазоном частот устройства, работающего по стандарту 802.11. Многие организации поддерживают связь со своими филиалами, находящимися на огромных расстояниях, с помощью технологий глобальной сетевой связи (Wide-Area Network, WAN). Эти технологии позволяют сетевым устройствам по всему земному шару подключаться к глобальной сети интернет.

Существует два основных вида WAN-технологий, с помощью которых удаленные пользователи и офисы устанавливают связь с сетью организации.

• Удаленный доступ (Dial-in). Позволяет устанавливать связь через телефонную линию - двухточечное соединение между центральной станцией и одним или несколькими пользователями. По окончании сеанса связи телефонный канал связи разъединяется. Соединение удаленного доступа идеально подходит для небольшого количества пользователей и малых объемов передаваемых данных.
• Tранк - высокопроизводительное двухточечное соединение, соединяющее офисы. Обычно транк соединяет нескольких пользователей с центральным сайтом. Большинство магистралей такого рода работает через телефонные линии Т1 (1,5 Мбит/с) и Т3 (45 Мбит/с), а применение оптоволоконных кабелей в значительной степени повышает скорости передачи.

Независимо от вида WAN-соединения, для передачи данных между пользователями и офисами задействованы линии обычной телефонной связи. Различие заключается в использовании линии:

• между домом (офисом) и коммутационной телефонной станцией;
• между двумя коммутационными телефонными станциями.

Примечание. Отрезок между домом (офисом) и коммутационной телефонной станцией традиционно называется "последней милей". Это самое узкое место, снижающее скорость WAN-соединения, поскольку эта инфраструктура не рассчитана на передачу больших объемов информации.

В последние годы термин "последняя миля" стал очень распространенным, поскольку популярность и важность интернета растет, а пользователи страдают из-за медлительности их домашних и рабочих соединений удаленного доступа. Высокая пропускная способность нужна очень многим, а не только подросткам, скачивающим музыку в формате МР3.

В этом разделе мы остановимся на технологиях, которые позволяют решить проблему "последней мили". Это технологии DSL (Digital Subscriber Lines - цифровые выделенные линии) и ISDN (Integrated Services Digital Network - цифровая сеть связи с комплексными услугами). Операторы кабельного телевидения и компании спутниковой связи тоже стараются избежать связи с телефонной сетью. Позже мы рассмотрим транк-технологии, использующие всю полосу пропускания для пересылки миллиардов пакетов в секунду.

Основное отличие технологии удаленного доступа и транк-технологии заключается в том, что соединение удаленного доступа является временным. По окончании сеанса связи пользователь кладет трубку, и соединение обрывается. Большинство телефонных линий в жилых домах являются аналоговыми, т. е. звук поступает в систему в виде звуковой волны. Для обмена данными между компьютерами посредством телефонной связи используются модемы (название является сокращением от модулятор/демодулятор). Модемы конвертируют двоичные сигналы в звуковые и осуществляют обратное преобразование. Поэтому во время дозвона до интернет-провайдера или отправки факса вы слышите характерные звуки, доносящиеся из этих устройств.

Аналоговые сети не так уж плохи, не будь они такими "медлительными". Низкие скорости обусловлены узостью полосы пропускания медного телефонного кабеля для прохождения акустического сигнала. И, если задуматься, это оправдано - ведь телефонная сеть создавалась для голосового общения, а не для пересылки данных. Поэтому даже самый быстрый модем работает со скоростью передачи данных 56 Кбит/с. На рисунке 1.7 показано сравнение пропускной способности сети при использовании различных скоростей и технологий.

Высокоскоростными технологиями удаленного доступа, в которых используется существующая инфраструктура телефонной связи, являются цифровая сеть с комплексными услугами (Integrated Services Digital Network, ISDN) и цифровые выделенные линии (Digital Subscriber Lines, DSL). ISDN была внедрена в конце 1980-х годов, но распространялась довольно трудно. DSL является новейшей технологией и предлагает более высокие скорости по сравнению с ISDN. К сожалению, хоть на DSL и существует высокий спрос, локальные носители или не поддерживают эту технологию, или поддерживают не так быстро, как хотелось бы.

Технология ISDN была первым цифровым сервисом на дому. В связи с тем, что эта технология является цифровой, для ее использования дома или в небольшом офисе требуется специальное оборудование. К сожалению, доступность ISDN часто зависит от взаимного расположения пользователя и центральной телефонной станции, и поэтому не всегда возможна.

Интерфейс базового уровня. Технология ISDN создает множество каналов в одном соединении. Каналом называется путь передачи данных, который встраивается в телефонную линию наряду с другими каналами. Основным каналом является канал интерфейса базового уровня (Basic Rate Interface, BRI) с двумя несущими, или B-каналами, для полезной нагрузки. На рисунке 1.8 приведено сравнение канала аналог/модем с каналом BRI.

Каждый В-канал работает со скоростью 64 Кбит/с при общей пропускной способности в 128 Кбит/с. Возможно вас удивит то, что ISDN делит линию на два канала. Почему не создается один канал для лучшего использования полосы пропускания? Дело в том, что раздельные В-каналы повышают пропускную способность симметричных соединений, то есть таких соединений, в которых одновременно происходит и отправка, и прием трафика. Третий канал, называемый D-каналом (или дельта-каналом), работает со скоростью 16 Кбит/с. Он не несет полезной нагрузки, как В-каналы, а служит для передачи сетевой контрольной информации. Это разделение полезной нагрузки и контролирующих данных улучшает работу ISDN и повышает ее надежность.

Интерфейс основного уровня. Существует еще один вид ISDN-каналов, который называется интерфейсом основного уровня (Primary Rate Interface, PRI). Функционально PRI ничем не отличается от BRI. Однако PRI гораздо "упитаннее", так как включает 23 В-канала и один D-канал (64 Кбит/с) при общей пропускной способности 1,544 Мбит/с. Интерфейс основного уровня часто называют Т1. PRI ориентирован на обслуживание малого бизнеса, который нуждается в связи с многочисленными клиентами.

Как и ISDN, технология DSL является цифровой технологией, которая работает на базе обычной телефонной сети. В DSL используются сложные алгоритмы модуляции сигналов для повышения пропускной способности в инфраструктуре "последней мили".

В отличие от симметричной ISDN, технология DSL является асимметричной, т. е. скорость приема данных может быть гораздо выше скорости отправления, что очень нравится пользователям домашнего офиса, которые в основном стремятся получать информацию, а не отсылать ее. Существует несколько типов DSL.

• Асимметричная DSL (АDSL) - соединение с двунаправленными каналами, обеспечивающее передачу данных со скоростью 640 Кбит/с и прием данных со скоростью 6 Мбит/с.
• DSL Lite (или G.Lite) - менее скоростная и менее дорогая технология, которая обеспечивает прием информации на скорости 1,5 - 6 Мбит/с и передачу на скорости 128 - 384 Кбит/с. Скорость передачи данных зависит от качества телефонной линии и имеющегося оборудования.

Для DSL-соединения требуется специальное оборудование, как и для ISDN. DSL-модемы разделяют сигналы на два канала: принимающий и передающий. При использовании технологии DSL Lite это разделение происходит на телефонном коммутаторном узле (см. рис. 1.9). Технология DSL более экономна по сравнению с ISDN, так как DSL-оборудование стоит дешевле, чем ISDN, а разделение сигнала осуществляется в оборудовании, установленном в помещении пользователя. Не следует думать, что DSL является "лекарством" на все случаи жизни. Для установки DSL-связи пользователь должен находиться не далее пяти миль от телефонной коммутационной станции.

Если мысль о передаче высокоскоростных данных через телефонную линию кажется вам невыносимой, то знайте, что есть варианты преодоления "последней мили". Кабельные модемы и спутниковая связь завоевывают популярность как способы высокоскоростного подключения к интернету.

Кабельный модем. Использует в качестве носителя коаксиальный кабель, при помощи которого подключено кабельное телевидение. Кабельный модем подключается к телевизионному кабелю и к сетевой карте Ethernet компьютера.

В зависимости от пакетов услуг, предлагаемых компанией, вы можете рассчитывать на скорость получения данных от 384 Кбит/с до нескольких миллионов бит в секунду. Слабым местом кабельных модемов является то, что они используют информационный канал наравне с соседними пользователями. Будет замечательно, если вы окажетесь единственным обладателем кабельного модема. Однако при наличии других пользователей, подключающихся к сети, скорость передачи данных резко снижается.

Спутниковая связь. Основными ограничительными факторами на пути решения проблемы "последней мили" являются возможности телефонной компании в предоставлении абонентской цифровой линии (DSL) или компании кабельного телевидения в предоставлении кабеля. Однако даже если вы заброшены на северное побережье озера Сьюпериор, вы можете справиться с этой проблемой. Многие видели 18-дюймовые спутниковые тарелки, прикрепленные к крышам и стенам домов. Раньше они использовались только для просмотра телепрограмм и кинофильмов. А сегодня многие компании предлагают через них спутниковый доступ в интернет. Раньше спутниковая связь работала только в режиме скоростного приема информации, но в последнее время ее функциональность расширилась до осуществления двухсторонней скоростной передачи данных.

Выше уже говорилось о том, что транк - это высокопроизводительный канал связи, соединяющий две точки, каждая из которых является коммутационным узлом. Такие каналы не обязательно работают только на междугородных и городских линиях, их можно устанавливать внутри зданий и студенческих городков.

А теперь давайте рассмотрим соединения Т1, Т3 и технологию Frame Relay.

Т1 и Т3 являются наиболее распространенными технологиями для арендуемых линий в Северной Америке и Японии. Арендуемые линии являются линиями связи (или фрагментами линий), которые резервируются для использования организациями за определенную плату.

Наиболее популярной технологией цифровых линий является Т1. Она использует телекоммуникационную схему мультиплексирования с временным разделением (time-devision multiplexing, TDM) для работы на скоростях передачи данных до 1,5 Мбит/с. TDM объединяет все потоки данных в одной линии, назначая каждому потоку свой временной слот. В линиях Т1 используется медный кабель, и вы можете арендовать такую линию в своей телефонной компании. Если пропускная способность в 1,5 Мбит/с превышает ваши потребности, то можно арендовать часть линии Т1.

Линии Т3 являются более надежным вариантом линий Т1 и обеспечивают скорость передачи данных в 45 Мбит/с. Технологии Т3 обычно используются крупными поставщиками услуг интернет-связи для более мелких провайдеров. Линию Т3 можно разбивать на отдельные сегменты, и это очень удобно, поскольку пропускная способность и цена за использование такой линии слишком велики для одной организации.

И напоследок рассмотрим технологию ретрансляции кадров Frame Relay. Ретрансляция кадров применяется для передачи данных в крупных сетях, как, например, региональная телефонная компания AT&T. На рисунке 1.10 показано, как технология Frame Relay использует линии телефонной связи для соединения с удаленными точками.

С точки зрения стоимости технология ретрансляции кадров выглядит достаточно привлекательно. Она получила свое название в связи с тем, что данные конвертируются в кадры (фреймы) переменной длины. Работа сети ускоряется из-за того, что управление сеансами связи и исправление ошибок возлагается на узлы, расположенные в сети.

Пользователи арендуют постоянный виртуальный канал (Permanent Virtual Circuit - PVC), который предоставляет им выделенную WAN-линию без арендной платы. Как вы помните, Т1 и Т3 являются арендуемыми платными соединениями, независимо от того, сколько времени вы ими пользуетесь.

Пользователи линий Frame Relay оплачивают использование канала связи в зависимости от времени, проведенного в сети, в контракте они могут также установить перечень платных услуг, предоставляемых компанией.

Сети Frame Relay базируются на каналах Т1 и Т3, управляемых оператором сети. Использование сетей с ретрансляцией кадров целесообразно в том случае, если объем передаваемой информации не очень велик.

Говорить о работе сетей можно много и долго. Только об основных функциях сетевых соединений можно написать целые тома. Нашей целью являлось обсуждение базовых моментов сетевого и межсетевого взаимодействия. Эти сведения необходимы для дальнейшей работы с Windows XP Professional.

Если вы смотрели телевизор в то время, когда анонсировался выпуск Windows XP Professional, то вдоволь налюбовались рекламой о легкости использования этого продукта, его улучшенной графике и возможностях работы с цифровыми фотографиями и МР3. Все это замечательно для домашнего использования, но есть ли в этой системе что-то новое для профессиональной деятельности и работы в сети. Конечно, есть!

В этом разделе мы рассмотрим новые сетевые функции Windows XP Professional и встроенные свойства, которые призваны повысить надежность работы вашей сети.

То, что Windows XP Professional имеет улучшенный графический пользовательский интерфейс и широкие мультимедийные возможности, не исключает наличия в ней важных инструментов для работы в рамках предприятия.

Примечание. Microsoft называет рабочий стол и набор инструментов Windows XP Professional интеллектуальным пользовательским интерфейсом (Intelligent User Interface, IUI). Вы должны решить, действительно ли это название оправдывает себя, или это плод "мозгового штурма", предпринятого работниками маркетингового отдела Microsoft.

Некоторые усовершенствования прежней версии Windows включают в себя возможности работы в беспроводных сетях, удаленный доступ и поддержку виртуальной частной сети (virtual private network, VPN).

Одной из улучшенных возможностей Windows XP Professional является способность работать в беспроводной сети, в частности в беспроводной сети Ethernet, известной также как Wi-Fi или 802.11b. За последние годы беспроводные сети получили широкое распространение. Беспроводные сети высокофункциональны, они не требуют соединительных кабелей 5-ой категории и предоставляют скорость передачи данных до 11 Мбит/с. Более того, цена адаптеров для беспроводных сетей постепенно снижалась, и точки входа в беспроводные сети появляются в столицах и аэропортах.

Мы поговорим об особенностях установки Wi-Fi соединения в лекции 5, а здесь обсудим вклад Windows XP Professional в беспроводное сообщество. Windows XP Professional поддерживает ряд адаптеров беспроводных сетей без необходимости в инсталляции дополнительных драйверов. Это позволяет настроиться на работу в беспроводной сети за считанные минуты. На рисунке 2.1 изображено диалоговое окно для настройки работы в беспроводной сети.

Однако легкость первоначальной настройки работы сети еще не означает, что и дальше все пойдет гладко. Хотя Wi-Fi предоставляет возможность доступа к беспроводной сети, она одновременно создает брешь в системе безопасности, через которую может проехать танк Шермана. После того как вы настроили работу беспроводной сети в Windows XP Professional, неплохой мыслью будет найти время для конфигурации соответствующих мер безопасности в целях предохранения сети от несанкционированного доступа. Все, что требуется для такого доступа, - портативный компьютер и беспроводной адаптер на автостоянке, и ваша сеть будет взломана. Более того, любой человек, находящийся в том же здании, имея компьютер и беспроводной адаптер, может проникнуть в незащищенную беспроводную сеть.

Более подробную информацию о работе с Windows XP Professional в беспроводной сети вы найдете в лекции 5.

Windows XP Professional включает в себя две новые программы удаленного доступа. До некоторой степени Remote Desktop (Удаленный рабочий стол) и Remote Assistance (Удаленный помощник) дополняют друг друга. Тем не менее, это две отдельные программы со своими уникальными функциями. Давайте поближе рассмотрим эти инструменты и выясним, как и в чем они могут помочь. Затем наступит очередь обсуждения виртуальных сетей VPN в Windows XP Professional.

Удаленный рабочий стол. Windows XP Professional может выступать в качестве хоста, которым можно управлять с другого компьютера, работающего в среде Windows, независимо от установленной на нем версии Windows. Это приложение предоставляет возможность удаленного управления, которые давно имеются в приложениях других разработчиков, таких как PCAnywhere, Carbon Copy и т.д. На рисунке 2.2 показан инструмент Remote Desktop (Удаленный рабочий стол).

При работе с Remote Desktop вы должны помнить о двух вещах:

• В целях безопасности удаленный рабочий стол не активируется при инсталляции по умолчанию. Это приложение запускается только из панели управления системы (Control Panel).
• Удаленный рабочий стол использует стандарт Windows для контроля за доступом пользователей и обеспечения безопасности с текущей регистрацией на хосте. В отличие от других приложений, сеанс удаленного контроля полностью не затрагивает компьютер хоста. Это означает, что при включении Remote Desktop на компьютере-хосте вы увидите пустой экран. Другие программы контроля за удаленным компьютером обычно позволяют пользователю, сидящему за хост-машиной, видеть, что происходит на другом конце линии.

Если на хосте пользователь входит систему, в то время как удаленный пользователь устанавливает соединение, то пользователь хоста будет удален из сети. Это удобно для службы технической поддержки организации, когда она должна разрешить проблему, связанную с персональным компьютером. Сотрудники этой службы могут видеть, что делал пользователь на хосте до начала сеанса удаленной связи при условии, что удаленный пользователь вводил для входа в систему ту же информацию, что и пользователь хоста.

Примечание. Только один пользователь может иметь доступ к машине хоста в текущий момент времени.

Приложение Remote Desktop (Удаленный рабочий стол) удобно использовать, если пользователю нужно войти в свой компьютер из удаленного места.

Удаленный помощник. Второе приложение Windows XP Professional называется Remote Assistance (Удаленный помощник). Одним из преимуществ Удаленного помощника над удаленным рабочим столом состоит в том, что удаленную машину можно контролировать, и обе стороны могут просматривать содержимое экрана.

Примечание. Эта функция работает только в том случае, если на обоих компьютерах установлена Windows XP Professional. Эта функция не работает с более ранними версиями Windows, а также с Windows XP Home Edition.

Удаленный помощник позволяет IT-отделам и работникам локальных служб поддержки справляться с возникающими у пользователей проблемами или демонстрировать новые приложения. Сеанс Удаленного помощника может быть инициирован посредством Windows Messenger или по электронной почте. Будьте внимательны, поскольку при неправильном применении электронной почты вы можете подвергнуть безопасность системы риску. Для приглашений, отправляемых по почте, следует сообщить пароль (его не обязательно включать в почтовое отправление, а можно передать по телефону). Вы также можете ограничить время, в течение которого приглашение контролирует ваш рабочий стол.

Для запуска сеанса Удаленного помощника следует выполнить три основных действия.

1. Пользователь запрашивает помощь либо посредством Windows Messenger, либо по почте. В письме должен находиться в виде вложения специальный "билет" (ticket) (см. рис. 2.3).
2. Для ответа эксперт должен щелкнуть на билете или на запросе в Windows Messenger.
3. Обе стороны соглашаются инициировать сеанс Удаленного помощника.

Помимо этого, эксперт может послать совет пользователю. После того как соединение установлено, эксперт и пользователь могут обмениваться между собой текстовыми сообщениями. К сожалению, существует ряд барьеров, нарушающих плавное течение сессии. Во-первых, если пользователь и эксперт находятся в разных локальных сетях, то Удаленный помощник не работает. Если один из компьютеров защищен брандмауэром и блокирует порт 3389 или использует сетевую трансляцию адресов (Network Address Translation, NAT), то сеанс может не состояться.

Если организация беспокоится по поводу безопасности, работу Удаленного помощника можно ограничить посредством групповой политики. Устанавливаются разрешения, ограничивающие работу Remote Assistance только устройствами, защищенными брандмауэром организации, или компьютерами одной локальной сети.

VPN. Если послушать вечерние новости, то может показаться, что интернет - это грязный притон, заполненный извращенцами и преступниками. Верите ли вы этому или нет, но некоторые сигналы, предупреждающие об опасности, должны звучать в вашем мозгу при мысли о передаче секретных данных вашей организации через эфирное пространство, где царит беззаконие. Но даже при наличии небольшой опасности организация все же может обезопасить себя, предприняв ряд соответствующих шагов.

Информация, пересылаемая через интернет, обычно не защищена от злоумышленников. Однако можно защитить данные организации, обезопасив линии связи и распространив свою частную сеть в интернете с помощью технологии, известной под названием виртуальной частной сети (VPN).

VPN использует технологический прием под названием туннелирование для пересылки частных данных по открытой сети (типа интернет) к удаленному серверу в локальной сети на месте вашей работы. VPN экономит деньги, потому что вы пользуетесь интернетом, а не WAN или междугородной телефонной линией для соединения с сетью. Соединение посредством протокола туннелирования "точка-точка" (Point-to-Point Tunneling Protocol, PPTP) является зашифрованным и безопасным. Протоколы аутентификации и шифрования реализуются удаленным сервером входящей информации.

На рисунке 2.4 показано диалоговое окно для создания VPN-соединения.

Создать VPN-соединение можно двумя способами.

• С помощью звонка интернет-провайдеру (ISP). Если вы соединяетесь с провайдером путем набора телефонного номера, то провайдер соединяется с удаленным сервером локальной сети для установки туннеля посредством протоколов PPTP или L2TP (Layer 2 Tunneling Protocol - протокол туннелирования второго уровня). После аутентификации вы получаете доступ к локальной сети.
• С помощью интернет-соединения. Если вы уже подключены к интернету (с помощью LAN, кабельного модема или DSL-соединения), то можете создать туннель и напрямую соединиться с удаленным сервером. После аутентификации вы получите доступ к частной сети.

Примечание. Мы более подробно поговорим об организации VPN в Windows XP Professional в лекции 4.

Так как в этом курсе мы рассматриваем организацию сетей, то начали с тем, наиболее близких к сетевой и межсетевой работе. Однако у Windows XP Professional есть еще несколько новых качеств, которые помогут наладить стабильную и безопасную работу сети. Такие свойства, как стабильность, совместимость и способность системы к восстановлению не относятся только к категории сетевых. Однако благодаря им ваша сетевая работа пойдет лучше.

Одним из провозглашенных компанией Microsoft достижений, касающихся Windows XP Professional, является стабильность и надежность этой операционной системы. Хотя каждая последующая версия Windows объявлялась все более устойчивой и надежной, все же Windows XP Professional намного улучшена по сравнению с предыдущими версиями.

Windows XP Professional достигает такого высокого уровня надежности и стабильности, потому что создана не на основе Windows 98 (как это было с предшественницей ХР - версией Windows Me). Windows ХР построена на основе Windows NT и Windows 2000, которые доказали, что являются более устойчивыми системами по сравнению с Windows 9X. Причиной надежности систем Windows 2000 и NT является то, что приложения работают в своих собственных пространствах памяти. Это предохраняет их от конфликтов и возникающих в связи с ними проблем.

Windows XP Professional может выдать предупреждение о возможных проблемах с драйвером из-за работы с непроверенным источником. Windows XP Professional включает в себя механизм, называющийся Driver Protection, который блокирует работу драйверов других производителей в связи с возможным нарушением стабильности системы.

Другим качеством Windows XP Professional является способность работать с приложениями, которые не были специально созданы для среды Windows XP Professional. Используя опцию Compatibility Mode (Режим совместимости), пользователь может эмулировать Windows 95 или NT, и приложение будет работать корректно. Более того, приложение можно ассоциировать с режимом совместимости во избежание возможных проблем.

Так почему же, если система Windows XP Professional настолько хороша, она изначально несовместима с другими версиями Windows? Дело в том, что каждая последующая версия Windows не была на 100 % совместима с предыдущей. Windows XP Professional допускает некоторую обратную совместимость, достаточную для того, чтобы не выбрасывать приложения вместе со старой системой. На рисунке 2.5 показана настройка диалогового окна Compatibility Mode (Режим совместимости).

И все же система Windows XP Professional не является "пуленепробиваемой" на сто процентов. Если происходит сбой и компьютер переходит в Safe Mode (Безопасный режим), операционная система предлагает возможность отката под названием System Restore (Восстановление системы). Это позволяет пользователю вернуться к тем установкам, которые имелись в компьютере до инцидента. Так называемые точки восстановления (restore points) могут быть созданы пользователем в любое время. Кроме того, операционная система периодически создает свои собственные точки восстановления и при каждой инсталляции новой программы. При отказе компьютера к точке восстановления операционная система использует установочные данные, соответствующие тому времени, когда система работала нормально. На рисунке 2.6 показан экран установок для восстановления системы.

Свойство, впервые появившееся в Windows 98, присутствует и в Windows XP Professional. Это автоматическое обновление, которое позволяет пользователю посетить сайт Microsoft и бесплатно скачать обновления к Windows XP Professional.

Создавать резервные копии и реставрировать файлы в Windows XP Professional стало легче. В систему встроена возможность использования любого типа носителя для создания копий. В прошлом система Windows требовала создания резервного файла, а затем вы сами решали, какое приложение стороннего производителя использовать для записи этого файла на компакт-диск или другой носитель. В Windows XP Professional имеется встроенная функция копирования на компакт-диск, магнитную ленту или другой носитель.

В Windows XP Professional полностью обновлена справочная система. Новинкой стал Центр помощи и поддержки (Help and Support Center), в котором собраны советы разработчиков и других специалистов. Войдя в Центр помощи и поддержки, пользователь может получить онлайновую помощь от Microsoft или от друга, используя Remote Assistance (Удаленный помощник).

По мере того как мир становится все более зависимым от компьютерных сетей и интернета, возрастает и стремление сделать работу в сети более производительной и легкой. В этом разделе мы обсудим, что предлагает система Windows XP Professional для сетевой работы. Будет рассмотрена файловая система, общее использование интернет-соединения и обеспечение безопасности.

Одним из первых шагов при переходе к Windows XP Professional является принятие решения об использовании FAT32 или NTFS. На самом деле ОС напомнит о выборе файловой системы во время инсталляции. Предпочтение отдается NTFS, хотя можно выбрать и FAT32. Единственное отличие состоит в том, что NTFS предлагает больше возможностей (особенно касающихся обеспечения безопасности), которыми вы предпочли бы воспользоваться.

В таблице 2.1 перечислены некоторые различия между FAT32 и NTFS.

Один взгляд на таблицу 2.1 выявляет ряд различий между FAT и NTFS. Но вы можете заметить, что эти различия касаются не только имен и расширений. NTFS является более надежной файловой системой для файловых серверов, потому что она устойчива к ошибкам и предлагает "горячее" исправление (hot fixing). NTFS устойчива к ошибкам, так как регистрирует все обновления каталогов и файлов.

Если в системе происходит сбой, то NTFS автоматически завершает процесс, выполняемый во время прерывания работы системы. Это гарантирует, что все внесенные в файл изменения сохранятся даже в момент остановки. Другим качеством, повышающим надежность NTFS, является "горячее" исправление. Нot fixing распознает испорченные сектора на диске, переносит все данные из сбойного сектора на хороший, а затем делает пометку на испорченном секторе. Все это происходит совершенно незаметно для работающего приложения.

NTFS имеет встроенный механизм для сжатия пользовательских данных. Вы можете сами определить, какие директории или диски необходимо сжать. При перемещении файла в одно из этих мест он будет сжиматься. Этот процесс невидим как для пользователя, так и для приложения. Уровень ожидаемого сжатия зависит от типа файла.

Основной целью разработчиков NTFS было сделать систему более безопасной, то есть отойти от корней DOS в сторону UNIX-модели. NTFS добивается этого, сопровождая каждый файл дескриптором в качестве фрагмента файла. Этот дескриптор определяет следующее:

• владельца файла;
• пользователей и группы, которые имеют доступ к файлу, и уровень этого доступа.

Перед тем как разрешить приложению открыть файл, NTFS проверяет наличие разрешенного доступа к файлу у пользователя или процесса. В маленьком офисе или в домашней сети это может показаться не важным, но в большой сети это имеет решающее значение.

На предыдущей странице указаны недостатки FAT, но это еще не повод говорить о непригодности данной файловой системы. FAT экономична и идеально подходит для маленьких жестких дисков. NTFS использует так много протокольных данных, что заново переписывает всю дискету при форматировании. FAT - это все, что вам нужно для работы в системах DOS или Windows 95 или для получения доступа к дисководам из этих операционных систем и XP. Наконец, вы всегда можете конвертировать свой жесткий диск из FAT в NTFS. Сделать наоборот не получится. После выбора NTFS у вас нет пути назад.

Вы можете выбрать систему NTFS при инсталляции Windows XP Professional либо сделать это позже, запустив утилиту CONVERT в командной строке:

Convert <drive:> /fs:ntfs

где <drive> - это буква, обозначающая диск, который вы собрались конвертировать. Если CONVERT не может получить эксклюзивного доступа к диску, то вам придется перезагрузиться, чтобы конвертирование началось при старте.

Функция Internet Connection Sharing (ICS) (Совместное использование интернет-соединения) позволяет Windows-компьютеру делиться интернет-соединением с другими компьютерами локальной сети. Это замечательное качество для маленьких офисов или домашних сетей, которые имеют только один выход в интернет. ICS не является новинкой в Windows XP Professional. На самом деле это свойство существует со времен Windows 98 SE. К счастью, в Windows XP Professional оно стало еще лучше. ICS в Windows XP Professional имеет следующие усовершенствования по сравнению с прошлыми версиями.

ICS стало легче настраивать. Нет дополнительной программы инсталляции, и к сети не добавляются новые компоненты и протоколы. ICS стала более надежной и реже вызывает проблемы в работе сети. Вы можете построить сетевой мост, соединив две и более локальные сети, и использовать интернет-соединение на всех компьютерах этих сетей. Это бывает полезно, если компьютеры, работающие под Windows XP Professional, соединены как обычными, так и беспроводными сетями.

Однако в Windows XP Professional функция ICS потеряла некоторые полезные качества, имевшиеся в предыдущих версиях. Вы не можете отключить DHCP-сервер, изменить IP-адрес или изменить диапазон адресов, назначаемых DHCP-сервером. Поэтому при использовании совместного интернет-соединения помните о следующем.

• При использовании ICS сетевому адаптеру, подключенному к локальной сети, приписывается статичный IP-адрес 192.168.0.1. Компьютерам-клиентам приписываются другие IP-адреса в диапазоне от 192.168.0.2 до 192.168.0.254. Эти адреса могут быть несовместимы с существующей сетью.
• Не следует задействовать ICS, если какой-либо компьютер сети имеет конфигурацию контроллера домена, DHCP-сервера или DNS-сервера. Также не используйте ICS, если другой компьютер использует ICS или NAT.
  
  
  
  Рис. 2.7.  Инструмент ICS в Windows XP Professional

• Если вы устанавливаете VPN-соединение, совместно используя другое соединение, то клиентские компьютеры не смогут получить доступ в интернет, пока не закончится сеанс VPN-соединения.

С учетом этих предупреждений ICS является замечательным инструментом для подключения к интернету нескольких компьютеров посредством одного соединения.

Как и многие другие средства, инструменты системы обеспечения безопасности, ранее доступные только в приложениях других разработчиков, теперь являются частью Windows XP Professional. В этом разделе мы рассмотрим новый брандмауэр Internet Connection Firewall, сопротивление атакам вирусов и те инструменты обеспечения безопасности, которые так хорошо работали в прошлых версиях Windows, что Microsoft сохранил их и в этой. Однако не стоит думать, что Windows XP Professional является "пуленепробиваемой" системой. Мы обсудим имеющиеся в ней бреши.

Internet Connection Firewall идеально подходит для пользователей, имеющих кабельный или DSL-доступ в интернет. Эти типы соединений являются уязвимыми, так как постоянно находятся в рабочем состоянии. Internet Connection Firewall делает компьютер невидимым из интернета, что мешает хакерам выбрать его в качестве мишени. Специалисты из Gartner Group назвали этот брандмауэр "рудиментарным". Для получения лучших результатов система обеспечения безопасности должна быть улучшена с помощью дополнения, созданного разработчиками другой компании. На рисунке 2.8 показан инструмент ICF.

Атакам вирусов противостоит новая ограничительная политика. Она позволяет администраторам блокировать исполняемый код, который может удалить файлы или привести к другим повреждениям при неосмотрительном открытии файла, зараженного вирусом. Вместе с этим инструментом компания McAfee, специализирующаяся на защите от вирусов, оптимизировала свою антивирусную программу VirusScan Online специально для Windows XP Professional. Эта программа автоматически обновляется через интернет при добавлении нового вируса в базу данных McAfee.

Фундаментальный код Windows XP Professional стал еще прочнее по сравнению с предыдущими версиями. Как было отмечено ранее, Windows XP Professional базируется на коде Windows NT и в таком качестве более устойчива к атакам хакеров по сравнению с Windows 98 или Me.

Другие NT-дополнения Windows XP Professional включают в себя файловую систему Windows NT, которая позволяет пользователям устанавливать пользовательские идентификаторы и контролирует доступ к файлам внутри компьютера. Это бывает полезно, когда компьютером пользуется не один человек (дома или на работе). К файлу, созданному одним пользователем, нет доступа для другого пользователя.

К сожалению, Windows XP Professional имеет свои слабые места. Некоторые ее свойства могут быть использованы хакерами для проникновения в систему. Например, эта ОС автоматически пересылает информацию от компьютера к Microsoft, касающуюся регистрации продуктов, ошибок и обновления программ. Более того, свойство удаленного управления позволяет группе поддержки в организации или администратору управлять компьютером со своей машины. В обоих случаях может произойти атака хакеров.

Windows XP Professional является еще одним шагом Microsoft на пути от рабочего стола к веб-сервису. Программа Microsoft .Net хранит приложения и информацию на серверах, соединенных с интернетом и доступных из любого места. Хотя это и удобно в рамках .Net-инициативы, но это создает точку для атаки, которой может воспользоваться хакер.

Windows XP Professional является гораздо более безопасной системой, чем более ранние версии Windows, но все же она несовершенна, так как содержит множество мест для нежелательного проникновения в сеть. Система обеспечения безопасности в Windows XP Professional состоит из противовирусной защиты, межсетевого экрана и общей системы обеспечения безопасности пользователей.

Мерой для обеспечения безопасности, реализованной в Windows 2000 и перенесенной в Windows XP Professional, является Kerberos v.5. Протокол Kerberos предоставляет средства для взаимной аутентификации клиента (пользователя, компьютера или сервиса) и сервера.

Kerberos дает очень эффективный и удобный способ аутентификации даже в очень больших сетях. Работа протокола основана на предположении, что изначально транзакции между клиентом и сервером происходят в незащищенной сети. А раз так, то неавторизованный пользователь может представиться клиентом или сервером и перехватить или подделать сообщение для аутентификации.

Kerberos использует секретный ключ шифрования для защиты мандатов пользователя в процессе их перемещения по сети. Тот же самый ключ может затем использоваться для расшифровки мандата пользователя на принимающей станции. Дешифровка и последующие регистрационные процедуры выполняются контроллером домена с помощью Центра распространения ключей Kerberos (Kerberos Key Distribution Center, KDC).

Примечание. Более подробно контроллеры доменов описаны в гл. 6.

Примечание. Kerberos - это имя трехголового пса, стерегущего вход в ад. Кто бы объяснил, зачем его надо сторожить?

Удостоверение личности (аутентификатор) - это фрагмент информации, который каждый раз генерируется по-новому. Аутентификатор используется в каждом зашифрованном регистрационном сообщении для гарантии того, что прежнее зарегистрированное удостоверение личности не использовалось повторно.

Если первоначально введенное удостоверение личности принято, то KDC выдает билет (ticket-granting ticket, TGT), который используется локальными средствами защиты для получения сервисных билетов. Эти сервисные билеты используются для доступа к сетевым ресурсам без повторной проверки личности клиента, до тех пор пока сервисный билет остается действующим. В билете содержатся закодированные данные, которые однозначно идентифицируют пользователя. За исключением введения пароля или данных смарт-карты весь процесс является прозрачным для пользователя.

На рисунке 2.9 показана процедура входа с Kerberos.

Последний раздел этой лекции имеет самое непосредственное отношение к вашей собственной работе в сети. Все разговоры о том, насколько Windows XP Professional превосходит более ранние версии, весьма интересны, но каким образом можно перейти от имеющейся у вас системы к Windows XP Professional? Здесь мы расскажем об обновлении более ранней версии Windows и о реализации этого шага.

Если вы используете недостаточно мощный компьютер, то при инсталляции Windows XP Professional не испытаете ничего, кроме раздражения. В этом разделе мы рассмотрим минимальные системные требования для Windows XP Professional (а также коснемся 64-битной версии Windows XP Professional) и поговорим о некоторых инструментах проверки системы на предмет совместимости.

С каждой новой версией Windows минимум системных требований продолжает расти. Не стоит удивляться тому, что Windows XP Professional не будет работать на старой 25-мегагерцовой машине и с 2 Мб оперативной памяти. Для того чтобы заставить Windows XP Professional работать, компьютер должен удовлетворять следующим требованиям.

• Процессор 300 MГц или выше (рекомендуется), 233 MГц минимум. Семейство Intel Pentium/Celeron или семейство AMD K6/Athlon/Duron либо совместимые процессоры.
• 128 Mб оперативной памяти или выше (минимум в 64 Mб поддерживается, но может ограничивать исполнение некоторых функций).
• 1,5 Гб свободного пространства на жестком диске.
• SuperVGA (800 x 600) или более высокое разрешение видеоадаптера и монитора.
• CD-ROM или DVD-дисковод.
• Клавиатура и мышь или другое совместимое устройство-указатель.

Это минимальные системные требования для инсталляции Windows XP Professional. Если вы хотите работать быстрее и эффективнее, то следует повысить мощность любого, а может быть и всех вышеназванных компонентов.

Хотя мы не собираемся подробно обсуждать 64-битное издание Windows XP Professional в этом курсе, вы можете обнаружить, что оно лучше подходит вашей организации. Давайте взглянем на то, что предлагает 64-битная версия и каковы ее требования.

Windows XP Professional и Windows XP Professional 64-Bit Edition отличаются друг от друга и в исполнении, и в своих возможностях. Поэтому существуют различия в требованиях к установке, дисковому пространству и драйверам устройства. Это также касается инсталляции и работы некоторых приложений типа Microsoft Management Console (MMC).

Системные требования. В таблице 2.2 приведены различия между Windows XP Professional и Windows XP Professional 64-Bit Edition.

Драйверы устройств. Так как Windows XP Professional 64-Bit Edition работает в 64-битном окружении, она требует 64-битных драйверов. Некоторые драйверы разрешают инсталляцию как 32-битных, так и 64-битных драйверов из одного и того же .inf-файла. Расширение .ia64 используется в рамках .inf-файла этих драйверов для указания файлов инсталляции, устанавливаемых в 64-битной системе. Более ранние версии Windows не могут распознавать расширение .ia64.

Примечание. Не обращайте внимание на то, что написано о программных пакетах устройства. Даже если пакет программ сообщает о том, что он совместим с Windows XP Professional, это не означает, что устройство совместимо с Windows XP Professional 64-Bit Edition.

MMC. Начиная с Windows 2000 Microsoft включает в свои операционные системы консоль управления Microsoft Management Console (MMC). Это центральное управляющее приложение, к которому подключаются интегрируемые приложения, позволяющие создавать систему пользовательского управления. Использование интегрируемых приложений позволяет администраторам отслеживать и работать с множеством данных из одного места, не пропуская никакой посторонней информации. MMC можно использовать в работе с групповой политикой и настройками сети. Кроме того, использование интегрируемых приложений позволяет программистам других компаний разрабатывать свои собственные приложения. На рисунке 2.10 показано окно ММС.

Windows XP Professional 64-Bit Edition включает в себя как 64-, так и 32-битную версии ММС. По умолчанию активируется 64-битная версия, хотя в случае необходимости можно выбрать и 32-битную. Версии ММС не могут обмениваться интегрируемыми приложениями. Windows XP Professional распознает количество интегрируемых приложений, доступных в системе, и активирует версию, основанную на анализе алгоритма интегрируемых приложений.

Если у вас уже установлена Windows NT, Windows 2000 или Windows 98, то вы имеете возможность обновления текущей системы или параллельной инсталляции Windows XP Professional. Например, если вы решите проинсталлировать новую копию вместе с NT, то у вас будет две системы для загрузки компьютера. Это называется двойной загрузкой.

Если вы решите иметь DOS или Windows 9X в качестве альтернативной операционной системы в своей системе двойной загрузки, то часть дискового пространства следует отформатировать под FAT. Для лучшего результата и меньшего количества ошибок эта OС должна инсталлироваться перед установкой Windows XP Professional. Весьма рекомендуется размещать Windows XP Professional в своем собственном разделе диска. Хотя ОС находится в своем каталоге, если вы проинсталлируете несколько копий Windows в одном разделе дискового пространства, то они будут вести запись в один и тот же каталог Program Files. XP может переписать там несколько файлов или изменить разрешение на доступ к некоторым важным файлам, что приведет к невозможности загрузки альтернативной операционной системы. Далее, если вы выбрали NTFS в качестве XP файловой системы, то представляется невозможным хранить NTFS файлы на диске, отформатированном под FAT.

Для гарантии совместимости компьютерного оборудования и программ с операционной системой Windows XP Professional компания Microsoft на своем сайте (http://www.microsoft.com/windowsxp/pro/howtobuy/upgrading/compat.asp) создала страницу проверки совместимости продуктов. Так как страница довольно обширная, компания Microsoft упростила процесс проверки на совместимость. Пользователи могут ввести данные о модели своих компьютеров или о версиях своего программного обеспечения, а сайт сделает все остальное. На рисунке 2.11 показано, как выглядит эта страница.

Если вы не уверены в конкретной модели, то сайт Product Compatibility (Совместимость оборудования) позволяет ввести тип оборудования и имя производителя. На рисунке 2.12 показаны результаты поиска для принтера Hewlett-Packard LaserJet. Если не выбрана определенная модель, то машина поиска генерирует список всех совместимых принтеров Hewlett-Packard LaserJet.

Даже если вы не сверитесь со списком совместимости оборудования перед инсталляцией Windows 2000, то во время инсталляции программа перенесет вас на эту веб-страницу для сверки оборудования и программ. Однако разумнее определить готовность своего компьютера до начала инсталляции.

Если идея о необходимости штудировать множество страниц об устройствах вам не нравится, то существует альтернатива в виде приложения Microsoft, которое можно скачать по адресу http://www.microsoft.com/windowsxp/pro/howtobuy/upgrading/advisor.asp. Программа Windows XP Professional Upgrade Advisor (рис. 2.13) проверит систему и сгенерирует список совместимых и несовместимых устройств.

Примечание. Советчик по обновлению занимает чуть больше восьми мегабайт, так что при скачивании придется немного подождать (в зависимости от скорости интернет-соединения).

Разумеется, системы, построенные вами, должны превосходить минимум системных требований, изложенный в предыдущем разделе. Сколько оборудования вы добавите к своей системе, зависит, в основном, от предназначения компьютера и вашего бюджета. Основные области обновления - это оперативная память, жесткие диски и процессоры. Мы вкратце поговорим о каждом компоненте.

Оперативная память. Windows XP любит оперативную память. Несколько лет назад эта память стоила дорого. Настолько дорого, что это казалось главным препятствием для пользователей при переходе к Windows-окружению. К счастью, теперь, когда цена на оперативную память упала, ее обновление до 256 Мб уже не равняется стоимости целого компьютера. В 90-х если бы вы в разговоре упомянули рабочую станцию с 256 Мб оперативной памяти, то слушатели, вытаращив глаза, зашумели и стали бы судорожно хвататься за бумажники. Теперь же 512 Мб является хорошей стартовой площадкой для оперативной памяти. Но для некоторых специализированных рабочих станций (вроде тех, что работают с системами автоматизированного проектирования или графического дизайна) и этого будет мало. Не так уж необычно увидеть компьютеры с памятью в 512 Мб или даже в 1 Гб. Самым лучшим вариантом будет начать свою работу с 256 Мб для рабочих станций и 512 Мб для серверов.

Примечание. Для большей простоты обновления убедитесь в том, что вы используете самые мощные SIMM, какие только можете себе позволить. Например, если у вас имеется 8 слотов, не заполняйте их SIMM по 64 Мб. Лучше купить 2 пары по 128 Мб, и тогда у вас останутся еще два слота для будущих обновлений.

Жесткие диски. Когда Microsoft рекомендует 1,5 Гб свободного пространства на жестком диске, то это относится только к OС и не к чему больше. Если вы инсталлируете Windows XP Professional в систему со всего лишь 1,5 Гб, то будете разочарованы тем, что этого достаточно только для инсталляции системы, но не для ее работы. Более чем вероятно, что вы захотите добавить одно или два приложения к OС, которые займут, наверняка, еще больше пространства на диске. Далее, вам потребуется место для файла подкачки (свопинг-файла), по меньшей мере, на одном диске. Этот файл OС использует, если задействованная оперативная память превышает количество физической памяти, имеющееся в машине. Размер этого файла должен быть от 50 Мб или больше.

К счастью, если вы попробуете купить жесткий диск сегодня, то вам вряд ли попадется такой, на котором имеется только 2 Гб пространства. Очень важно не забывать об ограничениях, связанных с количеством свободного дискового пространства при инсталляции Windows XP Professional в уже существующую систему.

Система с мультипроцессором. Если у вас имеется приложение с очень высокими требованиями, или вы ожидаете, что многочисленные пользователи будут заходить на определенный сервер, то следует подумать о приобретении компьютера с симметричными мультипроцессорами (SMP). Windows XP Professional выходит с поддержкой двух процессоров. SMP-системы - это слишком хорошо, чтобы быть правдой, и, действительно, тут есть некоторые предостережения. Не надейтесь удвоить скорость работы при помощи двух процессоров. На самом деле бывали случаи, когда добавление в систему еще одного процессора приводило к замедлению работы. С дополнительным процессором добавляется и еще одна OС. К тому же, для успешного использования мультипроцессорной машины требуется написание специального кода.

Так как операционная система Windows стала вездесущей, справедливо предположить, что в вашей сети уже проинсталлирована какая-нибудь из версий Windows. В зависимости от того, какую именно версию вы собираетесь обновлять, есть вероятность, что предстоит выполнить грандиозный объем работы.

К сожалению, провести обновление до Windows XP Professional не удастся на машинах с Windows 95 и Windows 3.X. Если вы обладаете лицензионной копией, то сможете купить свежую версию, но все равно инсталляцию придется проводить в очищенной от старой версии системе.

Примечание. Если вы продолжаете работать на компьютере с Windows 95 или 3.Х, то дело не только в несовместимости кодов OS. Похоже на то, что большая часть вашего оборудования устарела. Выше в этой лекции мы перечислили минимальные требования к "железу" для Windows XP Professional. Можно безбоязненно побиться об заклад, что компьютер с Windows 95 или 3.Х ни по каким параметрам не подходит для Windows XP Professional.

Если ваш компьютер работает с Windows 95 или 3.Х, то лучшее, что можно придумать - это пойти и купить новый компьютер. Если в последний раз вы покупали рабочие станции в 1995 году или раньше, то вы более чем созрели для модернизации. Более того, если вы купите новые машины сейчас, то на них уже будет установлена операционная система Windows XP Professional.

Модернизация с уровня Windows 98 или Ме может потребовать некоторого дополнительного планирования. Основным пунктом является структура реестра и процесс установки. Если вы выбрали обновление своих машин, то некоторые вещи не будут работать с Windows XP Professional, и их нужно удалить до начала модернизации. Такие инструменты Windows 98, как ScanDisk, PCAnywhere и DriveSpace, нельзя повысить до уровня Windows XP Professional.

Легче всего провести модернизацию Windows NT и Windows 2000, так как эти версии имеют много общего с Windows XP Professional.

Есть вещи, которые вы можете проделать сейчас, чтобы обеспечить более легкий переход потом и уменьшить нарушения в работе, обычные для нового оборудования. Сначала мы обсудим, как организовать новую сеть. Затем рассмотрим, как подготовиться к переходу на операционную систему Windows XP Professional, учитывая все оборудование и программы.

Как и при любом переходе на новую операционную систему, процесс представляет собой нечто большее, чем просто помещение диска с инсталляцией в дисковод CD-ROM и ожидание того, что компьютер выполнит сам всю остальную работу. Этот процесс требует тщательного планирования, тестирования и хорошо рассчитанного отката.

Легче всего просто купить новые рабочие станции с уже установленной системой Windows XP Professional. Это избавляет от всяческих проблем с конфигурациями, вызывающих в дальнейшем головную боль. Однако, возможно, ваш бюджет не позволяет осуществить этот план.

Если вы решили переходить от текущей Windows-платформы, то Microsoft рекомендует для этого следующий четырехступенчатый план, показанный в таблице 2.3.

Эти шаги очень подробно описаны ниже.

Примечание. Разумеется, для одного-двух компьютеров это явный перебор. Такие шаги следует предпринимать в крупной организации, в которой компьютеры имеют стандартные конфигурации.

Логический проект. Этап логического проектирования предполагает выбор характеристик и конфигурационных возможностей для идеальной настройки Windows XP Professional-системы, устраивающей как работников на местах, так и мобильных пользователей. На этом этапе вы должны продумать как сетевые параметры и протоколы, так и структуру файловой системы и те приложения, которые будут использованы в системе. Например, если вы будете использовать определенный текстовый процессор, будет ли он совместим с Windows XP Professional? Лучше всего свериться с веб-сайтом Microsoft и убедиться, что все пойдет гладко.

Наконец, самое время подумать о структуре файловой системы. Windows XP Professional поддерживает FAT16, FAT32 и NTFS. Как мы указали ранее, NTFS предлагает больше всего выгод, включая поддержку зашифрованных файлов и большие разделы диска, наряду с лучшей системой обеспечения безопасности и надежностью.

Система тестирования. Следующий этап состоит в построении системы тестирования. На этом этапе вы возьмете свою "идеальную" систему и проинсталлируете ее на нескольких компьютерах в изолированном кабинете. Не соединяйте эту лабораторию со своей рабочей сетью. Вам надо протестировать свою систему и убедиться, что она работает правильно и у вас есть драйверы всех устройств.

Примечание. Windows XP Professional изначально совместима со многими драйверами. Однако если какое-либо из периферийных устройств не поддерживается Windows XP Professional, то надо зайти на сайт производителя этого устройства и посмотреть, нет ли там новых драйверов.

Проект реализации. После того как вы опробовали и настроили систему Windows XP Professional в изолированной лаборатории, вам следует решить, как доставить новую OС в свою систему. Этот метод тоже нужно протестировать в лаборатории, чтобы предусмотреть все возможные проблемы.

Можно метаться от компьютера к компьютеру с загрузочным диском и списком ключей продуктов, но с Windows XP Professional вы имеете возможность инсталлировать OС автоматически со своего административного компьютера. Одно из основных решений, касающихся выбора метода отката, зависит от использования службы Active Directory, которая входит в Windows 2000 Server. Если вы используете ее, то у вас будет доступ к нескольким инструментам групповой политики и больший выбор развертывания.

Пилотный проект. На последнем этапе необходимо установить Windows XP Professional нескольким пользователям и провести несколько последних проверок перед выполнением финальной установки. Наконец, вы проводите установку, используя любую из полудюжины различных опций инсталляции, которые рассматриваются в следующем разделе.

Если вы готовы инсталлировать Windows XP Professional на свои клиентские рабочие станции, то можете выполнить это несколькими способами. Путь инсталляции, который вы выбрали, зависит от нескольких факторов. От того, как вы ответите на следующие вопросы, зависит способ инсталляции.

• Проводите ли вы модернизацию уже существующей системы или выполняете совершенно новую инсталляцию?
• Сколько компьютеров находится в эксплуатации?
• Намерены ли вы позволить своим пользователям инсталлировать OС самостоятельно или хотите выполнить автоматическую инсталляцию?
• Сколько модификаций необходимо для инсталляции?
• Какие компьютеры вам доступны и в чем состоит их различие?
• Используется ли Active Directory?

Ответив на эти вопросы и прочитав следующие параграфы о путях инсталляции, вы сможете решить, какой из методов больше подходит вашей организации.

Автоматическая инсталляция. Автоматическая инсталляция позволяет проводить инсталляцию - о, чудо! - автоматически. При использовании этого метода сценарии отвечают на все вопросы во время установки. Вы можете использовать Setup Manager 3.0 для настройки автоматических сценариев. Для автоматической инсталляции запустите WINNT32.EXE из командной строки компьютера, на котором установлена OС Windows NT 4.0, 98 или 2000, затем выберите соответствующие команды для запуска сценария.

Преимущества автоматической инсталляции состоят в следующем.

• Сценарии экономят время и деньги, исключая участие пользователя в рабочем процессе.
• Операционная система может быть одновременно установлена на нескольких компьютерах.
• Сценарии можно написать таким образом, чтобы предоставить во время инсталляции различные уровни ввода, что дает большую гибкость администратору и инсталлятору.

Недостатком автоматической инсталляции является то, что с ней можно выполнять только обновление операционной системы. Чистую инсталляцию нельзя провести автоматически.

Примечание. На самом деле чистую инсталляцию можно провести автоматически, но для этого потребуется программа другого разработчика. Однако с помощью доступных инструментов Microsoft выполнить автоматическую инсталляцию нельзя.

SysPrep. Инструмент System Preparation (SYSPREP.EXE) позволяет сделать "моментальную фотографию" конфигурации клиента и затем разослать ее многочисленным клиентам, используя инструмент Symantec Ghost Corporate Edition 7.5. Этот процесс также называется клонированием.

Преимущества клонирования заключаются в следующем.

• Резкое уменьшение времени эксплуатации, так как каждый компонент (OС, приложения, установки и т.д.) конфигурируется только один раз, а затем устанавливается на машины клиентов без участия пользователей.
• Образ можно скопировать на компакт-диск (см. следующий раздел "Загрузочный компакт-диск") и распространить среди пользователей без входа в сеть.
• Использование клона позволяет стандартизировать рабочие столы, административную политику и ограничения.
• Инструмент SysPrep не выполняет полный перебор подключаемых приложений, что снижает время установки для каждого компьютера с 30 до нескольких минут.

У этого метода есть несколько недостатков.

• SysPrep не может обновлять более ранние версии OС.
• Резервная копия данных и пользовательские установки должны быть созданы до инсталляции, затем они восстанавливаются после инсталляции.

Загрузочный компакт-диск. После того как образ был создан с помощью SysPrep, его можно скопировать на компакт-диск. Этот диск можно передать любому пользователю, не имеющему доступа в сеть, или в тех случаях, когда пользователь хочет обновлять свою систему самостоятельно. Как и в случае с SysPrep, пользователи сами вводят соответствующие данные, или можно сгенерировать сценарий и передать его пользователю на дискете, которая запускается одновременно с компакт-диском при установке.

Загрузочный компакт-диск имеет следующие преимущества.

• Это самый быстрый способ установки, он экономит время, поскольку не загружает системные файлы по сети.
• Установка операционной системы упрощается для компьютеров, не имеющих скоростных соединений.
• Клиентов можно полностью сконфигурировать для работы в сети, даже если они к ней не подключены.

К недостаткам можно отнести следующее.

• Требуется ручная инсталляция на каждом компьютере.
• Компакт-диск не подходит для очень больших образов (более 650 Мб).

Сервисы удаленной инсталляции. В то время как автоматическая инсталляция допускает только обновление OС, сервисы удаленной инсталляции (Remote Installation Services, RIS) разрешают чистую инсталляцию Windows XP Professional на компьютерах организации. RIS позволяет клиентам загружаться с сетевой карты. Администрация может использовать сервисы удаленной инсталляции для создания и последующего хранения образов Windows XP Professional на том сервере, где работает RIS. После того как пользователь загрузился с сетевой карты, RIS-образ скачивается через сетевое соединение. Инсталляция является гибкой, загрузка RIS-образа бывает полностью автоматической, или пользователь вводит специальную информацию - пароль или имя компьютера.

Для работы сервисов удаленной инсталляции клиентский компьютер должен поддерживать Pre-Boot Execution Environment. Более того, RIS можно использовать только вместе с Active Directory. Для компьютеров, не содержащих PXE-based remote ROM, сервисы удаленной инсталляции включают в себя инструмент Remote Boot Floppy (RBFG.EXE) для создания загрузочного диска, который надо использовать параллельно с RIS. Сервисы удаленной инсталляции имеют следующие преимущества.

• Предлагают легкий способ замены операционной системы компьютера.
• Позволяют стандартизировать инсталляции Windows XP Professional.
• Реализуют модификацию и контроль за инсталляцией на компьютере конечного пользователя. Это делается с помощью программы-мастера установки с вариантами выбора, который можно контролировать посредством групповых политик.
• Нет необходимости в распространении физического носителя; размер образа не ограничен возможностями физического носителя.

К недостаткам можно отнести следующее.

• RIS можно использовать только на клиентских компьютерах, соединенных с сетью, в которой работает любая текущая версия Windows Server с настроенной службой Active Directory.
• RIS можно использовать на клиентских компьютерах, оборудованных сетевыми адаптерами PCI, приспособленными для работы с PXE.
• RIS работает только с образами, созданными на диске С, и не использует образы других разделов жесткого диска.
• RIS не подходит для обновления пользовательских операционных систем, а используется только для чистой инсталляции.

Systems Management Server. SMS является встроенным набором инструментов для управления работой Windows в сети, состоящей из тысяч компьютеров. SMS включает в себя инструменты управления рабочим столом и распространения программного обеспечения, облегчая процесс обновления. SMS используется только для обновления, а не для чистой инсталляции. Удобство обновления посредством SMS состоит в том, что администратор может контролировать весь процесс с центрального компьютера. Администраторы могут решать, когда проводить обновление, на каких компьютерах, а также как применять ту или иную политику.

SMS имеет следующие преимущества.

• Обновление может проводиться в условиях блокировки или на машине с низкими правами доступа.
• Отложенное обновление может проводиться без введения пароля пользователем.
• SMS разрешает использование различной политики развертывания: необязательной (optional), абсолютно обязательной (absolutely mandatory) или отложенно-обязательной (delayed mandatory).
• Автоматический баланс загрузки между точками распределения облегчает проведение ряда одновременных обновлений.

К недостаткам можно отнести то, что SMS должен быть вовлечен в работу вашей сети. К тому же, научиться работать с SMS не просто.

Быстрое сравнение. Предыдущие разделы нагрузили вас обширной информацией о различных способах инсталляции и обновления Windows XP Professional. Чтобы все это не перепуталось у вас в голове, в таблице 2.4 приведено сравнение и показаны особенности каждого метода.

В зависимости от того, как вы решите продолжать установку, и какие функции уже установлены на компьютере, вам придется ответить на ряд вопросов при инсталляции Windows XP Professional. В таблице 2.5 перечислены пункты, в отношении которых нужно принять решение.

Потратив некоторое время на обдумывание предполагаемых ответов, мы сэкономим его в процессе инсталляции. Это особенно важно, если вы будете инсталлировать Windows XP Professional на нескольких компьютерах с использованием сценариев.

Предыдущие версии операционных систем Windows, предназначенные для бизнеса (NT и 2000), включали в себя версию для инсталляции на рабочих станциях и версию для инсталляции на сервере. Однако Windows XP Professional предназначена только для рабочих станций, так что понятия Windows XP Professional Server не существует.

Можно инсталлировать ХР на рабочих станциях посредством NT-серверов, но лучше всего воспользоваться Windows 2000 Server. Это не только более надежная версия Windows-сервера, но она также позволяет при работе в сети использовать преимущества Active Directory.

Примечание. Active Directory - это база данных, с помощью которой можно находить объекты в сети. Она очень удобна, так как с ее помощью администратор может применить политики (policies) к целой группе пользователей в нескольких доменах одним нажатием кнопки мыши. Являясь мощным инструментом, Active Directory, тем не менее, работает только на 15% систем, перешедших на операционную систему Windows 2000.

Если вы решите перейти на своих серверах с Windows NT к Windows 2000, то вам потребуется сделать больше, нежели просто проинсталлировать несколько программ и добавить несколько блоков оперативной памяти. Одним из краеугольных камней системы Windows 2000 является совершенно новый подход к организации работы сетей.

В этом разделе мы не собираемся от изучения Windows XP Professional перейти к Windows 2000, но в целях наилучшего развертывания нам необходимо поговорить об оснащении серверов организации системой Windows 2000. Если у вас уже установлены серверы Windows 2000, то можно пропустить этот раздел.

В центральной точке любого Windows 2000 домена находятся контроллеры домена. Windows 2000 отличается от Windows NT тем, что администраторы больше не должны решать, будет ли сервер работать контроллером домена или нет. В системе Windows NT присвоение рядовому серверу статуса контроллера домена требовало новой инсталляции. В Windows 2000 обычные системы могут работать как контроллеры доменов посредством применения утилиты DCPROMO.EXE.

Перед тем как вносить изменения в работу серверов, вы должны хорошо представить себе, как работает сеть, и как она будет работать после перехода к Windows 2000. При каждой миграции большая часть работы касается определения текущего статуса сети, прогнозов на будущее сети и того, как новая система будет этому способствовать.

На этом этапе следует убедить всех, кто вовлечен в миграцию, подготовиться к переходу в систему Windows 2000. Они должны разбираться в ключевых свойствах Windows 2000 (например, в Active Directory) и в том, как эта операционная система будет работать в связке с Windows XP Professional на рабочих станциях.

Далее необходимо составить опись своей сети. В зависимости от размеров этой сети задача может показаться пугающей. Однако создание инвентарного списка всего, что у вас есть, поможет разобраться в общей картине.

Помимо перечисления всего оборудования и программ сети, следует составить документы, отражающие топологию сети, модель домена, сервера и их роли. Сколько имеется основных и резервных контроллеров доменов? Где расположены DNS- и DHCP-серверы? Сколько у вас клиентов? Какие операционные системы на них работают? Все ли они будут мигрировать в Windows XP Professional? Какова степень доверительности их отношений?

Примечание. Доверительные отношения устанавливаются между двумя компьютерами. Они разрешают пользователям одного компьютера иметь доступ к информации другого компьютера.

Одной из главных причин для обновления до Windows 2000 являются преимущества, предоставляемые Active Directory. AD - это не только мощный компонент Windows 2000, но и очень полезное качество Windows XP Professional.

Используя Active Directory, можно устанавливать и регулировать следующие переменные.

• Блуждающий профиль пользователя. Это свойство позволяет сохранять пользовательские персональные настройки на сервере, после того как пользователь прерывает связь. При новом входе в сеть эти данные передаются в компьютер. Это бывает удобно, когда пользователь переходит с компьютера на компьютер в пределах сети или находится на удаленном компьютере.
• Офлайновые файлы и папки. Пользователи, не поддерживающие постоянную связь с сетью, тем не менее, могут иметь доступ к сетевым файлам. Администраторы могут сделать сетевые файлы доступными в то время, когда локальный компьютер отсоединен от сервера. После того как пользователь вновь устанавливает соединение с сетью, файл может быть синхронизирован с сетевой копией.
• Пересылка папок. Администраторы могут пересылать папки, такие как My Documents (Мои документы), с рабочего стола пользователя на сервер.
• Поддержка Internet Explorer. Администраторы могут использовать Internet Explorer Maintenance для модификации и работы с Internet Explorer в Windows XP Professional. Internet Explorer Administration Kit позволяет администраторам устанавливать стандартную версию браузера в сети, централизованно распространять и управлять установкой браузера и конфигурировать профили автоматического соединения на машинах пользователей.
• Групповая политика, административные шаблоны и сценарии. Администраторы могут использовать эти инструменты для конфигурации и управления поведением серверов, приложений и компонентов операционной системы. Сценариям может быть предписано работать при включении или выключении компьютера, а также при установке или разрыве соединения пользователем.
• Настройка системы обеспечения безопасности. Конфигурация системы безопасности может быть выполнена в рамках объекта групповой политики. Конфигурация системы безопасности - это набор установок, применяемых к одной или более областям в операционной системе Windows XP Professional.

Топологическое состояние сети организации является ключевым определителем того, насколько гладко пройдет переход к системе Windows 2000. Однако при использовании многодоменной модели вам предстоит не так много работы.

Примечание. Одно- или многодоменные модели представляют собой именно то, что описывает их название, то есть домены с одним или несколькими главными контроллерами доменов. Кроме того, они работают в Windows NT Server, а не в Windows 2000 Server.

Ограничения архитектуры NT доменов вынуждали к применению многодоменной модели. Очень часто верхнюю часть модели домена занимал отдел IT, но это не устраивало те организации, в которых администраторы считали, что в верхней части домена должны находиться они. Используя Windows 2000, организации могут внести изменения в свою сетевую иерархию без особых проблем.

С Active Directory вы сможете выровнять свои домены. Консолидация и уменьшение размеров многодоменных структур сделает переход к новой системе более гладким.

Как бы замечательно ни выглядело выравнивание доменов, оно может не подходить для организации, например, если подразделения организации должны функционировать раздельно до совершения перехода.

Следующий этап состоит в проектировании структуры Active Directory. В свою схему не забудьте включить Windows 2000-серверы, которые будут играть ключевые роли в работе сети. Хотя Windows 2000 используют более гибкие контроллеры домена вместо главных и резервных контроллеров домена, до сих пор существуют серверы, которые играют такие важные роли. Эти контроллеры доменов называются Operation Masters (в Windows NT они называются Flexible Single Master Operations). Некоторые из этих серверов ограничиваются одним доменом и не распространяются на всю сеть.

Последний шаг состоит в принятии решения, как будут структурированы организационные единицы.

Примечание. Организационные единицы - это базовый строительный блок Active Directory домена, в нем содержатся пользователи, файлы и устройства.

Вы должны решить, какие пользователи, папки и компьютеры будут составлять каждую организационную единицу, а затем соответствующим образом их сгруппировать.

На следующем шаге следует убедиться, что в сети работают общие сетевые протоколы. Стандартом де-факто считается протокол TCP/IP. Он стал популярным благодаря тому, что предоставляет собой единый протокол, поддерживающий многие операционные системы. Если работа ваших устройств еще не сведена к единому протоколу, самое время сделать это сейчас.

Примечание. Мы поговорим о TCP/IP и о том, как это использовать в Windows XP Professional, в лекции 3.

Ранее в этой лекции мы говорили о требованиях к оборудованию, которые предъявляет Windows XP Professional. Давайте теперь посмотрим, что потребуется для Windows 2000 Server. Я повторю старое предупреждение - это только минимум, для лучших результатов используйте более мощные машины с большим объемом памяти.

В таблице 2.6 указано, что потребуется для каждого сетевого сервера.

Опять же, это только минимум рекомендованных размеров и скоростей для Windows 2000 Server. Тестирование Windows 2000 в лаборатории поможет определить нужды организации и спланировать бюджет на будущее.

После дюжины страниц о миграции настало время действительно показать вам, как это делается. Мы начнем с того, что расскажем об обновлении серверов до Windows 2000, превратим серверы в контроллеры доменов (если вы хотите продолжать использовать Windows NT в качестве основы сетевой работы, то можете пропустить этот раздел) и, наконец, переведем рабочие станции на Windows XP Professional.

Помимо хлопот с переносом рабочих станций в Windows XP Professional, существует еще одна головная боль - миграция серверов. Миграция требует огромного объема планирования и тестирования. Однако после того как вы твердо убедитесь в том, что все спланировано и протестировано, можно начинать процесс миграции.

Обновление доменов включает в себя три этапа.

• Обновление основного контроллера домена до контроллера домена Windows 2000.
• Создание или обновление остальных контроллеров доменов до контроллеров домена Windows 2000.
• После того как все серверы переключились на Windows 2000, переведите домен в режим Active Directory, чтобы воспользоваться преимуществами Windows 2000.

Однозначно, что это приведет к повышению функциональности Windows XP Professional, сначала в том, что касается инсталляции, а затем и в повседневном пользовании.

Шаг 1 - обновление первого основного контроллера домена (PDC). Первый шаг состоит в проведении обновления PDC в NT-домене. Это делается потому, что домен может присоединиться к дереву (если такое существует), и администраторы могут создавать объекты Active Directory (типа организационных единиц). Кстати, когда все члены домена пройдут процедуру обновления, у них появится домен для присоединения.

Примечание. На языке Active Directory деревья являются коллекциями доменов, а лес - это коллекция деревьев.

Если по какой-либо причине решено не конвертировать все серверы домена в Windows 2000-серверы, PDC все же сможет работать с резервными контроллерами домена (BDC), клиентами и другими NT-серверами.

Лучшим способом обновления является изъятие PDC из сети и проведение обновления этой машины в лаборатории. Вы можете проводить тестирование, не беспокоясь о проблемах остальной сети. После проведения всех проверок вы сможете вернуть машину на рабочее место в сети. Если что-то не получается, всегда можно повысить резервный контроллер домена NT. Как только у вас появится стабильный контроллер домена Windows 2000, переходите к следующему шагу.

Совет. Процесс миграции всегда должен происходить сверху вниз, просто потому что Windows 2000 затем мгновенно присоединится к лесу, домену или дереву.

Шаг 2 - создание большего количества контроллеров доменов. Следующим этапом является добавление большего количества контроллеров для сохранения избыточности Active Directory. Во время миграции хорошо иметь резервный контроллер домена просто на случай, если что-то не пойдет так, как надо, с контроллерами доменов Windows 2000. При любых осложнениях вы всегда можете повысить BDC до PDC и вернуться в домен.

Контроллер домена, который прежде был резервным для NT-домена, по-прежнему сохраняет это значение в NT-системе. Он использует старый протокол для копирования с BDC, но также использует Windows 2000 протокол для копирования Active Directory и его партнеров - контроллеров домена Windows 2000.

Шаг 3 - переход в естественный режим. Как только все BDC будут превращены в контроллеры доменов Windows 2000, вы можете предпринять последний шаг по переводу своих серверов в Windows 2000 и Active Directory. Вы переводите контроллеры доменов из смешанного режима работы в естественный. Смешанный режим позволяет NT-серверам соседствовать с Windows 2000-серверами. К сожалению, смешанный режим не позволяет воспользоваться преимуществами Active Directory, а ведь это и есть самое важное.

Предупреждение. Как только вы перейдете в естественный режим, вы уже не сможете вернуться назад. Если вы работаете со смешанным режимом, то всегда сможете переключиться в естественный. Однако это улица с односторонним движением. Убедитесь в том, что вам никогда не потребуется добавить еще один NT-контроллер домена в свою сеть, так как это не удастся сделать.

Кстати, переход в естественный режим выгоден клиентам, так как у них появляются переходящие доверительные отношения. Это означает, что ресурсы всех устройств становятся общими. То, что доступно на одном устройстве, доступно и на другом.

После того как серверы мигрировали и были повышены, можно переходить к миграции рабочих станций. На этом этапе переведите модель своей рабочей станции из фазы тестирования или пилотной фазы в фазу широко развернутой сетевой работы. Если используется Windows 2000 Server, то будет значительно легче внедрять Windows XP Professional на рабочих станциях и устанавливать пользовательскую политику. Однако, как мы отметили выше, метод для развертывания оборудования станции будет зависеть от количества переменных именно в вашей организации.

Примечание. Задача перехода серверов к работе в операционной системе Windows 2000 гораздо обширнее, чем мы можем обсудить в этом курсе. Мы рекомендуем достать копию Windows 2000 Enterprise Networking для более углубленного изучения этой темы.

Одно из наиболее часто обсуждаемых качеств Windows XP Professional не имеет ничего общего с пользовательским интерфейсом или сетевыми возможностями. Напротив, оно касается недавно нанесенного компанией Microsoft удара по пиратству. Это качество называется активацией.

Windows Product Activation (WPA) является технологией, используемой для приведения в рабочее состояние копии Windows XP Professional на определенном компьютере. В рамках лицензионного соглашения с компанией Microsoft пользователю разрешается инсталлировать Windows XP Professional на одну машину.

Примечание. Естественно, что при покупке Windows XP Professional для нескольких компьютеров необходимо купить несколько лицензий Microsoft.

При активации Windows XP Professional операционная система исследует ключевые компоненты компьютера и создает внутреннее число, которое объединяется с 25-значным ID продукта. Так получается 50-значное число Installation ID. Это число пересылается в компанию Microsoft в обмен на 42-значное число Activation ID, отключающее блокировку активизации. При попытке активизировать ту же копию Windows XP Professional с другой машины Microsoft отменит Activation ID.

Проблема с активизацией состоит в том, что создается моментальный снимок установок системы, который затем пересылается в Редмонд в Вашингтоне. Защитники прав на личную жизнь утверждают, что компании Microsoft совсем не надо знать о вас так много. Кстати, если вы решите сменить "железо" в своей системе, то Activation ID больше не будет действовать. Microsoft еще позволит добавить немного памяти, но когда речь заходит о добавлении или замене жесткого диска, то хватка Microsoft становится крепче. Компания говорит, что если вы добавляете жесткий диск или производите серьезные изменения в своей системе, то можете вызвать их специалистов, и вам дадут новый Activation ID.

Если вы не активировали систему, то сможете пользоваться Windows XP Professional только 30 дней, после чего система будет заблокирована, и вам ничего не останется, как активировать ее. Периодически в течение этих 30 дней Windows XP Professional будет напоминать о том, что надо активироваться. На рисунке 2.14 показан инструмент активации.

Как бы ни усердствовала компания Microsoft за введение активизации в Windows XP Professional, сама по себе активизация не является новым изобретением. Такие компании, как Novell, Adobe и Symantec требуют регистрации и активизации своих продуктов.

Переход к новой операционной системе - хлопотное дело. Особенно, если надо проводить обновление серверов. Однако тщательное обдумывание всего, что вовлечено в процесс перехода, помогает легче справится с трудностями.

Вся прелесть протокола TCP/IP заключается в том, что он позволяет обмениваться информацией между компьютерами, работающими в разных операционных системах. Например, Novell NetWare умеет "разговаривать" на языке TCP/IP, как и Windows XP Professional.

TCP/IP разработан DARPA (Defense Advanced Research Projects Agency) в 1970-х годах. Целью его разработки являлось создание возможности для обмена информацией между различными компьютерами, независимо от их местоположения. С самого начала TCP/IP разрабатывался на компьютерах UNIX, что способствовало росту популярности протокола, так как производители включали TCP/IP в набор программного обеспечения каждого UNIX-компьютера. TCP/IP находит свое отображение в эталонной модели OSI, как это показано на рисунке 3.1.

Вы видите, что TCP/IP располагается на третьем и четвертом уровнях модели OSI. Смысл этого состоит в том, чтобы оставить технологию работы LAN разработчикам. Целью TCP/IP является передача сообщений в локальных сетях любого типа и установка связи с помощью любого сетевого приложения.

Протокол TCP/IP функционирует за счет того, что он связан с моделью OSI на двух самых нижних уровнях - на уровне передачи данных и физическом уровне. Это позволяет TCP/IP находить общий язык практически с любой сетевой технологией и, как результат, с любой компьютерной платформой. TCP/IP включает в себя четыре абстрактных уровня, перечисленных ниже.

• Сетевой интерфейс. Позволяет TCP/IP активно взаимодействовать со всеми современными сетевыми технологиями, основанными на модели OSI.
• Межсетевой. Определяет, как IP управляет пересылкой сообщений через маршрутизаторы сетевого пространства, такого как интернет.
• Транспортный. Определяет механизм обмена информацией между компьютерами.
• Прикладной. Указывает сетевые приложения для выполнения заданий, такие как пересылка, электронная почта и прочие.

Благодаря своему широкому распространению протокол TCP/IP фактически стал интернет-стандартом. Компьютер, на котором реализована сетевая технология, основанная на модели OSI (Ethernet или Token Ring), имеет возможность устанавливать связь с другими устройствами. В лекции 1 мы рассматривали уровни 1 и 2 при обсуждении LAN-технологий. Теперь мы перейдем к стеку OSI и посмотрим, каким образом компьютер устанавливает связь в интернете или в частной сети. В этом разделе рассматривается протокол TCP/IP и его конфигурации.

То, что компьютеры могут общаться между собой, само по себе представляется чудом. Ведь это компьютеры от разных производителей, работающие с различными операционными системами и протоколами. При отсутствии какой-то общей основы такие устройства не смогли бы обмениваться информацией. При пересылке по сети данные должны иметь такой формат, который был бы понятен как отправляющему устройству, так и принимающему.

TCP/IP удовлетворяет этому условию за счет своего межсетевого уровня. Этот уровень напрямую совпадает с сетевым уровнем эталонной модели OSI и основан на фиксированном формате сообщений, называемом IP-дейтаграммой. Дейтаграмма - это нечто вроде корзины, в которую помещена вся информация сообщения. Например, при загрузке веб-страницы в браузер то, что вы видите на экране, доставлено по частям дейтаграммой.

Легко перепутать дейтаграммы с пакетами. Дейтаграмма - это информационная единица, в то время как пакет - это физический объект сообщения (созданный на третьем и более высоких уровнях), который действительно пересылается в сети. Хотя некоторые считают эти термины взаимозаменяемыми, их различие на самом деле имеет значение в определенном контексте - не здесь, конечно. Важно понять то, что сообщение разбивается на фрагменты, передается по сети и собирается заново на принимающем устройстве.

Положительным в таком подходе является то, что если один-единственный пакет будет испорчен во время передачи, то потребуется повторная передача только этого пакета, а не сообщения целиком. Другой положительный момент состоит в том, что ни одному хосту не приходится ждать неопределенно долгое время, пока не закончится передача на другом хосте, чтобы послать свое собственное сообщение.

При пересылке IP-сообщения по сети используется один из протоколов транспортировки: TCP или UDР. TCP (Transmission Control Protocol) составляет первую половину аббревиатуры TCP/IP. Протокол пользовательских дейтаграмм (User Datagram Protocol, UDР) используется вместо ТСР для транспортировки менее важных сообщений. Оба протокола служат для корректного обмена сообщениями в сетях TCP/IP. Между этими протоколами есть одно существенное различие.

ТСР называют надежным протоколом, так как он связывается с получателем для проверки факта получения сообщения.

UDР называют ненадежным протоколом, так как он даже не пытается устанавливать связь с получателем, чтобы убедиться в доставке.

Важно помнить, что для доставки сообщения можно воспользоваться только одним протоколом. Например, при загрузке веб-страницы доставкой пакетов управляет ТСР без всякого вмешательства UDP. С другой стороны, простой протокол передачи файлов (Trivial File Transfer Protocol, TFTP) загружает или отправляет сообщения под контролем протокола UDP.

Используемый способ транспортировки зависит от приложения - это может быть электронная почта, НТТР, приложение, отвечающее за сетевую работу, и так далее. Разработчики сетевых программ используют UDP везде, где только можно, так как этот протокол снижает избыточный трафик. Протокол ТСР прилагает больше усилий для гарантированной доставки и передает гораздо больше пакетов, чем UDP. На рисунке 3.2 представлен список сетевых приложений, и показано, в каких приложениях применяется ТСР, а в каких - UDP. Например, FTP и TFTP делают практически одно и то же. Однако TFTP, в основном, применяется для загрузки и копирования программ сетевых устройств. TFTP может использовать UDP, потому что при неудачной доставке сообщения ничего страшного не происходит, поскольку сообщение предназначалось не конечному пользователю, а администратору сети, уровень приоритета которого гораздо ниже. Другим примером является сеанс голосовой видеосвязи, в котором могут быть задействованы порты как для ТСР-сессий, так и для UDP. Так, сеанс TCP инициируется для обмена данными при установке телефонной связи, в то время как сам телефонный разговор передается посредством UDP. Это связано со скоростью потоковой передачи голоса и видео. В случае потери пакета не имеет смысла повторно посылать его, так как он уже не будет соответствовать потоку данных.

IP-пакеты можно разбивать на дейтаграммы. Формат дейтаграммы создает поля для полезной нагрузки и для данных управления передачей сообщения. На рисунке 3.3 показана схема дейтаграммы.

Примечание. Пусть вас не вводит в заблуждение величина поля данных в дейтаграмме. Дейтаграмма не перегружена дополнительными данными. Поле данных является на самом деле самым большим полем дейтаграммы.

Важно помнить, что IP-пакеты могут иметь различную длину. В лекции 1 говорилось о том, что информационные пакеты в сети Ethernet имеют размер от 64 до 1400 байт. В сети Token Ring их длина составляет 4000 байт, в сети ATM - 53 байта.

Примечание. Использование в дейтаграмме байтов может привести вас в недоумение, так как передача данных чаще связана с такими понятиями, как мегабиты и гигабиты в секунду. Однако в связи с тем, что компьютеры предпочитают работать с байтами данных, в дейтаграммах также используются байты.

Если вы еще раз посмотрите на формат дейтаграммы на рисунке 3.3, то заметите, что крайние поля слева имеют постоянную величину. Так происходит, потому что центральный процессор, работающий с пакетами, должен знать, где начинается каждое поле. Без стандартизации этих полей конечные биты будут представлять собой мешанину из нулей и единиц. В правой части дейтаграммы находятся пакеты переменной длины. Назначение различных полей дейтаграммы состоит в следующем.

• VER. Версия протокола IP, используемого станцией, где появилось исходное сообщение. Текущей версией IP является версия 4. Это поле обеспечивает одновременное существование различных версий в межсетевом пространстве.
• HLEN. Поле информирует получающее устройство о длине заголовка, чтобы центральный процессор знал, где начинается поле данных.
• Service type (Тип сервиса). Код, сообщающий маршрутизатору о типе управления пакетом с точки зрения уровня сервиса (надежность, первоочередность, отсрочка и т. д.).
• Length (Длина). Общее количество байт в пакете, включая поля заголовка и поле данных.
• ID, frags и frags offset. Эти поля указывают маршрутизатору, как следует проводить фрагментацию и сборку пакета и как компенсировать различия в размере кадров, которые могут возникать во время прохождения пакета по сегментам локальной сети с различными сетевыми технологиями (Ethernet, FDDI и т.д.).
• TTL. Аббревиатура для Time to Live (Время жизни) - число, которое уменьшается на единицу при каждой последующей пересылке пакета. Если время жизни становится равным нулю, то пакет прекращает существование. TTL предотвращает возникновение циклов и бесконечное блуждание потерянных пакетов в межсетевом пространстве.
• Protocol. Протокол транспортировки, который следует использовать для передачи пакета. Чаще всего в этом поле указывается протокол TCP, но могут быть использованы и другие протоколы.
• Header checksum. Контрольная сумма - это число, которое используется для проверки целостности сообщения. Если контрольные суммы всех пакетов сообщения не совпадают с правильным значением, то это означает, что сообщение было искажено.
• Source IP address (Адрес отправителя). 32-битный адрес хоста, отправившего сообщение (обычно персональный компьютер или сервер).
• Destination IP address (Адрес получателя). 32-битный адрес хоста, которому отправлено сообщение (обычно персональный компьютер или сервер).
• IP options. Используются для тестирования сети или других специальных целей.
• Padding. Заполняет все неиспользованные (пустые) позиции битов, чтобы процессор мог правильно определить позицию первого бита в поле данных.
• Data. Полезная нагрузка отправленного сообщения. Например, в поле данных пакета может содержаться текст электронного письма.

Как говорилось ранее, пакет состоит из двух основных компонентов: данных об обработке сообщения, размещенных в заголовке, и собственно информации. Информационная часть находится в секторе полезной нагрузки. Можете представить себе этот сектор в виде грузового отсека космического корабля. Заголовок - это все бортовые компьютеры шаттла в кабине управления. Он распоряжается всей информацией, необходимой всевозможным маршрутизаторам и компьютерам на пути следования сообщения, и используется для поддержания определенного порядка сборки сообщения из отдельных пакетов.

Для того чтобы найти в интернете нужный веб-сайт, необходимо ввести его адрес (URL) в своем веб-браузере. Для получения URL используется соединение уникальных имен доменов с типами (категориями) организаций (вроде http://www.whitehouse.gov, http://www.velte.com или http://harvard.edu).

Адреса URL предназначены только для облегчения работы обычных пользователей. Они не являются истинными IP-адресами. Для установки связи в интернете компьютеры используют 32-битные адреса (IP-адреса), которые работают аналогично номерам телефонов. При использовании URL для соединения с веб-сайтом URL следует конвертировать в IP-адрес. Например, при вводе URL http://www.velte.com в веб-браузере посылается запрос на ближайший сервер имен доменов (DNS), который отыскивает URL и конвертирует его в IP-адрес (см. рис. 3.4).

Это преобразование необходимо, потому что маршрутизаторы и коммутаторы не знают, что такое имя домена. На самом деле даже при обмене информацией со своим DNS-сервером следует вводить IP-адрес для осуществления запроса. На рисунке 3.5 показан вход в DNS-сервер в системе Windows XP Professional.

Все адреса в интернете являются IP-адресами. Выдачей IP-адресов и имен доменов занимаются две организации. Агентство по выделению имен и уникальных параметров протоколов интернет (Internet Assigned Numbers Authority, IANA) отвечает за IP-адреса, а организация по назначению адресов и имен в интернете (Internet Corporation for Assigned Names and Numbers, ICANN) - за имена доменов. Например, адрес velt.com был утвержден организацией InterNIC (предшественницей ICANN) в 1999 г., а соответствующий IP-адрес 64.66.150.248 был выдан интернет-провайдером, получившим его от IANA.

Рассматривайте IP-адрес как сверх-номер телефона. Он использует формат, который пересекает континенты и имеет величину, достаточную для установки связи между миллионами устройств. Сюда входят устройства-хосты и сети. Неважно, какое именно это устройство или сеть. Если они подключены к интернету, то используют IP-адреса. Даже те устройства, которые объединены в локальные сети со своими собственными системами адресации (типа AppleTalk), должны конвертировать свои адреса в IP-адреса, если они намерены устанавливать интернет-соединение.

Адрес любого устройства в интернете уникален. В отличие от телефонных номеров, которые могут быть разной длины и используют разные коды стран по всему миру, IP-адреса имеют одинаковый формат. Размер IP-адреса составляет 32 бита и разделен на четыре секции, каждая из которых содержит 8 бит и называется октетом.

Маршрутизаторы используют IP-адреса для пересылки сообщений от одной сети к другой. По мере того как пакет путешествует от маршрутизатора к маршрутизатору, он отрабатывает свой путь слева направо в IP-адресе, пока не достигнет пункта назначения.

Сообщение может быть несколько раз передано от маршрутизатора к маршрутизатору, пока не достигнет пункта назначения. Однако чаще сообщения перескакивают через целые октеты и достигают нужного сегмента LAN за один или два перехода.

Как говорилось в лекции 1, компьютеры понимают только данные, записанные в двоичном формате. Это справедливо и для IP-адресов. Однако, по аналогии с телефонным номером, был изобретен десятичный формат, чтобы можно было прочесть двоичные IP-адреса. На рисунке 3.6 показан типичный для Северной Америки телефонный номер, из которого видно, что региональный код используется для нахождения определенного региона страны, к которому относится данный номер. Затем исследуется префикс, и телефонный звонок поступает в нужный район. Последние четыре цифры посылают телефонный вызов владельцу выделенной телефонной линии.

Приблизительно так работает десятичный формат с разделительными точками. Он так назван потому, что биты конвертируются в десятичные числа в каждом октете и отделяются друг от друга точками. На рисунке 3.7 показано, как IP-адрес конвертируется в десятичный формат.

IETF - организация, следящая за интернетом - делит все IP-адреса на три обобщающих класса. Каждый класс отличается способом назначения сетевых адресов по сравнению с хостами. На рисунке 3.8 показан диапазон чисел, охватываемый первым октетом адреса. Темные октеты показывают, какая часть пространства IP-адресов зарезервирована для создания сетевых адресов. По мере того как темная часть сдвигается вправо, возрастает количество потенциальных сетевых адресов, но уменьшается количество адресов хостов.

Примечание. IETF делит IP-адреса на две группы по специализации: одни - для групповой рассылки, а другие - для поиска. Здесь мы не будем это рассматривать.

Это разделение диапазонов называется правилом первого октета. Любой маршрутизатор сможет прочесть первый октет IP-адреса и интерпретировать биты, чтобы отличить сетевые адреса от адресов хостов. Многие сети используют IP-адреса класса В или класса С. Октет содержит следующие диапазоны.

• 0 -127. Класс А, содержащий диапазон адресов от 0.0.0.0 до 127.0.0.0 для 128 сетей. Однако сеть не может состоять из одних нулей и 127.0.0.0 резервируется для создания перемычек. Остается 126 сетей - от 1 до 126. Имеется 16777214 разрешенных адресов хостов (16 777 216 минус 2).
• 128 - 191. Класс В, содержащий адреса от 128.0.0.0 до 191. 255.0.0 для 16 384 сетей. Существует 65534 разрешенных адресов хостов (65536 минус 2).
• 192 - 223. Класс С, содержащий адреса от 192.0.0.0 до 223.255.255.0 для 2097152 сетей. Допускает 254 адреса хостов (256 минус 2).

Примечание. Для выполнения расчета хоста два зарезервированных адреса должны быть удалены из пула: 0 для данной сети и 255 для широкого вещания. Адреса с 1 по 254 могут быть присвоены хосту.

Посмотрев на предыдущий список, вы уже догадались, что только очень небольшое число организаций может иметь адреса класса А (а именно - 126). Большинство пользователей для связи с интернетом используют IP-адреса классов В и С.

При настройке сетевой работы в Windows XP Professional самое важное - это иметь информацию по трем следующим пунктам:

• IP-адреса;
• маски подсети;
• шлюзы по умолчанию.

Это основные адреса, которые позволяют вашему компьютеру видеть и быть видимым в сети. К тому же, они предоставляют возможность выделить большее пространство для IP-адресов и позволяют компьютерам одной подсети обмениваться информацией с компьютерами другой подсети.

До того как мы будем обсуждать реализацию этого в Windows XP Professional, давайте посмотрим, в чем состоит назначение этих трех адресов.

Первая группа IP-адресов называется адресами общего пользования или адресами глобальной маршрутизации. Это те адреса, по которым любой компьютер, соединенный с интернетом, может получить доступ к веб-сайту.

IANA назначает диапазоны IP-адресов общего пользования для организаций, чтобы те впоследствии могли присваивать эти адреса индивидуальным компьютерам. Это предохраняет организации от использования одних и тех же IP-адресов общего пользования.

В Windows XP Professional IP-адреса могут присваиваться посредством протокола динамической конфигурации хоста (Dynamic Host Configuration Protocol, DHCP) сервера, доступного в организации, или конфигурируются вручную интернет-провайдером через соединение наборного доступа.

Примечание. Текущая четвертая версия IP определяет 32-разрядные адреса, и это дает 4294967296 адресов, доступных во всем мире. Так как в последние годы интернет завоевывает все большую популярность, количество доступных IP-адресов сокращается. Поэтому разработано уже новое поколение IP-адресов (версия 6). Однако текущая система IP-адресов не станет в одночасье устаревшей, и обе системы будут некоторое время существовать совместно после внедрения новой версии.

Может так случиться, что вам потребуется выделить большее количество сетевых адресов из предоставленной вам области IP-адресов. Если вы не можете найти достаточного количества IP-адресов, то на помощь придет подсеть. Классы IP-адресов определяют, какие биты по умолчанию относятся к сетевым, а какие - к хостам. По умолчанию это означает, что, прочитав первый октет в IP-адресе, маршрутизатор может определить, какие биты следует отнести к сетевым. Например, взглянув на адрес класса С, маршрутизатор по умолчанию отнесет биты трех первых октетов к сетевым, а биты последнего - к хосту.

Несмотря на кажущееся изобилие IP-адресов, правда заключается в том, что большинству организаций требуется большее пространство сетевых адресов, чем им выделяет их IP-обслуживание. Это ограничение достаточно легко обойти, если объявить некоторые заданные по умолчанию биты хостов сетевыми адресами. Это выполняется посредством введения третьей зоны в пространство между адресами хостов и сетевыми адресами. На рисунке 3.9 показаны два IP-адреса: один - подсетевой адрес класса A, в другой - класса С.

Класс IP-адреса имеет важное значение, так как подсети начинаются с крайних левых битов и продвигаются вправо. Другими словами, только биты в затемненной части (см. рис. 3.9) могут использоваться для адресации подсети.

Многим организациям приписываются адреса класса С. Это означает, что они имеют около 8 битов, с которыми можно работать. Многим организациям приписывается только диапазон адресов хостов, например 222.198.25.0 - 15.

Пример полного октета подсети. Организация подсети позволяет более эффективно использовать IP-адреса общего пользования, не изменяя их. Рассмотрим пример на рисунке 3.10. Эта организация присваивает IP-адреса общего пользования класса B (151.22.0.0) и отдает подсети весь третий октет.

Если вы рассмотрите рисунок 3.10, то увидите, что появилось свободное пространство для создания 254 подсетей с 254 хостами в каждой сети. Затемненный хост справа внизу демонстрирует полный адрес подсети. В этом примере хост 1 соединяется с подсетью 2 посредством IP-адреса 151.22.2.0.

При попытке установить соединение с этими устройствами удаленные маршрутизаторы будут прокладывать маршрут слева направо, используя адреса подсети. По мере прочтения адреса пакеты будут автоматически перемещаться к нужному интерфейсу крайнего маршрутизатора в нижней части "облака" (на рисунке).

Как они выглядят и где находятся. В данный момент вы можете быть озадачены вопросом, что же такое эти подсети? На самом деле они не являются IP-адресами. Скорее они представляют собой 32-разрядные "накладки", которые определяют, как должен быть использован IP-адрес. Они имеют два важных отличия от IP-адресов.

• Форма. Маска подсети представлена в двоичном коде строкой, состоящей из единиц, а в десятичном формате - числом 255.
• Размещение. Подсеть размещается в специальном сетевом интерфейсе внутри конфигурационного файла маршрутизатора, прикрепленного к устройствам данной подсети.

Другими словами, маска подсети - это непрерывная строка из единиц, протянувшаяся от конца пространства сетевых адресов до области хоста. До какой конкретно точки эта строка доходит, зависит от класса адресов. На рисунке 3.10 мы рассматривали адреса класса В. Для реализации маски подсети ее следует вводить в файл конфигураций маршрутизатора.

Выделение подсетей с помощью части октета. Понять, что такое подсеть, довольно просто, но реализация ее на практике может вызвать затруднения. Это происходит, потому что многим организациям приписаны IP-адреса класса С. Только четвертый октет по умолчанию зарезервирован для адресов хостов в IP-адресах класса С. Следовательно, маска подсети частично внедряется в адресное пространство хоста и представлена десятичным числом меньше, чем 255.

Затемненная часть на рис. 3.11 показывает биты, которые предназначены для маски подсети с четвертого октета. В этом примере вы обнаружите, что подсети отведена только половина битов, а не все восемь. Это называется .240-маской, которая позволяет организовать до 14 подсетей. Каждая подсеть имеет достаточно пространства адресов для 14 хостов, то есть всего можно получить 196 хостов.

Как видно из таблицы 3.1, можно выбрать подсеть из ряда подсетевых масок. Важно запомнить, что чем дальше вправо заходит маска в пространство адресов хостов, тем меньше количество потенциальных хостов. Используемая маска будет зависеть от сетевого приложения. Например, если сетевой маршрутизатор связан соединением "точка-точка" с удаленным офисом, то требуется только два адреса хостов - по одному на каждый конец. В этом примере требуется .252-маска, в которой задействованы только два адреса хостов.

Если вы соедините устройство с системой Windows XP Professional с локальной сетью, ему надо будет присвоить IP-адрес. Однако если интернет использует для связи IP-адреса, то что может помешать какому-нибудь чудаку ввести ваш IP-адрес и добраться до ваших персональных файлов? Помимо всего прочего, использование личных адресов позволяет различным локальным сетям использовать одни и те же IP-адреса. Это возможно, потому что эти адреса используются только в рамках вашей локальной сети.

IANA резервирует для личного использования три блока IP-адресов. Это предохраняет от нехватки IP-адресов (так как повторно использовать одни и те же IP-адреса для устройств, не подключенных к глобальной сети, могут несколько организаций). Вот эти три блока.

• С 10.0.0.0 по 10.255.255.255. Блок 10 - это один сетевой номер класса А.
• С 172.16.0.0 по 172.31.255.255. Блок 172 - это 16 постоянных сетевых номеров класса В.
• С 192.168.0.0 по 192.168.255.255. Блок 192 - это 256 постоянных сетевых номеров класса С.

Не существует официальных правил, когда использовать один из перечисленных блоков частных сетевых IP-адресов. Полиция, следящая за использованием IP-адресов, не придет и не арестует вас за использование блока 172 вместо положенного 192. Обычно используют тот, который больше подходит по размеру. По очевидным причинам не следует использовать адрес 10.х.х.х, если локальная сеть насчитывает не более 254 хостов. Однако, используя частные адреса, сетевой администратор может чувствовать себя свободно при присвоении адресов различным частям сети, так как строгие правила для IP-адресов общего пользования здесь не применяются.

Если в сети имеется устройство, которое граничит с интернетом (так называемое краевое устройство), то ему следует присвоить IP-адрес общего пользования. Использование частных IP-адресов подразумевается только на хостах, которые связаны с устройствами внутри локальной сети.

Итак, если имеется частный IP-адрес на рабочей станции, то каким образом можно установить связь с интернетом? В конце концов, не является ли целью частной адресации сохранение конфиденциальности связи? Это верно, но только до некоторой степени. Существует две службы трансляции IP-адресов, которые временно выдают действительные IP-адреса общего пользования узлам, которые используют постоянные частные IP-адреса.

• Транслятор сетевых адресов (Network Address Translation, NAT).
• Транслятор адресов портов (Port Address Translation, PAT).

Работа этих двух служб показана на рис. 3.12.

Обычно трансляция адреса выполняется брандмауэром (firewall). Имейте в виду, что трансляция адресов общего пользования в частные временная, и они возвращаются в пул IP-адресов при разрыве интернет-соединения.

Основным удобством использования частной адресации является наличие почти безграничного пространства адресов для внутренних сетей и устройств. Если брандмауэр имеет правильную конфигурацию для выполнения NAT- и PAT-трансляции адресов, то соответствующие устройства имеют разрешенный доступ в интернет. С точки зрения обеспечения безопасности, так как настоящие адреса сетевых устройств замаскированы с помощью временно выданных адресов, хакеры не имеют возможности выяснить топологию локальной сети.

Частные IP-адреса могут выдаваться двумя способами.

• Авторизованная частная IP-адресация. Если пользователь желает установить связь с несколькими компьютерами, работающими под Windows XP Professional, то он может воспользоваться свойством автоматического назначения частных IP-адресов (Automatic Private IP Addressing, APIPA) операционной системы Windows XP Professional. Это свойство позволяет каждому компьютеру автоматически приписывать себе частный IP-адрес. Пользователю не нужно конфигурировать IP-адрес для каждого компьютера, и отпадает необходимость в DHCP-сервере. Компьютеры с авторизованными частными IP-адресами могут получать доступ в интернет посредством другого компьютера, имеющего возможность использования прокси-сервера или NAT.

Примечание. Функция Internet Connection Sharing операционной системы Windows XP Professional предоставляет NAT-обслуживание клиентам частных сетей.

• Неавторизованная частная IP-адресация. При необходимости пользователь может вручную создать конфигурацию своего частного IP-адреса. Это можно рекомендовать в тех случаях, если вы уверены, что данное устройство никогда не будет подключаться к интернету. Если такие устройства устанавливают интернет-соединение, вам приходится срочно менять все IP-адреса каждого хоста.

Ранее мы говорили о том, что разработчики сетей умеют обходить ограничения, связанные с количеством IP-адресов, с помощью внедрения подсетей. Однако, при всех достоинствах способа, возникает другая проблема, связанная с невозможностью попасть из одной подсети в другую (например, компьютер в бухгалтерии не может связаться с сервером администрации). Для разрешения этой проблемы устанавливаются маршрутизаторы, или шлюзы, между сегментами локальной сети. Если устройство желает установить связь с другим устройством в одном и том же сегменте, то оно напрямую обращается к станции, используя простую технологию обнаружения. Если принимающая станция не расположена в том же сегменте, что и передающая, то она не в состоянии определить, как добраться до пункта назначения.

Чтобы попасть из одной подсети в другую, одним из параметров конфигурации, передаваемым каждому сетевому устройству, является шлюз по умолчанию. Это IP-адрес маршрутизатора, который конфигурируется сетевым администратором. Этот адрес сообщает каждому клиенту или сетевому устройству, куда посылать данные, если принимающая станция находится в другой подсети.

Примечание. Признаком неправильной конфигурации шлюза является способность устанавливать связь с устройствами данной подсети (обычно в одном здании или на одном этаже) и неспособность получить доступ к устройствам вне этой подсети.

При установке TCP/IP-соединения протокол DHCP предоставляет по умолчанию адрес шлюза. Однако если вы выполняете конфигурацию сети вручную, то вам потребуется прослеживать IP-адрес своего маршрутизатора.

Самым обычным способом установки связи между устройствами в операционной системе Windows XP Professional является TCP/IP-адресация. Она широко применяется не только для локальных сетей, но и для интернет-связи. В этом разделе мы расскажем о том, как настроить TCP/IP-адресацию и управлять ею.

В операционной системе Windows XP Professional протокол TCP/IP инсталлируется по умолчанию. Однако если проводится обновление до Windows XP Professional другой версии Windows, то Windows XP Professional сначала определяет, какой протокол уже имеется, а затем автоматически инсталлирует протоколы, с которыми вы работаете.

Если используются протоколы TCP/IP другого разработчика, то Windows XP Professional удаляет их и заменяет своей версией. Если протокол другой фирмы-разработчика предлагает большие возможности по сравнению с Windows XP Professional, то нужно заново проинсталлировать его.

При инсталляции протокола TCP/IP необходимо проделать следующие шаги.

1. В Control Panel (Панель управления) выберите пункт Network and Internet Connections (Сетевые подключения).
2. В Network and Internet Connections (Сетевые подключения) выберите Network Connections (Подключение по локальной сети).
3. В Network Connections (Подключение по локальной сети) щелкните правой кнопкой мыши на локальной сети, в которую нужно внести изменения.
4. Выберите пункт Properties (Свойства), щелкните на вкладке General (см. рис. 3.13) и затем щелкните на Add (Добавить).
   
   
   
   Рис. 3.13.  Добавление дополнительных протоколов в Windows XP Professional

5. В окне выбора сетевого протокола вы сможете выбрать из списка имеющихся в Windows XP Professional протоколов. Если же нужно проинсталлировать протокол другой фирмы-разработчика, нажмите кнопку Have Disk (Установить с диска).
6. Щелкните на ОК для окончания инсталляции.
7. Для завершения процесса инсталляции Windows XP Professional следует перезагрузить.

Для выполнения задачи по выдаче IP-адресов в системе Windows XP Professional существует четыре способа.

• Протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol). Наиболее распространенным способом присвоения IP-адресов (заданным по умолчанию в Windows XP Professional) является DHCP, автоматически назначающий IP-адреса для клиентов сетей с одним или более DHCP-серверами.
• Автоматическое назначение частных IP-адресов (Automatic Private IP Addressing). Этот способ автоматически приписывает IP-адреса клиентам подсети, существующей в единственном числе без DHCP-сервера. Когда клиенты обмениваются данными с другими клиентами внутри своей локальной сети, компьютеры, использующие IP-адреса, выданные APIPA, могут устанавливать связь только с машинами, также имеющими адреса, назначенные APIPA.
  
  
  
  

• Назначение статических IP-адресов (Static IP addressing). Этот способ позволяет вручную конфигурировать IP-адрес. Вы можете воспользоваться им, когда DHCP и APIPA недоступны (например, при использовании ICS). Слабым местом этого метода является повышенная вероятность появления ошибок, что при работе в больших организациях представляет собой большую проблему.
• Назначение альтернативных IP-адресов (Alternate IP addressing). Эта новинка в Windows XP Professional позволяет одному и тому же интерфейсу использовать два IP-адреса, по одному в каждый текущий момент времени. Это находит применение в ситуациях, когда IP-адрес не может быть получен (ни автоматически, ни с помощью ручной конфигурации) и нужен запасной вариант. Альтернативная IP-адресация нужна удаленным клиентам, которые устанавливают соединение с LAN или ISP из дома.

При установке соединения с интернетом или локальной сетью возможно, что вам потребуется конфигурировать TCP/IP. Сначала мы дадим общее представление об этом процессе, а позже разберемся с некоторыми тонкостями.

Для получения доступа к инструменту, который позволяет создавать конфигурацию этого соединения, проделайте следующие шаги.

1. В панели управления выберите Network and Internet Connections (Сетевые подключения).
2. В окне Network and Internet Connections (Сетевые подключения) выберите Network Connections (Подключение по локальной сети).
3. В окне Network Connections (Подключение по локальной сети) щелкните правой кнопкой мыши на LAN, где нужно произвести изменения, и выберите Properties (Свойства).
4. Щелкните на вкладке Networking (Работа в сети) и выберите Internet Protocol (TCP/IP).
5. Щелкните на Properties (Свойства).

Результат показан на рис. 3.14.

В окне Properties (Свойства) заполните следующие поля.

• IP address (IP-адрес). Это поле, в котором вводится IP-адрес. IP-адрес, как уже упоминалось ранее, должен быть уникальным для каждой машины в сети. У двух машин не должно быть одинаковых IP-адресов. Если нужно получить доступ в интернет с помощью ISP, выберите опцию Obtain IP address automatically (Получить IP-адрес автоматически), так как, если вы решили не оплачивать постоянный (статический) IP-адрес, полученный у своего провайдера, то IP-адрес будет назначаться динамически.
• DNS server address (Адрес DNS-сервера). Это окно позволяет выбирать место расположения DNS-сервера. Оно показывает места, куда вводятся предпочтительный и альтернативный адреса. Как и при выборе IP-адреса, здесь все зависит от сети. Если локальная сеть или интернет-провайдер используют DHCP, то DNS-адрес автоматически сообщается системе Windows XP Professional при установке соединения. В этом случае следует выбрать опцию Obtain DNS server address automatically (Получить адрес DNS-адрес автоматически). Если адрес должен присваиваться вручную, то выберите опцию Use the following DNS server address (Использовать следующие адреса DNS-сервера) и введите первичный и вторичный DNS-адреса.

При установке соединения с локальной сетью или с интернетом компьютер должен иметь уникальный IP-адрес. У двух машин не может быть одного и того же адреса. Однако один компьютер может иметь более одного IP-адреса, если он имеет интернет-соединение и соединение с локальной сетью.

Существует три способа отображения IP-адреса интернет-соединения.

• Значок соединения наборного доступа (Dial-up-соединение). Это соединение можно увидеть, щелкнув на значке dial-up-соединения в области уведомлений панели задач. Откройте диалоговое окно статуса и щелкните на вкладке Details (Подробности).
• Просмотр состояния для этого соединения. Независимо от того, каким образом устанавлено интернет-соединение, можно увидеть IP-адрес в окне Network Connections (Сетевые подключения). Для этого щелкните на соединении, затем - на View Status of This Connection (Просмотр состояния для этого соединения) в секции Network Tasks (Сетевые задачи) окна Task (Задачи). Пользователи с dial-up-соединениями должны щелкнуть на вкладке Details (Подробности). Пользователи локальной сети делают щелчок на вкладке Support (Поддержка).
• Программа IPCONFIG. Утилита IPCONFIG показывает информацию о TCP/IP-соединении. Для запуска этого инструмента откройте окно команд, выбрав Start\All Programs\Accessories\Command Prompt (Пуск\Все программы\Стандартные\Командная строка). Когда окно откроется, введите ipconfig /all и нажмите Еnter. Ниже приведен пример информации, сгенерированной и представленной Windows.

Microsoft Windows XP [Version 5.1.2600]
c Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>ipconfig /all
Windows IP Configuration

 	Host Name	: geonosis
 	Primary Dns Suffix	:
 	Node Type	: Unknown
 	IP Routing Enabled	: No
 	WINS Proxy Enabled	: No

Ethernet adapter Local Area Connection:

 	Connection-specific DNS Suffix 	:
 	Description	: Linksys NC100 Fast Ethernet Adapter
 	Physical Address	: 00-04-5A-69-CC-60
 	Dhcp Enabled	: Yes
 	Autoconfiguration Enabled	: Yes
 	IP Address	: 192.168.1.100
 	Subnet Mask	: 255.255.255.0
 	Default Gateway	: 192.168.1.1
 	DHCP Server	: 192.168.1.1
 	DNS Server	: 192.168.1.1
 	Lease Obtained	: Thursday, March 28, 2002 4:35:50 PM
 	Lease Expired	: Thursday, March 28, 2002 4:40:50 PM

C:\Documents and Settings\Administrator>

В этом примере показаны детали соединения с локальной сетью. Как вы можете видеть, компьютер имеет IP-адрес 192.168.1.100. Если бы мы устанавливали связь с интернетом, то IP-адрес, маска подсети и шлюз по умолчанию состояли бы из другого блока данных.

Windows XP Professional предлагает несколько способов настройки, управления и изменения IP-адресов. В этом разделе мы изучим каждый инструмент и объясним, как и почему следует пользоваться этим методом, а не другим. Затем мы обсудим различные способы принятия имен в Windows XP Professional. Наконец, мы закончим лекцию кратким обзором других сетевых протоколов.

Выше мы очень бегло рассмотрели процесс конфигурации IP-адресов в Windows XP Professional. Однако разные сетевые схемы и их реализации требуют наличия других конфигураций IP-адресов. В этом разделе будет рассказано об автоматической конфигурации IP-адресов.

DHCP позволяет присваивать IP-адреса общего пользования автоматически. Конфигурируемый DHCP-сервер предоставляет базу данных доступных IP-адресов и может также настраивать конфигурацию клиентов: адреса DNS-серверов, шлюзов и другую информацию. DHCP-серверы обычно устанавливаются в крупных организациях и сервисных центрах по обеспечению интернет-связи, так как они упрощают выдачу адресов и многократное их использование.

Когда DHCP-клиент приступает к работе, он запрашивает информацию о настройке у DHCP-сервера. Это позволяет автоматически присвоить ему IP-адрес, наряду с маской подсети и другой информацией. IP-адрес присваивается каждому клиенту на ограниченный промежуток времени - это называется арендой. Аренду можно время от времени возобновлять, чтобы сохранялась непрерывность сессии. Аренда обновляется примерно по прошествии половины арендного срока. Если обновление было успешным, то IP-адрес остается у клиента. В противном случае IP-адрес возвращается в пул и дается другому клиенту.

Если протокол TCP/IP установлен в компьютере с операционной системой Windows XP Professional, то автоматически появляется возможность получить IP-адрес с DHCP-сервера. Эта опция может быть отключена, если в сети не используются DHCP-серверы, или если вы хотите вводить IP-адрес вручную. Инструмент IPCONFIG.EXE позволяет пользователям и администраторам просматривать конфигурацию текущего IP-адреса, присвоенного компьютеру.

Примечание. Для получения полного списка команд IPCONFIG.EXE введите ipconfig/? для получения инструкций.

В то время как DHCP используется в крупных организациях с большим количеством клиентов, протокол APIPA полезен в маленьких сетях, работающих с одной подсетью. При наличии протокола APIPA клиент Windows XP Professional берет на себя роль назначения IP-адресов вместо DHCP-сервера.

Примечание. Если IP-адрес уже получен посредством протокола APIPA, но появился доступ к DHCP-серверу, то клиент должен поменять свой адрес на адрес, выданный DHCP-сервером.

APIPA присваивает клиенту Windows XP Professional IP-адрес из существующего диапазона адресов с маской подсети 255.255.0.0. Компьютер с такой конфигурацией IP-адреса не может устанавливать соединения с узлами вне данной подсети, включая интернет-узлы. APIPA подходит для работы небольших подсетей, таких как малый офис или домашняя сеть.

Примечание. Если в сети нет DHCP-сервера, то Windows XP Professional автоматически использует APIPA.

Определить, задействован ли протокол APIPA, можно с помощью команды:

Ipconfig/all

Полученная статистика показывает, в числе прочего, IP-адрес и количество обновлений аренды (см. рис. 3.15). Проверьте строку Autoconfiguration Enabled (Автоконфигурирование включено). Если в ней указано Yes (Да) и IP-адрес существует в диапазоне от 169.254.0.1 до 169.254.255.254, то APIPA подключен.

Если нужно отключить APIPA, то это можно сделать двумя способами.

• Установить статический IP-адрес, что отключает как APIPA, так и DHCP.
• Отключить APIPA через реестр.

Данная задача выполняется с помощью инструмента regedit.exe. Просто отредактируйте данные реестра, введя в параметр IPAutoconfigurationEnabled значение 0. Эта строка содержится в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\ interface-name (где interface-name является именем сетевого интерфейса).

Предостережение. Лучше не экспериментируйте с реестром, если недостаточно в этом разбираетесь. Неправильно написанная строка может привести к тому, что компьютер не будет загружаться.

Если надо отключить APIPA на нескольких адаптерах с помощью реестра, установите для параметра IPAutoconfigurationEnabled значение 0х0 в следующем ключе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters.

Статическая адресация является способом ручного конфигурирования IP-адресов. Этим методом можно воспользоваться при одновременной недоступности DHCP и APIPA (например, при отсутствии DHCP-сервера и наличии более чем одной подсети). Помимо IP-адреса, необходимо создать конфигурацию шлюза. Как говорилось выше, этот способ не является идеальным для настройки IP-адреса, особенно если вы собираетесь выходить в интернет.

Для статической конфигурации IP-адреса потребуется IP-адрес для каждого сетевого адаптера, установленного на компьютере, и маска подсети для каждой локальной сети. Далее выполните следующие шаги. Получившийся результат отображен на рис. 3.16.

1. В панели управления выберите Network and Internet Connections (Сетевые подключения).
   
   
   
   Рис. 3.16.  Установка IP-адреса вручную

2. В окне Network and Internet Connections (Сетевые подключения) выберите Network Connections (Подключение по локальной сети).
3. В Network Connections (Подключение по локальной сети) щелкните правой кнопкой мыши на LAN, которую нужно модифицировать.
4. Выберите Properties (Свойства) и щелкните на вкладке General (Общие).
5. Выберите Internet Protocol (TCP/IP) из списка и щелкните на Properties (Свойства).
6. На вкладке General (Общие) выберите опцию Use the following IP address (Использовать существующий IP-адрес).
7. Введите IP-адрес, маску подсети и шлюз по умолчанию.
8. Нажмите ОК, чтобы закрыть окно свойств Internet Protocol (TCP/IP); снова нажмите ОК, чтобы закрыть окно Local Area Connection Properties (Свойства LAN).

В последнем примере мы устанавливали соединение, используя один сетевой адаптер. Однако может так случиться, что в компьютере установлено несколько сетевых адаптеров. Это называется множественной адресацией. Более того, система Windows XP Professional поддерживает логическую множественную адресацию, что позволяет осуществлять множественную адресацию в устройствах с одним сетевым адаптером. Для настройки множественной адресации проделайте следующие шаги.

• В панели управления выберите Network and Internet Connections (Сетевые подключения).
• Выберите Network Connections (Подключение по локальной сети).
• Щелкните правой кнопкой мыши на LAN, которую нужно модифицировать, и выберите Properties (Свойства).
• Выберите General (Общие) и выберите из списка Internet Protocol (TCP/IP). Щелкните на Properties (Свойства).
• В окне Internet Protocol (TCP/IP) выберите вкладку General (Общие) и затем - опцию Use the following IP address (Использовать существующий IP-адрес).
• Введите данные о TCP/IP конфигурации для первого IP-адреса, а затем щелкните на Advanced (Дополнительно).
• Под областью IP-адреса (см. рис. 3.17) щелкните на Add (Добавить) для присвоения дополнительных IP-адресов этому же сетевому адаптеру (NIC).
• В окне TCP/IP Address (Адрес TCP/IP), показанном на рис. 3.18, введите IP-адрес и маску подсети, чтобы присвоить дополнительный адрес этому же NIC. Для повторения процесса щелкните на Add (Добавить).
  
  
  
  Рис. 3.17.  Установка множественной адресации в Windows XP Professional
  
  
  
  Рис. 3.18.  Введите дополнительные IP-адреса в этом диалоговом окне

• На странице Advanced TCP/IP Settings (Дополнительная настройка TCP/IP) щелкните на Default Gateways (Шлюз по умолчанию) и нажмите Add (Добавить), чтобы добавить дополнительные шлюзы этому же NIC.
• Выберите окно TCP/IP Gateway Address (Адрес шлюза TCP/IP) и введите IP-адрес дополнительного шлюза для того же NIC.
• Отметьте флажок, чтобы автоматически приписать метрику (metric) шлюза. Если этого не надо делать автоматически, то введите ее в соответствующее окно вручную. По окончании щелкните на Add (Добавить) и повторите весь процесс для дополнительных адресов шлюзов.
• Закройте окна сообщений, нажимая на ОК.

Примечание. Метрика определяет, сколько изменений маршрута необходимо для доставки сообщения в пункт назначения.

Функция Alternate IP Configuration (Альтернативная IP-конфигурация) позволяет создавать конфигурацию сетевого интерфейса с несколькими IP-адресами. Это бывает необходимо, когда требуется устанавливать связь с более чем одной сетью. Более того, эта функция хорошо подходит, когда одна сеть использует протокол DHCP для своих IP-адресов, а в другой сети используются статические IP-адреса (например, канал широкого вещания домашнего ISP).

Альтернативная IP-конфигурация позволяет компьютеру после неудачной попытки установить соединение с первой сетью автоматически предпринять попытку соединения со второй.

При конфигурировании Windows XP Professional для динамического назначения альтернативных IP-адресов необходимо проделать следующие шаги:

• Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
• Щелкните правой кнопкой мыши на локальном сетевом соединении, затем выберите Properties (Свойства).
• Щелкните на вкладке General (Общие) и выберите из списка Internet Protocol (TCP/IP), затем щелкните на Properties (Свойства).
• На вкладке Alternate Configuration (Альтернативная конфигурация) укажите Automatic private IP address (Автоматические частные IP-адреса), чтобы выбрать динамически присваиваемый частный адрес в качестве альтернативного, как это показано на рис. 3.19.
• Нажмите ОК.

Окно (см. рис. 3.19) также используется для статического выбора альтернативных IP-адресов. Если IP-адрес выбирается статически, то для этого следует выполнить следующие шаги.

1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
2. Щелкните правой кнопкой мыши на локальном сетевом соединении, затем выберите Properties (Свойства).
3. Щелкните на вкладке General (Общие) и выберите из списка Internet Protocol (TCP/IP) Properties.
4. На вкладке Alternate Configuration (Альтернативная конфигурация) выберите опцию User configured (Настраиваемая пользователем).
   
   
   
   Рис. 3.19.  Вы можете назначить альтернативные IP-адреса статическим или динамическим способом

5. Введите альтернативный IP-адрес, маску подсети и шлюз по умолчанию.
6. Введите выбранный и альтернативный адреса DNS-серверов.
7. Введите выбранный и альтернативный адреса WINS-серверов.
8. Нажмите ОК.

Помимо присвоения TCP/IP-адреса, вам придется настраивать сервисы присвоения имени. Как мы отметили ранее, компьютеры и устройства используют IP-адреса для взаимной идентификации, но люди для этой цели используют имена компьютеров. Система Windows XP Professional допускает четыре способа выдачи имен IP-адресов.

• Domain Name System (DNS). Система имен доменов используется для приложений и служб, требующих имен типа "имя хоста - IP-адрес". Примером может служить Active Directory.
• Windows Internet Name Service (WINS). Эта фирменная служба выдачи имен компании Microsoft по умолчанию не применяется в системе Windows 2000. Тем не менее, в целях обратной совместимости она включена в сервисный пакет Windows XP Professional. WINS предоставляет совместимость с сервисами и приложениями, которым требуется присвоение имени типа "NetBIOS-имя - IP-адрес".
• Файлы Hosts и Lmhosts. Этот способ предоставляет присвоение имен типа "имя хоста - IP-адрес" и "NetBIOS-имя - IP-адрес" путем локально сохраняемых файлов.
• Широковещание в подсети. Этот способ используется для присвоения NetBIOS-имен в рамках локальной подсети.

Примечание. NetBIOS является программой, позволяющей приложениям в различных компьютерах обмениваться данными в рамках одной локальной сети. Она была создана в IBM на ранних стадиях разработки их сетей персональных компьютеров, а затем была принята в Microsoft, после чего превратилась, по сути, в промышленный стандарт.

Для присвоения имени IP-адресу Windows XP Professional выполняет следующие шаги.

1. Запрос имени представляется в DNS.
2. Если DNS не удовлетворяет запрос, то программа назначения имен проверяет длину имени. Если она составляет более 15 знаков, то такое имя не назначается.
3. Если имя состоит из 15 знаков (или меньше), то программа проверяет рабочее состояние NetBIOS.
4. Если NetBIOS не работает, то программа назначения имен не выполняет задачу.
5. Если NetBIOS запущена, то программа пробует назначить разрешенное NetBIOS имя.

В зависимости от имеющихся в сети компонентов необходимо решить, следует ли конфигурировать Windows XP Professional клиентов для использования DNS, WINS или обеих систем. Выберите DNS при наличии следующих условий:

• клиент является членом домена Active Directory;
• клиент связан с сетью, в которой используется DNS-сервер;
• клиент имеет выход в интернет.

Другие способы назначения имени имеют место в следующих случаях.

• WINS применяется только для обратной совместимости. Если в сети есть WINS-сервер, то нужно конфигурировать службу назначения имен под WINS.
• Если WINS-сервер недоступен, то конфигурируйте Windows XP Professional клиентов так, чтобы они использовали Lmhosts для NetBIOS-разрешенных имен. Если такой возможности нет, то назначение имен должно выполняться путем широковещания. К сожалению, этот способ не работает вне локальной подсети.

Хорошей новостью является то, что при использовании DNS-сервера назначения имени будет сконфигурировано автоматически. Если DNS-сервер не используется, то все данные придется конфигурировать вручную.

Если проведено обновление более ранней версии Windows, то Windows XP Professional автоматически переносит старое DNS-имя в новую операционную систему. При новых инсталляциях инструмент Setup (Установка) запросит ввод DNS-имени этого клиента. DNS-имя узла имеет длину до 63 символов, оно используется наряду с первичным именем домена для получения полностью квалифицированного имени домена (fully qualified domain name - FQDN).

Например, если компьютер-клиент называется "gilligan" и является частью домена castaways.com, то его FQDN - gilligan.castaways.com.

NetBIOS-имя состоит только из 15 символов, и когда Windows XP Professional присваивает NetBIOS-имя, то она берет DNS-имя и укорачивает его до 15 символов.

Например, фанаты "Звездных войн" обратят внимание, что точное имя компьютера, изображенного на рис. 3.20 должно выглядеть так: "The Forest Moon of Endor", а не просто "Endor". Однако NetBIOS допускает только 15 символов, поэтому имя укоротилось до "The_Forest_Moon". Это выглядело несколько неуклюже, и мы превратили его в "Endor".

После инсталляции можно изменить DNS-имя хоста (что, в свою очередь, повлечет за собой изменение NetBIOS-имени) посредством следующих шагов.

1. В панели управления выберите System (Система).
2. Выберите вкладку Computer Name (Имя компьютера) (см. рис. 3.20).
3. Щелкните на Change (Изменить).
4. Введите новое имя узла и щелкните на ОК.
5. Перезагрузите компьютер для завершения процесса изменения имени. Щелкните на Yes (Да), чтобы выполнить это.

Примечание. Вы можете использовать только символы a - z, A - Z, 0 - 9 и -. Если в имени будут присутствовать другие символы, то Windows XP Professional выдаст предупреждение.

Первичным DNS-суффиксом является имя DNS домена, к которому прикреплен клиент. Если используются домены Active Directory, то имя домена Windows XP Professional клиента автоматически устанавливается как DNS-имя домена Active Directory. Первичный DNS-суффикс можно модифицировать следующим образом.

1. Откройте панель управления и выберите System (Система).
2. Выберите вкладку Computer Name (Имя компьютера)
3. Щелкните на Change (Изменить), затем щелкните на More (Дополнительно).
4. В поле введите первичный DNS-суффикс.
   
   
   
   Рис. 3.20.  Имя этого узла <<Endor>>

5. Нажмите ОК.

В том случае, когда устанавливается соединение Windows XP Professional клиентов с Windows NT доменом, но планируется переход на Windows 2000 или .NET-серверы, то клиенты смогут автоматически изменить свои DNS-суффиксы после миграции. Просто убедитесь в том, что во время смены доменов включен флажок Change DNS domain name (Сменить DNS-имя домена). (Эта настройка делается по умолчанию).

Windows XP Professional позволяет давать компьютерам различные имена в зависимости от типа сети, с которой устанавливается соединение. Они называются именами доменов специальных соединений (connection-specific domain name). Например, если суффикс организации - castaways.com и компьютер имеет имя "gilligan", то FQDN -gilligan.castaways.com. Тем не менее, при установке связи с ISP (dobiegillis.net) можно изменить DNS-имя на "maynardgkrebs", что приведет к изменению FQDN на maynardgkrebs.dobiegillis.net.

Имена доменов специальных соединений для каждого сетевого адаптера приписываются либо автоматически, либо вручную. Следующие шаги иллюстрируют выполнение этого процесса вручную.

1. Откройте панель управления и выберите Network and Internet Connections (Сетевые подключения).
2. Затем выберите Network Connections (Подключение по локальной сети), щелкните правой кнопкой мыши на выбранном сетевом соединении и выберите Properties (Свойства).
3. На вкладке General (Общие) выберите Internet Protocol (TCP/IP) из списка и затем щелкните на Properties (Свойства).
4. Щелкните на Advanced (Дополнительно) и выберите вкладку DNS.
5. В окне DNS-суффикса для этого соединения введите имя домена для соединения.
6. Щелкните на ОК, чтобы закрыть три диалоговых окна.

В зависимости от конфигурации сети, у вас может быть один DNS-сервер, дюжина или еще больше. Windows XP Professional позволяет выбирать DNS-сервер первичного доступа при создании имени компьютера. Кроме того, можно устанавливать неограниченное количество альтернативных имен, на случай если не получится осуществить запрос предпочтительного DNS-сервера.

Для указания предпочтительного и альтернативного DNS-серверов проделайте следующее.

1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
2. Щелкните правой кнопкой мыши на локальной сети, которую вы хотите модифицировать, и выберите Properties (Свойства).
3. На вкладке General (Общие) выберите Internet Protocol (TCP/IP) из списка и затем щелкните на Properties (Свойства).
4. В окне Internet Protocol (TCP/IP) выберите вкладку General (Общие) и выберите метод, которым вы воспользуетесь для доступа к DNS-серверам:
   • выберите Obtain DNS server address automatically, если DHCP-сервер доступен для автоматической выдачи IP-адресов;
   • выберите Use the following DNS server addresses, если нужно вручную создавать конфигурацию DNS-сервера, и затем введите соответствующий IP-адрес DNS сервера.
5. Щелкните на ОК для выхода из диалоговых окон.

Укажите дополнительные альтернативные серверы, проделав следующее.

1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
2. Щелкните на вкладке General (Общие), затем - на Advanced (Дополнительно).
3. Щелкните на вкладке DNS.
4. Под адресами DNS-серверов по очередности щелкните на Add (Добавить).
5. Введите IP-адрес альтернативного DNS-сервера.
6. Щелкните на Add (Добавить).

Вы можете удалить DNS сервер из списка, выбрав его и нажав на Remove (Удалить).

Если нужно установить порядок поиска DNS-сервера, проделайте следующее.

1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
2. Щелкните правой кнопкой мыши на локальной сети, которую вы хотите модифицировать, и выберите Properties (Свойства).
3. На вкладке General (Общие) выберите Internet Protocol (TCP/IP) из списка и затем щелкните на Properties (Свойства).
4. Щелкните на Advanced (Дополнительно).
5. Выберите вкладку DNS.
6. В списке DNS-адресов, размещенных в порядке очередности использования, выделите IP-адрес DNS-сервера, который нужно изменить, а затем воспользуйтесь клавишами со стрелками вверх и вниз для изменения расположения этого адреса в списке.
7. Нажмите ОК.

WINS - это служба разрешенных наименований для перевода NetBIOS- имен в IP-адреса. Ее можно использовать отдельно или совместно с DNS. WINS бывает полезна для уменьшения количества процедур присвоения локальных разрешенных имен и позволяет пользователям размещать компьютеры в сетях удаленного доступа. К тому же, для автоконфигурации можно применять DHCP-сервер, если он доступен в данной сети.

Конфигурация. При конфигурации Windows XP Professional клиента на использование WINS для получения имени необходимо предпринять следующие шаги.

1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
2. Щелкните правой кнопкой мыши на локальной сети, которую вы хотите модифицировать, и выберите Properties (Свойства).
3. На вкладке General (Общие) выберите Internet Protocol (TCP/IP) из списка и затем щелкните на Properties (Свойства).
4. Если DHCP-сервер функционирует, выберите опцию Obtain an IP address automatically (Получить IP-адрес автоматически).
5. Если DHCP сервер не функционирует и недоступен, то выполните следующие действия:
   • выберите Advanced (Дополнительно);
   • на вкладке WINS щелкните на Add (Добавить);
   • введите адрес WINS-сервера и щелкните на Add (Добавить);
6. Нажмите ОК для выхода из диалоговых окон.

Порядок поиска. По аналогии с DNS-сервером можно задать более одного WINS-сервера в сети. В этом случае выполните следующие шаги.

1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
2. Щелкните правой кнопкой мыши на локальной сети, которую вы хотите модифицировать, и выберите Properties (Свойства).
3. На вкладке General (Общие) выберите Internet Protocol (TCP/IP) из списка и затем щелкните на Properties (Свойства).
4. Щелкните на Advanced (Дополнительно), а затем выберите вкладку WINS.
5. Под адресами WINS в порядке очередности использования выберите IP-адрес WINS-сервера, который нужно переместить.
6. Воспользуйтесь клавишами со стрелками вверх и вниз для изменения порядка размещения WINS-серверов.

TCP/IP не является единственным в своем роде сетевым протоколом. На самом деле встречаются другие сетевые протоколы, которые окажутся более полезными, чем TCP/IP. Возможно, вам захочется применить некоторые из них вместо или наряду с TCP/IP.

Давайте рассмотрим два самых главных вопроса - обеспечение безопасности и взаимодействие, а затем мы предложим вам краткий обзор других протоколов, которые можно установить в системе Windows XP Professional.

В наше время все пекутся об обеспечении безопасности, и хотя интернет и считается безопасным пространством, все же и в нем есть слабые места. В действительности, если вы хотите пересылать свои секретные данные через интернет, то нужно делать это таким образом, чтобы не скомпрометировать свою организацию или свой банковский счет. Для этой цели протокол TCP/IP недостаточно хорош, и надо поискать что-нибудь понадежнее.

Здесь на сцену выходят протокол туннелирования второго уровня (Layer 2 Tunneling Protocol, L2TP) и протокол туннелирования от точки к точке (Point-to-Point Tunneling Protocol, PPTP). При использовании совместно с VPN (см. гл. 14) эти протоколы гарантируют безопасную пересылку информации.

Хотя TCP/IP превратился в стандарт мирового масштаба, еще существуют некоторые компьютеры и устройства, которые не могут установить связь с ним. Точнее говоря, нельзя максимально использовать соединение своего компьютера с этими устройствами с помощью TCP/IP.

Протокол двухточечного соединения (Point-to-Point Protocol, PPP) является набором протоколов кадрирования и аутентификации и представляет собой часть системы удаленного доступа в Windows. Этот протокол обеспечивает взаимодействие программ для удаленного доступа разных фирм-разработчиков.

Разновидностью протокола PPP является PPP over Ethernet (PPPoE). Он позволяет пользователям устанавливать связь нескольких узлов посредством простого аппаратного моста с удаленным концентратором. Каждый узел использует свое собственное PPP-соединение. Для того чтобы установить PPP-соединение в Ethernet, необходимо знать Ethernet-адреса всех удаленных узлов и установить уникальный идентификатор сессии. PPPoE включает в себя протокол обнаружения, который создает идентификатор сессии.

Протокол туннелирования от точки к точке (Point-to-Point Tunneling Protocol, PPTP) разработан Microsoft и является открытым стандартом, используемым в виртуальных частных сетях (VPN). PPTP разрешает туннелирование PPP-кадров. Туннелирование позволяет осуществлять в интернете безопасную пересылку кадров. PPP-кадры могут включать в себя IP и другие сетевые протоколы. Существует еще два протокола (L2TP и IPSec), которые повышают безопасность виртуальных частных сетей, однако PPTP устанавливается гораздо проще. В PPTP используются PPP-аутентификация, сжатие и шифрование.

Протокол NetBEUI (NetBIOS Extended User Interface) является протоколом компании Microsoft, использующимся в ее сетевых продуктах. Это очень простой в использовании протокол, требующий минимальной настройки. Однако за эту простоту приходится платить. NetBEUI не маршрутизируется, т. е. его можно использовать только в очень простых сетях, в которых отсутствуют маршрутизаторы для соединения с многочисленными сегментами локальной сети.

NetBEUI используется только в локальных сетях с числом клиентов, не превышающим 200, и базируется на технологии Token Ring как единственном способе маршрутизации.

Протокол - это в некотором роде язык, который позволяет компьютерам общаться друг с другом. Наиболее популярным протоколом является TCP/IP, который используется в интернет-соединениях и является самым распространенным стандартом в работе сетей. Операционная система Windows XP Professional позволяет легко устанавливать, конфигурировать и использовать протокол TCP/IP.

Компьютеры, работающие в операционной системе Windows XP Professional, могут устанавливать удаленное соединение с корпоративными локальными сетями (LAN), поставщиком интернет-услуг (ISP) или с отдельным удаленным компьютером несколькими способами. Технологии для поддержки таких соединений включают в себя аналоговые модемы, цифровые сети связи с комплексными услугами (ISDN), цифровые абонентские линии (DSL), кабельные модемы или добрый старый Ethernet.

В этой лекции мы уделим особое внимание тем шагам, которые вы должны предпринять для установки связи с интернетом или с локальной сетью с удаленного компьютера, используя эти технологии. Сначала мы разберемся, как Windows XP Professional образует соединения с этими устройствами. Затем мы поговорим об инсталляции и конфигурировании модема и дадим вам несколько советов. Наконец, мы рассмотрим программу Add New Hardware Wizard (Мастер установки новых устройств) - главную программу для инсталляции нового устройства в Windows XP Professional.

В этой лекции рассматриваются различные типы устройств для установки соединений, которые можно использовать в Windows XP Professional: аналоговый модем, DSL, ISDN или кабельное соединение. Кроме того, Windows XP Professional предоставляет пару инструментов, которые помогут определить правильность установки периферийных устройств и в случае неправильной установки помогут ее исправить.

Перед тем как погрузиться в тему сетевых соединений, будет разумно рассмотреть приложения, которые используются в Windows XP Professional для "наведения мостов" между операционной системой и устройствами.

Устройства, используемые для установки интернет-соединения (или WAN), зависят от потребностей сети, бюджета и политики организации.

Примечание. Типы устройств для установки сетевых подключений рассматривались в лекции 1.

Windows XP Professional включает несколько инструментов, которые помогут вам устанавливать связь, настраивать ее и справляться с некоторыми трудностями. Основными орудиями в арсенале Windows XP Professional являются:

• диспетчер устройств;
• технология "plug and play" ("подключай и работай");
• драйверы устройств.

Изучение этих инструментов позволит устанавливать надежные соединения между Windows XP Professional клиентом и необходимым удаленным устройством.

Вы можете просматривать список устройств, подключенных к компьютеру, с помощью диспетчера устройств (Device Manager). Диспетчер устройств очень удобен для проверки списка устройств, их установок и свойств. В диспетчере устройств (см. рис. 4.1) перечислены все устройства, которыми укомплектован компьютер. С его помощью можно изменять конфигурации этих устройств. Если мастер установки новых устройств обнаруживает конфликт устройств, то диспетчер устройств запускается автоматически.

Для изучения содержимого диспетчера устройств проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления).
2. Выберите System (Система) и щелкните на вкладке Hardware (Оборудование).
3. Щелкните на кнопке Device Manager (Диспетчер устройств).

Диспетчер устройств отобразит списки устройств, отсортированные по типу или по соединению. Список устройств, отсортированный по типу, выводится, если в работе возникают какие-то проблемы, причем устройство, являющееся причиной неполадок, рассматривается более подробно. Список, отсортированный по соединению, удобен при отладке драйверов устройств.

Примечание. Вы также можете открыть диспетчер устройств из консоли управления Microsoft Management Console (MMC). Щелкните на Start (Пуск), щелкните правой кнопкой мыши на My Computer (Мой компьютер), выберите Manage (Управление), чтобы отобразить MMC, и выберите Device Manager (Диспетчер устройств) в левой панели экрана (см. рис. 4.2).

Несколько лет назад при установке принтера, модема, монитора, джойстика или другого периферийного устройства в среде Windows вы сталкивались с изнурительной задачей по инсталляции драйверов устройства. Хуже того, существовали устройства, которые требовали указывать настройки для прерываний (IRQ) и прямого доступа к памяти (DMA). Все это пустяк, если вы продвинутый компьютерщик, но в противном случае это вызывает дикое раздражение.

Когда появились ОС Windows 95 и NT, все несколько упростилось: стало возможно инсталлировать устройство, а затем добавлять простой драйвер. С Windows 98 и Windows 2000 стало еще веселее - ведь появилась технология "plug and play".

Примечание. Технология "plug and play" не является совершенной, и в ее работе имеются некоторые шероховатости. Удастся ли системе Windows XP Professional сгладить их - покажет время.

"Plug and play" вполне оправдывает свое название. Когда подключается "plug and play"-совместимое устройство, система Windows считывает информацию об устройстве и выполняет все настройки автоматически. Windows может запросить пользователя вставить диск с драйвером устройства, но обычно инсталляция проходит гладко и без проблем.

В системе Windows XP Professional технология "plug and play" предлагает следующие возможности:

• обнаружение "plug and play"-устройства, определение его аппаратных требований и идентификационного номера;
• выделение аппаратных ресурсов;
• автоматическая загрузка и инициализация драйверов;
• уведомление других устройств и драйверов о появлении нового устройства.

Некоторые шины (PCI и USB) полностью поддерживают технологию "plug and play". Более старые шины (ISA) не предлагают такой поддержки и требуют большего участия со стороны пользователя для корректной инсталляции драйверов устройств.

Если компьютеры-клиенты представляют собой х86-платформы, то характер взаимодействия программы BIOS с "plug and play"-устройствами может быть другим. Это зависит от того, кто будет конфигурировать устройство: BIOS или операционная система. BIOS (если это возможно на вашем компьютере) может определить, имеются ли условия для применения "plug and play".

В таблице 4.1 перечислены условия и рекомендуемые установки BIOS.

В связи с тем что масса периферийных устройств создается самыми разными производителями, компания Microsoft не в состоянии отслеживать все устройства и налаживать их взаимодействие друг с другом и с операционной системой. Для решения этой проблемы в Windows используются драйверы устройств. Это небольшие программы, которые разработаны производителями устройств, с целью сделать эти устройства работоспособными в системе Windows XP Professional.

Windows XP Professional выходит с набором стандартных драйверов для широкого круга мониторов, принтеров, игровых платформ, модемов и т. д. При покупке периферии (например, модема) вы обычно получаете компакт-диск с драйвером этого устройства, разработанным компанией-поставщиком. На диске имеются драйверы для большинства версий Windows.

Примечание. Если у вас уже есть устройство, которое требуется соединить с Windows XP Professional, то вы должны заглядывать на сайт поставщика, так как там могут находиться обновления для драйверов.

Если вам нужна информация об определенном драйвере, откройте диспетчер устройств, щелкните правой кнопкой мыши на имени устройства и выберите Properties (Свойства). При наличии вкладки Driver (Драйвер) щелкните на ней. Большинство вкладок драйверов содержат следующие кнопки.

• Driver Details (Сведения). Список файлов, входящих в состав драйвера.
• Update Driver (Обновить). Используется для инсталляции нового драйвера.
• Roll Back Driver (Откатить). Используется для возврата к более ранней версии драйвера.
• Uninstall (Удалить). Используется для удаления драйвера.

Примечание. При инсталляции нового устройства вы можете получить сообщение о том, что Microsoft не одобряет этот драйвер. Microsoft предпринимает эту меру безопасности, чтобы некорректные драйверы не вызывали сбоев в работе Windows XP. К сожалению, существует множество производителей, которые не желают платить за получение сертификата благонадежности от Microsoft. Пропустите это сообщение, щелкнув на нем, и продолжайте инсталляцию драйвера. Если он не будет работать, вы всегда сможете его удалить.

Так как Windows XP Professional построена на базе Windows 2000, если вам предлагается выбор несколько операционных систем, и XP не является одной из них, то выберите Windows 2000.

В зависимости от необходимости удаленного доступа для клиента, возможно, потребуется установка и конфигурирование модема. В последнее время стала практически невозможной покупка компьютера без уже установленного в нем модема. Однако всегда можно заменить один модем другим. С другой стороны, если в офисе много компьютеров, то можно сэкономить несколько долларов, покупая их без модемов. В любом случае, если вам надо установить модем, следуйте инструкциям, изложенным ниже.

Если устанавливается внутренний модем, то все этапы установки очень похожи для устройств разных производителей. Нужно выключить питание компьютера, снять крышку, найти нужный PCI-слот и вставить модем. Затем нужно закрыть компьютер, подключить модем к питанию, подключить телефон к модему и включить компьютер.

На этом физическая работа заканчивается. Дальше наступает очередь Windows XP Professional. После включения компьютера "plug and play" укажет, что был установлен новый модем и активирует программу Install New Modem Wizard (Мастер инсталляции нового модема).

Примечание. Мастера инсталляции нового модема можно активировать, выбрав значок Modems (Модемы) в панели управления.

Программа спросит, устанавливается ли PCMCIA-модем (для портативных компьютеров), внутренний модем или внешний. В своих файлах программа будет искать драйвер модема. Если драйвер найден не будет, то нужно вставить диск с драйвером. (Вы можете зайти на веб-сайт производителя модема, скачать оттуда драйвер и указать Windows XP Professional место, где этот драйвер находится на жестком диске.)

После того как операционная система Windows установит драйвер модема, она запросит некоторую информацию:

• страну вашего местонахождения и международный телефонный код;
• телефонный номер для соединения с внешней линией;
• является ли набор номера в телефоне тоновым или импульсным.

Вся эта информация содержится в Dialing Location по умолчанию. (Далее в этой лекции мы расскажем о том, что такое Dialing Location и как этим пользоваться.)

После инсталляции модема его надо сконфигурировать, чтобы Windows XP Professional могла правильно им пользоваться. Посмотреть или модифицировать настройку модема можно, выбрав Start\Control Panel (Пуск\Панель управления), щелкнув на Printers and Other Hardware (Принтеры и прочие устройства), а затем - на Phone and Modem Options (Телефон и модем). На рис. 4.3 показано открывающееся в результате этих действий окно.

В этом окне щелкните на вкладке Modem (Модем), чтобы увидеть список модемов, установленных в системе. Выберите свой модем и щелкните на Properties (Свойства). Появится окно свойств модема (рис. 4.4).

Примечание. Если установлено несколько драйверов для модема, то щелкните на вкладке Driver (Драйвер) в диалоговом окне Properties (Свойства).

В таблице 4.2 перечислены различные свойства, которые можно настраивать для модема. В диалоговом окне свойств нажмите на кнопку Change Default Preferences, чтобы увидеть список настроек модема по умолчанию. Эти настройки приведены в табл. 4.3.

Большая часть этих настроек не нуждается в изменениях. Тем не менее, нужно знать, для чего они нужны и как их можно изменить при необходимости.

Если у вас возникли проблемы при установке связи по модему, вот несколько полезных советов.

• Еще раз проверьте драйвер своего модема. Изучите информацию на вкладке Modems (Модемы) диалогового окна Phone and Modems Options (Телефон и модемы). Корректный ли драйвер вы инсталлировали? Если имеется больше одного модема, удалите лишние модемы и драйверы. Подключен ли драйвер? Откройте Диспетчер устройств, выберите View\Device By Type (Просмотр\По типам), затем щелкните на значке "+" рядом со словом Modems (Модемы). Если рядом с модемом присутствует значок "Х" или "!" (или модема вообще нет в списке), то у вас действительно проблема. Выберите модем и щелкните правой кнопкой мыши на Properties (Свойства). На вкладке General (Общие) убедитесь в том, что опция Device Usage (Использовать устройство) установлена равной значению Use This Device (Использовать это устройство).
• Соединен ли модем с правильным портом? Посмотрите на диалоговое окно свойств, затем - на вкладки Modem (Модем) или General (Общие) и убедитесь в том, что порт, к которому физически подключен модем, соответствует указанному на вкладке.
• Уменьшите скорость! На вкладке Modem (Модем) диалогового окна свойств щелкните дважды на настройках Maximum Port Speed (Максимальная скорость порта). Небольшое снижение значения может решить вашу проблему.

Примечание. Windows XP Professional включает в себя функцию устранения неполадок в модеме для помощи в трудных случаях. Устранение неполадок запускается щелчком на вкладке General (Общие) в окне свойств и последующим щелчком на Troubleshooter (Устранение неполадок).

Аналогично предыдущим версиям Windows, Windows XP Professional осуществляет поддержку ISDN (службы цифровой связи). Для установки и настройки ISDN-соединения в Windows XP Professional необходимо провести некоторую предварительную подготовку.

Во-первых, служба ISDN должна быть доступной на вашей телефонной линии. Без наличия этого обслуживания там, откуда вы осуществляете дозвон, и в том месте, с которым вы хотите установить связь, ваши устройства не будут работать. Например, если вы используете ISDN-соединение для связи удаленного офиса с центром, то оба пункта должны иметь действующую ISDN-службу. Если вы соединяетесь со своим интернет-провайдером посредством ISDN, то должны подписаться на услуги ISDN и убедиться в том, что эта служба действует у поставщика интернет-услуг, перед тем как заниматься настройкой.

Примечание. Перед установкой ISDN-соединения следует позвонить своему интернет-провайдеру и убедиться в том, что он предлагает услуги ISDN-связи, а также уточнить его политику при предоставлении ISDN- линий.

После того как сервис налажен на обоих концах соединения, надо приобрести необходимое оборудование, то есть внутренний или внешний ISDN-адаптер. Кроме того, во время установки ISDN-адаптера система Windows XP Professional запросит некоторую информацию. Эта информация приведена в таблице 4.4, и вы должны иметь ее, прежде чем приступать к конфигурированию своего ISDN-адаптера.

Windows XP Professional узнает о том, что установлен ISDN-адаптер, и автоматически проинсталлирует драйвер устройства при наличии поддержки "plug and play". Если система не поддерживает "plug and play", то выполнив следующие шаги, вы осуществите процесс инсталляции вручную.

1. В панели управления выберите Printers and Other Hardware (Установка оборудования).
2. Выберите Add New Hardware (Добавить новое устройство).
3. После запуска мастера установки нового оборудования нажмите Next (Далее). (На этом этапе Windows XP Professional автоматически проверит наличие новых устройств в вашем компьютере.)
4. Если мастер не сможет найти ISDN-адаптер, появится диалоговое окно с вопросом о том, подключено ли уже новое оборудование. Если это так, то нажмите на Yes (Да), в противном случае - на No (Нет). (Если вы ответите отрицательно, то Windows XP Professional попросит подключить устройство и предпримет новую попытку.)
5. Щелкните на Next (Далее).
6. Если ISDN-адаптер все еще не обнаружен, выберите Add a new hardware device (Добавить новое устройство) и щелкните на Next.
7. Для того чтобы система Windows XP Professional могла найти ISDN-адаптер автоматически, щелкните на Search For and Install The Hardware Automatically (Поиск установленного оборудования). Если нужно выбрать ISDN-адаптер вручную, то выберите The Hardware That I Will Manually Select From A List (Установка вручную), а затем следуйте указаниям.
8. Щелкните на Show All Devices (Показать все устройства).
9. Выберите поставщика модема в левой панели и модель модема в правой панели и щелкните на Next (Далее). Если поставщика и модели вашего адаптера нет в списках, то вставьте компакт-диск с драйвером устройства и щелкните на Have Disk (Установить с диска).

Примечание. Вы можете скачать драйвер с веб-сайта производителя устройства, щелкнуть на Have Disk (Установить с диска) и указать Windows XP Professional это место расположения на своем жестком диске либо в сети.

После инсталляции ISDN-адаптера система Windows XP Professional попросит ввести некоторую информацию об адаптере. В таблице 4.4 перечислена вся информация, которая нужна Windows XP Professional для конфигурации адаптера. Вы должны будете получить эту информацию у своей телефонной компании.

Если нужно изменить эти настройки, проделайте следующие шаги.

1. В панели управления выберите System (Система) и щелкните на Hardware (Оборудование).
2. Выберите Device Manager (Диспетчер устройств).
3. Щелкните правой кнопкой мыши на ISDN-адаптере, который вы хотите модифицировать, и выберите Properties (Свойства).
4. Выберите вкладку ISDN.

Для изменения этой информации выберите тип коммутатора из списка. SPID и телефонные номера изменяются с помощью щелчка на Configure (Настройка).

Цифровые абонентские линии (DSL) в некотором смысле настраивать проще, чем аналоговые модемы, зато во всем остальном они гораздо сложнее.

По аналогии с ISDN вы не можете просто купить DSL-модем, подключить его и начать работать. Необходимо подписаться на DSL-обслуживание в вашей телефонной компании. Однако вы можете и не подойти для DSL-обслуживания, в зависимости от расстояния до вас от центрального офиса. Учитывая различные модификации DSL, следует убедиться в том, что купленный модем будет работать на этой DSL-линии.

Процесс можно упростить, позвонив провайдеру интернет-связи и попросив его об установке DSL-обслуживания. В большинстве случаев провайдер может связаться с телефонной компанией и получить для вас нужный модем. В некоторых случаях, в интересах рекламы телефонной компании, вы можете получить этот модем бесплатно.

Это все, что касается сложностей. К легким моментам можно отнести непосредственную конфигурацию DSL-модема. Сначала посмотрим, как происходит установка этого устройства.

Установить DSL модем легко. Существует три типа DSL-модемов, незначительно различающихся способом соединения.

Использование NIC. Внешний DSL-модем использует кабель пятой категории для соединения с сетевым адаптером (NIC) компьютера.

Примечание. В зависимости от производителя может потребоваться переходной кабель для подключения модема.

Использование порта USB. DSL-модем подключается к одному из USB-портов компьютера. Действие, связанное с подключением USB-кабеля, приведет к запуску программы New Hardware Wizard (Мастер установки новых устройств). Просто следуйте командам на экране для инсталляции необходимого драйвера, если в списке Windows XP Professional его нет.

Примечание. Само собой разумеется, что в компьютере должен быть установлен сетевой адаптер, если вы используете внешний DSL-модем. Мы поговорим о его инсталляции и настройке в лекции 5.

Подключение внутреннего модема связано с открыванием компьютера, поиском свободного PCI-слота и установкой модема. Когда вы снова подключите компьютер к источнику питания и запустите его, то DSL-модем (если он является "plug and play"-устройством) проинсталлирует драйвер. Если модем не поддерживает "plug and play", то придется инсталлировать драйвер вручную с помощью мастера установки нового устройства (Add New Hardware Wizard).

Примечание. При инсталляции следуйте инструкциям производителя. Они должны заменять любые другие инструкции.

Для просмотра DSL-конфигурации выполните следующие действия.

1. Выберите Start\My Network Places (Пуск\Сетевое окружение) и щелкните на New Network Connections (Новое поключение).
2. Щелкните правой кнопкой мыши на DSL-соединении.
3. Выберите Properties (Свойства).
4. Щелкните на вкладке Networking (Сеть).
5. Щелкните на Internet Protocol (TCP/IP) и щелкните на кнопке Properties (Свойства).

Конфигурацию настроек, скорее всего, вы получите от ISP вместе с поздравительным пакетом. Обычно это сообщение, в котором содержится ваш IP-адрес и адрес DNS-сервера. Лучше всего сохранить его в безопасном месте на случай переустановки устройства или изменения настроек.

Установка кабельного модема подразумевает подключение к линии кабельного телевидения. В зависимости от производителя и модели, кабельный модем подключается либо к сетевому адаптеру, либо к USB-порту, либо может быть встроенным.

Устанавливать кабельный модем достаточно просто. Существует три типа кабельных модемов, немного отличающихся друг от друга деталями инсталляции. В любом случае, модем подключается не только к компьютеру, но и к коаксиальному кабелю, доставляющему кабельное телевидение в ваш дом.

• Использование NIC. Внешний кабельный модем просто использует кабель пятой категории для подключения к сетевому адаптеру компьютера.

Примечание. В зависимости от модели вам, возможно, придется воспользоваться переходным кабелем.

• Использование USB-порта. Кабельный модем подключается к одному из USB-портов компьютера. В этом случае запускается мастер установки нового устройства. Следуйте указаниям на экране, чтобы установить нужный драйвер, если его нет в списке Windows XP Professional.
• Внутреннее подключение. Для установки внутреннего модема надо снять крышку компьютера. Не забудьте обесточить компьютер! Затем надо найти пустой слот для подключения периферийного устройства (PCI) и установить адаптер. Когда вы снова включите компьютер, модем проинсталлирует драйвер (если модем поддерживает Plug and Play). При отсутствии поддержки придется устанавливать драйвер вручную, используя мастер установки нового устройства (Add New Hardware Wizard).

В зависимости от интернет-возможностей кабельного телевидения, может быть, вам придется подключать свой кабельный адаптер к разъему телевизора. Так происходит, потому что некоторые кабельные системы допускают только односторонний перенос данных по коаксиальному кабелю. Если вы хотите отправлять информацию, то сможете сделать это посредством стандартной телефонной линии.

Конфигурировать кабельный адаптер гораздо легче, чем настраивать модем или ISDN-соединение. Поскольку Windows XP Professional общается с кабельным модемом, используя протокол TCP/IP, то от вас потребуется только настроить TCP/IP.

Для настройки протокола TCP/IP, в первую очередь, вам нужны адреса IP- и DNS-сервера и другая информация от вашей кабельной компании. Скорее всего, вы получите эту информацию при покупке данного вида обслуживания. Для настройки TCP/IP проделайте следующие шаги.

1. Выберите Start\My Network Places (Пуск\Сетевое окружение) и щелкните на View Network Connections (Отобразить сетевые подключения).
2. Щелкните правой кнопкой мыши на кабельном интернет-соединении.
3. Выберите Properties (Свойства) и щелкните на вкладке Networking.
4. Щелкните на Internet Protocol (TCP/IP) и щелкните на кнопке Properties.

Вы получите список настроек TCP/IP для кабельного адаптера. Здесь снова потребуется ввести данные, полученные от кабельной компании.

Какими бы прекрасными ни были программы-мастера от Microsoft, какой бы убедительной ни была реклама безукоризненности данной версии Windows, подключение устройств всегда может преподнести пару неожиданностей. Обнаружение и решение таких проблем может занять от нескольких минут до значительного промежутка времени. Следующие действия помогут найти выход из затруднительных положений.

При установке устройства Windows иногда пытается инсталлировать файлы из CAB-файлов (названных так по расширению .cab). Эти файлы находятся на компакт-диске Windows XP Professional.

Примечание. Если операционная система установлена поставщиком компьютера, тогда, скорее всего, CAB-файлы находятся в каталоге C:\i386.

Иногда Windows XP Professional не может отыскать место нахождения cab-файла и нуждается в вашей помощи. Для обнаружения пропавшего файла щелкните на кнопке Details (Состав) в диалоговом окне, в котором Windows XP Professional запрашивает о его месте нахождения. Затем выберите Start\Search (Пуск\Поиск) и введите имя файла, который запрашивает система. Затем выберите жесткий диск (или компакт-диск Windows XP Professional) и найдите потерянный файл. Снова войдите в диалоговое окно и сообщите Windows XP Professional, где следует искать cab-файл.

Часто инсталляция драйвера устройства приводит к выходу из строя Windows XP Professional. Если это случилось, то воспользуйтесь опцией безопасного режима (Safe Mode) Windows XP Professional. Safe Mode использует настройки по умолчанию (VGA-монитор, драйвер мыши, отсутствие сетевых соединений и минимальный набор драйверов устройств), чтобы только запустить компьютер. Если проблема не возникает при работе в безопасном режиме, то вы можете принять настройки по умолчанию, а минимальное количество драйверов не является проблемой (см. рис. 4.5).

Windows XP Professional имеет более надежный безопасный режим, чем предыдущие версии Windows, что помогает быстрее справляться с трудностями, возникающими при настройке и инсталляции. В безопасный режим можно войти, нажав клавишу F8 во время загрузки. Опции режима Safe Mode системы Windows XP Professional перечислены здесь.

• Safe Mode. Запускает Windows XP Professional с минимальным набором драйверов (мышь, монитор, клавиатура, устройство хранения и системные сервисы по умолчанию) и в режиме VGA.
• Safe Mode With Networking. Запускает Windows XP Professional в безопасном режиме, но разрешает сетевую связь.
• Safe Mode With Command Propt. Запускает безопасный режим, но вместо обычного рабочего стола открывает окно команд.

• Enable Boot Logging. Опция регистрации во время загрузки запускает Windows XP Professional и регистрирует все драйверы и службы, которые были или не были загружены. Этот список сохраняется в файле ntbtlog.txt и находится в каталоге C:\Windows.
• Enable VGA Mode. Запускает Windows XP Professional с базовым VGA-драйвером. Эта опция позволяет пользователям исправлять неполадки в своей системе, возникшие из-за некорректной установки драйвера.
• Last Known Good Configuration. Функция последней удачной конфигурации запускает Windows XP Professional, используя информацию о последней правильной загрузке системы, сохранившуюся в журнале. Этот режим не вносит никаких исправлений, и все изменения, сделанные после последней загрузки, будут потеряны.
• Debugging Mode. В режиме отладки при запуске Windows XP посредством кабеля на другой компьютер посылается информация об отладке.
• Selective Startup. Этот режим отсутствует в меню запуска Windows, которое появляется при нажатии на клавишу F8, но его можно инициировать, запустив программу System Configuration Utility.
• Normal Mode. Запускает Windows в нормальном режиме.

Более подробно мы обсудим безопасный режим в лекции 8. Тем не менее, вам полезно знать, как использовать этот режим для решения проблем с драйверами.

Ранее в этой лекции мы уже говорили о Диспетчере устройств, но сейчас давайте разберемся подробнее с тем, как можно его использовать для выявления и решения проблем, возникающих при инсталляции устройств. Для работы с настройками откройте Диспетчер устройств, выполнив следующие действия.

1. Выберите Start\Control Panel (Панель управления).
2. Щелкните на значке System (Система) и выберите вкладку Hardware (Оборудование).
3. Щелкните на кнопке Device Manager (Диспетчер устройств), чтобы открыть окно диспетчера устройств, показанное на рис. 4.1.

Если с устройством что-то не так, то рядом с его значком присутствует желтый восклицательный знак или значок перечеркнут красным крестиком. Вы можете исследовать определенное устройство, щелкнув правой кнопкой мыши на его значке и выбрав Properties (Свойства) в появившемся меню. Изучите различные вкладки для получения более подробной информации о конфликте. Скорее всего, вы найдете, что ищете, на вкладках General (Общие) или Resources (Ресурсы). Конфликтующее устройство будет выделено, как это показано на рис. 4.6.

Существует два наиболее распространенных источника конфликтов, с которыми вы будете разбираться для решения проблемы.

• Проблема драйвера. Если проблема заключается в драйвере, то щелкните правой кнопкой мыши на устройстве и выберите Update Driver (Обновить драйвер) в появившемся меню. Будет запущена программа Hardware Update Wizard (Мастер обновления оборудования), которая шаг за шагом проведет вас через процесс обновления драйвера этого устройства. Если к устройству прилагается компакт-диск или дискета (скорее всего, это так), то выберите Install From A List Or Check Specific Location () и вставьте диск в дисковод. Не забудьте зайти на сайт производителя, а также помните о том, что драйверы, которые работали в системах Windows 98 или Me, могут не работать с Windows XP Professional.
• Конфликт IRQ. Если два отдельных устройства имеют значки, перечеркнутые красным крестом, то возможно, что они пытаются использовать одни и те же настройки прерывания (IRQ). В таком случае щелкните на вкладке Resources (Ресурсы) в окне свойств каждого устройства, чтобы посмотреть, какие прерывания используют устройства.Чтобы просмотреть настройки IRQ и понять, какими из них пользуется каждое устройство, выберите View\Resources By Type (Просмотр\Ресурсы по типам) в окне Диспетчера устройств. Выберите "+" в окошке рядом с IRQ и измените IRQ для одного из устройств. Будьте внимательны и не выбирайте IRQ для другого устройства. Конфликта IRQ может не случиться, так как существует технология под названием IRQ Sharing. Она позволяет многочисленным устройствам пользоваться одними настройками IRQ. Если IRQ Sharing присутствует, то вам не следует беспокоиться по поводу возникновения такого конфликта.

Диспетчер устройств помогает выявить проблемы с оборудованием. С изучения информации в его окне следует начинать выяснение причин неполадок, которые у вас происходят.

Допустим, что Windows XP Professional-клиенту потребуется соединение с интернетом. К счастью, Windows облегчает решение этой задачи с помощью очень полезного мастера - New Connection Wizard (Мастер новых подключений).

Этот инструмент позволяет сообщить системе Windows XP Professional, какой тип соединения вы используете, и как конфигурировать это соединение. Программа может автоматически устанавливать и конфигурировать соединения для аналогового, DSL-, ISDN- или кабельного модема. В следующем разделе рассказывается, как использовать эту программу, и какая информация для этого потребуется.

Программа New Connection Wizard (Мастер новых подключений) делает процесс установки нового соединения проще, чем в предыдущих версиях Windows. Для запуска мастера выполните следующие действия.

1. Выберите Start\Control Panel (Пуск\Панель управления) и затем щелкните на Network and Network Connections (Сетевые подключения).
2. Щелкните на Create a New Connection (Создать новое сетевое подключение) в левом верхнем окне.

Окно мастера новых подключений показано на рис. 4.7.

Мастер новых подключений позволяет установить один из типов сетевых соединений:

• интернет-соединение;
• LAN-соединение;
• расширенное соединение.

В следующих разделах эти соединения рассматриваются более подробно.

Выбор Connect to the Internet (Подключение к интернету) активизирует мастер подключения к интернет (Internet Connection Wizard), который помогает настроить соединение для доступа в интернет. При запуске программы одной из опций по умолчанию является отключение совместного использования файлов и принтера в сетях Microsoft. Этим вы усиливаете защиту своих активов от грязных происков из интернета.

В следующем окне появится запрос, хотите ли вы выбрать соединение из списка ISP, установить его вручную или воспользуетесь компакт-диском, который вы получили от интернет-провайдера (ISP). Мы будем создавать соединение вручную, что делается чаще всего.

Выбрав подключение к интернету, укажите один из способов соединения: по широкополосному каналу (например, с помощью DSL или кабельного модема) или путем телефонного набора.

Указание соединения посредством широкополосного канала (Broadband Connection). При выборе опции Broadband connection вы настраиваете свой Windows XP Professional компьютер для доступа в интернет посредством современной высокоскоростной технологии, такой как DSL, T1 или кабельной. Сообщите системе Windows XP Professional, какой тип технологии вы собираетесь использовать для связи по широкополосному каналу, но если вы этого не сделаете, то она сама автоматически исследует систему и сконфигурирует соединение, подразумевая, что устройство уже находится в компьютере.

Перед установкой такого соединения свяжитесь со своим провайдером и выясните следующее.

• IP-адрес (или, по крайне мере, узнайте, присваивается адрес динамически или статически);
• DNS-адреса и имена доменов;
• другую информацию о предоставлении интернет-обслуживания.

Указание соединения путем набора телефонного номера. Dial-up-соединение использует для связи телефонную линию в течении ограниченного промежутка времени, аналоговые модемы или ISDN. При выборе такого способа доступа под рукой должны быть сведения о соединении (телефонные номера ISP и тому подобное). Если вы еще не выбрали провайдера, то мастер автоматически соединит вас со справочной службой Microsoft Referral Service, позволяя выбрать провайдера из списка Microsoft.

Вы получите соединение с Microsoft Referral Service, если укажите один из вариантов.

• Я хочу получить новый платный доступ в интернет. (Телефонная линия подключена к модему.)
• Я хочу перевести мою существующую учетную запись интернета на этот компьютер. (Телефонная линия подключена к модему.)

Перед запуском мастера необходимо иметь следующую информацию:

• DNS-адреса и имена доменов;
• все остальное, что сообщил провайдер по этому вопросу.

Соединение с сетью позволяет устанавливать соединение с LAN из дома, с улицы - откуда угодно. При выборе этой опции появляются еще две подкатегории.

Прямое соединение. При прямом соединении вы устанавливаете связь с LAN посредством наборного доступа или по широкополосному каналу. Прямое соединение позволяет обходиться без ISP и непосредственно устанавливать связь с LAN. При этом подразумевается, что другой компьютер настроен соответствующим образом для приема входящего вызова (см. "Настройка расширенного соединения").

Связь через интернет-соединение. Если вы решите устанавливать связь посредством интернет-соединения, то получите доступ к LAN путем создания безопасного виртуального частного соединения (VPN).

Примечание. Мы будем подробно обсуждать VPN-соединения в лекции 14.

При выборе опции Set up an advanced connection (Настройка расширенного соединения) вам предоставляется выбор из двух вариантов.

Прием входящих соединений. Позволяет конфигурировать Windows XP Professional-клиента для работы в качестве сервера удаленного доступа. На компьютер будут поступать входящие сигналы от компьютеров, устанавливающих dial-up-соединения.

Прямое соединение с другим компьютером. Выбор опции позволяет устанавливать связь Windows XP Professional-клиента с другим компьютером посредством параллельного, последовательного или инфракрасного соединения. При выборе этой опции вы конфигурируете компьютер для работы в качестве хоста или гостевого компьютера. Хостом называется компьютер, обменивающийся данными; гостевым называется компьютер, получающий доступ к данным.

Мастер нового подключения (New Connection Wizard) делает процесс настройки соединения практически безболезненным. Программа позволяет выбирать из следующих трех типов соединений.

• Соединение посредством dial-up-модема.
• Соединение посредством широкополосного канала связи, для которого требуется имя пользователя и пароль.
• Соединение посредством постоянного широкополосного канала связи.

При активизации мастер задает ряд вопросов и использует ответы для создания соединения. В таблице 4.5 перечислена информация, которую запрашивает мастер.

Если вы устанавливаете соединение через широкополосный канал связи, то Windows XP Professional автоматически настраивает соединение в папке Network Connections (Сетевые подключения) (выберите Start\Connect To\Show All Connections [Пуск\Подключения\Отобразить все подключения]). После того как значок соединения появится в папке, щелкните на нем правой кнопкой мыши, перейдите в окно свойств, выберите вкладку Networking (Общие), щелкните на Internet Protocol (TCP/IP), щелкните на Properties (Свойства) и затем введите параметры TCP/IP.

Мастер нового подключения при использовании ISDN создает гибрид dial-up-соединения и широкополосного канала. Однако во время настройки он предлагает ряд других опций, перечисленных в табл. 4.6. Мастер нового подключения создает ISDN-соединение, но вам самим придется конфигурировать его. Для этого проделайте следующие шаги.

• Щелкните правой кнопкой мыши на значке dial-up-соединения в окне Network Connections (Сетевые подключения).
• Выберите Properties (Свойства).
• На вкладке General (Общие) выберите ISDN-канал, который нужно сконфигурировать.
• Выберите Configure (Настройка).
• В диалоговом окне настройки ISDN укажите тип линии и другие настройки. Эту информацию можно получить в ISP или в телефонной компании.

Следующим шагом будет создание конфигурации пакетирования (bundling), если у вас имеется многосвязное ISDN-соединение, что означает объединение обоих ISDN-каналов. Щелкните на вкладке Options (Параметры) в диалоговом окне свойств dial-up-соединения, а затем выберите настройки пакетирования, как показано в табл. 4.7.

После конфигурирования устройства, которое вы будете использовать для доступа в интернет или локальную сеть, Windows XP Professional устанавливает правила дозвона. Эти правила включают в себя указание размещения, коды городов и управление телефонными картами.

В этом разделе мы рассмотрим эти пункты и объясним, как сделать Windows XP Professional более дружественной по отношению к пользователям, в особенности, когда надо устанавливать связь из различных мест расположения.

Вы можете периодически проверять свои соединения (интернет или LAN), чтобы убедиться в том, что находитесь на линии, или для проверки качества соединения. Для мониторинга сетевых соединений откройте Network Connection (Сетевое подключение), щелкните правой кнопкой мыши на соединении и выберите Status (Состояние). Можно установить автоматический постоянный мониторинг состояния активных соединений. Щелкните правой кнопкой мыши на соединении, выберите Properties (Свойства), а затем выберите значок Show (Показать в области уведомления).

Если вы включите флажок, то сможете быстро проверять сетевые соединения, наводя курсор мыши на соответствующий значок в системном трее (нижний правый сектор панели задач). При отсутствии соединения значок будет перечеркнут красным крестиком и снабжен небольшим окном с названием соединения. При наличии связи на значке не будет красного крестика, и в окошке появится информация о соединении, скорости и другие данные, зависящие от типа устройства и производителя.

Если Windows XP Professional-клиент размещен на портативном компьютере, то проблемы могут возникнуть во время путешествия, или если вам надо дозваниваться из нескольких различных мест. Например, у вас установлено соединение наборного доступа с ISP, который находится в области действия того же кода, что и ваш дом. Если вам надо дозвониться до ISP с работы, то могут возникнуть проблемы из-за различий в коде и в правилах набора номера. Если вы берете компьютер с собой в поездку, то правила набора будут меняться в зависимости от города, в котором вы находитесь. Для решения этой проблемы Windows XP Professional позволяет устанавливать место набора номера.

Место набора номера содержит следующую информацию.

• Телефонный номер.
• Код города.
• Настройка времени ожидания.
• Тоновый или импульсный набор номера.
• Когда следует набирать 1 перед номером телефона.
• Возможность применения телефонной карты.
• PIN телефонной карты.

Все эти детали могут изменяться в зависимости от места вашего нахождения.

Место размещения для набора номера (Dialing Location) по умолчанию устанавливается при запуске New Connection Wizard и указании dial-up-настроек. Вы можете просмотреть и изменить место размещения для набора номера, проделав следующее.

1. Выберите Start\Control Panel (Пуск\Панель управления).
2. Выберите Phone and Modem Options (Телефон и модем).
3. В появившемся диалоговом окне выберите вкладку Dialing Rules (Правила дозвона) (рис. 4.8).

Вы можете просмотреть, отредактировать или удалить места размещения, нажимая соответственно кнопки New, Edit или Delete в нижней части диалогового окна.

Если нужно добавить в список новое место размещения, то проделайте следующие шаги.

1. Нажмите кнопку New (Создать) в диалоговом окне Phone and Modem Options (Телефон и модем) (см. рис. 4.9) и убедитесь в том, что выбрана вкладка General (Общие).
2. Введите имя для нового места размещения в окне Location Name (Имя).
3. Выберите из списка страну и введите код.
4. В области Dialing rules (Правила дозвона) введите следующую информацию:
   • цифры, которые следует набрать для получения доступа к внешней линии для локальных звонков;
     
     
     
     Рис. 4.8.  Установка места размещения для набора номера в Windows XP Professional
     
     
     
     Рис. 4.9.  Ввод новой информации о месте размещения

   • цифры, которые следует набрать для получения доступа к внешней линии для междугородних звонков;
   • коды для звонков с очень больших расстояний и международных звонков.
5. Если вы хотите отключить ожидание дозвона, то убедитесь в том, что окошко под рамкой выбрано и введен корректный код для отключения сервиса (#78 или что-то похожее).
6. Выберите тоновый или импульсный набор.

Примечание. После создания нового места набора (Dialing Location) щелкните на Apply (Применить) и выберите место по умолчанию с помощью кнопок управления слева от имен мест размещения.

Функция Dialing Location удобна не только для набора номера своего провайдера или места работы, но также для посылки факсов посредством консоли Windows Fax. Для изменения места набора номера в мастере отправки факсов (Send Fax Wizard) отметьте флажок Use Dialing Rules (Использовать правила набора), а затем выберите место набора. Более подробная информация по этому вопросу содержится в лекции 14.

После появления сотовой телефонной связи и пейджеров сильно возросло количество телефонных номеров. Это означает необходимость большего количества кодов (особенно, в столичных областях), а также введение более сложных правил набора номеров. Например, если вам надо позвонить домой с работы, то, возможно, придется использовать другой код города или набирать 1 перед вводом телефонного номера. Windows XP Professional позволяет применять эти правила следующим образом.

1. Выберите Start\Control Panel (Пуск\Панель управления).
2. Выберите Phone and Modem Options (Телефон и модем).
3. В появившемся диалоговом окне выберите вкладку Dialing Rules (Правила набора), укажите место размещения, куда вы хотите внести изменения, и щелкните на Edit (Изменить).
4. Щелкните на вкладке Area Code Rules (Код города), которая показана на рис. 4.10, а затем щелкните на New (Создать).

   Примечание. Правила кода города можно также устанавливать при вводе нового места размещения. Щелкните на вкладке Area Code (Код города), после того как закончите вводить основную информацию о месте размещения.

5. Введите код города, который будет подчиняться этому правилу (Windows XP Professional может использовать эту информацию для всех звонков с данным кодом города из Dialing Location).
   
   
   
   Рис. 4.10.  Диалоговое окно создания правила для кода города

6. В окошке Prefixes (Префиксы) установите, будет ли правило применяться ко всем коммутаторам (три цифры, идущие за кодом города в телефонном номере) или только к выбранным префиксам.
7. Если надо набирать 1 или другую цифру перед номером телефона, щелкните в поле Dial и введите нужные цифры.

   Примечание. Цифра 1 введена по умолчанию.

8. Если нужно набирать код области перед этими цифрами, то убедитесь в том, что выбрано соответствующее поле.
9. Нажмите на ОК для завершения ввода информации.

Естественно, если вам надо позвонить куда-либо по коду, встает вопрос о стоимости такого звонка. Если вы путешествуете, то можете включить стоимость звонка в оплату гостиничного номера или сэкономить несколько рублей, используя телефонную карту. Система Windows XP Professional позволяет сохранить информацию телефонной карты и автоматически вводить ее при необходимости.

Чтобы использовать телефонную карту, Windows XP Professional нужна некоторая информация:

• учетный номер;
• PIN-код - личный идентификационный номер, который вы используете для своей идентификации;
• номер компании, выдавшей телефонную карту, который вы набираете до ввода нужного телефонного номера;
• номер, который вы набираете, перед тем как сделать международный звонок;
• номер, который вы набираете для связи с номером телефонной карты, когда вы хотите сделать звонок по местному телефону.

Для установки правил использования телефонной карты проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления).
2. Выберите Phone and Modem Options (Телефон и модем).
3. В открывшемся диалоговом окне выберите вкладку Dialing Rules (Правила набора), выберите место размещения, в которое вы хотите внести изменения и щелкните на Edit (Изменить).
4. Щелкните на вкладке Calling Card (Телефонная карточка) (см. рис. 4.11).
   
   
   
   Рис. 4.11.  Ввод информации о телефонной карте

   Примечание. Правила для телефонной карты можно установить при вводе новой информации в место размещения. Щелкните на вкладке Сalling Card (Телефонная карточка), после того как закончите вводить основную информацию.

5. Вы увидите список типов телефонных карт. В систему Windows XP Professional уже загружено большинство типов телефонных карт, так что остается только выбрать нужную.
6. Windows XP Professional покажет список свойств этой карты. Вам нужно только ввести номер своего счета и PIN.

   Примечание. Еще раз проверьте цифры в номере своей карты на тот случай, если в Microsoft перепутали номера или ваша телефонная компания их изменила.

7. Нажмите на ОК для завершения настройки.

Вполне допустимо, что вашей телефонной карты нет в списке Windows XP Professional. Вы не можете ограничивать себя этим списком. Добавить новую карту можно, проделав следующие шаги.

1. Откройте диалоговое окно Edit Location (Изменить место) и выберите вкладку Calling Card (Телефонная карточка), изображенную на рис. 4.11.
2. Щелкните на кнопке New (Создать). Появится диалоговое окно, показанное на рис. 4.12.
   
   
   
   Рис. 4.12.  Создание новой телефонной карты

3. Введите имя телефонной карты, номер своего счета и PIN.
4. Щелкните на вкладке Long Distance (Международная связь).
5. Введите телефонный номер, используемый для международной связи.
6. Используя кнопки, показанные на рис. 4.13, введите те действия, которые должна выполнить ваша телефонная карта для установки соединения. Напишите сценарий, в соответствии с которым Windows XP Professional получит доступ к вашей телефонной карте. Например, щелкнуть на Access Number (Учетный номер) для ввода своего номера доступа, щелкнуть на Account Number (Номер счета) для ввода своего номера счета и щелкнуть на Destination Number (Вызываемый номер) для ввода номера телефона, по которому вы будете звонить. Используйте кнопку Wait (Ожидание) для указания времени ожидания до начала ввода номера доступа, PIN или другой информации.
   
   
   
   Рис. 4.13.  Свойства телефонной карты

7. Вы можете переходить от пункта к пункту, пользуясь кнопками в правой части окна телефонной карточки, можете также удалять пункты соответствующей кнопкой.

   Примечание. Полезно сделать контрольный звонок и записать серии номеров и длину пауз, которые потребовались для этого звонка.

8. Повторите п. 4 и п. 5 для установки правил для междугородных местных звонков.

Для использования телефонной карты в dial-up-соединении в окне свойств соединения щелкните на кнопке Dialing Rules (Правила набора), а затем выберите место размещения. Щелкните на вкладке Calling Card (Телефонная карточка) и выберите телефонную карту.

Если с помощью телефонной карты вы хотите послать факс, то в программе Send Fax Wizard (Мастер отправки факсов) выберите окошко Use Dialing Rules (Использовать правила набора), затем выберите место размещения и щелкните на кнопке Dialing Rules (Правила набора), чтобы увидеть телефонную карту.

В Windows XP Professional установка, конфигурирование и управление аппаратными средствам связи осуществляется очень просто и эффективно. Пользуясь преимуществами имеющихся инструментов, вы можете предоставить своим клиентам весьма надежные и функциональные виды соединений.

Лекция 4 была посвящена различным способам подключения клиента к интернету. В этой лекции внимание сосредоточено на работе системы Windows XP Professional в локальных сетях (LAN). Windows XP Professional имеет ряд инструментов для организации как очень больших сетей, так и сетей небольшого размера.

Причем, Windows XP Professional не только упрощает процессы установки и создания конфигураций, но и посредством своих инструментов повышает возможности удовлетворения требований ваших рабочих групп. В этой лекции мы обсудим различные способы применения Windows XP Professional для построения сетей и улучшения их взаимодействия. Сначала мы поговорим об установке соединения клиентов с локальной сетью и рассмотрим работу мастера создания нового подключения (Network Setup Wizard), который помогает устанавливать эти соединения. Затем мы обсудим программу Internet Connection Sharing (ICS), которая представляет собой отличный способ подключения к интернету всех устройств в малых офисах и домашних сетях с несколькими компьютерами, но только одним доступом в интернет. Мы также продемонстрируем Internet Connection Firewall (ICF), продукт Microsoft, обеспечивающий безопасность данных, пока они находятся в интернете. В заключение мы исследуем поддержку системой Windows XP Professional беспроводных сетевых соединений.

Есть два способа соединения Windows XP Professional-клиентов с локальной сетью: автоматический и ручной. Автоматический способ является наиболее предпочтительным, так как он достаточно надежен и предоставляет высокую скорость. Тем не менее, иногда бывает необходимо произвести подключение клиента вручную или применить определенный протокол или сервис.

Первый раздел этой лекции посвящен взаимодействию клиента с локальной сетью, то есть установке соединения и обеспечению работоспособности.

Первым шагом при подготовке Windows XP Professional-клиента к работе в локальной сети является инсталляция сетевой карты и соединение с сетью. Если у вас есть интернет-соединение, то убедитесь в том, что оно работает, и включите все принтеры. Это позволит мастеру увидеть их. Для запуска мастера проделайте следующие шаги.

1. Выберите Start\All Programs\Accessories\Communications\Network Setup Wizard (Пуск\Все программы\Стандартные\Связь\Мастер новых подключений) или выберите Start\Control Panel\Network and Internet Connections (Пуск\Панель управления\Сетевые подключения). Щелкните на Set up or change a home or small office network (Установить домашнюю сеть или сеть малого офиса).
2. Щелкните на Next (Далее).
3. Мастер покажет на экране серию шагов, которые вы должны последовательно выполнить. Вы должны выполнить следующее.
   • Установить сетевые карты, модемы и кабели.
   • Включить все компьютеры, принтеры и наружные модемы.
   • Установить связь с интернетом.
4. Щелкните на Next (Далее) для перехода к следующему окну.
5. Появится вопрос о том, как будет устанавливаться связь с интернетом (если будет), то есть будет ли компьютер напрямую выходить в интернет или посредством локальной сети.
6. В следующем окне (см. рис. 5.1) введите описание и имя компьютера и щелкните на Next (Далее). Следующее окно запрашивает имя рабочей группы.
7. В заключение мастер спросит, хотите ли вы создать установочный диск Network Setup Disk, который можно запускать в системах Windows Me, 2000, 9X и NT. Если вы ответите утвердительно, то вам потребуется чистая дискета. Если вы устанавливаете новую сеть, в которой работают различные версии операционной системы Windows, то следует иметь такой диск.

Итак, что же делает мастер? Он устанавливает следующее:

• клиента Microsoft Network;
• набор протоколов TCP/IP;
• службу Printer Sharing.

Все эти сервисы и протоколы можно установить вручную, но почему бы мастеру не сделать это за вас?

Примечание. Если вы собираетесь использовать ICS, то можете сэкономить время, доверив инсталляцию ICS мастеру при настройке сети. Мы поговорим об ICS подробнее в другом разделе этой лекции.

Если вы решились создать дискету для настройки сетевых конфигураций для работы с другими версиями Windows, то процесс инсталляции не будет представлять особых сложностей. После того как дискета создана, вы помещаете ее в дисководы своих компьютеров. Надо выбрать Start\Run (Пуск\Выполнить), ввести a:\setup (где a - это обозначение дисковода) и нажать на ОК. Мастер выполняет инсталляцию в Windows-клиентах и может потребовать перезагрузки.

Можно пользоваться не дискетой для инсталляции компьютера-клиента, а компакт-диском Windows XP Professional. Проделайте следующие шаги.

Вставьте компакт-диск Windows XP Professional в клиентский CD- или DVD-дисковод. Запуск компакт-диска происходит автоматически. Если это произошло, то переходите к пункту 5, если нет - выполните пункт 2.

1. Выберите Start\Run (Пуск\Выполнить).
2. Введите \d:setup (где d - обозначение CD- или DVD-дисковода). Нажмите на ОК.
3. Выберите Perform additional tasks (Выполнение иных задач).
4. Выберите Set up a home or small office network (Установить домашнюю сеть или сеть малого офиса).
5. Мастер установки сети представит ряд инструкций, которым надо следовать.

После того, как мастер установки сети выполнит все задания, в правой части меню Start (Пуск) появится значок My Network Places (Мое сетевое окружение). Такой же значок появится в диалоговом окне приложения Open (Открыть) для облегчения доступа к папкам общего пользования.

Если значок не появился в меню Start (Пуск), то, скорее всего, Windows XP Professional не распознает вашу сетевую карту. Используйте Диспетчер устройств для проверки правильности работы сетевой карты. (О Диспетчере устройств рассказывается в лекции 4.)

Двойной щелчок на значке My Network Places (Мое сетевое окружение) выводит на экран список папок общего доступа в локальной сети. (В лекции 11 об этом рассказывается подробнее.) На рис. 5.2 показан пример такой папки.

Система Windows XP Professional предлагает прекрасный способ отображения различных соединений, которые использует компьютер. Открыв окно Network Connections (Сетевые подключения), вы сможете увидеть различные локальные соединения (беспроводные и кабельные) и интернет-соединения (использующий наборный доступ или широкополосный канал).

Окно Network Connections (Сетевые подключения) можно открыть двумя способами.

1. Щелкните на Start (Пуск), правой кнопкой мыши щелкните на My Network Places (Сетевое окружение) и выберите Properties (Свойства).
2. Если пункт Connect To (Подключить к) имеется в меню Start (Пуск), то выберите Start\Connect To\Show All Connections (Пуск\Подключить к\Отобразить все подключения).

На рис. 5.3 показано окно Network Connections (Сетевые подключения).

Организация локальных сетевых соединений с помощью мастера установки сети (Network Setup Wizard) достаточно проста, так как проводится автоматически. Однако иногда вам может потребоваться более сложная задача, чем простой запуск мастера для настройки соединения. Некоторые соединения требуют инсталляции или удаления таких компонентов сети как клиентские компьютеры, протоколы или сервисы.

У каждого сетевого соединения, входящего в список в окне Network Connections (Сетевые подключения), имеются определенные свойства, которые можно изучать, конфигурировать или настраивать с помощью щелчка правой кнопкой мыши на соединении и выбора Properties (Свойства). На рис. 5.4 приведен пример свойств сетевого соединения.

Как показано на рис. 5.4, в списке наряду с клиентами, протоколами и сервисами представлена сетевая карта соединения.

В обычной локальной сети с протоколом TCP/IP должны присутствовать следующие компоненты.

• Client for Microsoft Network (Клиент для сетей Microsoft). Клиентская программа, которая позволяет компьютеру обмениваться данными с другими Microsoft-компьютерами.
• File And Printer Sharing For Microsoft Networks (Служба доступа к файлам и принтерам сетей Microsoft). Сервис, который делает возможным совместное использование файлов и принтеров компьютерами Microsoft.
• QoS Packet Scheduler (Планировщик пакетов QoS). Сервис, который устанавливает порядок пересылки пакетов, основанный на стандартах качества службы (Quality of Service, QoS).
• Internet Protocol (TCP/IP). Набор протоколов TCP/IP.

Перед установкой, конфигурацией или удалением любого клиента, сервиса или протокола вы должны сначала установить и создать конфигурацию адаптера. Адаптером называется драйвер устройства, используемый Windows XP Professional для связи с сетевой картой. При инсталляции сетевой карты механизм "plug and play" должен обнаружить ее. Если карта не является "plug and play"-совместимой, то вам следует установить драйвер устройства вручную. Запустите мастер установки нового оборудования (Add New Hardware Wizard), чтобы начать инсталляцию драйвера.

Примечание. Разумеется, если вы мигрировали с другой версии Windows и у вас уже есть сетевой адаптер, то Windows XP Professional автоматически проведет обновление настройки сетевого соединения.

Далее следует инсталлировать клиентский компонент сетевого соединения. Он будет определять тип сетевого соединения. По умолчанию Windows XP Professional устанавливает программу Client For Microsoft Networks (Клиент для сетей Microsoft). Для просмотра клиентов, установленных в компьютере, изучите область ниже заголовка This connection uses the following items (Компоненты, используемые этим подключением), показанную на рис. 5.4.

Если надо установить другой тип клиента, то проделайте следующее.

1. Выберите Start (Пуск) и щелкните правой кнопкой мыши на My Network Places (Сетевое окружение). Выберите Properties (Свойства). Затем щелкните правой кнопкой мыши на нужном подключении по локальной сети и выберите Properties (Свойства).
2. Щелкните на вкладке General (Общие).
3. Щелкните на кнопке Install (Установка).
4. Выберите Protocol (Протокол) и затем щелкните на Add (Добавить).
5. Выберите нужный протокол. Если вы инсталлируете протокол других разработчиков, вставьте диск и щелкните на кнопке Have Disk (Установить с диска). Нажмите ОК.
6. Вы можете получить подсказку о том, что надо вставить компакт-диск Windows XP Professional для записи дополнительных файлов.
7. Нажмите ОК для завершения установки протокола.

После установки протокола Windows XP Professional автоматически распространяет этот протокол на все сервисы и клиентские программы, инсталлированные на компьютере. Привязка - это способ заставить Windows XP Professional использовать определенный протокол при обращении к определенному клиенту или сервису. Если вы не хотите использовать специальный протокол с каким-либо клиентом или сервисом, то можете отключить его.

Однако, несмотря на все прелести автоматического конфигурирования, можно не использовать новый протокол с каждым сервисом и клиентской программой, а привязывать определенные протоколы к определенным клиентам и сервисам.

1. Выберите Start\Control Panel (Пуск\Панель управления), затем щелкните на Network and Internet Connections (Сеть и подключения к интернету).
2. Щелкните на Network Connections (Сетевые подключения).
3. В меню выберите Advanced\Advanced Settings (Дополнительно\Дополнительные параметры)(см. рис. 5.5).
   
   
   
   Рис. 5.5.  Привязка протоколов к клиентам и сервисам

4. Щелкните на вкладке Adapters and Bindings (Адаптеры и привязки).
5. В окне Connections (Подключения) выберите Local Area Connection (Подключения по локальной сети).
6. В окне Bindings for Local Area Connection (Привязка для подключений по локальной сети) перечислены все клиентские программы и сервисы этого соединения. Установленные протоколы перечислены под каждым клиентом или сервисом.
7. В окошках рядом с каждым протоколам поставьте или уберите отметку, в зависимости от того, нужно ли привязывать этот протокол к клиенту или сервису.
8. Можно изменить порядок применения протоколов (поставив наиболее часто используемые протоколы в начало списка, а редко используемые - в конец), выбирая их по одному и перемещая их с помощью стрелок вверх и вниз, расположенных в правой части диалогового окна. Установка очередности использования протоколов удобна, если вы планируете использовать один протокол гораздо чаще другого в конкретном соединении.
9. По окончании работы нажмите ОК.

Последним компонентом сети, который вы добавите, будет сервисная программа. Сервисными программами или сервисами называются механизмы, позволяющие компьютеру предоставлять свои ресурсы для использования в сети. В отличие от протоколов и клиентских программ сервисы являются дополнительными (необязательными) компонентами, то есть вам не нужен сервис, чтобы создать соединение. Однако без сервисов совместное использование принтеров, файлов и т. п. становится невозможным.

Для инсталляции сервиса проделайте следующие шаги.

1. Выберите Start (Пуск) и щелкните правой кнопкой мыши на My Network Places (Сетевое окружение). Выберите Properties (Свойства), правой кнопкой мыши щелкните на LAN и выберите Properties (Свойства).
2. Щелкните на вкладке General (Общие).
3. Щелкните на кнопке Install (Установить).
4. Щелкните на Service (Сервисы) и затем нажмите Add (Добавить).
5. Выберите сервисную программу для инсталляции и щелкните на Add (см. рис. 5.6).
   
   
   
   Рис. 5.6.  Инсталляция сервисной программы

6. Выберите сервис, который нужно инсталлировать (если ваша сервисная программа разработана посторонним производителем и находится на дискете или компакт-диске, то вставьте дискету и щелкните на кнопке Have Disk [Установить с диска]).
7. Нажмите на ОК. Вы можете получить подсказку снова вставить в дисковод компакт-диск Windows XP Professional.
8. Нажмите ОК для завершения инсталляции.

Само собой разумеется, что компьютеры-клиенты должны иметь возможность выхода в интернет. В больших организациях нет проблем создания онлайновой связи пользователей. Однако маленькие организации или домашние офисы (так называемые SOHO) могут сталкиваться с проблемами при установке интернет-связи для своих пользователей.

Трудность заключается в том, что в SOHO имеется одно интернет-соединение. Здесь нет острой нужды в покупке крупной линии связи типа Т1 для подсоединения нескольких десятков устройств. Следовательно, доступ в интернет имеет только один компьютер. Представьте себе маленький офис с пятью компьютерами-клиентами. Если в интернет одновременно пожелают выйти два пользователя, то, скорее всего, возникнут конфликты. Если один из пользователей скачивает большой файл из интернета, то этот файл после загрузки должен быть направлен в соответствующий клиентский компьютер. Более того, подумайте о вопросах безопасности частной переписки, когда для всех электронных писем используется один компьютер.

Для того чтобы обойти эту проблему, компания Microsoft ввела систему общего доступа к подключению к интернету (Internet Connection Sharing, ICS), работающую под Windows 98 и хорошо настраиваемую для работы в системе Windows XP Professional.

ICS является сетевой программой трансляции адреса (Network Address Translation), которая позволяет компьютеру-клиенту с интернет-доступом предоставлять этот доступ другим клиентам локальной сети (рис. 5.7).

Компьютер с интернет-доступом называется ICS-сервером. Остальные компьютеры являются ICS-клиентами. ICS-клиенты могут работать в операционных системах Windows XP Professional, Windows XP Home, Windows 2000 или Me или даже в Mac OS, если они поддерживают протокол TCP/IP.

ICS использует IP-адреса, принадлежащие блоку 192 (точнее, 192.168.0.ххх). ICS включает в себя DHCP-сервер на ICS-сервере, который назначает IP-адреса ICS-клиентам. На рис. 5.7 вы видите, что DHCP-сервер присваивает адрес 192.168.0.1 себе, а затем последовательно выдает IP-адреса другим клиентам (192.168.0.2, 192.168.0.3 и т.д.).

Однако, как вы помните из нашего обсуждения TCP/IP в лекции 3, ICS-сервер имеет два IP-адреса - тот, который выдан интернет-провайдером (в данном случае 209.98.145.144), и другой, соответствующий локальной сети (192.168.0.1).

Примечание. ICS позволяет подключать к одному соединению до 254 устройств с IP-адресами в диапазоне от 192.168.0.1 до 192.168.0.254.

ICS состоит из трех компонентов.

• DHCP Allocator (DHCP-распределитель). Отвечает за выдачу IP-адресов ICS-клиентам.
• NAT. В пакетах заменяет IP-адреса ICS-клиентов на IP-адреса, выданные интернет-провайдером.
• DNS Proxy (DNS-прокси). Предоставляет сервисы трансляции между IP-адресами и именами хостов посредством DNS-сервера интернет-провайдера.

Теперь, когда вы в целом разобрались в принципах работы ICS, давайте пройдем через процессы установки и конфигурирования. Как и большинство Windows XP Professional инструментов, этот инструмент тоже использует мастер для облегчения процесса установки. Тем не менее, если в ваших обстоятельствах создание конфигурации вручную является более предпочтительным, мы рассмотрим и этот вариант.

Самым лучшим при установке ICS будет воспользоваться мастером установки сети (Network Setup Wizard) в системе Windows XP Professional. При запуске мастера на ICS-сервере он создаст установочный диск (дискету), которым вы сможете пользоваться для конфигурирования Windows Me, 9X, 2000 и NT клиентов своей локальной сети.

Для запуска мастера установки сети на компьютере, который будет ICS-сервером (помните, что это тот компьютер, который имеет интернет-соединение), выберите Start\All Programs\Accessories\ Communications\Network Setup Wizard (Пуск\Программы\Стандартные\Связь\Мастер установки сети).

При работе мастер (вам надо будет пройти через несколько диалоговых окон) попросит сделать несколько выборов, показанных в таблице 5.1.

Как было отмечено в предыдущем разделе, настройку связи с другими клиентами можно легко выполнить либо с помощью установочной дискеты, созданной мастером установки сети (в системах Windows 9X, Me, 2000, NT или XP), либо запустив мастер установки сети на клиентском компьютере (только в системе Windows XP Professional).

Примечание. Вы можете передавать по сети файлы установочного диска для осуществления бездисковой инсталляции.

В процессе конфигурации протокол TCP/IP инсталлируется как сетевой протокол (если в этом качестве он еще не установлен), и компьютеру дается команда получить свой IP-адрес на DHCP-сервере - в данном случае на ICS-сервере.

При конфигурировании ICS-клиента с помощью дискеты просто вставьте ее в дисковод и выполните следующие действия.

1. Выберите Start\Run (Пуск\Выполнить).
2. Введите a:\setup.
3. Щелкните на Open (Открыть).

Для конфигурирования клиентов (если они работают в системе Windows XP Professional) выберите Start\ All Programs\Accessories\ Communications\Network Setup Wizard (Пуск\Программы\Стандартные\Связь\Мастер установки сети).

Затем нужно выполнить установки, показанные в таблице 5.2. Сейчас самое время протестировать ICS и убедиться, что все настройки сделаны правильно.

Хотя мастер установки сети предлагает достаточно простой способ настройки ICS, все это можно сделать еще быстрее. При конфигурировании вручную подразумевается, что сетевые и интернет-соединения уже находятся в рабочем состоянии.

На ICS-сервере выполните следующие действия.

1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на Network and Internet Connections (Сеть и подключения к интернету), затем выберите Network Connections (Сетевые подключения).
2. Щелкните на том интернет-соединении, которое вы будете использовать.
3. В окне Network Tasks (Сетевые задачи) щелкните на Change Settings Of This Connection (Изменение настроек подключения). Откроется окно свойств (см. рис. 5.9).
4. Выберите вкладку Advanced (Дополнительно). Вы увидите ряд настроек как для ICS, так и для ICF. Установите их в соответствии с таблицей 5.3.
5. Нажмите ОК.

При конфигурировании ICS-сервера вручную не забудьте проделать следующее.

1. Убедитесь в том, что интернет-соединение работает, т. е. если вы только что установили соединение, протестируйте его, походите по веб-сайтам, отправьте и получите почту.
2. Убедитесь в том, что интернет-соединение имеет конфигурацию соединения по умолчанию.
3. Убедитесь в том, что введено имя пользователя и пароль.
   
   
   
   Рис. 5.9.  Создание ICS-конфигурации вручную

   Таблица 5.3. Ручная настройка ICS

   Настройка	Описание
   Защитить компьютер и локальную сеть, ограничив или запретив доступ к компьютеру из сети	Кратко это выражается словами "Включить ICF". Этот флажок рекомендуется выбирать в целях обеспечения безопасности. Мы будем говорить о ICF позже в этой лекции.
   Позволить другим сетевым пользователям использовать интернет-соединение этого компьютера	Включите этот флажок, чтобы включить ICS. Для отключения ICS уберите галочку.
   Устанавливать dial-up-соединение при любой попытке компьютера сети получить доступ в интернет	Это освобождает пользователей от проблем, которые могут возникнуть у них при попытке войти в интернет при отключенном от интернета ICS-сервере. В зависимости от потребностей в доступе к интернету вы можете отключить или включить эту опцию.
   Позволять другим пользователям локальной сети контролировать или отключать интернет-соединение общего пользования.	ICS-клиенты могут иметь небольшую степень контроля над интернет-соединением в виде возможности подключать или отключать ICS-сервер. Замечание: они могут инициировать соединение с ICS-сервером, только если включена предыдущая опция (включен предыдущий флажок)

4. Убедитесь в том, что конфигурация ICS-сервера позволяет ему автоматически устанавливать интернет-соединение, если один из клиентов пожелает выйти в интернет.

Если вы хотите дополнить набор своих сетевых соединений, то попробуйте установить VPN через ICS, используя PPTP. Другими словами, создайте виртуальную частную сеть, работающую с протоколом туннелирования "точка-точка" (Point-to-Point Tunneling Protocol), позволяя удаленным пользователям безопасно обращаться к корпоративным сетям с помощью коммутируемого соединения, предоставляемого поставщиком интернет-услуг или с помощью прямого интернет-соединения через ICS.

Примечание. L2TP-соединения не могут быть созданы с использованием ICS.

Рассмотрим сеть, изображенную на рис. 5.10. По этому сценарию клиенту, находящемуся в сети SOHO, нужен VPN-канал связи со штаб-квартирой корпорации. Возможно, ему требуется послать какую-то секретную информацию финансового характера, требующую безопасной линии связи.

При создании соединения между ICS-клиентом и корпоративной сетью клиент видит только ресурсы, доступные ему в корпоративной сети, и он отрезан от интернета на весь период связи через VPN-соединение. Однако это не означает, что клиент не может вернуться в интернет. ICS-клиент может получить доступ к интернету через интернет-соединение корпоративной сети.

При установке такого соединения важно не создать VPN-туннель от ICS-сервера. Использование ICS-сервера будет по умолчанию приводить к пересылке всего трафика с ICS-сервера по VPN-туннелю в корпоративную сеть. Это сделает интернет-ресурсы недоступными для ICS-клиентов (так как их соединение будет видеть только корпоративную сеть и только ею распознаваться).

Примечание. В лекции 14 содержится более подробная информация о VPN в Windows XP Professional.

Если у вас возникли затруднения, связанные с ICS, то обратите внимание на следующее.

1. Дайте ICS-серверу некоторое время для входа в интернет, особенно при использовании dial-up-соединения. ICS-клиент должен подождать, пока ICS-сервер подключается к интернету.
2. В Windows XP Professional есть специальная программа Internet Connection Sharing Troubleshooter (Устранение неполадок ICS). Установите эту программу на ICS-сервере и хотя бы на одном ICS-клиенте. Вы можете запустить ICS Troubleshooter, выполнив следующие действия.
   • Выберите Start\Help And Support (Пуск\Справка и поддержка).
   • В окне Help And Support Center (Центр справки и поддержки) выберите пункт Fixing A Problem (Поиск неполадок).
   • Щелкните на Networking Problems (Неисправности в сети)
   • Щелкните на Internet Connection Sharing Troubleshooter.
3. Если вы перезагрузили свой ICS-сервер, то перезагрузите и ICS-клиентов.
4. Убедитесь в том, что ICS-сервер действительно может устанавливать интернет-соединение. Если это не так, то нужно еще раз проверить это соединение.

Проще всего пользоваться инструментом Internet Connection Sharing Troubleshooter. Он поможет решить проблемы, связанные с ICS, последовательно проведя вас по всем пунктам. Хотя кое-что может показаться элементарным (проверить, включен ли ICS-клиент), иногда именно в этих простых вещах кроется причина неполадок.

Многие организации обеспечивают безопасность своих сетей с помощью защитного экрана (firewall), установленного между локальной сетью и интернетом. Обычно такие устройства располагаются в одном помещении с сервером, где они отфильтровывают все нежелательные проникновения, атаки и тому подобную информацию. В Windows XP Professional есть своя система защиты. Не такая выносливая, как автономное устройство, программа брандмауэр подключения к интернету (Internet Connection Firewall, ICF) является инструментом, ограничивающим информацию, которой обменивается ваше устройство и интернет.

Особенно эффективен ICF при работе с ICS. Используя ICF на своем ICS-сервере, вы защищаете ICS-клиентов от нападения. Несмотря на то что ICF, в основном, применяется в ICS-сетях, эта защита весьма эффективна и для отдельных компьютеров, соединенных с интернетом.

ICF является системой защиты, отслеживающей все аспекты работы линии связи и проверяющей все исходные и конечные адреса информационных пакетов. Для предотвращения попадания нежелательного трафика в вашу сеть из интернета ICF содержит список всех соединений исходного компьютера. Входящий трафик сравнивается с данными этой таблицы. При несовпадении данных входящие пакеты блокируются. Это препятствует таким атакам хакеров, как сканирование портов. ICF не надоедает пользователю сообщениями о каждом нежелательном действии, вместо этого записи о работе ICF ведутся в специальном журнале безопасности.

Примечание. Общий доступ к подключению к интернету и брандмауэр подключения к интернету отсутствуют в системе Windows XP 64-Bit Edition.

Однако не весь непредусмотренный трафик обязательно является вредным. Поэтому ICF можно сконфигурировать таким образом, чтобы пропускать сообщения и направлять их в соответствующее устройство. Например, при наличии веб-сервера ICF может отправлять информационные пакеты на этот сервер.

ICF не следует включать там, где нет интернет-соединения. Например, если ICF работает на ICS-клиенте (а не на ICS-сервере), то связь между этим компьютером и остальными компьютерами сети будет нарушена. Именно поэтому мастер установки сети не включает ICF в частных соединениях между ICS-сервером и ICS-клиентами. В противном случае эти соединения оказались бы заблокированными.

Примечание. Если у вас уже имеется брандмауэр или прокси-сервер, то в ICF нет необходимости.

Посмотрите на сеть, изображенную на рис. 5.11. В этой конфигурации есть два места, где следует применить ICF. Во-первых, в соединении между ICF-сервером и ISP. Во-вторых, один из ICS-клиентов имеет свое собственное интернет-соединение. Применив ICF в интернет-соединении (но не в частной линии между ICS-сервером и ICS-клиентом), можно отфильтровывать нежелательные пакеты. Без применения ICF в этих местах сеть станет уязвимой для атаки.

На первый взгляд ICF может показаться весьма полезным инструментом для предотвращения атак на сеть. И до некоторой степени так оно и есть. Однако в связи с тем, что ICF блокирует любой пакет, неожиданно приходящий в сеть, работа некоторых приложений типа электронной почты или онлайнового чата может стать проблематичной. Это случается потому, что программы электронной почты типа Outlook Express ожидают некоторое время, перед тем как запросить почтовый сервер. Это неплохо, так как ICF сделает запись в своей таблице о том, что почтовая программа отправила пакет на почтовый сервер. Когда данные возвращаются с почтового сервера, ICF уже имеет запись в таблице и пропускает обратное сообщение.

С другой стороны, Outlook Express устанавливает соединение с Microsoft Exchange Server. Используя удаленный вызов процедуры (RPC), сервер рассылает сообщения своим клиентам о поступлении новой почты. Так как в таблице ICF нет записи о том, что клиент инициировал контакт, то система заблокирует RPC-уведомление. Это не означает потерю почтовых данных. Они будут по-прежнему сохраняться на Exchange Server, однако клиенты должны будут проверять почту вручную.

Для просмотра списка пакетов, не пропущенных системой ICF, откройте журнал безопасности ICF. Для этого проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на Internet Connections (Подключение к интернету) и выберите Network Connections (Сетевые подключения).
2. Щелкните на соединении, для которого включена система ICF.
3. В Network Tasks (Сетевые задачи) щелкните на опции Change settings for this connection (Изменение настроек выбранных подключений).
4. На вкладке Advanced (Дополнительно) щелкните на Settings (Настройка).
5. На вкладке Security Logging (Запись в журнал событий безопасности) в области Log file options (Параметры файла журнала) поля Name (Имя) выберите Browse (Обзор).
6. Найдите файл pfirewall.log. Щелкните на нем правой кнопкой мыши и выберите Open.

Ведение журналов можно настроить для записи как запрещенного, так и разрешенного трафика. Если опция Allow incoming request echo (Разрешить отклик на входящий запрос) протокола ICMP не включена, то входящий пакет будет заблокирован, и в журнале будет сделана запись.

Существует целый ряд опций ICMP (расположенных на вкладке ICMP диалогового окна Advanced Settings [Дополнительные параметры], которое вы открывали, проделывая шаги 1 - 4, чтобы найти журнал безопасности), которые можно использовать. Эти опции позволяют регулировать функциональность ICF и включают в себя следующее.

• Разрешить пересылку.
• Разрешить входящий запрос о временной метке.
• Разрешить входящий запрос маршрутизатора.

Вы можете управлять величиной журнала безопасности, чтобы он не переполнялся запросами, которым отказано в обслуживании. Также можно устанавливать те сервисы, которыми вы собираетесь пользоваться на своем Windows XP Professional-устройстве.

Включать и отключать ICF очень просто. Проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск/Панель управления) и щелкните дважды на Network Connections (Сетевые подключения).
2. Щелкните на том интернет-соединении, которое вы хотите защитить с помощью ICF.
3. В окне Network Tasks (Сетевые задачи) щелкните на Change settings of this connection (Изменение настроек подключения).

На вкладке Advanced (Дополнительно) можно включать ICF отметкой флажка Protect my computer and network by limiting or preventing access to this computer from the Internet (Защитить мое подключение к интернету).

Количество аббревиатур в мире сетей и сетевых соединений растет с появлением каждой новой технологии или метода. Две наиболее часто встречающиеся аббревиатуры: WPAN (Wireless Personal Area Network) - беспроводная частная сеть, WLAN (Wireless Local Area Network) - беспроводная локальная сеть. Не путайте WPAN с WLAN. В то время как WLAN работает на 100-метровом расстоянии, WPAN охватывает не более 10 метров. Кроме того, в этих сетях используются разные технологии.

WPAN отличается не только тем, что работает на близких расстояниях. В системе Windows XP Professional работа беспроводных персональных сетей основана на технологии IrDA (Infrared Data Association - ассоциация передачи данных в инфракрасном диапазоне). Эта технология позволяет пользователям, имеющим на своих компьютерах устройства, работающие в инфракрасном диапазоне, обмениваться данными, устанавливать dial-up-соединения и получать доступ в локальные сети.

IrDA - это стандарт на передачу данных для компьютеров, принтеров и других периферийных устройств на короткие расстояния в инфракрасном диапазоне. Инфракрасные лучи распространяются не так хорошо, как видимый свет. Поэтому два устройства в сети WPAN не должны быть заслонены друг от друга какими-либо объектами (аналогично телевизионному пульту дистанционного управления).

Примечание. Инфракрасный свет имеет длину волн в диапазоне от 850 до 900 нанометров. Он не видим для глаза, так как его волны немного длиннее волн видимого света.

Как видно из таблицы 5.4, существует ряд аргументов как "за", так и "против" применения инфракрасного излучения.

IrDA имеет три режима работы, отличающихся скоростью передачи данных.

• Serial IR (SIR) - максимальная скорость передачи данных 115,2 Kб/с;
• Fast IR (FIR) - максимальная скорость передачи данных 4 Mб/с;
• Very Fast IR (VFIR) - максимальная скорость передачи данных 16 Mб/с.

Windows XP Professional поддерживает IrDA в пяти различных пользовательских профилях.

• File Transfer (IrOBEX). Пересылка файлов между IrDA-устройствами упрощается.
• Printing (IrLPT). Позволяет отправлять данные для печати с IrDA-устройства на IrDA-принтер.
• Dial-up Networking (IrCOMM). Позволяет входить в интернет с помощью IrDA-оснащенного сотового телефона.
• Imaging (IrTran-P). Позволяет предавать файлы с цифровой IrDA-оснащенной видеокамеры на компьютер.
• LAN Access/Peer-to-Peer Networking (IrNET). Позволяет устанавливать LAN- и P2P-соединения на компьютерах, работающих с IrDA.

На другом конце спектра находится стандарт 802.11х, который широко применяется для беспроводного обмена данными.

Не считая общего аспекта "крутизны" компьютерной беспроводной сети, есть несколько важных факторов, которые позволяют считать беспроводные сети весьма полезной и продуктивной технологией.

• Мобильность. С помощью WLAN пользователи могут в любой момент времени получить доступ к своей локальной сети практически отовсюду. Для такого соединения не нужны никакие провода.
• Дешевизна. Хотя первоначальные затраты на оборудование для WLAN превышают затраты на обычную локальную сеть, в целом при работе WLAN оказывается дешевле. Особенно заметны эти финансовые преимущества в динамичной обстановке при частых перемещениях.
• Гибкая схема. WLAN можно легко конфигурировать для работы сетей различной топологии в соответствии с требованиями конкретных приложений. Конфигурации являются очень гибкими, легко поддаются изменениям и варьируются от простых равноправных сетей, идеально подходящих для малого числа пользователей, до развернутых сетей с полной инфраструктурой с тысячами пользователей и охватом больших площадей.
• Высокая скорость передачи данных. Скорости передачи в сетях WLAN сравнимы со скоростями в проводных сетях. Пользователи могут получать доступ к информации на скорости 11 Mб/с, то есть на уровне скорости в обычных сетях с электрическим кабелем. Хотя здесь еще далеко до скоростей в 100 Mб/с и 1 Гб/с, возможных в кабельных сетях, беспроводные сети имеют вполне достойную рабочую скорость.
• Способность к взаимодействию. Производители, выпускающие свои продукты с использованием стандарта 802.11, гарантируют их совместимость с другими видами оборудования или брендами внутри данной сети.
• Шифрование для обеспечения безопасности при работе в локальных сетях с высокой скоростью передачи данных. При внедрении беспроводного оборудования для обеспечения защиты (WEP) безопасность компьютерной сети гарантирована. WEP обслуживает точки доступа со скоростью в 11 Mб/с, PC-карты и PCI-адаптеры.
• Быстрота и простота при установке. До появления беспроводной технологии объединение компьютеров в локальную сеть требовало прокладки и подключения множества проводов. Задача еще более осложнялась тем, что провода должны были проходить сквозь стены или перекрытия между этажами. Беспроводная технология упрощает и ускоряет подготовительные работы.
• Гибкость. Так как физические барьеры не представляют для WLAN таких препятствий, как для обычных локальных сетей, беспроводные сети могут обеспечить доступ пользователям и рабочим станциям, для которых соединение с LAN просто невозможно.

Подобно беспроводным телефонам, WLAN используют электромагнитные радиоволны для обмена информацией между портативным компьютером и точкой доступа (на сервере) без использования физической среды для передачи сообщения. Это показано на рис. 5.12.

В беспроводных сетях устройством, которое физически соединяется с обычной сетью, является трансивер (приемопередатчик) или точка доступа. Точка доступа получает, размещает в буфере и передает данные WLAN в обычную сеть и обратно. Как показано на рис. 5.13, точка доступа представляет беспроводной концентратор, который обслуживает сотни клиентов. В зависимости от диапазона работы точки доступа, клиенты могут располагаться в радиусе от нескольких метров до полутора километров от нее. Лучше если антенна точки доступа расположена высоко над полом. Однако ее можно размещать в любом достаточно свободном месте.

Для соединения с точкой доступа компьютеры-клиенты используют WLAN-адаптеры, которые являются небольшими PC-картами для ноутбуков и карманных компьютеров и картами для настольных компьютеров. Этими картами могут быть укомплектованы и переносные компьютеры. Карты имеют встроенные антенны и трансиверы.

Давайте рассмотрим два основных способа построения беспроводной сети в системе Windows XP Professional.

Самая простая беспроводная сеть состоит из двух компьютеров, оснащенных беспроводными сетевыми картами. Как видно из рисунка 5.14, здесь не нужна точка доступа, и всякий раз, когда эти два компьютера находятся в радиусе взаимодействия друг с другом, они образуют свою собственную независимую сеть. Такая сеть называется одноранговой (peer-to-peer) сетью. Такие сети с быстрой реакцией устанавливаются и настраиваются особенно легко. Им не нужны администрирование и предварительная настройка конфигурации. В данном случае каждый компьютер получает доступ только к ресурсам другого компьютера, а не центрального сервера или интернета. Сети такого вида идеально подходят для дома, небольшого бизнеса или для разовых нужд.

Как и в обычных компьютерных сетях, оборудование внутренних (внутри здания) беспроводных сетей состоит из PC-карты, PCI- и ISA-клиентских адаптеров и точек доступа.

Как и обычная локальная сеть небольшого размера, WLAN может быть составлена из пары компьютеров, обменивающихся информацией, или в ней может использоваться топология, изменяемая по ходу дела, в которой применяются только сетевые карты клиентов. Для расширения беспроводной локальной сети (см. рис. 5.15) или для повышения ее функциональности используются точки доступа, которые могут выполнять роль моста к сети Ethernet.

Применение WLAN-технологии к настольным системам дает организации такую гибкость в работе, которая просто невозможна в обычных локальных сетях. Устройства-клиенты могут быть размещены там, куда нельзя проложить кабель. Более того, клиентов можно переставлять в любой момент времени по мере необходимости. Все это делает беспроводные сети идеальным вариантом для временных рабочих групп или для быстро растущих организаций.

Архитектура локальной сети, работающей по протоколу 802.11, очень похожа на сеть сотовой телефонной связи. Используя аналогичный дизайн, беспроводная компьютерная сеть может сохранить все преимущества сотовой связи и предоставить при этом более высокие скорости передачи данных.

• Ячейки и наборы. 802.11 LAN делится на ячейки, а каждая ячейка называется базовым сервисным набором (basic service set, BSS). Каждый BSS контролируется точкой доступа. Но так как одна точка доступа может не справляться со всеми нуждами беспроводной сети, то к базовой сети подключается несколько точек доступа. Конфигурация с несколькими точками доступа называется распределенной системой. Неважно, какого размера эта сеть, с каким количеством узлов устанавливается соединение - для вышележащих уровней стандартной модели OSI группа беспроводных устройств выглядит как одна IEEE 802.11-сеть. В свою очередь, протокол 802.11 рассматривает верхние уровни OSI как расширенный сервисный набор.
  
  
  
  Рис. 5.15.  Использование нескольких точек входа расширяет возможности доступа к WLAN

• Физический уровень. Протокол 802.11 охватывает физический контроль и контроль несущей среды. Но вместо одного типа носителя протокол 802.11 поддерживает целых три типа, а именно: расширение спектра сигнала в прямой последовательности, с переменной частотой и в инфракрасном диапазоне частот. Один MAC-уровень поддерживает все три физических уровня. К тому же, MAC-уровень предоставляет связь с протоколами верхних уровней. Эти функции включают в себя фрагментацию, повторную передачу пакетов и распознавание.

Осуществляя сетевое взаимодействие на основе сотовой архитектуры, беспроводные устройства могут соединяться, отсоединяться и переходить от ячейки к ячейке аналогично сотовым телефонам.

Настроить сети WLAN или WPAN в операционной системе Windows XP Professional очень легко. Компания Microsoft включила в эту систему ряд инструментов, облегчающих не только процесс установки, но и повседневную работу в беспроводной сети.

Одним из главных усовершенствований новой версии Windows в области беспроводной сетевой связи является улучшение возможностей роуминга. По аналогии с технологией сотовой телефонной связи в беспроводных локальных компьютерных сетях (WLAN) используются параметры роуминга. Это позволяет устройствам отслеживать вход (и выход) в область обслуживания точки доступа. Улучшение роуминга в системе Windows XP Professional заключается в том, что система определяет переход устройства к новой точке доступа и требует повторной аутентификации для гарантии правильности уровней сетевого доступа. Это называется технологией распознавания сетевой среды (media sense). Возможность определять изменения распространяется и на IP-подсеть, что позволяет выдавать идеальные IP-адреса, гарантирующие наилучшее пользование ресурсами.

В Windows XP Professional учитывается множественное конфигурирование IP-адреса, а также автоматическое присвоение оптимального адреса. При необходимости изменения IP-адреса Windows XP Professional позволяет провести повторную конфигурацию.

Когда устройство переходит из области действия одной точки доступа к другой точке доступа, информация об устройстве перемещается вместе с ним (например, информация о месте расположения устройства для корректной доставки сообщений). Поставщиками беспроводной связи совместно разработан протокол для облегчения такой передачи данных - Interaccess Point Protocol, IAPP. Он еще не стал стандартом, но его появление - хороший признак того, что производители готовы отбросить в сторону соблюдение формальностей для блага конечного потребителя.

Замечательным качеством сетевого взаимодействия в системе Windows XP Professional является возможность переходить от одной беспроводной локальной сети к другой, не конфигурируя заново свое устройство или соединение. Например, если у вас имеется одна WLAN в офисе, а другая - дома, то Windows XP Professional-устройство может использовать одну и ту же конфигурацию. Она называется нулевой конфигурацией (zero configuration). Нулевая конфигурация использует Windows XP Professional-пользовательский интерфейс при попытках установить связь между беспроводными устройствами.

Так как система Windows XP Professional поддерживает стандарт 802.11, то работа в беспроводных сетях требует минимума изменений в конфигурации. Если на вашем устройстве доступна автоматическая настройка конфигураций, то вы можете свободно переходить из одной беспроводной локальной сети в другую без повторного конфигурирования своего Windows XP Professional-клиента.

При переходе из одной WLAN в другую система Windows XP Professional просматривает новую сеть и автоматически настраивает конфигурацию карты вашего сетевого адаптера для работы в новом окружении. Если вы оказались в такой области, где доступны несколько WLAN, то можете создать список предпочтительных WLAN и установить очередность подключения к ним.

Процесс настройки автоматического конфигурирования беспроводной сети весьма прост. Проделайте следующие шаги.

1. Выберите Start\Connect To\Show All Connections (Пуск\Подключить к\ Отобразить все подключения).
2. Щелкните правой кнопкой мыши на соединении, которое вы хотите установить с помощью своего беспроводного сетевого адаптера, и выберите Properties (Свойства).
3. На вкладке Wireless Networking (Беспроводное подключение) (см. рис. 5.16) проделайте одно из следующих действий:
   • выберите опцию Use Windows to configure my wireless network settings (Использовать Windows для конфигурирования настроек беспроводной сети) для автоматического создания беспроводной сетевой конфигурации;
   • отключите опцию Use Windows to configure my wireless network settings для отключения автоматического создания беспроводной сетевой конфигурации.
   
   
   
   Рис. 5.16.  Свойства беспроводного соединения

4. Список доступных WLAN обнаружен и появляется в области Available Networks (Доступные сети). Вы можете изменять этот список и его настройки с помощью следующих действий:
   • для добавления доступной WLAN в области Available networks (Доступные сети) выберите сеть, которую вы хотите добавить, и щелкните на Configure (Настройка);
   • для добавления новой беспроводной сети в список Preferred networks (Предпочитаемые сети) в области Preferred networks щелкните на Add (Добавить). В поле Wireless Network properties (Свойства беспроводного подключения) введите имя сети (SSID), ключ беспроводной сети и предназначена ли сеть для работы в специальном режиме;
   • для изменения порядкового номера WLAN в списке Preferred networks (Предпочитаемые сети) щелкните на WLAN, которую вы хотите перенести, и затем щелкните на Move up (Вверх) или Move down (Вниз).
   • для удаления WLAN из списка щелкните на ней и затем нажмите Remove (Удалить).
5. Теперь вы можете установить тип беспроводной сети, к которой будете подключаться, щелкнув на кнопке Advanced (Дополнительно) и выбрав сеть, с которой вы хотите работать. Затем сообщите Windows XP Professional, будет ли это соединение работать в специальном или инфраструктурном режиме.

Примечание. Сети, работающие в специальном режиме - это сети, созданные двумя устройствами для временной работы. Например, два сотрудника обмениваются данными на конференции. Инфраструктурными называются те беспроводные локальные сети, беспроводные устройства которых получают доступ к локальной сети организации посредством точки доступа.

Вполне естественно, если у вас есть одна или несколько беспроводных локальных сетей, то процесс установки связи компьютеров с этими сетями очень прост. Однако и тот, кто не должен иметь доступа к вашим сетям, может, сидя на близлежащей парковке, с такой же простотой начать просматривать ваши файлы. Поэтому следует убедиться в том, что сети настроены для аутентификации в соответствии с протоколом 802.1х.

Не путайте аутентификацию с WEP-ключом. Аутентификация является средством подтверждения идентичности компьютера. WEP-ключ предоставляет ключ кодировки для установленного соединения. Другими словами, пройдя процедуру аутентификации, компьютер использует WEP-ключ, чтобы посторонний ничего не выведал и не прочитал данные, ему не предназначенные.

Следующие шаги показывают, что надо сделать для работы аутентификации 802.1х.

1. Выберите Start\Connect To\Show All Connections (Пуск\Подключить к\ Отобразить все подключения).
2. Щелкните правой кнопкой мыши на сетевом соединении, для которого нужно включить или отключить 802.1х аутентификацию.
3. На вкладке Authentication (Аутентификация) можно включить 802.1х-аутентификацию, отметив флажок Network access control using IEEE 802.1x (Управление сетевым доступом с помощью IEEE 802.1x). Для отмены аутентификации снимите флажок (см. рис. 5.17).
4. В поле EAP type выберите тип протокола Extensible Authentication Protocol (Протокол расширенной проверки подлинности), который будет использоваться этим соединением.
5. Если вы выбрали смарт-карту или другой сертификат в секции EAP type, то можете сконфигурировать дополнительные настройки. Для этого щелкните на Properties (Свойства) и выполните следующие действия.
   • Выберите опцию Use my smart card, чтобы использовать сертификат смарт-карты для аутентификации.
   • Выберите опцию Use a certificate on this computer, чтобы использовать сертификат, хранящийся на вашем компьютере. Можно проверить достоверность сертификата, включив флажок Validate server certificate (Проверка сертификата сервера). Также нужно установить, следует ли осуществлять подключение только в случае подлинности сертификата в определенном домене, а затем указать достоверные доказательства полномочий сертификата безопасности.
   • Выберите опцию Authenticate as guest when user or computer information is unavailable для попытки зарегистрироваться в качестве гостя, если информация о пользователе или компьютере недоступна.
   
   
   
   Рис. 5.17.  Свойства протокола аутентификации 802.1х

6. Чтобы сообщить Windows XP Professional, предпринимать ли попытку авторизации в сети пользователя, который либо не зарегистрирован, либо информация о нем недоступна, включите флажок Authenticate as computer when computer information is available (Проверять подлинность как у компьютера при отсутствии сведений о компьютере) или флажок Authenticate as guest when user or computer information is unavailable (Проверять подлинность как у гостя при отсутствии сведений о компьютере или пользователе).

Наконец вы добрались до подключения своего беспроводного устройства к беспроводной локальной сети WLAN. К счастью, в системе Windows XP Professional это делается легко. Просто выполните следующие действия.

1. Выберите Start\Connect To\ имя беспроводного соединения.
2. Щелкните правой кнопкой мыши на значке сетевого соединения и затем щелкните на View Available Wireless Networks (Просмотр доступных беспроводных сетей).
3. В области Connect to Wireless Network (Подключение к беспроводной сети) щелкните на беспроводной сети, с которой вы хотите установить соединение. (Это показано на рис. 5.18)
   
   
   
   Рис. 5.18.  Соединение беспроводного устройства с WLAN

4. Если вам требуется WEP-ключ, то выполните одно из следующих действий:
   • если WEP-ключ хранится в беспроводной сетевой карте компьютера, то оставьте поле Network Key (Ключ сети) пустым.
   • Если WEP-ключ не вводится автоматически, то впишите его.
5. Щелкните на Connect (Подключение).

Настройка клиентов для работы в рабочих группах в системе Windows XP Professional значительно упрощена по сравнению с предыдущими версиями Windows. Частично за это следует поблагодарить целый ряд программ-мастеров, которые используются в этом процессе. Рабочие группы под управлением Windows XP Professional также могут пользоваться преимуществами беспроводного взаимодействия, являясь либо частью WLAN, либо WPAN. Наконец, даже самые маленькие рабочие группы могут испытать на себе удобства повышенной функциональности рабочих групп в системе Windows XP Professional, используя одно общее соединение для доступа в интернет и применяя встроенную систему защиты (firewall) от проникновения злоумышленников.

В мире компьютерных сетей Microsoft есть два типа логических сетей, частью которых может являться клиент: рабочая группа или домен. В лекции 5 говорилось о рабочих группах, которые идеально подходят для одноранговых соединений или небольших организаций. В этой лекции мы обсудим домены, которые обычно используются в крупных сетях.

Но обсуждение доменов не сводится только к размерам сетей. Домены, помимо прочего, несут на себе определенные функции (вроде единой системы защиты для всех устройств внутри домена). В этой лекции мы поговорим о доменах и о том, как система Windows XP Professional может быть частью домена. А в конце лекции мы рассмотрим инструмент, делающий домены еще более жизнестойкими и мощными, который называется Active Directory.

Если вы работаете с Windows 2000, то, возможно, уже пользуетесь доменами. Однако если в вашей сети установлена более ранняя версия операционной системы (или вообще не Windows-версия), то будет неплохо разобраться сейчас с понятием доменов и для чего они нужны.

В этом разделе дается краткий обзор доменов и того, каким образом Windows XP Professional вписывается в их среду.

В предыдущей лекции основное внимание было сосредоточено на соединениях между рабочими группами. Как вы помните, рабочие группы - это отдельные компьютеры или сети, состоящие только из компьютеров, работающих на базе Windows XP Professional. Рабочие группы хорошо подходят для небольших сетей и прямых контактов. Однако в больших организациях обмен компьютерными данными осуществляется посредством доменов.

Доменом называется группа учетных записей и ресурсов сети, организованных под одним именем (например, NASA.gov). Эти устройства и учетные записи находятся в области действия системы защиты, которую обеспечивает домен. Это означает, что если глава НАСА пытается подключиться к домену NASA.gov, то от него потребуют (только один раз) ввести соответствующий пароль для получения доступа к ресурсам домена.

Домены облегчают жизнь пользователей, так как последним не обязательно знать многочисленные пароли различных устройств, как это было в рабочих группах. В домене управление паролями и разрешениями происходит централизованно. Когда глава НАСА желает получить доступ к домену через свой компьютер в офисе или через другую рабочую станцию, то его информация автоматически посылается одним из контроллеров домена на компьютер, которым он в данный момент пользуется.

Примечание. В Windows NT Microsoft использует первичные контроллеры доменов (PDC) и запасные контроллеры доменов (BDC). В среде Windows 2000 и .NET PDC и BDC заменяются контроллерами доменов (DC).

Microsoft рекомендует использовать домены как можно шире (разумеется, так они смогут продавать больше серверных продуктов). Но домены содержат качества, отсутствующие в рабочих группах. Большую часть работы домен выполняет посредством системы Active Directory. Мы будем обсуждать Active Directory и роль Windows XP Professional в службе каталога далее в лекции.

Как говорилось выше, домены представляют собой группы сетевых ресурсов с централизованным управлением. В системе Windows NT использовались PDC и BDC. Было удобно пользоваться одним основным (первичным) устройством для контроля за работой сети и иметь запасные устройства на случай непредвиденных проблем. Компания Microsoft сделала систему еще более совершенной, включив в Windows 2000 контроллеры доменов. Теперь все функции дублируются на каждом контроллере домена (см. рис. 6.1), в то время как в системе Windows NT обязанности распределялись между PDC и BDC.

Примечание. Для простоты будем считать, что домен находится под контролем Windows 2000 Server. Однако его функциональность сохраняется и для Windows Server 2003.

Для нормальной работы домена содержимое Active Directory должно обновляться для всех контроллеров домена своевременно. В системе Windows 2000 для поддержания на всех контроллерах доменов наличия текущей (свежей) информации используется множественное копирование (репликация). Вместо использования линейной базы данных, копирующейся с одного контроллера домена на другой, подчиненный ему контроллер домена (как это делается в Windows NT), все контроллеры доменов системы Windows 2000 считаются устройствами одного ранга. Поэтому изменения на одном из контроллеров копируются на все контроллеры доменов.

По умолчанию репликация происходит каждые 5 минут в пределах одного домена. Для выполнения бесперебойного копирования компонент Knowledge Consistency Checker (KCC) (Проверка согласованности знаний), работающий в контроллерах доменов, создает логическую замкнутую схему (кольцо), в которую входят все контроллеры домена данного сайта, и автоматически создает соединения для реализации этой схемы. Копирование продолжается по кругу, до тех пор пока не дойдет до исходного DC.

При существующем обилии версий Windows на рынке программных продуктов неплохо было бы разобраться в том, как эти версии работают совместно в рамках домена. Каждая версия Windows имеет свое место в модели домена, и для полноценной работы они должны быть соответствующим образом организованы. На рис. 6.2 показано расположение различных версий Windows в домене.

Как мы уже говорили, центром Windows-домена является Windows 2000 Server (Advanced Server или Datacenter). Windows 2000 Server является устройством, на котором находится служба Active Directory. Так как система Windows XP Professional не имеет специальной версии для работы в качестве сервера, то лучше воспользоваться системой Windows 2000, чем пытаться заставить Windows XP Professional выполнять эту роль. К тому же, это будут устройства, работающие как контроллеры доменов.

Как вы уже догадались, Windows XP Professional обслуживает клиентские компьютеры в Windows-домене. Windows XP Professional можно интегрировать с Windows 2000 и создавать интерфейс для конечных пользователей.

Хотя Windows 2000 больше подходит для работы на сервере, в некоторых случаях можно использовать и Windows XP Professional. Однако это будут особые случаи, в которых задействованы соединения устройств одного уровня (ранга), например при использовании Internet Connection Sharing (см. в гл. 5) или Internet Information Server (см. в гл. 7). Однако в рамках этого обсуждения Windows XP Professional будет выступать в роли клиентского компьютера.

Следующей итерацией Windows-серверов является Windows Server 2003. Она будет использоваться вместо (или вместе) Windows 2000 Server и является новой средой, связывающей информацию, людей, службы и устройства в представлении компании Microsoft. Ее цель состоит в наиболее полной связи приложений посредством использования XML (Extensible Markup Language) веб-сервисов.

Примечание. Более подробную информацию о .NET можно найти на сайте http://www.Microsoft.com/net.

Теперь, когда вы знаете о том, как работают домены, и как отдельные операционные системы функционируют в рамках домена, давайте поговорим об установке связи с доменом. Также обсудим ряд инструментов и методик, которые помогут при решении проблем, связанных с настройкой связи с доменом.

В предыдущей лекции рассказывалось о том, как подключаться к сетям, работающим в операционной системе Windows XP Professional, в частности, о соединениях устройств одного ранга, то есть к образованию рабочих групп. Эти виды соединений хорошо подходят для небольших сетей. Однако в крупных организациях мы переходим от рабочих групп к доменам. Вы можете вручную сконфигурировать своего Windows XP Professional-клиента для его соединения с Windows-доменом.

Проще всего настроить связь с доменом можно посредством одного из многочисленных мастеров, предоставляемых системой Windows XP Professional. В данном случае вы воспользуетесь программой Network Identification Wizard (Мастер сетевой идентификации). Эта мастер-программа предоставляет средства соединения Windows XP Professional-клиентов с Windows NT- или Windows 2000-доменами.

Примечание. Программа Network Identification Wizard также используется для установки связи Windows XP Professional-клиента с рабочей группой.

Для запуска мастера проделайте следующие шаги.

1. Щелкните правой кнопкой мыши на My Computer (Мой компютер) и выберите Properties (Свойства).
2. На вкладке Computer Name (Имя компьютера) щелкните на Network ID и затем на Next (Далее).
3. Выберите This Computer is part of a business network and I use it to connect to other computers at work (Компьютер входит в корпоративную сеть, и во время работы я использую его для соединения с другими компьютерами) и затем щелкните на Next.
4. Мастер даст указание собрать некоторую информацию, необходимую для завершения работы. Эта информация включает в себя следующее:
   • имя пользователя;
   • пароль;
   • домен учетной записи пользователя;
   • имя компьютера;
   • домен компьютера.

На рис. 6.3 показано окно мастера сетевой идентификации с полями для ввода имени пользователя, пароля и домена.

Вы можете подключиться к домену вручную, если не хотите использовать Network Identification Wizard или по другой причине. Проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления) и затем щелкните на Performance and Maintenance (Производительность и обслуживание).
2. Выберите System (Система).
3. В свойствах системы выберите вкладку Computer Name (Имя компьютера) (см. рис. 6.4).
   
   
   
   Рис. 6.4.  Соединение с доменом вручную

4. Щелкните на Change (Замена).
5. Если учетная запись компьютера уже создана и находится на контроллере домена, введите свое имя пользователя, пароль и имя домена. Щелкните на Next (Далее) и переходите к п. 7.
6. Если учетная запись компьютера еще не создана на контроллере домена, то проделайте следующее.
   • Введите имя пользователя, пароль и имя домена и щелкните на Next (Далее).
   • После подсказки введите имя пользователя и пароль учетной записи администратора и затем щелкните на ОК.
7. Щелкните на ОК трижды.
8. Появится подсказка перезагрузить компьютер. Нажмите Yes (Да).

После выполнения этих шагов будет неплохо подтвердить свое членство в домене. Это выполняется посредством перезагрузки компьютера с последующим нажатием CTRL-ALT-DEL. Появится диалоговое окно входа в систему. Справа от окошка регистрации находится стрелка. Щелкните на ней, чтобы просмотреть список доменов. В нем должен находиться домен, членом которого вы только что стали, наряду с другими доверенными доменами. Учетную запись домена можно протестировать с помощью установки связи с вашим или другим доменом.

Примечание. Доверенный домен - это такой домен, который поддерживает взаимную связь с другим доменом. Допустим, вы зарегистрировались на домене corporate.jeep.com. При наличии доверительных отношений (и необходимого разрешения) вы имеете возможность получать доступ к информации компании, производящей автомобильные рули - http://www.steeringwheelworld.com.

Если вы входите в домен, используя свои удостоверения личности на контроллере домена, то ваша учетная запись работает. Если вы получаете сообщение о том, что вход выполнен с использованием удостоверения личности, хранящегося в кэше, то контакт с контроллером домена невозможен во время процесса аутентификации.

Ответьте на эти вопросы в случае неудачи процесса подтверждения.

• Подключен ли сетевой адаптер и кабели?
• Настроен ли протокол транспортировки на разрешение доступа к контроллеру домена?
• Работает ли контроллер домена?

Система Windows XP Professional включает в себя ряд инструментов, полезных при решении проблем, возникающих при установке связи с доменом.

В Windows XP Professional имеется инструмент, с помощью которого вы можете проверить свое логическое соединение с контроллером домена. NLTEST.EXE является инструментом командной строки, который входит в комплект инструментов Windows Support Tools из диска Windows XP Professional. Этот инструмент можно использовать в NT- или 2000-сетях.

Примечание. Инструмент NLTEST.EXE находится в файле support.cab в папке tools\support на диске Windows XP Professional.

Воспользовавшись инструментом NLTEST.EXE, вы выясните, может ли контроллер домена аутентифицировать клиента. NLTEST.EXE позволяет определить, какой именно домен выполнял аутентификацию, и может сгенерировать список доверенных доменов.

Безопасный канал (secure channel) - это логическое соединение между Windows XP Professional-клиентом и контроллером домена. Безопасный канал используется для аутентификации учетных записей компьютеров, работающих в системах Windows XP Professional, Windows 2000, Windows .NET и Windows NT. Кроме того, безопасный канал используется, если удаленный пользователь подключается к сетевым ресурсам. Инструмент NLTEST.EXE можно использовать для тестирования безопасных каналов и их перенастройки в случае необходимости.

Допустим, имеется домен Windows 2000 (с названием Domain). Имя вашей учетной записи User1 на Windows XP Professional-компьютере с именем Client1. Синтаксически эта команда записывается так:

Nltest [/OPTIONS]

Для идентификации контроллеров домена из домена domain1.com введите следующее:

Nltest /dclist:domain1

Вы сможете определить, будет ли контроллер домена (который можно найти с помощью NLTEST.EXE, если вы не знаете его имени) идентифицировать пользователя. Для этого в окне команд введите следующее:

Nltest /whowill:domain1 User1

Вы можете проверить, имеет ли Client1 безопасное соединение с контроллером домена, введя команду:

Nltest / server:Client1 / sc_query:domain1

Для получения полного списка команд NLTEST.EXE введите в строку команд следующее:

Nltest /?

Если вы пытаетесь установить связь между Windows XP Professional-клиентом и Windows 2000 или Windows NT-доменом, то можете получить следующее сообщение:

Unable to connect to the domain controller for this domain (Невозможно установить связь с контроллером для этого домена).

Either the user name or password entered is incorrect (Введенное имя пользователя или пароль неверны).

При подключении Windows XP Professional-клиента к Windows NT или 2000 домену имя учетной записи должно быть частью имени группы администраторов домена. Кроме того, у пользователя должно быть разрешение на добавление клиентов к домену.

Если вы пытаетесь установить связь между Windows XP Professional-клиентом и Windows 2000 или Windows NT-доменом, то вы можете получить следующее сообщение:

The specified domain does not exist or could not be contacted. (Указанный домен не существует или контакт с ним невозможен)

В таком случае выполните следующие действия.

1. Первым делом следует проверить правильность имен, введенных в поля Workgroup (Рабочая группа) и Domain (Домен) вкладки Computer Name (Имя компьютера) в диалоговом окне свойств.
2. Затем надо проверить протокол TCP/IP, который мог быть неправильно сконфигурирован. Для проверки конфигурации TCP/IP войдите в систему под административной учетной записью и проделайте следующее.
   • Воспользуйтесь программой PING для проверки контроллера домена, употребив его NetBIOS-имя или полное имя DNS- домена. Если это не поможет, то сделайте то же самое, но применив IP-адрес контроллера домена.

     Примечание. Если вы не знакомы с командой PING, то мы поговорим о ней более подробно в гл. 8.

   • Если ping-попытки не принесли результата, а домен использует DNS или WINS, то еще раз проверьте IP-адреса этих серверов. Попробуйте применить команду PING к контроллеру домена еще раз.
   • Если вам опять не повезло, и Windows XP Professional-клиент расположен в одной подсети с контроллером домена, то проверьте IP-адрес клиента, чтобы убедиться в его правильности.
   • Если Windows XP Professional-клиент находится в другой подсети, то убедитесь, что адрес шлюза по умолчанию правилен.
3. Если контроллер домена работает в соответствии с политикой протокола IPSec, установленного на сервере безопасности, то IP-пакеты не отсылаются клиентам, если в них также не задействован протокол IPSec. Самым лучшим будет обратиться к администратору домена и поговорить с ним о пересмотре IPSec-политики. (Более полную информацию о IPSec можно найти в лекции 9.)
4. Если домен использует маршрутизаторы, работающие в соответствии с протоколом RIP (Routing Information Protocol), то установите поддержку RIP.

У вас могут возникнуть проблемы, если вы попытаетесь дать компьютеру новое имя, похожее на имя контроллера домена. В этом случае вы получите следующее сообщение:

The new computer name may not be the same as the Workgroup (Domain) name. (Новое имя компьютера не должно быть таким, как имя рабочей группы [домена])

Даже если имя компьютера только похоже на имя контроллера домена, вы все равно можете получить такое сообщение. Например, если имя домена crazyearlsstereoshop.com, а имя клиента - crazyearlsstereomanager, то вы получите вышеназванное сообщение. Почему? Если NetBIOS работает на всех клиентах и серверах, то первые 15 знаков в имени Windows XP Professional-клиента (в данном случае crazyearlsstere) не могут быть такими же, как у контроллера домена, сервера, клиента и любого другого устройства.

Если вы не можете зарегистрироваться в домене, то, возможно, увидите следующее сообщение:

The system cannot log you on due to the following error: There is a time difference between the Client and Server. Please try again or consult your system administrator.

(Система не может зарегистрировать вас по следующей причине:

существует разница во времени между клиентом и сервером. Пожалуйста, попробуйте еще раз или проконсультируйтесь у администратора системы.)

Эта ошибка возникает из-за того, что протокол безопасности Kerberos проверяет отметку времени на запросе об аутентификации клиента. Если разница во времени между клиентом и сервером составляет больше 5 минут, то аутентификация отменяется. Это можно исправить путем сравнения с коллегой, зарегистрированном на этом домене, и убедившись в том, что часы вашего компьютера показывают правильное время. Также хорошо бы проверить свою временную зону и убедиться, что она настроена соответствующим образом. Дело в том, что для полного совпадения Kerberos переводит все временные метки во время по Гринвичу.

Другие ошибки регистрации, которые мешают клиентам подключиться к домену, включают в себя следующее:

• некорректный ввод имени пользователя;
• некорректный ввод пароля;
• включена функция CAPS LOCK во время ввода имени пользователя и пароля;
• протоколы клиента и контроллера домена не совпадают.

В случае проблемы с протоколами контроллера домена и клиента обратите внимание на следующие детали, которые могут вызывать несовместимость:

• неверно заданный IP-адрес или маска подсети;
• применение протокола DHCP при отсутствии DHCP-сервера;
• некорректные адреса DNS- и WINS-серверов.

После того как вы стали членом домена, вы можете пользоваться доступными вам ресурсами. Иначе для чего все это было нужно? Теперь же вы стали частью структуры безопасности домена и будете иметь доступ к данным и другим компьютерам этого домена.

Помимо решения организационных задач домены позволяют централизованно использовать функции обеспечения безопасности. Информация об учетных записях домена хранится в службе каталогов Active Directory (AD), которая размещена на Windows NT, 2000 или .NET сервере. После регистрации в домене Windows XP Professional-клиент получает информацию о настройках и разрешениях AD. Учетные записи доменов используются в больших сетях, где ведение учетных записей в индивидуальном компьютере становится непрактичным. Например, учетные записи доменов могут использовать блуждающие профили пользователей (roaming user profiles). Эти профили позволяют пользователям переходить с компьютера на компьютер со своими разрешениями, настройками и даже разметкой рабочего стола.

Примечание. В качестве меры обеспечения безопасности Windows XP Professional защищает с помощью пароля файлы, находящиеся в папке My Documents (Мои документы), от прочтения их теми, кто может работать на этом клиентском компьютере.

Network Neighborhood/My Network Places

Каждый, кто прошел через несколько обновлений системы Windows, наверное, заметил привычку Microsoft брать существующее приложение или инструмент и давать ему новый значок и новое имя. Так, Microsoft переделывает уже знакомое название Network Neighborhood (Сетевое окружение) в новое My Network Places (Сетевое окружение). My Network Places - это те места, куда вы заходите во время работы в сети.

Для просмотра соединений своей сети просто откройте значок My Network Places (Сетевое окружение).

Примечание. My Network Places проще всего найти, щелкнув на кнопке Start (Пуск). Однако можно расположить этот значок у себя на рабочем столе. Это делается с помощью нажатия на Start (Пуск), щелчка правой кнопкой мыши на My Network Places и выбора Show on Desktop (Отображать на рабочем столе).

Посмотрите на рис. 6.5. На нем показаны компьютеры этой сети с соответствующими ресурсами. Эту картинку можно получить, выбрав View (Просмотр) в окне My Network Places и затем выбрав Computer (Компютер) в Arrange Icons by (Упорядочить значки). Вы видите, что тут показаны два компьютера - Coruscant и Endor. В окне показаны компьютеры и папки, которыми они могут обмениваться.

Сети состоят не только из компьютеров и папок (хотя и без них не обойдешься). Помимо этих устройств существуют и другие ресурсы, которыми можно совместно пользоваться. Например, My Network Places (Сетевое окружение) позволяет использовать такие сетевые ресурсы, как принтеры (рис. 6.6).

В данном случае принтер Brother соединен с компьютером Coruscant. Однако принтер не обязательно должен быть соединен с компьютером. Так же легко сетевой принтер можно соединить со своим собственным сервером печати.

Так как Windows предоставляет графический способ взаимодействия вашего компьютера с сетью, то легко забыть о том, что все компьютеры и сетевые взаимодействия контролируются посредством интерфейса командной строки. Графический интерфейс (GUI), конечно, сильно облегчает работу на компьютере, но иногда все же бывает полезно ввести простую команду и заставить Windows выполнить то, что вам надо.

При работе в сети Соглашение о назначении имен (Universal Naming Convention, UNC) является способом указать файл общего пользования без необходимости знать, на каком устройстве он хранится. UNC - это не уникальная особенность системы Windows. Им можно пользоваться в любых операционных системах: в Novell NetWare, Linux и др.

В операционных системах Windows UNC-формат имени выглядит следующим образом:

\\servername\sharename\filename

UNC расшифровывается так:

• Servername - имя компьютера, на котором хранится файл.
• Sharename - имя, идентифицирующее ресурс на сервере.
• Filename - имя файла.

Например, рассмотрим UNC:

\\ENDOR\webfiles\html\osborne.html

Этот UNC указывает сервер (ENDOR), на котором находится общедоступный файл (Osborne.html), хранящийся наряду с другими HTML файлами в папке, отведенной под веб-файлы. HTML-папка является общим ресурсом, поэтому имя, идентифицирующее ресурс на сервере, и данные о пути могут быть пропущены.

\\ENDOR\HTML

приведет вас к папке общего доступа, а

\\ENDOR\HTML\osborne.html

доставит прямо к нужному файлу.

Использовать ли UNC в Windows XP Professional - это вопрос личного предпочтения. Возможно, вам больше нравится щелкать на значках, чтобы добраться в нужное место. С другой стороны, вы можете обнаружить, что постоянно используете данный ресурс, поэтому проще вводить его UNC.

Windows XP Professional позволяет просматривать UNC различных сетевых ресурсов. Если вам нужен UNC конкретного объекта, то следует убедиться в том, что способность видеть UNC включена. Это можно выполнить, проделав следующее.

1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на Appearance and Themes (Оформление и темы) и выберите Folder Options (Свойства папки).
2. Щелкните на вкладке View (Вид) (рис. 6.7).
   
   
   
   Рис. 6.7.  Детали UNC в Windows XP Professional

3. В области File and Folders (Файлы и папки) убедитесь в том, что включены флажки Display full path in the address bar (Отображать полный путь в строке адреса) или Display full address in the title bar (Отображать полный адрес в строке заголовка).

Независимо от того, включена ли опция для показа информации об UNC, можно использовать UNC для перехода в определенную сетевую папку. Например, на рис. 6.8 показан результат простого введения UNC нужного сетевого ресурса: Windows XP Professional переходит непосредственно в эту папку. UNC является полезным инструментом, потому что вам не надо щелкать на все значки, если вы знаете путь к нужной папке.

UNC можно использовать в ряде приложений для перехода к нужному сетевому ресурсу или файлу. Например, в веб-браузере можно просто ввести соответствующий UNC в адресную строку и перейти к этой папке или файлу.

Основой работоспособности Windows-домена является инструмент Active Directory. Active Directory (AD) - это база данных всего домена. В ней содержится информация о различных атрибутах объектов системы, включая пользователей, разрешения, настройки компьютеров, периферийных устройств и т. д.

Как и в любой базе данных, в AD содержатся информационные поля. Если сравнить AD с базой данных магазина, продающего запчасти для автомобилей, то отличие состоит в том, что в AD содержатся не названия деталей, а информация (имена и описания) об объектах домена.

Active Directory имеет логическую иерархическую структуру, что позволяет сортировать содержимое от самых больших элементов до самых маленьких. Кроме того, AD является расширяемой базой данных, то есть ее можно модифицировать, добавляя новые поля для размещения информации.

Интересно выяснить, какую именно выгоду получают пользователи системы Windows XP Professional, помимо надежности в сетевой работе, которую предоставляет AD. Почему они беспокоятся по поводу AD, доменов и всего прочего? Один из ответов заключается в IntelliMirror службы каталогов Active Directory.

IntelliMirror - это не отдельный продукт или приложение, а, скорее, набор свойств, предоставляемых Windows 2000-серверами. IntelliMirror - это демонстрация того, насколько AD полезна для Windows XP Professional-клиентов. Например, IntelliMirror предоставляет инструменты, которые облегчают управление, обеспечивая пользователям доступность их настроек, документов и приложений, независимо от компьютера, с которого они загружаются в рамках домена. IntelliMirror достигает этого тремя способами.

При входе пользователя система определяет, что нужное пользователю приложение недоступно на текущем компьютере-клиенте, и начинает инсталляцию программных пакетов. Система знает, какие приложения инсталлировать, так как при регистрации пользователя проверяется заложенная в компьютер групповая политика инсталляции программ. Если политика требует приложение, которого нет, то оно загружается на клиентский компьютер.

Блуждающий профиль в операционной системе Windows NT является инструментом, позволяющим индивидуальным настройкам компьютера переходить с компьютера на компьютер вслед за пользователем. В рамках AD эту функцию берет на себя групповая политика. Эта политика диктует, в каком виде рабочий стол, элементы меню и другие прикладные свойства должны предоставляться пользователю, независимо от места его регистрации. Пользователям это нравится, так как они всегда попадают в знакомое окружение. Администраторам это тоже нравится, так как они могут блокировать вход пользователей в отдельные части операционной системы.

Хорошо иметь под рукой настройки и приложения, перескакивая с компьютера на компьютер. Однако если у вас нет доступа к электронной таблице, над которой вы работали, или к документу Word, находящемуся на другом компьютере, то от правильной темы рабочего стола и значков мало прока. AD позволяет создавать на компакт-диске специальные папки, в которые копируется сетевая рабочая информация.

Во время работы над электронной таблицей платежной ведомости за четвертый квартал, например, в папке My Documents (Мои документы), ее можно скопировать в безопасное сетевое место расположения. Когда вы прерываете связь с сетью на одном компьютере и заходите в нее с другой машины, то система отслеживает специальную папку для гарантии наличия самых свежих файлов и предоставляет ваши документы.

Структура Active Directory имеет важное значение. Ранее в этом курсе мы говорили о таких объектах, как организационные единицы (Organizational Units, OU), домены, леса и деревья. Они представляют собой строительные блоки Active Directory. Прочитайте следующее, чтобы освежить память (рис. 6.9).

• OU - это группа, состоящая из людей, компьютеров, файлов, принтеров и других ресурсов, которая создается для решения организационных и управленческих задач.
• Домены - это коллекции OU.
• Деревья - это коллекции доменов.
• Леса - это коллекции деревьев.

В среде операционных систем Windows 2000 или Windows .NET организационные единицы (OU) являются основными элементами. Для сравнения - в системе NT основным элементом являлся домен. Так как организационные единицы обеспечивают раздробленную организацию ресурсов, то такая сетевая иерархия делает контроль за сетью и ее атрибутами более четким. Например, если вы хотите присвоить специальные атрибуты двум пользователям в удаленном офисе, то их можно определить как организационную единицу. В системе NT вам пришлось бы присваивать эти признаки всему домену.

Другой важной составляющей службы каталога является его схема, которая представляет собой внутреннюю структуру базы данных. Схема (являющаяся частью файла NTDS.dit) определяет взаимосвязи между классами и объектами. Например, используя в качестве примера магазин автомобильных запчастей, у вас может быть класс "Колесо", имеющий атрибут "Количество спиц". Это указывает на то, что объект класса колес должен содержать информацию о количестве спиц в каждом колесе. Классы могут происходить из других классов, образовывая иерархию классов. На рис. 6.10 показана иерархия классов и подклассов на примере базы данных из магазина автозапчастей.

Глобальный каталог является отдельной базой данных объектов Active Directory. В нем содержатся все объекты основной базы данных и часть атрибутов этих объектов. Глобальный каталог позволяет пользователям быстро находить объекты в лесу. Он особенно полезен, если у вас много доменов и деревья доменов разбросаны по сети большого размера.

Примечание. Глобальный каталог можно представить себе в виде указателя ресурсов домена.

Глобальный каталог по умолчанию создается на первом контроллере домена в дереве. Позже при желании можно использовать оснастку MMC Active Directory Sites (Active Directory - сайты), чтобы вручную выбрать другие домены для глобального каталога.

Во время развертывания сети, работающей под управлением Windows 2000 или .NET, убедитесь в правильности установки глобального каталога. Каждый Windows XP Professional-клиент должен иметь легкий доступ к глобальному каталогу для оптимального поиска.

В системе Windows NT было две группы пользователей: глобальная и локальная. Эти группы создавались для присваивания атрибутов безопасности и содержали только объекты пользователей. Active Directory добавляет третью группу - универсальную. Между группами существуют следующие различия.

• Локальные группы. Используются только в рамках своего локального домена. Они получают доступ к ресурсам домена, и администраторы могут видеть их только внутри домена.
• Глобальные группы. Получают доступ к доменам, с которыми установлены доверительные отношения. Вы всегда можете их видеть, находясь внутри определенного дерева. Вы можете вкладывать глобальные группы в другие глобальные группы.
• Универсальные группы. Их можно видеть во всех доменах данного леса. Они содержат в себе глобальные группы. Например, администратор может создать две отдельные глобальные группы, а затем объединить их в одну универсальную группу. Теперь администратору приходится иметь дело с одной универсальной группой, а не с двумя (или больше) глобальными группами.

По таблице 6.1 легко найти различия между локальными, глобальными и универсальными группами.

Несмотря на то что поддержка и управление службой Active Directory находится на Windows 2000 или .NET-серверах, ей можно управлять и с удаленного Windows XP Professional-клиента. Такое управление реализуется посредством средств администрирования Windows .NET - набора инструментов, который можно добавить к консоли MMC Windows XP Professional-клиента.

Примечание. Важно помнить, что Windows XP Professional-клиент, которым вы пользуетесь, должен быть частью Windows 2000 домена. "Удаленно" не означает, что управление доменом осуществляется из интернета.

Как мы упоминали ранее, MMC является полезным инструментом, так как позволяет создавать модифицированное под нужды клиента окружение для сетевой работы и управления компьютером. Это реализуется с помощью оснасток. Вы можете добавлять их столько, сколько нужно для работы.

Набор инструментов Windows .NET Server Administration Tools Pack (adminpak.msi) позволяет администратору удаленно управлять серверами Windows 2000 с Windows XP Professional-компьютера.

Для инсталляции Windows .NET Server Administration Tools Pack на локальном компьютере скачайте его с сайта http://www.microsoft.com/downloads/release.asp?ReleaseID=34032&area=search&ordinal=1.

Файл adminpak.msi включен в инсталляционный диск Windows 2000. Однако версия для Windows XP на установочном диске Windows XP Professional отсутствует, хотя adminpak.msi включен в установочный диск .NET.

Примечание. На момент написания данного курса существовала третья бета-версия Windows .NET Server Administration Tools Pack. Размер файла составляет 10,4 Mб, что следует иметь в виду при загрузке файла по медленному соединению.

Windows .NET Server Administration Tools Pack предоставляет набор часто используемых инструментов для удаленного администрирования серверов и служб. Инструменты администрирования поставляются как оснастки для MMC. Их можно использовать для любой операционной системы Windows .NET Server и Windows XP Professional.

Примечание. Набор инструментов для администрирования не работает в среде Windows XP Home Edition или с 64-разрядными версиями.

Файл adminpak.msi включает в себя следующие приложения:

• Active Directory Domains and Trusts (Active Directory - домены и доверие);
• Active Directory Sites and Services (Active Directory - сайты и службы);
• Active Directory Users and Computers (Active Directory - пользователи и компьютеры);
• Certification Authority (Центр сертификации);
• Cluster Administrator (Администратор кластера);
• Component Services (Службы компонентов);
• Computer Management (Управление компьютером);
• Connection Manager Administraion Kit (Пакет администрирования диспетчера подключений);
• Data Sources (ODBS) (Источники данных);
• DHCP;
• Distributed File System (Распределенная файловая система);
• DNS;
• Event Viewer (Просмотр событий);
• Local Security Policy (Локальная политика безопасности);
• .NET Framework Configuration (Конфигурация .NET Framework);
• .NET Wizards (Мастера .NET);
• Network Load Balancing Manager (Диспетчер балансировки сетевой нагрузки);
• Performance (Быстродействие);
• Remote Desktops (Удаленные рабочие столы);
• Remote Storage (Внешнее хранилище);
• Routing and Remote Access (Маршрутизация и удаленный доступ);
• Server Extensions Administrator (Администратор расширений сервера);
• Services (Службы);
• Tеlephony (Телефония);
• Terminal Server Licensing (Лицензирование сервера терминалов);
• Terminal Services Manager (Диспетчер служб терминалов);
• WINS.

На рис. 6.11 приведен пример приложения Network Load Balancing Manager (Диспетчер балансировки сетевой нагрузки). Мы рассмотрим специфические функции каждого инструмента Windows .NET Administration Tools в приложении.

Домены являются важной составляющей работы сети. Они представляют собой не только механизмы для работы в больших сетях, но также важны для функционирования службы Active Directory и для обеспечения границ безопасности. Помимо использования на клиентских машинах, система Windows XP Profеssional также применяется для управления ресурсами домена.

Несмотря на то что система Windows XP Professional гордится своими новыми инструментами для работы в интернете, один из самых мощных инструментов существует со времен появления Windows NT. Информационные службы интернета (Internet Information Services, IIS) предоставляют интегрированное обслуживание протокола транспортировки гипертекста (Hypertext Transport Protocol, HTTP ) и протокола передачи файлов (File Transfer Protocol, FTP ). IIS также включают в себя расширения и приложения других разработчиков, которые выводят его возможности за границы обычных интернет-сервисов. Сюда входят электронная почта, система безопасности и инструменты управления сайтами.

В этой лекции мы рассмотрим главный инструмент веб-сервиса компании Microsoft и его применение в среде Windows XP Professional. Сначала мы поговорим о том, что собой представляет IIS, и как им пользоваться. Затем рассмотрим процесс инсталляции в системе Windows XP Professional. В конце лекции мы дадим несколько полезных советов по использованию IIS.

IIS представляют собой группу интернет-серверов, в том числе веб-сервер и FTP-сервер. IIS включает приложения для построения и управления веб-сайтами, машину поиска и поддержку разработчиков веб-приложений, имеющих доступ к базам данных.

Компания Microsoft разработала IIS для построения веб-сервисов с использованием архитектуры учетных записей пользователей, предоставляемой доменом или службой Active Directory. Это позволяет использовать существующие базы данных пользователей, вместо того чтобы создавать новые. Преимущества этой особенности очевидны, если мы представим себе нужды крупной организации с огромными базами пользовательских данных. Кроме того, возможность тесной интеграции нового сервиса с доменом делает применение IIS еще более выгодным.

Другим хорошим качеством IIS является то, что эти службы интегрируются в операционные системы Windows XP Professional и Windows 2000 вместе с NTFS. Они работают вместе со стандартными инструментами сервера, такими как Event Viewer (Просмотр событий), Performance Monitor (Системный монитор), SNMP и System Management Server (Сервер управления системой), позволяя быстрее справляться с затруднениями и улучшая управление.

IIS также поддерживает интерфейс программирования приложений интернет-сервера (Internet Server Application Programming Interface, ISAPI). С помощью ISAPI можно создавать программы для работы с данными, которые приходят на сервер и возвращаются клиенту. ISAPI используется для создания соединений с серверами баз данных посредством службы ODBC (Open Database Connectivity). В этом разделе рассматривается версия IIS 5.1.

IIS 5.1 является одной из версий служб интернета компании Microsoft, предоставляющей много инструментов для облегчения управления и веб-разработки.

Как упоминалось ранее, многие улучшения IIS касаются внутренней работы Windows XP Professional, обеспечивая прочную базу для функциональности и надежности системы. Улучшенная система безопасности и администрирования доступны в любой момент. Усовершенствования IIS 5.1 имеют отношение к четырем конкретным областям: надежности, безопасности, управлению и приложениям.

По сравнению с прежними версиями IIS 5.1 демонстрирует повышенную надежность и стабильность. Например, при сбое перезапуск IIS стал более быстрым и легким. В ранних версиях при возникновении проблемы и остановке IIS администратору приходилось перезапускать четыре различных службы. IIS 5.1 перезапускается щелчком правой кнопки мыши на элементе консоли управления MMC или из командной строки.

HTTР (протокол, отвечающий за обмен данными в интернете) также улучшил свои качества в IIS 5.1. Администраторы веб-сайтов могут генерировать свои собственные модифицированные сообщения об ошибках. IIS включает в себя инструмент сжатия HTTP, который используется для упаковки статических и динамических веб-страниц с целью их ускоренной пересылки. Динамические страницы должны сжиматься отдельно, а статические страницы хранятся в кэше, что ускоряет передачу для будущих запросов данных.

Наконец, в IIS применяется защита приложений, которая позволяет приложениям работать отдельно от остальных IIS-процессов. В случае падения приложения вместе с ним не упадет весь IIS-сервер.

В IIS 5.1 улучшен процесс регистрации. У администраторов появилось больше возможностей отслеживать то, что происходит с их веб-сервисами. IIS могут не только генерировать регистрацию в почасовом режиме, но и позволяют обрабатывать зарегистрированные данные. К таким данным относятся пользовательское время и время ядра, дефекты страниц и прерванные процессы. Такой способ регистрации позволяет администраторам определять, где используются ресурсы системы, как можно изменить эти ресурсы, и что может этому препятствовать.

Если, просмотрев регистрационный журнал, администратор решит предпринять какие-либо действия, то он может воспользоваться инструментом, который называется дросселированием. Для управления ресурсами веб-серверов существует два вида дросселирования.

• Дросселирование процесса. Позволяет управлять использованием процессора с помощью приложений, находящихся вне процесса. Такие приложения работают в отделенном от центральных IIS-процессов участке памяти. Эта особенность повышает надежность работы IIS. Если приложение, находящееся вне процесса, становится нестабильным, то это не влияет на основную работу сервера.
• Дросселирование полосы пропускания на каждом веб-сайте. Используется для ограничения полосы пропускания, если веб-сервер содержит другие сервисы типа электронной почты или FTP. Этот вид дросселирования позволяет администраторам регулировать величину полосы пропускания сервера, используемую каждым сайтом.

WebDAV. WWW является замечательным местом для массовой публикации материалов. Однако насколько удобно просматривать информацию, настолько же неудобно совместно работать над проектом. Компания Microsoft предлагает решать эту проблему с помощью продукта WebDAV (Web Distributed Authoring and Versioning).

WebDAV представляет собой расширение HTTP и позволяет авторам работать с файлами и каталогами, находящимися на сервере, с удаленных компьютеров посредством HTTP-соединения. Так как IIS интегрируется с Windows XP Professional, WebDAV получает дополнительную функциональность благодаря обеспечению безопасности и доступа к файлам системы Windows.

WebDAV позволяет удаленным пользователям перемещать, искать, редактировать или удалять файлы и каталоги с сервера. MMC позволяет легко создавать WebDAV-каталог. После того как каталог создан, авторизованные пользователи могут публиковать документы на сервере и вносить изменения в файлы. На рис. 7.1 показано, как происходит обмен документами с помощью WebDAV.

Примечание. Для того чтобы вносить изменения в файлы с помощью WebDAV, пользователи должны пройти авторизацию, то есть получить специальное разрешение на внесение изменений.

Клиенты, использующие WebDAV, могут получать доступ к каталогам посредством Windows XP Professional, Internet Explorer 6.0, Microsoft Office XP или любого другого клиентского приложения, поддерживающего протокол WebDAV. Установить соединение с WebDAV достаточно просто. На Windows XP Professional клиенте откройте My Network Places (Сетевое окружение) и воспользуйтесь мастером добавления в сетевое окружение (Add Network Place Wizard) (рис. 7.2).

После запуска мастера проделайте следующие шаги.

1. В окне мастера следуйте инструкциям Windows XP Professional по созданию ярлыка веб-сайта, на котором находится WebDAV-сайт.
2. После создания ярлыка его значок появится в папке My Network Places (Сетевое окружение).
3. В поле Other Places (Другие места) щелкните на My Documents (Мои документы).
4. Выберите файл или папку, которые нужно скопировать на веб-сервер.
   
   
   
   Рис. 7.2.  Для установки соединения с WebDAV воспользуйтесь мастером добавления в сетевое окружение операционной системы Windows XP Professional

5. В поле File and Folder Tasks (Задачи для файлов и папок) щелкните на Copy this file (Скопировать файл) или Copy this folder (Скопировать папку).
6. В диалоговом окне Copy Items (Копирование элементов) щелкните на папке My Network Places (Сетевое окружение) и затем щелкните на папке с ярлыком.
7. Щелкните на Copy (Копировать).

Поддержка WebDAV со стороны системы Windows XP Professional хороша еще и тем, что любое приложение, запущенное в нем, получает возможность работать с протоколом WebDAV.

При появлении каждой новой служебной программы улучшается и обеспечение безопасности. Наиболее интересными инструментами системы безопасности IIS являются Fortezza, Transport Layer Security, Advanced Digest Authentication и протокол аутентификации Kerberos v.5. В IIS содержатся и такие старые проверенные инструменты, как Secure Sockets Layer (SSL) и сертификаты, ставшие в новой версии IIS еще надежнее. Давайте поближе познакомимся с системой обеспечения безопасности IIS 5.1.

• Интегрированная Windows-аутентификация. Эта мера безопасности существовала еще в Windows NT, где она называлась Challenge and Response (Запрос и подтверждение). В IIS 5.1 эта функция получила не только новое название, но и возможность поддержки протокола Kerberos. Одним из основных свойств Kerberos является способность передавать данные для аутентификации на Windows и не-Windows компьютеры, которые поддерживают Kerberos. Так как обязанности по аутентификации можно делегировать другому компьютеру, стало гораздо легче изменять размеры веб-сайта с несколькими серверами. Теперь устанавливать одни серверы в качестве веб-серверов, а другие - в качестве серверов баз данных стало легче и безопаснее.
• Certificate Server 2.0. Мастер сертификатов веб-сервера (Web Server Certificate Wizard) упрощает процесс настройки сертификата безопасности и позволяет использовать для связи протокол защищенных сокетов (SSL). Другой мастер позволяет конфигурировать список доверия сертификатов (Certificate Trust List, CTL). Мастер разрешений IIS (IIS Permissions Wizard) присваивает веб- и NTFS-разрешения веб-сайтам, виртуальным каталогам и файлам сервера.
• Server-Gated Cryptography (SGC) и Fortezza. Эти меры обеспечения безопасности требуют специального сертификата и позволяют финансовым учреждениям использовать 128-битное шифрование. Fortezza является Федеральным правительственным стандартом сообщений.

Примечание. Название Fortezza является зарегистрированным товарным знаком Национального агентства по безопасности

• Secure Socket Layers (SSL). Этот протокол защищенных сокетов чаще всего применяется веб-браузерами и серверами для создания безопасных соединений. В IIS 5.1 используется самая последняя версия этого протокола - SSL 3.0.
• Transport Layer Security (TLS). Этот протокол основан на SSL и предназначен для криптографической аутентификации пользователя. Он дает возможность программистам разрабатывать независимый TLS-код, который может обмениваться зашифрованной информацией с другим процессом, не требуя от программиста знания кода этого процесса. Предполагается, что TLS станет основой для новых методов кодирования.
• Advanced Digest Authentication. Аутентификационные данные проходят через односторонний процесс, называемый хешированием. Результатом этого процесса является хэш, или профиль сообщения. Причем, этот профиль расшифровать нельзя, а следовательно, нельзя прочитать исходный текст. Сервер добавляет дополнительную информацию к паролю перед хэшированием, чтобы никто не мог перехватить и использовать этот пароль.

Примечание. Advanced Digest Authentication поддерживается только на доменах с Windows 2000- или .NET-контроллерами и используется только с браузером Internet Explorer v.5 и выше.

С IIS 5.1 управление стало более простым. Во-первых, IIS легко инсталлируются (более подробно см. раздел "Инсталляция IIS"). Кроме того, IIS 5.1 включают в себя мастера системы безопасности, учет времени протекания процессов, удаленное администрирование и генерирование сообщений об ошибках пользователей.

Как и многие другие Windows XP Professional-приложения и сервисы, IIS управляется с помощью MMC. Для доступа выберите Start\Control Panel (Пуск\Панель управления). Затем щелкните на Performance and Maintenance (Производительность и обслуживание), выберите Administrative Tools\Computer Management (Администрирование\Управление компьютером), а затем выберите оснастку IIS в поле Server Applications and Services (Серверные приложения и службы). Вы можете получить доступ к MMC, выбрав Start\Control Panel (Пуск\Панель управления). Затем надо щелкнуть на Performance and Maintenance ((Производительность и обслуживание)) и выбрать Administrative Tools\Internet Information Services (Администрирование\Информационные службы интернета).

Примечание. Не забывайте о том, что вы можете создать свою собственную пользовательскую консоль MMC (это и является основным качеством MMC) и включить IIS в список избранных дополнений.

Помимо прочего, IIS использует инструмент администрирования, разработанный на базе браузера, который позволяет управлять IIS посредством удаленного доступа через HTTP-соединение. В этом инструменте используется протокол HTTP, что позволяет управлять удаленным сервером из любого браузера на любой платформе.

IIS дает новый импульс разработчикам программ, так как расширяет среду разработок приложений веб-сервера. Такие усовершенствования как Active Directory, модель компонентных объектов (Component Object Model, COM) и активные серверные страницы (Active Server Pages, ASP) широко используются программистами. Основной путь создания динамичного содержимого с помощью IIS состоит в применении ASP.

ASP позволяет объединять HTML и скрипты, используя целый ряд разработчиков для создания веб-страниц "на лету". ASP расширяет функциональность базового веб-сервера, облегчая построение динамичных веб-приложений. За счет этого поддерживается выполнение ASP-скриптов, которые можно написать на языках VBScript, JavaScript или Jscript и на других. Также в ASP можно включать компоненты ActiveX сервера, написанные на языках C++, Visual Basic и Java. Доступны предварительно созданные объекты, что используется для построения законченных веб-приложений без программирования или с небольшой его долей. ASP включает в себя несколько стандартных объектов, используемых при разработке веб-приложений.

ASP-скрипты используются для создания HTML "на лету". Это происходит следующим образом: когда рабочая станция клиента через браузер попадает на IIS-сервер и открывает ASP-документ, запускается скрипт. Скрипт генерирует HTML-код, основанный на введенных пользователем данных, типе браузера, содержания cookies, хранящихся на компьютере-клиенте и т. д. При выполнении он может запросить базу данных и разместить данные в таблице для отправки клиенту в виде HTML. В связи с тем что сервер обрабатывает запросы, выполняет прикладные задачи, получает результаты, упаковывает их, генерирует HTML-код и посылает его в браузер, он должен быть очень мощной системой. Если ваш сервер предназначен быть активным сервером, то позаботьтесь о том, чтобы он обладал достаточной мощностью.

ASP в IIS 5.1 предлагает ряд полезных инструментов.

• Asperror object. Этот объект улучшает обработку ошибок, позволяя разработчикам находить ошибки в файлах со скриптами. Возможность контролировать потоки данных позволяет серверу обрабатывать страницы без традиционной передачи данных в оба конца, которая требуется при переадресации на сервере.
• ASP без скриптов. Они стали лучше благодаря новой проверке на стадии синтаксического анализа. В более ранних версиях IIS сайты использовали расширение .asp для всех страниц, создавая возможность сохранять ссылки без изменений после добавления скрипта на HTML-страницу. Недостаток этого метода состоит в том, что механизм написания скрипта по умолчанию запускается даже при отсутствии кода. Новая проверка определяет, когда выполняющиеся запросы ожидают внутренних компонентов, и автоматически выдает необходимые ресурсы, чтобы можно было продолжать обработку других запросов.

ASP имеет ряд встроенных компонентов для выполнения следующих заданий:

• регистрация;
• получение доступа к данным;
• получение доступа к файлам;
• использование счетчиков.

Это быстрые и гибкие инструменты. Инструмент Browser Capatibilities, например, поддерживает функции, описанные в cookies, присланных браузером. Это дает гибкость работе кода сервера, основанного на характеристиках, поддерживаемых клиентом.

ASP поддерживает командные сценарии Windows, что позволяет превращать скрипты в COM-компоненты многократного использования в ASP и других COM-подчиненных программах.

На рынке программных продуктов нет недостатка в инструментах для создания HTML. Для развертывания и управления сайтами IIS широко использует инструменты приложения Front Page. Так, например, с помощью Front Page Server Extensions администраторы могут управлять своими веб-сайтами с графическим интерфейсом. Авторы могут создавать, размещать и работать со своими веб-страницами с удаленных компьютеров.

Расширения FrontPage Server Extensions не ограничиваются работой только с продуктами компании Microsoft. Они могут устанавливаться на UNIX, SunOS и другие платформы.

Примечание. Более подробную информацию о Front Page и расширениях сервера можно получить на сайте http://www.Microsoft.com/frontpage.

FrontPage Server Extensions предлагают сетевым авторам и администраторам ряд возможностей:

• разрешают авторам напрямую взаимодействовать с сервером на веб-сайте;
• добавляют функции веб-сайтам без написания программ;
• поддерживают учет входящих на сайт пользователей;
• поддерживают управление электронной почтой;
• гибкая инсталляция на другие платформы;
• автоматическое обновление гиперссылок при изменении или переносе веб-страницы;
• интеграция с приложениями Microsoft Office, Visual SourceSafe и Index Server.

Управление FrontPage Server Extensions осуществляется посредством оснасток MMC. Оснастка используется для создания и обновления расширений сервера, конвертирования папок в подсети, создания новых конфигураций гиперссылок и многого другого. В более ранних версиях FrontPage управление осуществлялось с помощью инструмента Epsrvwin.

Оснастка позволяет выполнить следующие задания:

• инсталлировать серверные расширения на веб-сервере;
• исправлять, обновлять и удалять существующие расширения сервера;
• добавлять администратора;
• запрашивать SSL для авторизации;
• изменять конфигурацию гиперссылок;
• включать или отключать авторизацию в глобальной сети;
• регистрировать операции авторизации;
• конфигурировать опции электронной почты;
• регулировать работу в глобальной сети.

Вы можете узнать о том, задействовано ли расширение FrontPage Server Extensions, щелкнув правой кнопкой мыши на виртуальном сервере (расположенном на левой панели оснастки IIS) и выбрав All Tasks (Все задачи). Если вы увидите команду Configure Server Extensions (Настроить серверные расширения) или команды, связанные с сервером (проверка серверных расширений или пересчет гиперссылок), то расширения сервера работают. Если эти команды не появились, то расширения сервера следует подключить. Для этого откройте оснастку IIS MMC и выполните следующие задания.

1. Щелкните на File (Файл) и затем щелкните на Add/Remove Snap-in (Добавить/удалить оснастку).
2. Если меню консоли показывает только элемент Options (Параметры), то выберите Options и щелкните на Always open console file in author mode (Всегда открывать файл консоли в авторском режиме). Щелкните на ОК, закройте MMC и снова откройте.
3. Затем в меню консоли щелкните на Add/Remove Snap-in. В результате появится диалоговое окно, показанное на рис. 7.3.
4. Выберите вкладку Extensions (Расширения), затем выберите FrontPage Server Extensions (Серверные расширения FrontPage), (если еще не выбрано).
5. Щелкните на ОК.

Удобство IIS 5.1 проявляется не только тогда, когда надо представить материал на обозрение внешнему миру. IIS является хорошим инструментом для создания внутренней сети (интранета). На самом деле это наилучшее использование IIS в системе Windows XP Professional. Например, если у вас есть небольшая локальная сеть в филиале офиса, то желание создать интранет в качестве общедоступного информационного бюллетеня, превратив одного Windows XP Professional-клиента в интранет-сервер, использующий IIS, является разумным.

Для нормального функционирования некоторым приложениям потребуется инсталляция IIS. Например, Microsoft Visual Studio .NET требует инсталляции IIS, если вы собираетесь разрабатывать веб-приложения.

Как и у большей части других инсталляций, которые влияют на работу всей сети, здесь есть пара шагов, требующих понимания и выполнения перед началом установки IIS на платформу Windows XP Professional. В этом разделе рассматривается несколько вопросов, о которых вы должны помнить, и несколько требований, которые вы должны выполнить. В конце мы расскажем о процессе инсталляции IIS в Windows XP Professional.

IIS следует устанавливать на компьютер, работающий под управлением Windows 2000 Server или .NET Server. Однако в организации может не быть серверов такого типа, так что придется возложить задачу по обеспечению места жительства IIS на клиентский компьютер. Более того, вы можете обнаружить, что иметь IIS на компьютере-клиенте удобно во всех отношениях, включая управление IIS и .NET-разработку.

Воспользуетесь ли вы сервером или клиентом для инсталляции IIS, следует решить несколько чисто физических вопросов. Это необходимо сделать во имя безопасности данных, а не для собственного удобства. Необходимо убедиться в следующем.

• Серверу обеспечена физическая безопасность.
• Сервер регулярно копируется.
• Носители копий переносятся на вспомогательное устройство.
• IIS имеет надежный и бесперебойный источник энергопитания.
• Сетевые соединения надежны и их рабочие возможности соответствуют требованиям.

Естественно, что потребности организации будут в значительной степени определять, куда и как вы поместите свой IIS-сервер. Например, если в филиале офиса IIS-сервер используется для отслеживания очередности тех, кто ходит за пончиками, то не имеет смысла вкладывать 1000 долларов в покупку источника бесперебойного питания (UPS). С другой стороны, если IIS сохраняет ваш .com на плаву, то, возможно, потребуется нечто более мощное, чем такой UPS.

На рис. 7.4 показано типичное размещение интернет- и интранет-веб-серверов. Интернет-веб-сервер располагается после брандмауэра и конечного маршрутизатора в демилитаризованной зоне (DMZ). Дополнительные меры по обеспечению безопасности и фильтрование могут осуществляться маршрутизатором, связанным с интернетом. Интранет-сервер защищен снаружи брандмауэром, но обеспечивает быстрый доступ для локальных пользователей.

Для установки IIS, учитывая требования компьютера и самой инфраструктуры сети, необходимо иметь какой-то минимум оборудования. Вот список самых необходимых компонентов для IIS-решения.

• Сетевая карта (NIC).
• Сетевое соединение с локальной сетью (LAN).
• Интернет-соединение с интернет-провайдером (ISP).
• Зарегистрированные IP-адреса (интернет).
• Частные или зарегистрированные IP-адреса (интранет/интернет).
• DNS-сервер (рекомендуется внутренний DNS или DNS, предоставленный ISP) или локальный HOSTS-файл на каждом клиенте IIS.

После создания инфраструктуры на IIS-сервере можно разместить дополнительные сервисы. Основным назначением сервера является: создание и размещение веб-страниц, хранение документов и данных. Тем не менее, вы можете добавить следующие приложения:

• Active Server Pages (ASP);
• NetShow;
• Index Server;
• Java Virtual Machine;
• FrontPage server extensions;
• FrontPage;
• Seagate Crystal Reports;
• SQL Server;
• SNA Server;
• Exchange Server;
• Office XP.

В связи с тем, что интернет составляет огромную часть работы компьютерных сетей, постоянно разрабатываются новые дополнительные компоненты. Самую свежую информацию о программном обеспечении IIS можно найти на сайте http://www.microsoft.com.

Процесс инсталляции и настройки IIS в среде Windows XP Professional достаточно прост. IIS не является частью обычной инсталляции операционной системы, но содержится на компакт-диске Windows XP Professional. Для установки и конфигурации IIS проделайте следующее.

1. Вставьте компакт-диск Windows XP Professional в CD-дисковод. Выберите Start\Control Panel (Пуск\Панель управления), затем выберите Add/Remove Programs (Установка и удаление программ).
2. Щелкните на Add Windows Components (Добавить компоненты Windows).
3. Отметьте флажок Internet Information Services (IIS). Оставьте все настройки инсталляции, данные по умолчанию, без изменений.
4. Инсталляция занимает несколько минут. После завершения инсталляции вы сможете увидеть свою домашнюю станицу, идентифицировав сайт с помощью UNC. Введите http://localhost, где localhost - имя вашего компьютера. Если у вас нет веб-сайта в каталоге по умолчанию, то появится документация по IIS.

Примечание. Если вы не знаете имени своего компьютера, то щелкните правой кнопкой мыши на значке My Computer (Мой компьютер) на рабочем столе или в меню Start (Пуск). Выберите Properties (Свойства) и щелкните на вкладке Computer Name (Имя компьютера).

Каталог по умолчанию находится в папке C:\Inetpub\wwwroot. Однако добавление в этот каталог приведет к переписыванию IIS-документации. Чтобы избежать этого, следует установить свой собственный виртуальный каталог.

Примечание. Вы можете найти консоль IIS, выбрав Start\Administration Tools\Internet Information Services (Пуск\Администрирование\Internet Information Services).

Открыв консоль IIS (см. рис. 7.5), вы увидите веб-сервисы, работающие на вашей машине, включая SMTP-сервер и FTP-сервер, если они установлены вместе с IIS.

Инсталляция - это далеко не все, что нужно для работы. К счастью, конфигурировать IIS достаточно легко с помощью дополнительных оснасток MMC. В этом разделе мы рассмотрим инструменты, необходимые для решения различных задач конфигурирования.

Система Windows XP Professional централизованно управляет своими ресурсами с помощью одного инструмента - MMC. Этот инструмент отображает ресурсы IIS в виде дерева, чтобы вы могли осуществлять руководство посредством дружественного графического интерфейса. Вы можете получать доступ к сервисам с помощью щелчка правой кнопкой мыши и перехода в окно свойств. MMC с оснасткой IIS показан на рис. 7.6.

IIS-страница по умолчанию содержит информацию о свойствах и функциях IIS. Если вы захотите ими воспользоваться, то там же имеется несколько образцов веб-страниц. Страница включает в себя ссылки на ресурсы веб-сайтов, для доступа к которым потребуется интернет-соединение.

Оба инструмента управления IIS позволяют администраторам работать с IIS-ресурсами привычным способом. Конфигурирование веб-сервисов выполняется с помощью двойного щелчка на веб-сервисе, выбранном из списка в главном окне управления IIS, и последующего выбора Properties (Свойства). В результате появляется диалоговое окно, показанное на рис. 7.7.

Свойства, которые, возможно, потребуется настроить, перечислены ниже.

• Время ожидания подключения. Соединение пользователей будет прерываться, если в течение данного времени не произойдет никаких действий. Сократите это время, чтобы избавиться от пользователей, который держат соединение открытым, не получая никакой информации.
• Максимальное число подключений к ресурсу. Определяет количество пользователей, одновременно подключаемых к веб-серверу. Здесь следует учитывать возможности оборудования и соединения.
• Анонимный вход. Если вы хотите, чтобы пользователи, не являющиеся членами домена, имели доступ к веб-серверу, нужно разрешить анонимный вход.
• Имя пользователя/Пароль. Это учетная запись, которая реально имеет доступ к веб-страницам. Ограничьте привилегии этой учетной записи, чтобы предоставлять доступ только к тем ресурсам, которые вы делаете доступными другими пользователям.
• Аутентификация с помощью пароля. Если вы не разрешили вход анонимным пользователям, то следует отбирать пользователей с помощью обязательного ввода пароля, то есть воспользоваться наиболее безопасным методом аутентификации - Challenge/Response (Вызов/Ответ).
• Виртуальные каталоги. С IIS появляется гораздо больше возможностей для создания каталогов, в которых будут храниться интернет-страницы. Каталоги можно создавать вне исходного каталога, созданного во время инсталляции. Они называются виртуальными каталогами и могут размещаться на том же или на удаленном компьютере. Для пользователей они представляют собой подкаталоги корневого веб-каталога. В действительности они могут располагаться на совершенно другой машине.

Создать виртуальный каталог очень просто.

1. Для добавления нового виртуального каталога щелкните правой кнопкой мыши на папке под значком Default Web Site и выберите New (Создать). В раскрывающемся списке выберите Virtual Directory (Виртуальный каталог).
2. Запустится мастер создания виртуального каталога (Virtual Directory Creation Wizard). Щелкните на Next (Далее).
3. Введите псевдоним, которым вы будете пользоваться для входа в виртуальный каталог из веб-браузера. Это имя вы впишите в веб-браузер после localhost-имени для просмотра веб-страниц, размещенных в этом каталоге.
4. Появится кнопка Browse (Обзор). Нажмите, чтобы найти место расположения каталога, в котором находятся веб-страницы на компьютере. Затем щелкните на Next.
5. В конце работы мастер продемонстрирует ряд флажков для настройки системы безопасности (рис. 7.8). Если безопасность вас не очень беспокоит, то отметьте их все. Если же беспокоит, и вы собираетесь работать с ASP-скриптами, то включите два первых флажка - Read (Чтение) и Run (Исполнение). Затем щелкните на Next.

Теперь виртуальный каталог установлен. Вы можете просматривать веб-страницы в папке, вводя http://localhost/aliasname, где aliasname - это имя, которое вы задали в шаге 3.

Примечание. При использовании NTFS можно создать виртуальный каталог, щелкнув правой кнопкой мыши на каталоге в Windows Explorer, затем щелкнув на Sharing (Доступ) и выбрав Web Sharing (Доступ через веб).

IIS предоставляет возможность контроля за тем, какие события регистрируются и как. Помимо разрешения регистрации доступа к обычным текстовым файлам ежедневно, еженедельно или ежемесячно, или пока файл журнала не достигнет определенной величины, вы можете экспортировать файлы журналов в базу данных SQL/ODBC.

Войдите в систему управления регистрацией, щелкнув правой кнопкой мыши на веб-сайте, которым вы собираетесь управлять, и выбрав Properties (Свойства), выбрать вкладку Web Site. Для включения записи лога нужно убедиться что флажок Enable Logging (разрешить логирование) Отмечен и выбран способ ведения журнала из списка. Далее нужно нажать кнопку Properties (свойства), в результате появится окно, показанное на рис. 7.9.

Скорее всего, вы будете пользоваться другими приложениями для чтения файлов журналов и написания отчетов об использовании веб-страниц. Эта статистика показывает, какие пользователи заходят на веб-сервер и что они просматривают при этом. Более того, журналы очень пригождаются при нарушении безопасности сервера.

Примечание. Если IIS-сервер активно используется, то файлы журналов принимают достаточно большие размеры. Поэтому было бы разумно размещать их на удаленной машине, чтобы их не могли взломать хакеры, если им удастся проникнуть в IIS-компьютер.

Естественно, что безопасность вашей сети имеет важное значение. Обеспечить доступ для законопослушных пользователей и одновременно оградить себя от всякого рода злоумышленников порой бывает очень нелегко. IIS включает несколько свойств (о которых мы поговорим позже), помогающих достичь нужного баланса.

Вы можете настроить систему контроля за доступом, щелкнув правой кнопкой мыши на веб-сайте, которым вы хотите управлять с помощью Диспетчера IIS, и выбрав Properties (Свойства). Щелкните на вкладке Directory Security (Безопасность каталога), и перед вами откроется целый ряд опций системы безопасности (см. рис. 7.10).

С помощью IIS можно предоставить или отказать в доступе для отдельных компьютеров (через IP-адреса). Если вы собираетесь предоставлять доступ для всех в интернете, то это вид контроля доступа не нужен. Однако если у вас есть личный интранет, то, возможно, потребуется предоставить доступ пользователям определенной подсети, скажем, пользователям подсети 10.0.5.0. Для этого щелкните на кнопке Edit (Изменить) в окне ограничений для IP-адреса и имени домена и введите необходимые ограничения.

Вы можете предоставлять пользование файлами непосредственно на веб-странице. Однако все будет происходить быстрее и эффективнее, если установлен FTP-сервер. Это особенно удобно, когда у вас много файлов или многие хотят скачать эти файлы. В настройках FTP-сервиса есть много общего с настройками веб-сайта. Следовательно, мы будем говорить только об отличиях. Тем не менее, сначала убедитесь в том, что FTP-сервис установлен вместе с IIS. Если FTP-сервис не установлен, то сделайте это следующим образом.

1. В Control Panel (Панель управления) щелкните на Add/Remove Programs (Установка/удаление программ).
2. Щелкните на Add/Remove Windows Components (Установка компонентов Windows).
3. Из списка выберите Internet Information Services (IIS) и щелкните на Details (Состав).
4. Отметьте флажок File Transfer Protocol (FTP) Service (Служба FTP).
5. Нажмите на ОК. Windows XP Professional может потребовать инсталляционный компакт-диск.
6. Щелкните на Next (Далее).
7. Щелкните на Finish (Готово).

Имеется несколько вкладок с различными настройками, которые можно модифицировать по своему усмотрению. Эти вкладки описаны ниже.

• FTP Site. Содержит ряд однотипных опций, которые не влияют на работу других сервисных программ, но используются только в FTP:
• Connection timeout (Время простоя соединения);
• Maximum connections (Максимальное количество соединений);
• Whether or not allow anonymous users (Разрешить/запретить вход для анонимных пользователей).
• Security Accounts. Один интересный флажок называется Allow only anonymous connections (Разрешить только анонимные соединения). Отметьте его, только если вы разрешаете вход в систему анонимным пользователям. Если флажок отключен, то пользователи, регистрирующиеся на FTP-сервере, должны будут вводить свой пароль (который высылается открытым текстом). Если анонимные соединения разрешены, то пароль не нужен.
• Message. Служба FTP позволяет посылать сообщения пользователям при их входе или выходе, или когда достигнуто максимальное количество пользователей.
• Home Directory. Позволяет сконфигурировать виртуальные каталоги так, как вы это делали для службы World Wide Web. Вы также получаете возможность представлять каталоги в операционных системах DOS или UNIX.

Регистрационные и расширенные возможности FTP-сервера аналогичны возможностям веб-сервера, и вы можете конфигурировать их, как вам удобно.

Мы только что предоставили краткий обзор IIS. На самом деле это достаточно сложный инструмент, функциональность которого трудно описать в одной лекции. Есть масса других книг, посвященных всем тонкостям работы с IIS.

В последней части этой лекции дается краткий обзор использования IIS для построения и управления ресурсами в среде Windows XP Professional.

При инсталляции IIS автоматически создаются веб-сайт и FTP-сайт по умолчанию. Однако, несмотря на наличие сетевых папок, вам все же приходится публиковать содержание в этих папках по умолчанию.

Публикация содержания в сетевых папках представляет собой процесс, состоящий из четырех этапов.

1. Сначала следует создать веб-страницу с помощью любого инструмента для творческой (авторской) работы.
2. Файл, содержащий домашнюю страницу, должен называться Default.htm или Default.asp.
3. Скопируйте свою домашнюю страницу в сетевой каталог по умолчанию для IIS. При включении IIS домашний каталог - \Inetpub\wwwroot.
4. Если сеть имеет службу разрешения имен, то посетители могут вводить имя компьютера в адресной строке веб-браузера, чтобы добраться до вашего сайта. Если разрешение имен недоступно, то они (посетители) должны будут вводить IP-адрес вашего компьютера.

Публикация в FTP-папке выполняется почти так же, как в веб-папке. Для этого проделайте следующие шаги.

1. Перенесите свои файлы в FTP-каталог для публикаций (каталогом по умолчанию, созданным IIS, является \Inetpub\ftproot).
2. Если в сети имеется служба разрешения имен, то посетители могут вводить имя компьютера, которому предшествует FTP:// (например, FTP://www.velte.com). Если службы разрешения имен нет, то они должны вводить IP-адрес, которому предшествует FTP://. Однако будет лучше, если пользователи воспользуются FTP-программой типа WS_FTP, которая делает процесс переноса более быстрым и эффективным.

Излишне говорить, насколько важно обеспечивать безопасность при работе с интернетом. В этом смысле IIS работает вместе с системой безопасности Windows XP Professional. Так создается интегрированная система защиты, которая является исключительно полезной.

Как и многие другие инструменты Windows XP Professional, NTFS предоставляет средства обеспечения безопасности на уровне диска. IIS не является исключением. Одним из лучших качеств NTFS является чувство собственной безопасности. Используя NTFS, можно ограничить доступ к своим IIS-файлам и каталогам, определить, кто из посетителей сайта имеет доступ к файлам на основании своей учетной записи или членства в группе.

Примечание. Перед тем как предпринимать что-либо, убедитесь, что жесткий диск (или его раздел) конвертирован в NTFS. Можете верить или не верить, но без этого NTFS не сможет ничего защитить.

Проделайте следующие шаги, чтобы обезопасить свои файлы с помощью NTFS.

1. Откройте My Computer (Мой компьютер) и найдите папку или файл, для которых нужно настроить разрешения.
2. Щелкните правой кнопкой мыши на папке или файле, выберите Properties (Свойства) и затем щелкните на вкладке Web Sharing (Доступ через веб).
3. Далее воспользуйтесь ниспадающим списком для выбора веб-сайта, с которым вы хотите поделиться этим ресурсом.
4. Нажмите на кнопку Share this folder (Открыть общий доступ к этой папке). Появится окно (см. рис. 7.11).
5. Введите псевдоним для папки или файла.
6. Установите любые разрешения или ограничения по своему выбору, включая следующие:
   • чтение;
   • запись;
   • доступ к тексту сценария (позволяет пользователям получать доступ к исходным файлам);
   • просмотр каталога.
   
   
   
   Рис. 7.11.  Введите псевдоним для папки или файла

7. Установите любые разрешения прикладного характера:
   • Никаких;
   • Сценарии;
   • Выполнить (включает в себя сценарии).

Проделывая эти шаги, вы сможете устанавливать различные уровни доступа к своим файлам и папкам. Важно знать, что можно настроить разрешения одного уровня для доступа к папке с файлами, а доступ к определенному файлу (или папке) внутри данной папки сделать более ограниченным.

Аутентификацией называется процесс подтверждения того, что данный пользователь является именно тем лицом, которым себя объявляет. Он выполняется в окне с полями для ввода имени пользователя и пароля. Если пользователь не обладает корректной информацией, то он не сможет войти в сеть или на FTP-сайт. Более того, IIS позволяет проводить аутентификацию при входе в определенный каталог или файл.

Веб-аутентификация. Для реализации аутентификации на веб-сайте проделайте следующие шаги.

1. Сначала создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
3. В окне Диспетчера IIS выберите веб-сайт, каталог или файл. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
4. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). В поле Anonymous Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
5. В появившемся диалоговом окне (рис. 7.12) укажите методы аутентификации, которые вы хотите применить.

FTP-аутентификация. Аутентификация на FTP-сервере дает такой же результат, но имеет свой уникальный процесс. Для введения FTP-аутентификации выполните следующие шаги.

1. Создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
3. В окне Диспетчера IIS выберите FTP-сайт. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
4. Щелкните на ведомости свойств Security Accounts (Учетные записи безопасности) и отметьте Allow Anonymous Connection (Разрешить анонимные подключения).
5. В поля Username (Имя пользователя) и Password (Пароль) введите имя пользователя и пароль для анонимного доступа, которые вы будете использовать. Имя пользователя обычно задается в виде IUSR_computername. Если отмечен флажок Allow IIS to control password (Разрешить управление паролем из IIS), то уберите отметку для смены пароля.
6. Снова отметьте флажок Allow IIS to control password, чтобы синхронизировать пароли с учетными записями.
7. Отметьте флажок Allow only anonymous connections (Разрешить только анонимные подключения). Это является требованием к каждому посетителю регистрироваться в качестве анонимного пользователя.
8. Нажмите на ОК.
9. Установите необходимые NTFS-разрешения для анонимного доступа.

Учетная запись доступа IUSR_computername появляется в файле Guest (Гость) при назначении анонимного доступа. Для создания переменного уровня безопасности посредством присвоения разрешений на доступ к различным частям своего веб-сайта, вы можете установить разные анонимные учетные записи, каждая из которых дает различный доступ к группам. Однако имейте в виду, что анонимная учетная запись должна иметь разрешения Log On Locally (Локальный вход), иначе IIS не сможет обрабатывать эти запросы.

Примечание. Права Log On Locally (Локальный вход) присваиваются посредством Active Directory Service Interfaces - ADSI (дополнительного инструмента MMC).

Для изменения учетной записи, используемого для анонимной аутентификации, выполните следующие действия.

1. В окне Диспетчера IIS щелкните правой кнопкой мыши на сайте, каталоге или файле, в которые нужно внести изменения, и выберите Properties (Свойства).
2. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла) и в поле Anonymouse Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
3. Откроется диалоговое окно Authentication Methods (Методы аутентификации). В поле Anonymous access (Анонимный доступ) щелкните на кнопке Browse (Обзор).
4. В диалоговом окне Anonymous User Account (Учетная запись анонимного пользователя) введите учетную запись пользователя.
5. Очистите флажок Allow IIS to control password (Разрешить управление паролем из IIS) и введите пароль, соответствующий этой учетной записи.

Правильная регистрация посетителей на IIS еще не означает, что данные полностью защищены от нежелательного просмотра. Вы можете заставить своих авторизованных посетителей создавать зашифрованные каналы, перед тем как получить доступ к информации. Единственная тонкость здесь состоит в том, что и сервер и клиент для обеспечения безопасности канала должны поддерживать одну и ту же схему шифрования. Если они оба используют современные браузеры и серверы, то это не является проблемой.

Примечание. Шифрование невозможно без инсталляции действительного сертификата сервера.

Для настройки шифрования проделайте следующие шаги.

1. В окне Диспетчера IIS щелкните правой кнопкой мыши на том сайте, каталоге или файле, в которые нужно внести изменения, а затем выберите Properties (Свойства).
2. Предполагая, что вы еще не создали пару ключей сервера и запрос о сертификате, выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). (Если вы это уже проделали, то переходите к пункту 4.)
3. В поле Secure Communications (Безопасные подключения) щелкните на Server Certificate (Сертификат). Запустится мастер сертфикатов веб-сервера (Web Server Certificate Wizard), который выполнит остальную часть процесса.
4. Вернувшись в главное окно Properties (Свойства), выберите вкладку Directory Security или File Security и в поле Secure Communications щелкните на Edit (Изменить).
5. В открывшемся диалоговом окне Secure Communications выберите Require Secure Channel (SSL) (Требуется безопасный канал).

Примечание. Убедитесь в том, что ваши пользователи знают, что им следует вводить https:// вместо http://.

Хорошо известно, что разработка содержимого и размещение его на веб-сервере являются не окончанием путешествия, а, скорее, первым шагом. Веб-сайты стали "живыми", в чем и заключается причина такой популярности интернета. Содержание перестает быть статичным, как в книгах, журналах и газетах. И все это может стать настоящей головной болью, если вы не умеете управлять веб-содержимым.

После размещения в интранете информационного бюллетеня компании непременно настанет время его обновить. Вам доступен ряд инструментов, которые помогают управлять содержанием IIS.

Первым делом надо настроить свои веб-страницы, назначив каталоги, в которых будут находиться документы. Веб-страницы должны быть локализованы в этих каталогах, чтобы IIS мог публиковать их. Каталоги выбираются с помощью Диспетчера IIS.

Если принять, что все файлы находятся на одном жестком диске с IIS, то можно опубликовать эти документы, просто скопировав файлы в домашний каталог по умолчанию IIS: C:\InetPub\wwwroot.

Примечание. Для FTP-сайтов каталогом по умолчанию является C:\Inetpub\ftproot.

Пользователи интранета могут получить доступ к этим файлам с помощью URL http://servername/filename. Интернет-пользователи будут вводить обычный URL для входа на вашу страницу.

В интересах сайта и в ваших собственных следует создать домашние каталоги для каждого веб- и FTP-сайта. Домашний каталог содержит файл-указатель, приглашающий посетителей и соединяющий их ссылками с другими страницами сайта, и он обозначен либо именем домена (для интернет-посетителей), либо именем сервера (для интранет-посетителей).

Например, если вы размещаете веб-содержимое по поводу ежегодного праздника членов клуба автолюбителей, интернет-пользователи могут вводить http://www.mudtacular2002.com. Однако члены клуба воспользуются именем сервера (Mr.Mud), чтобы попасть на страницу (на языке интранета это будет выглядеть как http://mrmud). Каким бы образом визитеры ни заходили на сайт, они попадут прямо в домашний каталог. По умолчанию домашний каталог появляется после инсталляции IIS при создании нового веб-сайта.

Сколько раз бывало, что вы заходили на веб-страницу только для того, чтобы прочитать сообщение, подобное этому:

We're sorry, the page you're looking for is no longer here.

We will redirect you in a moment.

(Просим извинения за то, что страница, которую вы, искали больше не существует. Сейчас мы вас перенаправим.)

Это раздражает, но этого нельзя избежать, особенно на больших сайтах со сложной файловой структурой. К сожалению, если вам приходится переносить страницы из одной папки в другую на своем сайте, не всегда удается отследить и исправить все ссылки. Вместо того чтобы менять все URL, просто дайте команду IIS сообщить браузеру, где находятся новые ссылки. Это называется переадресацией запроса браузера. Используя IIS, можно переадресовать запросы:

• из одного каталога в другой;
• на другой веб-сайт;
• в другой файл из другого каталога.

Когда браузер посетителя ищет файл в соответствии со старым URL, IIS сообщает браузеру местонахождение нового URL (т. е. переадресовывает).

С помощью следующих шагов можно переадресовать запросы на другой веб-сайт или в другой каталог.

1. Откройте Диспетчер IIS и щелкните правой кнопкой мыши на веб-сайте или на каталоге, который нужно изменить.
2. Выберите Properties (Свойства).
3. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог). Результат показан на рис. 7.13.
   
   
   
   Рис. 7.13.  Переадресация запросов браузера в IIS

4. Выберите A redirection to a URL (Перенаправление на URL).
5. В поле Redirect (Переадресовать) введите URL нового каталога.

Для переадресовки запросов на определенный файл:

1. Откройте оснастку IIS MMC и щелкните правой кнопкой мыши на веб-сайте или каталоге, который нужно изменить.
2. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог).
3. Выберите A redirection to URL (Перенаправление на URL).
4. В поле Redirect to (Переадресовать) введите URL конечного файла.
5. Выберите The exact URL (Существующий URL), введенный выше.

Часто посетителям веб-сайта будет требоваться предоставление пользовательской (модифицированной) веб-страницы. Настолько модифицированной, что это трудно заранее вообразить и иметь такую страницу на своем сайте. Например, когда вы заходите на Amazon.com и ищете определенное название, то конечная информация генерируется на странице, отвечающей этому запросу. Это называется динамическим содержимым.

IIS поддерживает динамическое содержимое с помощью вставок на стороне сервера (Server-Side Includes, SSI). Большую часть работы по управлению веб-сайтом можно выполнить посредством SSI. Так называемые директивы добавляются к веб-страницам во время разработки последних. При поступлении запроса на страницу IIS выполняет директивы, которые на них содержатся.

Наиболее распространенной директивой является include (включить), которая инкорпорирует содержимое файла на указанную веб-страницу. Например, если на странице есть баннер, который содержит ссылку на рекламу, то следует воспользоваться SSI для включения HTML-источника этого баннера на веб-страницу. Когда потребуется обновить баннер, не надо менять страницу целиком: просто обновите файл баннера.

Подключение SSI выполняется посредством следующих действий.

1. Убедитесь в том, что файлы, содержащие SSI-директивы, имеют соответствующие SSI-расширения (.stm, .shtm, .shtml).
2. Разместите SSI-файлы в каталоге с разрешениями доступа Scripts (Сценарии) и Execute (Выполнение).

Отключить SSI можно следующим образом.

1. Откройте окно Диспетчера IIS и щелкните правой кнопкой мыши на веб-сайте или каталоге, который вы хотите изменить.
2. Выберите Properties (Свойства).
3. Щелкните на вкладке Home Directory (Домашний каталог) или Directory (Каталог).
4. Выберите каталог, в котором запускается приложение.
5. Щелкните на кнопке Configuration (Настройка) и затем щелкните на вкладке App Mappings (Добавить связи) (см. рис. 7.14).
6. Выберите расширение и щелкните на кнопке Remove (Удалить).

IIS представляет собой весьма богатую тему для обсуждения и заслуживает гораздо большего внимания. Можно надеяться, что эта лекция даст вам общее представление о полезности, инсталляции и управлении IIS. Потратьте свое время на изучение IIS и вы обнаружите полезный инструмент интернета и интранета.

Полностью противостоящую сбоям компьютерную сеть еще предстоит разработать. Если это когда-нибудь случится, то члены мирового сообщества пожмут друг другу руки в знак всеобщего согласия. Однако до тех пор остается только молиться о том, чтобы ничего не стряслось с вашей сетью. Если у вас будут возникать проблемы со связью (а так будет), то Windows XP Professional предоставит ряд инструментов, которые помогут обнаружить причину затруднений.

В этой лекции сначала рассматриваются инструменты, пригодные для решения проблем, возникающих в самой системе Windows XP Professional. Далее мы поговорим об устранении неполадок в сетях (как в локальных, так и в сетях удаленного доступа). В конце мы рассмотрим некоторые инструменты, часто используемые в сетях TCP/IP, которые могут оказать неоценимую помощь при возникновении проблем в сетях Windows XP Professional.

Ряд инструментов и методик полезен при устранении проблем с Windows XP Professional-клиентом. Эти проблемы могут быть самыми разнообразными, от раздражающего зависания программ до самого худшего - невозможности загрузить компьютер. Из этого раздела вы узнаете, как с помощью Windows XP Professional выйти из затруднительного положения наиболее легким способом.

Если при попытке загрузить компьютер вы когда-нибудь обнаруживали, что он вообще не запускается, то вам знакомо возникающее при этом тошнотворное ощущение. Однако если на вашем жестком диске присутствует операционная система Windows XP Professional, то она предложит девять способов "поднять" компьютер и заставить его работать.

Windows XP Professional имеет более надежный набор режимов запуска, чем предыдущие версии, и может эффективно помочь в обнаружении проблем с установкой и настройками. Вы можете просмотреть список режимов запуска, нажав F8 во время загрузки. Вот эти режимы.

• Safe Mode (Безопасный режим). Запускает Windows XP Professional с минимальным набором драйверов (мышь, монитор, клавиатура, основная память и системные сервисы по умолчанию) и в режиме VGA.
• Safe Mode With Networking (Безопасный режим с загрузкой сетевых драйверов). Запускает Windows XP Professional в безопасном режиме, но с возможностью установки сетевого соединения.
• Safe Mode With Command Propmt (Безопасный режим с поддержкой командной строки). Запускает Windows XP Professional в безопасном режиме, но вместо рабочего стола на экране появляется окно команд.
• Enable Boot Logging (Включить протоколирование загрузки). Запускает Windows XP Professional и регистрирует все драйверы и сервисы, которые были или не были успешно загружены. Список сохраняется в файле под названием ntblog.txt, расположенном в каталоге C:\Windows.
• Enable VGA Mode (Включить режим VGA). Запускает Windows XP Professional с основным VGA-драйвером. Эта опция позволяет пользователям восстановить систему после некорректной установки видеодрайвера.
• Last Known Good Configuration (Загрузка последней удачной конфигурации). Запускает Windows XP Professional, используя информацию журнала, сохранившуюся после последнего успешного запуска системы. Этот способ не решает проблем с аппаратными устройствами и изменения, внесенные после последней загрузки, будут потеряны.
• Debugging Mode (Режим отладки). Режим отладки запускает Windows XP Professional, пересылая информацию об отладке на присоединенный соседний компьютер.
• Selective Startup (Выборочный запуск). Этот режим не указан в списке, открывающемся при нажатии F8, а включается с помощью утилиты System Configuration (о которой мы поговорим позже в разделе "Утилита System Configuration").
• Normal Mode (Обычный режим). Запускает Windows XP Professional в нормальном режиме.

Каждый из этих режимов полезен по-своему. Но, скорее всего, вы будете пользоваться только четырьмя режимами.

Безопасный режим является одним из главных инструментов еще со времен Windows 95. В этом режиме загружается минимальный набор драйверов. Основные функции Windows сохраняются, но вы узнаете режим Safe Mode, поскольку система обращается к VGA-режиму экрана (640х480, 16 цветов). Единственными доступными в безопасном режиме устройствами являются клавиатура, мышь и жесткий диск. Этот режим используется тогда, когда компьютер не может корректно загружаться, например, после инсталляции некачественной программы.

Этот режим похож на безопасный режим и позволяет установить сетевое соединение. Его можно использовать, если вам требуется попасть в сеть для решения проблемы, связанной с Windows, например, найти в сети файл или воспользоваться Удаленным помощником (Remote Assistance).

В двух предыдущих режимах присутствует то качество Windows, которое делает эту систему столь популярной, а именно графический пользовательский интерфейс (GUI). Однако в безопасном режиме с поддержкой командной строки вы не сможете на него положиться. Вместо этого вы будете работать в окне команд и использовать команды DOS для достижения своих целей.

Этот режим можно запустить с установочного диска Windows XP Professional, и он называется консоль восстановления (Recovery Console). Для старта консоли восстановления загрузите компьютер с установочного компакт-диска и нажмите клавишу "R" в начале процесса установки. Более того, полезно сделать консоль восстановления частью инсталляции Windows XP Professional. Для этого вставьте компакт-диск в CD- или DVD-дисковод, выберите Start\Run (Пуск\Выполнить), введите d:\i386\winnt32.exe/cmdcons (где d: - обозначение CD-дисковода) и затем щелкните на ОК.

Складывается впечатление, что этот режим доставляет много хлопот. Однако если вы знаете имена и местоположение файлов, которые вызывают проблемы, то можете найти их и уничтожить без всякого сожаления.

Примечание. Для получения списка доступных команд введите HELP и нажмите Еnter.

Вот несколько основных команд DOS, которые помогут вам справиться с проблемой.

• DIR. Выводит список содержимого текущего каталога. Файлы с надписью <DIR> являются каталогами. Если вы находитесь внутри большой папки, и список файлов не помещается на экране, то команда DIR/P выполнит приостановку вывода данных. DIR/W организует вывод информации в несколько колонок. Можно использовать эти команды вместе (DIR/P/W) и получить изображение нескольких неподвижных колонок.
• CD. Что, если файл, который вы ищете, отсутствует в каталоге? Команда CD позволяет сменить папку. Введите CD, пробел и имя папки - и вы перейдете в эту папку. Если в папке имеется несколько подкаталогов, добавьте \имя каталога к имени каталога. Например, команда

CD windows\desktop

покажет содержимое подкаталога рабочего стола в каталоге Windows. Для выхода из папки введите

CD ..

· DEL. Используется для удаления файлов. Просто введите DEL и имя файла - и пошлите ему прощальный поцелуй. Вы можете пользоваться командой DEL для удаления всех файлов (в выбранном каталоге) определенного типа. Например, если нужно избавиться от всех файлов Adobe Acrobat, введите

DEL * .PDF

· CHKDSK. Если необходимости уничтожать определенный файл нет, но проблемы с загрузкой остаются, и вы подозреваете неполадки с жестким диском, то инструмент Microsoft Check Disk проверит его. Он исследует целостность диска и определит количество использованного пространства. Для получения лучших результатов команду CHKDSK следует выполнять до запуска Windows - введите CHKDSK/F. Появится сообщение об ошибке и вопрос о том, нужно ли выполнить команду перед следующим запуском Windows. Нажмите на Y и затем нажмите на Enter.

Система Windows XP Professional может вернуть компьютер к тому времени, когда все работало нормально. Выбрав этот стартовый режим, вы, скорее всего, потеряете все приложения, которые пытались проинсталлировать, но заодно исчезнет и маленький злодей, вызвавший неприятности. В отличие от System Restore, на контрольно-пропускном пункте Last Known Good Configuration вы не создадите исходной конфигурации для восстановления системы. Вместо этого компьютер просмотрит реестр и выберет точку для восстановления из имеющихся конфигураций. Чаще всего это срабатывает, но можно и не получить ожидаемых результатов.

Дело в том, что ваше понимание того, что такое хорошая конфигурация, и точка зрения Windows являются субъективными и не обязательно совпадают. Например, если у вас возникли проблемы с приложением или драйвером, но система Windows работает, то ОС сочтет такую конфигурацию хорошей. Для вас же она будет плохой, так как не дает ожидаемых результатов.

Другой вид запуска осуществляется с помощью загрузочной дискеты. Это такая дискета, которую вы храните в безопасном месте и используете в случае аварии компьютера для его перезапуска. Утилита System Restore в Windows XP Professional предназначена для облегчения процесса восстановления, но на всякий случай хорошо иметь под рукой загрузочную дискету.

Чтобы сделать загрузочную дискету, выполните следующие действия.

1. Вставьте в дисковод чистую дискету.
2. Выберите Start\My Computer (Пуск\Мой компьютер)
3. Щелкните правой кнопкой мыши на значке дисковода и выберите Format (Форматировать) (рис. 8.1).
   
   
   
   Рис. 8.1.  Создание загрузочной дискеты

4. Отметьте флажок Сreate an MS-DOS startup disk (Создание загрузочного диска MS-DOS ).
5. Щелкните Start (Начать).

Если вам придется загружать компьютер с помощью загрузочной дискеты, то у вас окажется еще более аскетический набор драйверов, чем тот, который доступен в безопасном режиме загрузки. Вы не сможете воспользоваться драйверами компакт-диска или DVD-диска. Более того, вы не увидите ни одного NTFS-диска, а только FAT-диски. Однако, если жесткий диск не в порядке, то это именно тот инструмент, который нужен для запуска компьютера.

Если вы столкнулись с проблемами во время инсталляции Windows XP Professional, то, возможно, придется провести некоторые восстановительные работы. Для этого воспользуйтесь мастером установки Windows XP Professional (Windows XP Professional Setup Wizard). Эта программа запускается следующим образом.

1. Вставьте установочный диск Windows XP Professional в CD-дисковод и выберите Install Windows XP (Установка Windows XP ). Начнется процесс инсталляции и после первой перезагрузки будет указано на то, что инсталляция продолжается. Затем мастер спросит, хотите ли вы внести исправления в инсталляцию.
2. Нажмите клавишу R для внесения исправлений. После завершения инсталляции перезагрузите компьютер.
3. Нажмите F3 для перезагрузки - и вы вернетесь в программу установки Windows XP. На этом этапе завершите работу мастера, не выполняя повторную инсталляцию Windows.

Даже с самыми лучшими из нас это случается. При выполнении программы компьютер останавливается, и данные становятся заблокированными. Это раздражает во время игры, и это - катастрофа, если вы работаете. Иногда, если повезет, можно снова все восстановить. В других случаях приходится начинать все с самого начала. На случай "зависания" программы система Windows XP Professional располагает двумя инструментами, которые помогут хотя бы частично сохранить данные.

Каждому, кто работал в Windows, приходилось сталкиваться с "зависанием" программы, то есть с тем, что программа перестает реагировать. К сожалению, лучшее, что вы можете сделать - остановить работу программы, не вызывая сбоя в работе компьютера. Диспетчер задач (Task Manager) (рис. 8.2) поможет в этом.

Диспетчер задач включается с помощью нажатия клавиш CTRL-ALT-DEL. На вкладке Applications (Приложения) диспетчера задач имеется список текущих работающих приложений. Если программа "зависла", то в колонке Status (Состояние) появится Not Responding (Не отвечает). Для остановки работы приложения щелкните на нем и затем щелкните на кнопке End Task (Завершить задачу).

Если в системе действительно возникли проблемы, то возможно, придется полностью перезагрузить компьютер. Для этого включите диспетчер задач и выберите в меню Shut Down (Перезагрузка).

В лекции 2 мы говорили о последствиях обеспечения секретности при активации Windows XP. Обеспечение секретности может стать проблемой при зависании приложения. Если с вашим компьютером случилась неприятность, то система Windows XP Professional предлагает функцию регистрации ошибок для написания отчета об ошибке, который можно отправить в компанию Microsoft. Эта функция позволяет посылать информацию в Редмонд, где Microsoft на основании сообщения устанавливает причины сбоя.

Однако, в отличие от активации, эту функцию можно отключить. Если вы не хотите делиться информацией об ошибках с компанией Microsoft, то проделайте следующее.

1. Выберите Start (Пуск) и щелкните правой кнопкой мыши на My Computer (Мой компьютер).
2. В появившемся меню выберите Properties (Свойства).
3. Щелкните на вкладке Advanced (Дополнительно).
4. Нажмите кнопку Error Reporting (Отчет об ошибках ) для вызова диалогового окна Error Reporting (рис. 8.3).
5. Выберите, какой уровень отчета об ошибке вам больше подходит:
   • никакой;
   • только Windows;
   • приложения.

При включении Windows XP Professional на компьютере может автоматически запуститься приложение, которое неправильно взаимодействует с остальными приложениями. К сожалению, Microsoft не разрешает легко отключить автозапуск программ. Если вы не хотите активировать какое-то конкретное приложение, то есть три подходящих способа для его отключения.

Проще всего это сделать в папке Startup (Автозагрузка). Для ее открытия выберите Start\All Programs\Startup (Пуск\Все программы\Автозагрузка). Если в этой папке находится ярлык приложения, то просто удалите его.

Утилита System Configuration является удобным инструментом для показа и редактирования различных элементов конфигурации системы. Для ее открытия (рис. 8.4) выберите Start\Run (Пуск\Выполнить) и введите MSCоnfig.

На вкладке General (Общие) выберите Selective Startup для включения режима выборочного запуска. Это режим, при котором Windows запрашивает конфигурацию перед запуском каждой программы.

На вкладке Startup (Автозагрузка) показан список программ, которые запускаются при загрузке Windows. Если вы отмените выбор любого элементов этой вкладки, то автоматически включится режим Selective Startup.

На вкладке Win.ini можно ознакомиться с файлом Win.ini. В этом файле содержится информация о конфигурации Windows. Проверьте наличие в нем строки, которая активирует запрос о запуске приложения. Обычно это строка начинается с "run=" или "load=".

Реестр - это база установочных данных программ для операционной системы Windows XP Professional. Воспользуйтесь редактором реестра (выберите Start\Run и введите regedit) для поиска файла. Будет очень хорошо, если вы сделаете запасную копию журнала, перед тем как залезть в него. Исследуйте группу ключей HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RUN, чтобы найти список программ, которые запускаются автоматически.

Предупреждение. Файл Win.ini и реестр - это не место для опрометчивых поступков. Если вы поменяете строки местами, то это может вызвать серьезные проблемы с компьютером. Будьте предельно внимательны, работая в этих файлах.

Компания Microsoft создала консоль MMC, чтобы облегчить управление путем использования расширяемого, последовательного и интуитивного интерфейса для всех административных приложений. ММС - это многодокументный интерфейс системы Windows, похожий на веб-браузер Internet Explorer. Являясь всего лишь обрамлением, ММС не имеет собственных функций. Ему нужны оснастки, чтобы он мог работать по назначению. Такие оснастки существуют для многих современных административных инструментов, например Event Viewer.

Оснастки являются полностью модифицируемыми, могут быть созданы с нуля и включать в себя сетевые интерфейсы. Как только в ММС появляется нужная оснастка, вы можете сохранить ММС в качестве инструмента. Администратор включает в ММС все те оснастки, которые нужны ему для выполнения сложных административных заданий, и использует только ММС, а не переключается с одного приложения на другое.

Основная консоль выглядит так, как это показано на рис. 8.5.

Основной вид одинаков почти для всех оснасток ММС. В верхней части исходной структуры расположено главное меню и панель инструментов. Здесь вы найдете знакомые элементы, которые контролируют управление файлом или окном, такие как Properties (Свойства), View (Просмотр) и Help (Справка). Инструменты панели будут различаться, но, в основном, они предоставляют помощь при навигации или выполняют такие функции, как создание новых папок или удаление файлов.

Фреймы, расположенные внутри исходной структуры, называются дочерними (children frame) и могут сильно различаться, но чаще всего представляют собой два фрейма. Левый фрейм содержит специфическую иерархию организации оснастки, правый фрейм представляет данные, относящиеся к элементу, выделенному в левом фрейме.

Для добавления инструментов в меню Console (Консоль) щелкните на Add/Remove Snap-in (Добавить или удалить оснастку). Появится диалоговое окно Add/Remove Snap-in (рис. 8.6).

В диалоговом окне нажмите кнопку Add (Добавить) и щелкните на оснастке, которую вы хотите добавить (в данном случае это Event Viewer, показанный на рис. 8.7). Затем щелкните на Add. Таким способом вы можете добавить в ММС столько инструментов, сколько вам нужно.

Своим происхождением Event Viewer (Просмотр событий) обязан операционной системе Windows NT 3.1. В Windows XP Professional он является частью ММС. Event Viewer следит за всем, что происходит во время работы Windows. Это достаточно мощный инструмент, который может ответить на вопросы при возникновении затруднений в работе системы.

Для запуска Event Viewer в ММС откройте System Tools (Служебные программы) и щелкните на Event Viewer. В открывшемся окне (рис. 8.8) представлены три элемента, которые Event Viewer может отслеживать:

• Application (Приложения). Мониторинг всех событий, вызванных работой приложений и программ.
• System (Система). Мониторинг компонентов системы, таких как драйверы устройств.
• Security (Безопасность). Мониторинг изменений в системе защиты и предупреждение о возможности возникновения "брешей" в этой системе.

Двойной щелчок на определенном событии открывает окно, в котором со всеми деталями описывается событие и дается интернет-ссылка на описание этого события. Пример такого события приведен на рис. 8.9.

Если Windows XP Professional-клиент предназначен для приема входящих соединений с другими устройствами, то в папке Network Connections (Сетевые подключения) для каждого установленного соединения появляется значок с именем пользователя. Для просмотра всех входящих соединений щелкните правой кнопкой мыши на имени соединения и затем щелкните на Status (Состояние).

Команда Status (Состояние) выведет следующую информацию.

• Продолжительность соединения.
• Скорость соединения.

• Количество переданных и полученных байтов .
• Инструменты диагностики, доступные для соединения.

Этот инструмент показан на рис. 8.10.

Изучив эти параметры, вы сможете определить, имеются ли проблемы со связью. Например, если у вас имеется быстрое соединение Fast Ethernet, а показанная скорость составляет только 10 Мб/с, то что-то не в порядке. Указанием на более серьезную проблему является разрыв соединения (появление красного крестика рядом со значком и невозможность открытия меню состояния). Появившийся рядом со значком текст укажет верное направление действий для решения проблемы. Например, вы увидите "Network cable unplugged" (Сетевой кабель не подключен).

Открыв диалоговое окно Local Area Connection Status (Состояние локального сетевого соединения) и выбрав вкладку Support (Поддержка), вы увидите тип адреса, IP-адрес, маску подсети и адрес шлюза по умолчанию. Щелкните на кнопке Details и просмотрите подробную сводку о сетевом соединении (рис. 8.11), включающую в себя следующие пункты.

• IP-адрес.
• Маска подсети.
• Адрес по умолчанию.
• Физический адрес.
• IP-адреса DHCP-, DNS- и WINS-серверов.
• Дата начала аренды адреса в соответствии с протоколом динамической конфигурации хоста (DHCP).
• Дата окончания аренды адреса в соответствии с DHCP.

В Центре помощи и поддержки (Help and Support Center) системы Windows XP Professional вы можете воспользоваться инструментом Network Diagnostics (Диагностика сети) для проверки ряда сетевых настроек. Для доступа к этому инструменту откройте Help and Support Center в меню Start (Пуск) и щелкните на пункте Fixing a Problem (Устранение неполадок). В появившемся окне откроется список проблем, которые можно решить (рис. 8.12).

Например, система Windows XP Professional может просмотреть вашу сеть и провести серию автоматических тестов. Она проверит модемы и сетевые карты (помимо всего прочего) и укажет специфические параметры устройств, приложений и сервисов, которыми вы пользуетесь. Например, параметры сетевого адаптера включают в себя следующее:

• даты начала и окончания аренды соединения в соответствии с протоколом DHCP;
• DNS-имя хоста;
• наличие IPX;
• IP-адрес.

Инструмент укажет и такие дополнительные подробности, как:

• метрику соединения;
• разрешения безопасности протокола IP;
• путь к базе данных.

Другие инструменты устранения конфликтов будут выдавать инструкции о необходимых действиях, от вас потребуется нажать на Yes или No в зависимости от полученных результатов.

Если вас беспокоит какое-либо соединение, то Windows XP Professional предлагает легкий способ восстановить его. Просто щелкните правой кнопкой мыши на соединении в окне Network Connections (Сетевые соединения) и затем щелкните на кнопке Repair (Восстановить).

Щелкнув на кнопке Repair, вы сможете установить ряд сетевых настроек, к которым относятся:

• создание текущих TCP/IP-настроек;
• обновление TCP/IP-настроек;
• очистка кэша протокола ARP;
• обновление IP-аренды посредством выполнения DHCP-трансляции;
• перезагрузка таблицы имен NetBT удаленного кэша. (В командной строке это можно выполнить вводом nbtstat-R.);
• посылка пакетов с релизом имен на WIN-сервер для обновления последнего. (В командной строке это можно выполнить вводом nbstat-RR.);
• очистка кэша DNS-распознавателя и повторная регистрация DNS-информации. (В командной строке это можно выполнить вводом ipconfig/flushdns.)

Если в компьютере возникли неполадки, то компания Microsoft предложит инструмент системного уровня, который поможет вернуться к нормальной работе. Инструмент System Restore (Восстановление системы) полезен в тех случаях, когда вы проинсталлировали программу, вызвавшую сбой компьютера или его некорректную работу. System Restore можно представить себе в виде гигантской кнопки Undo (Отменить).

Используя System Restore, вы сможете возвратить настройки своего компьютера к тому времени, когда он нормально работал. Более того, вы сами вручную можете установить точку восстановления. Точки восстановления создаются автоматически, либо по установленной схеме, либо в ответ на определенные события в системе, такие как инсталляция нового драйвера. Помимо этого, можно вручную создавать точки восстановления в любое время.

Если в компьютере произошел сбой, то можно вернуться к одной из точек восстановления, что, в свою очередь, переустановит драйверы и приложения в том виде, в каком они были во время создания точки восстановления. Точка восстановления содержит два типа информации:

• снимок реестра;
• динамические системные файлы.

Примечание. System Restore восстанавливает программы, а не файлы. Если вам приходится запускать System Restore, то это не изменит файлы Microsoft Office, веб-страницы или другие документы в папке My Documents.

Информация, хранящаяся в точке восстановления, включает в себя следующее:

• сведения об учетной записи пользователя, записанные в реестре;
• настройки приложений и программ, записанные в реестре;
• запускающие файлы для Windows XP Professional, включая находящиеся в корневом каталоге системы и загрузочные файлы.

System Restore (Восстановление системы) подключается к системе во время инсталляции Windows XP Professional. Однако можно отключать или включать эту функцию по мере необходимости. Вы можете отключить инструмент, если на диске мало места. Но помните, что нельзя воспользоваться System Restore, если он не активизирован. Для включения и отключения проделайте следующие шаги.

1. В панели управления откройте Performance and Maintenance (Производительность и обслуживание) и затем откройте System (Система).
2. В диалоговом окне System Properties (Свойства системы) щелкните на вкладке System Restore (Восстановление системы) (рис. 8.14).
3. Для того чтобы снова включить System Restore, очистите флажок Turn Off System Restore (Отключить восстановление системы).
4. Помимо этого можно указать, какую часть пространства на жестком диске может использовать System Restore, установив ползунок Disk space (Объем диска) для каждого раздела.

Предупреждение. Отключение System Restore удаляет все точки восстановления, так что не делайте этого, не обдумав возможных последствий.

Для отката настроек компьютера к точке восстановления проделайте следующие шаги.

1. Щелкните на Help and Support Center (Центр помощи и поддержки). В поле Pick a task (Выбор задания) щелкните на Undo changes to your computer with System Restore (Отменить изменения с помощью System Restore).
2. В окне приглашения щелкните на Restore my computer to an earlier time (Вернуть компьютер к точке восстановления) и затем щелкните на Next. (Появившееся диалоговое окно показано на рис. 8.15.)
3. Выберите точку восстановления в окне Select a Restore Point и затем щелкните на Next.

   Примечание. Возвращайтесь назад не далее необходимого вам места. Если вы восстановитесь в слишком "старой" точке восстановления, то рискуете потерять часть корректно работающих программ, которые вы проинсталлировали позже точки восстановления.

   
   
   
   Рис. 8.15.  Выбор точки восстановления

4. Щелкните на Next в окне Confirm Restore Point (Подтверждение точки восстановления).

При выборе точки восстановления System Restore исследует журнал System Restore change (Изменение записей System Restore) и создает карту восстановления, которую использует для возврата системы. Инструмент использует карту для удаления определенных файлов и внесения изменений в реестр. Если выяснится, что точка возврата не решает проблему, то можно повторно запустить System Restore и выбрать для возврата более раннюю точку.

При установке неподписанного драйвера устройства система Windows XP Professional предпринимает решительные действия и создает точку восстановления. Также Windows XP Professional будет создавать точки возврата в следующих случаях.

• При инсталляции System Restore-подчиненных приложений.
• Через каждые 10 часов работы компьютера или один раз в сутки.
• При инсталляции обновления посредством автоматического обновления.
• По истечении заранее указанного интервала времени.
• При восстановлении данных с резервной копии.

Однако вы можете создавать свои собственные точки восстановления, проделав следующие действия.

1. Запустите System Restore (Восстановление системы).
2. Щелкните на Create a restore point (Создать точку восстановления) и затем щелкните на Next (Далее).
3. Введите описание точки восстановления (рис. 8.16).
4. Щелкните на кнопке Create (Создать).

Было бы прекрасно, если бы System Restore был настолько совершенным инструментом, что решал бы все ваши проблемы. Тем не менее, может случиться так , что вы не получите желаемых результатов с помощью операции восстановления. В таком случае можно отменить эту операцию. Щелкните на Undo my last restoration (Отменить последнее восстановление) в окне приглашения к восстановлению системы. Отмену точки восстановления можно применять, если нужно переместиться в более позднюю точку восстановления, чем первоначальная точка.

Dr. Watson входит в комплект программ системы Windows последние несколько лет. Dr. Watson (drwtsn32.exe) находит ошибки в программах, диагностирует ошибки и записывает информацию о диагностике в файл DRWTSN32.LOG. Этот файл можно послать всем работникам для проведения анализа и диагностики.

Dr.Watson запускается автоматически при появлении ошибки в программе. Вы можете запустить его вручную из меню Tools (Служебные программы) или из командной строки. На рис. 8.17. изображен инструмент Dr. Watson.

Если программа не работает, сразу же запускайте Dr. Watson. Этот инструмент создает мгновенный снимок состояния компьютера и пишет отчет о ходе проверки. Просматривая этот отчет, вы увидите ошибки, обнаруженные с помощью Dr. Watson.

Вы можете сохранить этот файл для использования в будущем в случае возникновения проблем. Если хотите разобраться в проблеме самостоятельно, то исследуйте первые несколько строк в регистрационной записи. Затем зайдите на страницу справки по адресу http://support.microsoft.com и запустите машину поиска для записанных имен. Возможно, вы получите несколько полезных советов.

Проблемы могут возникать не только в отдельном компьютере. Компьютерные сети становятся все более обширными и сложными, и проблемы, возникающие в них, все труднее диагностировать. В этом разделе будут обсуждаться затруднения, связанные с работой сетей, и способы их решения.

Есть несколько весьма распространенных проблем со связью в локальных сетях LAN, с которыми вы можете столкнуться. Если локальная сеть не отвечает на ваши запросы, то, в первую очередь, проверьте два следующих элемента.

• Возможно, что-то случилось с сетевым адаптером. Проверьте значок локального соединения в папке Network Connections (Сетевые подключения). Если соединение отсутствует, то значок отобразит это состояние. Используйте диспетчер устройств, чтобы убедиться в нормальной работе сетевого адаптера. В случае неполадки используйте данный инструмент для ее исправления.
• Убедитесь в том, что LAN-кабель надежно соединен как с сетевым адаптером, так и с сетевым устройством. Возможно, кто-то задел его, и произошло разъединение. Если это случилось, то значок в панели заданий будет показывать соединение, перечеркнутое красным крестиком.

Поиск решения проблем, связанных с работой сети, может показаться достаточно трудной задачей (так оно и есть), но эта задача может быть в значительной степени упрощена, если вы знаете, что есть четыре основных слабых места сети.

• Сервер.
• Сетевое устройство (концентратор, коммутатор, маршрутизатор и т. д.).
• Кабель.
• Рабочая станция.

Сужая круг поисков источника проблемы, вы значительно упростите свою задачу. Например, если вы в состоянии определить, что проблема кроется в работе сервера, то вы на 75% сделаете свою задачу проще. Но как найти место, в котором возникла проблема?

Во-первых, нужно определить, на скольких клиентов влияет проблема. Изолирована ли она на одном устройстве или распространилась на несколько клиентов? Если проблема изолирована на одном компьютере, то вы знаете, с чего начинать поиски. Далее, если компьютер, который недавно работал, вдруг перестал это делать, то нужно проверить физическую надежность соединений, работоспособность кабеля и сетевой карты.

Если компьютер-клиент является новым, то, возможно, вы столкнулись с ошибкой конфигурации. Это можно легко проверить, включив в это соединение другой (работающий) компьютер. Этим вы заодно исключите проблемы с кабелем или неисправным коммутатором (концентратором).

Если проблема распространилась на несколько клиентов, то подумайте, что у всех этих клиентов есть общего. Если это новые устройства, то возможны проблемы с конфигурациями. Если раньше эти клиенты работали, то неисправность может заключаться в кабеле или в сетевом устройстве.

Если проблема охватывает соединения всех компьютеров в организации, то, скорее всего, причина заключается в работе сервера - и на нем нужно сосредоточить свои усилия.

Устранение неполадок в работе клиента может оказаться очень сложной задачей. Давайте рассмотрим наиболее часто встречающиеся источники проблем для Windows XP Professional-клиента. Самое первое и легкодоступное место, где можно искать решение проблемы - это протокол. Скорее всего, в вашей сети используется набор протоколов TCP/IP. Если клиент не видит некоторых устройств (или все устройства), то следует проверить, все ли устройства настроены на работу по протоколу TCP/IP.

Это делается в Windows XP Professional с помощью двойного щелчка на значке Network and Internet Connections (Сеть и подключения к интернету) в панели управления. Затем щелкните на Network Connections (Сетевые подключения) и правой кнопкой мыши щелкните на соединении, которое вы хотите исследовать. Выберите Properties (Свойства) - и вы увидите список протоколов этого соединения (рис. 8.18).

Сравните список протоколов с теми протоколами, которые используются в вашей сети. Они совпадают? Если нет, то вы нашли источник неприятностей.

При использовании TCP/IP можно протестировать свой собственный IP-адрес с помощью программы ping, используемой для проверки доступности адресата путем передачи ему определенного сигнала и ожидания ответа. Если пинг-запрос возвращается, то протокол работает нормально (но у вас все равно могут быть проблемы со связью).

Примечание. Если вы не знакомы с пинг-командой, то мы дадим объяснение позже в разделе "Ping".

Попробуйте проверить пингом адрес другого компьютера, своего шлюза и пары устройств в своем сетевом сегменте. Этим вы протестируете свою сетевую карту. Если посланный пинг-сигнал не возвращается, то проблема кроется в сетевой карте. Если пинг прошел удачно, то пробуйте повторить его для этого же компьютера, но на этот раз с именем компьютера. Если этот тест пройдет неудачно, то, возможно, проблема затрагивает WINS- или DNS-сервер.

Если пинг имени прошел успешно, то попробуйте протестировать компьютер в другом сегменте сети или в интернете. При неудачной попытке, скорее всего, у вас неправильно сконфигурирован шлюз, или проблема заключается в маршрутизаторе. Тем не менее, следует провести пинг-тесты с другими клиентами. Если им удается дозвониться до внешнего мира, то, вероятнее всего, у вас проблемы со шлюзом.

При наличии проблем со связью у целого ряда клиентов, скорее всего, дело заключается в коммутаторе или концентраторе. Рассмотрите сеть, изображенную на рис. 8.19.

Если клиенты с девятого по шестнадцатый не получают доступ в сеть, то что их всех объединяет? Все они соединены с одним и тем же концентратором. В таком случае надо проверить концентратор. Однако в этом примере имеется еще один источник потенциальных неприятностей. Так как концентраторы образуют цепь с портами коммутатора, то проблема может быть связана с вторым портом коммутатора.

Если проблема заключена в сервере, не следует переоценивать его роль в работе сети. Для вас будет полезно пробежаться по тем основным вопросам, о которых мы говорили в связи с клиентами. Самое главное для серверов - использование правильного протокола и наличие функционирующих кабельных соединений.

Иногда невозможность установить связь с удаленным сервером может сводить с ума, так как вы не знаете, чья это проблема - ваша или удаленного сервера. Все перечисленное ниже должно дать вам некоторое представление о различных проблемах удаленного доступа.

Если модем не работает, возможны следующие варианты.

• Модем неправильно подсоединен или отключен.
• Для дозвона используется неверный телефонный номер.
• Модем несовместим с системой Windows XP Professinal. Проверьте по списку совместимости оборудования на http://www.microsoft.com/hcl.
• Учетная запись недействительна.
• Телефонная линия не поддерживает скорости соединения.
• Телефонная линия является цифровой.
• Удаленный сервер не работает.

Если соединение постоянно прерывается, проверьте следующие условия.

• Разрыв связи происходит из-за отсутствия действий. Наберите номер еще раз.
• Ожидание вызова прерывает соединение. Отключите ожидание вызова (звонка).
• Кто-то еще воспользовался удлинителем.
• Отсоединился кабель модема.
• Программа модема нуждается в обновлении.
• Настройки модема несовместимы с сервером удаленного доступа.
• Сервер удаленного доступа отключен.
• Модем не может взаимодействовать с модемом удаленного сервера.

Если вы получаете сообщения о проблемах с устройствами при попытке установить соединение, проверьте следующие детали.

• Внешний модем не включен.
• Модем неисправен. Активируйте регистрацию модема для проверки связи.
• Кабель несовместим с модемом.

Если возникли проблемы с ISDN-соединением, которое постоянно получает сообщение "No Answer" (Нет ответа), то проверьте следующее.

• Линия занята.
• Качество линии плохое.
• ISDN-коммутатор занят. Попробуйте позже.
• Неправильно сконфигурирован телефонный номер. Для соединения может потребоваться один или два телефонных номера. Свяжитесь с телефонной компанией и уточните.
• Неправильно введен идентификатор профиля SPID (Service Profile Identifier) - это относится к Соединенным Штатам и Канаде.
• Не включен учет времени, проводимого в сети.
• Удаленный сервер не подключен или выключен.

Существует несколько инструментов для отслеживания и решения проблем, связанных с применением протокола TCP/IP. Этими инструментами являются PING, ARP, IPCONFIG, TRACERT, NBTSTAT и PATHPING. Все они запускаются из командной строки и выдают результаты в формате DOS. В таблице 8.1 перечислены эти инструменты и дано их краткие описания.

Подобно гидролокатору на подводной лодке, команда PING позволяет получать информацию о своих соседях. Правда, тут она применяется в сугубо мирных целях. Она может сообщить вам о том, как долго информационные пакеты идут из вашего компьютера на принимающий компьютер. Она делает это посредством отправки ICMP эхо-сигнала указанному устройству - будь то устройство локальной сети или сервер на другой стороне земного шара.

Если вы тестируете пинг-запросом устройство своей локальной сети, то устройство откликнется практически мгновенно. В этом случае вы узнаете, что оба компьютера работают нормально. При возникновении проблем следует выполнить следующие шаги.

1. Протестируйте пингом-запросом адрес локальной перемычки. Если этот адрес ответит, то на локальном компьютере имеется конфигурация протокола TCP/IP.

Ping 127.0.0.1

2. Протестируйте локальный IP-адрес и убедитесь, что нет конкуренции с другим устройством в сети.

Ping IP_адрес

3. Протестируйте IP-адрес шлюза по умолчанию. Так вы проверите возможность добраться до ближайшего маршрутизатора, который позволяет общаться с компьютерами в другой подсети.

Ping IP_адрес шлюза

4. Протестируйте пингом-запросом адрес указанного вами устройства в другой подсети. Так вы проверите возможность установки связи с устройством другой подсети.

Ping IP_адрес узла

5. Протестируйте пингом-запросом то же самое устройство, применив полное имя его домена. Если попытка закончится провалом, но шаг 4 работает, то это проблема разрешения имени. На этом этапе следует убедиться, что DNS-серверы доступны, таблицы Hosts и LMHosts точны, а WINS (если используется) правильно сконфигурирован.

Ping IP_имя узла

Инструмент PING используется следующим образом:

Ping [-t] [-a] [-n] [-l] [-f] [-I TTL] [-v TOS] [-r ] [-s ] [-j список узлов] [-k список узлов] [-w ] список адресатов

Аргументы PING включают в себя следующее.

• -t Поддерживает пингование, пока не будет остановлен нажатием клавиш CTRL+C.
• -n Посылает эхо-сигнал определенное (указанное) количество раз и прекращает тестирование.
• -l Посылает пакет с указанным количеством битов.
• -f Устанавливает флаг Don't Fragment (Не фрагментировать). Это значит, что пакеты не будут разбиваться на части сетевыми устройствами.
• -w Устанавливает время простоя (мс). Время простоя по умолчанию равно 750 мс.

Протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет компьютерам создавать соединения на физическом уровне. Независимо от того, используете ли вы NetBIOS или TCP/IP имена компьютеров в своей сети, они должны быть конвертированы в MAC-имена сетевой карты компьютера. Когда одна рабочая станция пытается установить связь с другой, она должна транслировать сигнал в соответствии с протоколом ARP, чтобы выяснить MAC-адрес. После того как Windows XP Professional компьютер определит МАС-адрес, он использует его для установки связи с устройством. Эта конверсия IP в МАС хранится в ARP-таблице компьютера.

Команда ARP позволяет просматривать и редактировать таблицу ARP. Этот инструмент полезен при решении проблем, связанных с разрешениями имен. Команда ARP записывается следующим образом.

ARP -s inet_addr eth_addr [if_addr] 
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr]

В приведенных примерах атрибуты работают следующим образом.

• -s Добавляет IP-адрес (inet_addr) или Ethernet MAC адрес (eth_addr) в таблицу ARP. IP-адрес имеет стандартный четырехоктетный формат, в то время как Ethernet-адрес записывается шестью шестнадцатеричными значениями, разделенными тире.
• -d Удаляет указанный IP-адрес из таблицы.
• -a Выводит на экран текущую ARP-таблицу. Если вы включили в нее IP-адрес, то будет представлена только таблица переводов IP-адреса в МАС-адрес для данного компьютера.

Аргумент [if_addr] указывает IP-адрес, отличный от данного по умолчанию. Если вы хотите посмотреть на таблицу ARP компьютера, которым вы пользуетесь, то введите в командную строку arp -a.

Ниже проиллюстрирован результат применения команды ARP.

Interface: 192.168.1.101 on Interface 0x200003
	Internet Address        		Physical Address      			Type
	192.168.1.1.			00-04-5a-d0-b9-67     		dynamic
	192.168.1.100           			00-04-5a-69-cc-60    		dynamic
	192.168.1.102           			00-40-96-41-af-29       		dynamic

Инструмент IPCONFIG хорошо подходит для начала поисков источника проблемы, связанной с применением протокола TCP/IP. Команда записывается следующим образом.

Ipconfig [/all | /release [adapter] | /renew [adapter]]

При использовании без аргументов IPCONFIG представляет только основные настройки TCP/IP, включая IP-адрес, маску подсети и шлюз по умолчанию для каждой карты сетевого адаптера. Однако, добавив аргументы, можно повысить полезность IPCONFIG. Аргументы включают в себя следующее.

• /all Показывает основную и дополнительную информацию, такую как сроки окончания аренды и службы разрешения имен.
• /release Выдает IP-адрес указанному адаптеру, если адаптер использовал DHCP.
• /renew Обновляет IP-адрес для указанного адаптера, если адаптер использовал DHCP.

Примечание. Ввод ipconfig /? в командную строку сгенерирует полный список аргументов.

Windows IP Configuration

	Host Name 	: geonosis
	Primary Dns Suffix	:
	Node Type	: Unknown
	IP Routing Enabled	: No
	WINS Proxy Enabled	: No

Ethernet adapter Local Area Connection:

	Connection-specific DNS Suffix 	:
	Description	: Linksys NC100 Fast Ethernet Adapter
	Physical Address	: 00-04-5A-69-CC-60
	Dhcp Enabled	: Yes
	Autoconfiguration Enabled	: Yes
	IP Address	: 192.168.1.100
	Subnet Mask	: 255.255.255.0
	Default Gateway 	: 192.168.1.1
	DHCP Server	: 192.168.1.1
	DNS Servers 	: 192.168.1.1
	Lease Obtained	: Saturday, April 27, 2002 2:18:33 PM
	Lease Expires	: Saturday, April 27, 2002 2:23:33 PM

Использование инструмента IPCONFIG может дать огромное количество информации о TCP/IP-соединениях и их конфигурациях. Всегда полезно проверять маску подсети. Убедитесь в том, что она не записана как 0.0.0.0, что указывает на конфликт с другим устройством подсети.

Инструмент Trace Route (TRACERT) применяется для отслеживания перемещения пакета данных от устройства к устройству. Он работает посредством передачи пакета со значением времени жизни (TTL), равным 1. Обычно маршрутизаторы сокращают значение TTL на 1 и затем отправляют пакет дальше по пути следования. Если маршрутизатор получает TTL со значением 0, то он возвращает пакет отправителю как просроченный. Это позволяет узнать кое-что о маршрутизаторе. Инструмент TRACERT выполняет это действие для первого маршрутизатора на пути следования пакета, добавляет 1 к TTL и затем отправляет новый пакет. Следующий пакет доходит до второго маршрутизатора и становится просроченным. Этот маршрутизатор возвращает пакет вместе с информацией о самом себе. Процесс повторяется, пока пакет не дойдет до нужного устройства, или пока количество переходов не достигнет максимального значения.

Синтаксис команды TRACERT следующий.

Tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] имя конечного устройства

Некоторые аргументы команды TRACERT описаны ниже.

• -d Препятствует разрешению адреса именам хостов.
• -h maximum_hops Устанавливает верхнюю границу общего числа переходов, необходимых для нахождения нужной рабочей станции.
• -j host-list Устанавливает свободный начальный маршрутизатор для всего списка хостов.
• -w timeout Устанавливает время простоя (мс) для каждого перехода.

Вы можете применять команду TRACERT, просто вводя tracert и адрес конечного устройства. Например:

C:\WINDOWS>tracert http://www.velte.com
Tracing rout to http://www.velte.com (64.66.150.248)
Over a maximum of 30 hops:
1 	66	ms 	93 	ms 	63 	ms 	c6400-l-nrp-6.border.mpls.visi.com [209. 98.0.20]
2	73 	ms 	62 	ms 	59 	ms 	fa4-0-0.core-l.mpls.visi.com [209.98.3.222]	
3 	75 	ms 	59 	ms 	84 	ms 	fal-0-0.core-2.mpls.visi.com [209. 98.3.195]	
4 	68 	ms 	62 	ms 	58 	ms 	500.POS2-3.GW4.MSP1.ALTER.NET [157.130.98.1]
5 	65 	ms 	58 	ms 	63 	ms 	110.at-1-1-0.CL2.MSPl.ALTER.NET [152.63.67.102]
6 	69 	ms 	73 	ms 	69 	ms 	O.SO-7-0-O.XL2.CHI2.ALTER.NET [152.63.145.50]
7 	72 	ms 	67 	ms 	83 	ms 	POS7-0.BR2.CHI2.ALTER.NET [152.63.67.245]	
8 	99 	ms 	116 	ms 	101 	ms 	chi-brdr-03.inet.qwest.net [205.171.1.145]	
9	101 	ms 	101  	ms 	103 	ms 	chi-core-02.inet.qwest.net [205.171.20.137]	
10	100	ms	115	ms 	100	ms 	chi-edge-08.inet.qwest.net [205.171.20.114]	
11 	110  	ms 	109 	ms 	117 	ms 	pos-6-0.ons.siteprotect.com [65.112.64.146]	
12	122	ms	115	ms 	128	ms 	cO-feO.siteprotect.com [66.113.129.2]	
13	108	ms	107	ms 	109	ms 	www.velte.com [64.66.150.248]	
Trace complete.

Этот инструмент полезен, если вы не можете запустить ни одной утилиты из пакета протоколов TCP/IP. После того как вы убедились в том, что TCP/IP установлен, но нельзя использовать команды PING или TRACERT, следует удалить и заново проинсталлировать протокол TCP/IP, который мог повредиться.

Инструмент NBTSTAT помогает в решении проблем, связанных с разрешением NetBIOS-имен в TCP/IP-соединениях. Он показывает статистику протокола и текущие TCP/IP-соединения, используя NetBT (NetBIOS поверх TCP/IP). Когда сеть функционирует нормально, NetBT разрешает присваивать NetBIOS-имена IP-адресам.

Команда NBTSTAT имеет следующий синтаксис.

Nbtstat [-a Удаленное имя] [-A IP-адрес] [-c] [-n] [-r] [-R] [-s] [-S] [интервал]

Некоторые аргументы NBTSTAT означают следующее.

• -n Показывает имена, зарегистрированные локально системой, в которой используется сервер или службы переадресации.
• -с Перечисляет переводы имени в IP-адрес, которые находятся в кэше системы.
• -R Заставляет систему очищать кэш и перезагружать его из файла Lmhosts (автоматически перезагружаются только те элементы Lmhosts файла, которые имеют обозначение #PRE).
• -a "имя" Возвращает таблицу NetBIOS-имен компьютера, а также MAC-адрес его сетевой карты.
• -s Перечисляет текущие NetBIOS-сессии, их статус и основные статистические данные.

Примечание. Для получения более подробной информации о NBTSTAT введите nbtstat /? в окне команд.

Здесь приведен пример команды NBTSTAT.

C:\WINDOWS>nbtstat -n
Node IpAddress: [192.168.1.101] Scope Id: [] NetBIOS Local Name Table

	Name							Type		Status	 
CORUSCANT 		<00> 		UNIQUE	 	Registered 	
LAN 				<00> 		GROUP 		Registered 	
CORUSCANT 		<03> 		UNIQUE	 	Registered 	
CORUSCANT 		<20> 		UNIQUE 		Registered 	
LAN 				<1E> 		GROUP 		Registered 	
DEFAULT 			<03> 		UNIQUE 		Registered 	
Введите nbtstat -c и увидите следующий результат.
Node IpAddress: [192.168.1.101] Scope Id: [] NetBIOS Remote Cache Name Table
 Name							Type      		Host Address   		Life [sec]
ENDOR         				<00>  		UNIQUE     192.168.1.102,      	180 
ENDOR         				<20>  		UNIQUE     192.168.1.102      		 60

Инструмент PATHPING является комбинацией инструментов PING и TRACERT. Этот инструмент в упорядоченном режиме посылает информационные пакеты на каждый маршрутизатор по пути к месту назначения. Затем он рассчитывает результаты на основании пакетов, возвращенных каждым маршрутизатором. Так как PATHPING показывает степень потери пакетов в любом маршрутизаторе или соединении, администратор может определить, какие именно маршрутизаторы и соединения вызывают проблемы в работе сети.

Команда PATHPING записывается следующим образом.

Pathping [-n] [-h maximum_hops] [-g host-list] [-p period] [-q num_queries] [-w timeout] [-T] [-R] target_name

Некоторые аргументы PATHPING включают в себя следующее.

• -n Не разрешает присваивать адреса именам хостов.
• -h maximum_hops Указывает максимальное количество изменений маршрута, необходимое для нахождения конечного пункта. Настройка по умолчанию предусматривает 30 переходов.
• -p period Указывает время (мс) между двумя передачами пинг-сигнала. По умолчанию равно 250 мс.
• -q num_queries Указывает количество запросов, посланных на каждый компьютер во время прохождения маршрута. Значение по умолчанию - 100.
• -w timeout Указывает время (мс), отводимое на ожидание ответа. По умолчанию - 3000 мс (или 3 с).

Следующий пример, в котором проверяется маршрут и путь от компьютера в Соединенных Штатах до Университета науки и технологии в Китае, дает вам представление о полезности и результативности инструмента PATHPING.

C:\pathping 202.38.64.2

Tracing route to www.ustc.edu.cn [202.38.64.2]
over a maximum of 30 hops:
	0 	Endor [65.103.23.213]
	1 	mplsapanas12poolC254.mpls.uswest.net [65.103.23.254]
	2 	www.ustc.edu.cn [207.225.140.29]
	3 	min-core-02.tamerica.net [205.171.128.25]
	4 	den-core-02.tamerica.net [205.171.8.97]
	5 	500.POS4-1.GW4.DEN4.ALTER.NET [157.130.172.41]
	6 	175.at-5-0-0.XR1.DEN4.ALTER.NET [152.63.93.202]
	7 	177.at-2-0-0.XR1.SLT4.ALTER.NET [152.63.94.46]
	8 	0.so-0-0-0.TL1.SLT4.ALTER.NET [152.63.9.70]
	9 	0.so-4-0-0.TL1.LAX9.ALTER.NET [152.63.0.165]
	10 	0.so-0-0-0.XL1.LAX9.ALTER.NET [152.63.115.137]
	11 	POS6-0.BR3.LAX9.ALTER.NET [152.63.115.1]
	12 	if-5-0-1.bb3.LosAngeles.Teleglobe.net [207.45.200.197]
	13 	if-2-1.core1.LosAngeles.Teleglobe.net [207.45.220.97]
	14 	if-6-0.core1.LosAngeles2.Teleglobe.net [64.86.83.134]
	15 	if-0-0-0.bb1.LosAngeles2.Teleglobe.net [64.86.80.38]
	16 	64.86.173.34
	17 	202.112.61.21
	18 	202.112.61.137
	19 	202.112.61.193
	20	whbj4.cernet.net [202.112.46.66]
	21 	hfwh3.cernet.net [202.112.46.130]
	22 	hef1.cernet.net [202.112.38.126]
	23 	* 		* 		*
Computing statistics for 575 seconds...
		Source to Here 		This Node/Link
Hop 	RTT 		Lost/Sent = Pct 		Lost/Sent = Pct 	Address 0	Endor [65.103.23.213]
											5/ 100 = 5% 	|
	1 	172ms 		6/ 100 = 6% 			1/ 100 = 1%
mplsapanas12poolC254.mpls.uswest.net [65.103.23.254]
											0/ 100 = 0% 	|
	2 	167ms 		6/ 100 = 6% 			1/ 100 = 1% 	207.225.140.29
											0/ 100 = 0%	|
	3 	166ms 		6/ 100 = 6% 			1/ 100 = 1%
min-core-02.tamerica.net [205.171.128.25]
											0/ 100 = 0% 	|
	4 	196ms 		6/ 100 = 6% 			1/ 100 = 1%
den-core-02.tamerica.net [205.171.8.97]
											0/ 100 = 0% 	|
	5 	215ms 		6/ 100 = 6% 			1/ 100 = 1%
500.POS4-1.GW4.DEN4.ALTER.NET [157.130.172.41]
											0/ 100 = 0% 	|
	6 	211ms 		6/ 100 = 6% 			1/ 100 = 1%
175.at-5-0-0.XR1.DEN4.ALTER.NET [152.63.93.202]
											0/ 100 = 0% 	|
	7 	215ms 		6/ 100 = 6% 			1/ 100 = 1%
177.at-2-0-0.XR1.SLT4.ALTER.NET [152.63.94.46]
											0/ 100 = 0% 	|
	8 	220ms 		6/ 100 = 6% 			1/ 100 = 1%
0.so-0-0-0.TL1.SLT4.ALTER.NET [152.63.9.70]
											0/ 100 = 0% 	|
	9 	295ms 		5/ 100 = 5% 			0/ 100 = 0%
0.so-4-0-0.TL1.LAX9.ALTER.NET [152.63.0.165]
											0/ 100 = 0% 	|
	10 	293ms 		5/ 100 = 5% 			0/ 100 = 0%
0.so-0-0-0.XL1.LAX9.ALTER.NET [152.63.115.137]
											0/ 100 = 0% 	|
	11 	295ms 		5/ 100 = 5% 			0/ 100 = 0%
POS6-0.BR3.LAX9.ALTER.NET [152.63.115.1]
											0/ 100 = 0% 	|
	12 	294ms 		5/ 100 = 5% 			0/ 100 = 0%
if-5-0-1.bb3.LosAngeles.Teleglobe.net [207.45.200.197]
											0/ 100 = 0% 	|
	13 	321ms 		5/ 100 = 5% 			0/ 100 = 0%
if-2-1.core1.LosAngeles.Teleglobe.net [207.45.220.97]
											0/ 100 = 0% 	|
	14 	280ms		5/ 100 = 5% 			0/ 100 = 0%
if-6-0.core1.LosAngeles2.Teleglobe.net [64.86.83.134]
											0/ 100 = 0% 	|
	15 	287ms		5/ 100 = 5% 			0/ 100 = 0%
if-0-0-0.bb1.LosAngeles2.Teleglobe.net [64.86.80.38]
											0/ 100 = 0% 	|
	16 	442ms 		5/ 100 = 5% 			0/ 100 = 0% 	64.86.173.34
											0/ 100 = 0% 	|
	17	 456ms 		5/ 100 = 5% 			0/ 100 = 0% 	202.112.61.21
											0/ 100 = 0% 	|
	18 	453ms 		5/ 100 = 5% 			0/ 100 = 0% 	202.112.61.137
											0/ 100 = 0% 	|
	19 	444ms 		5/ 100 = 5% 			0/ 100 = 0% 	202.112.61.193
											1/ 100 = 1% 	|
	20	426ms 		6/ 100 = 6% 			0/ 100 = 0% 	whbj4.cernet.net  [202.112.46.66]
											0/ 100 = 0% 	|
	21	 433ms 		6/ 100 = 6%			0/ 100 = 0% 	hfwh3.cernet.net [202.112.46.130]
											0/ 100 = 0% 	|
	22 	428ms 		6/ 100 = 6% 			0/ 100 = 0% 	hef1.cernet.net   [202.112.38.126]
											94/ 100 = 94% |
	23 	- 			100/ 100 =100% 		0/ 100 = 0% 	Endor [0.0.0.0]
Trace complete.

Устранение неполадок может оказаться трудной задачей. Но мы питаем надежду, что с помощью приемов и методов, представленных здесь, а также благодаря набору инструментов системы Windows XP Professional и сетевым протоколам TCP/IP, вы справитесь со всеми проблемами своей сети, и они не вызовут у вас слишком большого стресса.

ОС Windows XP Professional обеспечивает безопасность системы несколькими способами. Причем не только старыми проверенными способами, известными еще в ранних версиях Windows, но и с помощью совершенно новых свойств. Мы поговорим об управлении локальной политикой безопасности, регистрации, журналах безопасности Internet Connection Firewall, шаблонах безопасности, процессе ввода данных и, наконец, об анализе и конфигурации системы защиты. Инструменты защиты могут использоваться не только для обеспечения безопасности в системе Windows XP Professional, но и для управления настройками системы защиты домена. Начнем с обзора улучшения системы защиты Windows XP Professional.

Система защиты в Windows не стоит на месте. При выходе каждой новой версии Windows вы можете ожидать улучшения свойств обеспечения безопасности. Windows XP Professional не является исключением.

В ней содержатся все основные средства защиты, которые имелись в Windows NT и Windows 2000, но есть и новые свойства.

• Собственность администратора (Administrative ownership). В более ранних версиях Windows любые ресурсы, созданные администратором (файлы и папки), становились достоянием всей группы. Однако в Windows XP Professional эти ресурсы принадлежат отдельному администратору, создавшему их.
• Агент восстановления EFS. В Windows 2000 при попытке конфигурирования EFS политики восстановления без сертификатов агента восстановления система EFS автоматически отключается. В Windows XP Professional можно шифровать файлы без агента восстановления данных (Data Recovery Agent).
• Инсталляция принтера. Только администраторы и опытные пользователи могут устанавливать локальные принтеры. Причем администраторы имеют это право по умолчанию, а опытные пользователи должны получать эту привилегию.
• Ограничения, связанные с использованием пустого пароля. Windows XP Professional пользователи могут использовать пустые пароли, но с ними они могут только физически зарегистрироваться на локальном компьютере.
• Программное ограничение. Политика безопасности Windows XP Professional может быть присвоена отдельным приложениям на основании пути файла, интернет-зоны или сертификата.
• Быстрая смена пользователей. Компьютеры, работающие в среде Windows XP Professional и не соединенные с доменом, могут быстро переключаться с одного пользователя на другого, не выходя из сети и не закрывая приложений.
• Мастер сброса пароля. Если пользователь забыл свой пароль, то он может воспользоваться дискетой перезагрузки для доступа к своей учетной записи.

В следующих разделах некоторые из этих тем рассматриваются более подробно, а другие не требуют объяснений и запускаются в Windows XP Professional по умолчанию.

Возможность создавать и управлять политикой безопасности на локальном компьютере осуществляется посредством оснастки MMC. Это приложение позволяет вам не только просматривать локальную систему безопасности, но и вносить в нее изменения.

Для просмотра политики безопасности выберите Start\Control Panel\ Performance and Maintenance\Administrative Tools (Пуск\Панель управления\Производительность и обслуживание\Администрирование). Щелкните дважды на Local Security Policy (Локальная политика безопасности). Появится окно, изображенное на рис. 9.1.

Примечание. Вы можете запустить этот инструмент из командной строки, введя secpol.msc.

Для просмотра отдельной политики безопасности щелкните дважды на значке нужной политики. В качестве примера рассмотрим, как управлять настройками системы безопасности в папке Security Options (Параметры безопасности). После того как вы щелкните дважды на Security Options, появится список настроек системы безопасности (рис. 9.2). Затем щелкните на настройке Devices: Unsigned driver installation behavior (Устройства: поведение при установке неподписанного драйвера). Из рис. 9.3 видно, что можно выбрать один из трех вариантов настройки.

• Согласиться безоговорочно.
• Предупредить, но разрешить инсталляцию.
• Не разрешать инсталляцию.

В лекции 5 мы говорили об основах использования и управления межсетевым экраном ICF (Internet Connection Firewall) системы Windows XP Professional. Несколько дополнительных сведений о безопасности в области регистрации сделают знакомство с ICF еще более полезным. Журнал безопасности ICF позволяет создавать список действий системы защиты, а именно установку запрета или разрешения на трафик со стороны ICF. Вы можете модифицировать действия межсетевого экрана с помощью различных правил протокола ICMP. Например, ICMP позволяет разрешить (или запретить) следующее.

• Входящие эхо-запросы.
• Входящие метки времени.
• Входящие запросы маршрутизатора.
• Переадресацию.

На основании требований протокола ICMP в ICF журнале безопасности будут регистрироваться различные виды информации. Правила протокола ICMP хороши тем, что они не отсекают сеть от остального мира, но, в то же время, строго ограничивают доступ к ней.

Журналы ICF имеют свой уникальный формат. Во-первых, в заголовке указываются версия используемого межсетевого экрана ICF, имя журнала безопасности, примечание о том, что вход в систему регистрируется по локальному времени, и список доступных полей для регистрационных записей. В таблице 9.1 показаны поля для ввода данных в журнале безопасности ICF.

Польза журнала безопасности ICF состоит в том, что после его просмотра можно обнаружить попытки несанкционированного доступа к сети. Изучив поля action, scr-ip и dst-ip, можно определить, пытается ли кто-то повредить сеть в целом или вывести из строя какое-то определенное устройство.

Теперь, когда вы знаете, что должно содержаться в журнале безопасности, давайте подробнее разберемся с тем, как можно применять запись в журнал и настраивать различные служебные функции, облегчающие управление межсетевым экраном ICF.

В связи с тем, что ведение журнала ICF не активировано по умолчанию при инсталляции ICF, его необходимо включать. Для этого выполните следующие действия.

1. Выберите Start\Control Panel (Пуск\Панель управления).
2. Щелкните на Network and Internet Connections (Сеть и подключения к интернету), а затем - на Network Connections (Сетевые подключения).
3. Щелкните на соединении, которое использует ICF, а затем в Network Tasks (Сетевые задачи) щелкните на Change settings of this connection (Изменение настроек подключения).
4. На вкладке Advanced (Дополнительно) щелкните на Settings (Параметры).
5. На вкладке Security Logging (Ведение журнала безопасности) (рис. 9.4) выберите опции:
   • регистрация пропущенных пакетов;
   • регистрация всех входящих попыток установить соединение, которому отказано в доступе;
   • регистрация успешных соединений;
   • регистрация всех успешных попыток исходящих соединений.

Разумеется, если вы решите больше не отслеживать работу ICF, то можете отключить ведение журнала. Для этого просто очистите флажки рядом с опциями Log dropped packets (Записывать пропущенные пакеты) и Log successful connections (Записывать успешные подключения).

Вы можете переименовать журнал ICF или указать для него путь, отличный от пути по умолчанию. Это удобно, если нужно получать несколько отчетов (время дня, день недели и т. д.). Для изменения пути или имени файла на вкладке Security Logging (Ведение журнала безопасности) (рис. 9.4) в разделе Log file options (Параметры файла журнала) щелкните на Browse (Обзор) и перейдите в то место, где нужно разместить файл журнала. Введите выбранное имя в поле File name (Имя файла) и нажмите на Open (Открыть).

Примечание. Если вы оставите поле имени файла пустым, то система Windows XP Professional по умолчанию назовет файл журнала pfirewall.log.

Просматривать журнал регистраций ICF так же несложно, как и выполнять другие задачи. На вкладке Security Logging (Ведение журнала безопасности) в области Log file options(Параметры файла журнала) в разделе Name (Имя) щелкните на Browse (Обзор) и найдите журнал. Если вы не сохранили его под определенным именем, то он называется pfirewall.log. Щелкните на нем правой кнопкой мыши и затем выберите Options (Параметры) для просмотра содержания.

Вы можете решить, что размер файла журнала ICF слишком мал, что не соответствует вашим нуждам. Размеры файла, в свою очередь, зависят от размеров организации, количества регистрируемых соединений и времени использования журнала ICF. Если нужно сделать журнал побольше (или поменьше, если он занимает слишком много места на жестком диске), то войдите на вкладку Security Logging (Параметры файла журнала), как это было описано выше. Затем в разделе Log file options в Size limit (Ограничение размера журнала) используйте кнопки со стрелками для изменения размера журнала. По умолчанию размер журнала составляет 4 Мб, а максимальный размер - 32 Мб.

Примечание. Если журнал (например, используемый по умолчанию) будет заполнен, то регистрация не прекратится. Более того, будут сгенерированы новые файлы журналов с именами pfirewall.log.1 и т. д.

Используя оснастку Security Templates (Шаблоны безопасности), вы можете создавать текстовые файлы, которые содержат в себе все настройки безопасности для безопасных областей, поддерживаемых локальной политикой безопасности. Это удобно для использования всех элементов системы защиты, доступных в Windows XP Professional. В этом разделе мы расскажем о том, как создавать шаблон, модифицировать существующий шаблон и применять его в системе Windows XP Professional.

Для запуска оснастки Security Templates (Шаблоны безопасности) и просмотра настройки политики безопасности проделайте следующие шаги.

1. Откройте ММС.
2. В меню File (Файл) щелкните на Add/Remove Snap-in (Добавить или удалить оснастку) и затем щелкните на Add (Добавить).
3. В списке Available Standalone Snap-ins (Доступные изолированные оснастки) выберите Security Templates (Шаблоны безопасности).
4. Щелкните на Add (Добавить) и затем нажмите Close (Закрыть).
5. Нажмите ОК. Оснастка Security Templates показана на рис. 9.5.
6. В правом окне щелкните на значке '+', чтобы развернуть Security Templates (Шаблоны безопасности).
7. Разверните C:\Windows\security\templates (С: - это обозначение диска, на котором хранится система Windows).
8. Для создания шаблона щелкните дважды на Security Templates, правой кнопкой мыши щелкните на папке шаблонов по умолчанию и затем щелкните на New Template (Новый шаблон).

Таким образом вы создадите пустой шаблон, в который можно внести все, относящееся к политике безопасности организации. Для сохранения шаблона откройте меню File (Файл) и щелкните на Save As (Сохранить как).

Система Windows XP Professional изначально включает в себя ряд шаблонов. Они создают хороший фундамент для построения собственной политики безопасности. У вас может быть готовая политика безопасности, которую вы захотите улучшить и применить позже. Для открытия и редактирования любого шаблона дважды щелкните на нем в левом окне оснастки Security Templates (Шаблоны безопасности).

Примечание. Хотя в Security Templates имеются уже готовые шаблоны, неплохо внимательно изучить их заранее и убедиться, что они подходят для нужд вашей организации.

Существует четыре основных типа шаблонов:

• основной;
• безопасный;
• высокой степени безопасности;
• смешанный.

Эти шаблоны представляют диапазон средств безопасности, начиная со стандартных (Basic) и заканчивая средствами повышенной безопасности (High Secure). Шаблоны Miscelleneous (смешанные) предоставляют настройки безопасности для некоторых категорий, для которых трудно определить место в рамках иерархии Basic, Secure и High Secure. Они содержат настройки для таких опций как Terminal Services (Службы терминалов) и Certificate Services (Службы сертификации). Ниже перечислены некоторые шаблоны, содержащихся в рамках каждой категории.

• Basicsv Устанавливает базовый уровень безопасности для сервера печати и файлового сервера.
• Securews Устанавливает средний уровень безопасности для рабочих станций.
• Hisecdc Устанавливает самый высокий уровень безопасности для контроллеров доменов.
• Ocfiless Устанавливает политику безопасности файловых серверов.

Любой из десяти образцов шаблонов хорошо подходит для начала разработки сетевой безопасности. Однако при модификации шаблона имеет смысл сохранить его под новым именем, чтобы старый шаблон не был переписан.

Создание или редактирование уже существующего шаблона не вносит изменений в настройки системы безопасности. Чтобы произвести такие изменения, следует применить шаблон к своему компьютеру. Для применения вновь созданного или отредактированного шаблона проделайте следующее.

1. В оснастке Group Policy (Групповая политика) щелкните дважды на Computer Configuration (Конфигурация компьютера) и разверните Windows Settings (Конфигурация Windows).
2. Щелкните правой кнопкой мыши на Security Settings (Параметры безопасности) и затем щелкните на Import Policy (Импорт политики) (рис. 9.6).
3. Выберите шаблон, которым вы хотите воспользоваться.
4. Нажмите на ОК.

Так как компьютерные сети постоянно конфигурируются, реконфигурируются и настраиваются, то может случиться так, что уже существующие рабочие настройки безопасности не будут работать корректно после изменений, внесенных в сеть. Чтобы держать под контролем систему обеспечения безопасности сети, полезно использовать инструменты проверки (аудита) безопасности, предоставляемые Windows XP Professional. К таким инструментам относятся:

• Event Viewer (Просмотр событий) (рассмотрен в лекции 8);
• Audit policies (Политики аудита);
• оснастка Security Configuration and Analysis (Анализ и настройка безопасности).

Проверка проводится посредством оснастки групповой политики ММС. Вы можете увидеть различные элементы, проверка которых возможна в Windows XP Professional, открыв папку Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy в оснастке Group Policy.

Ввод учетной записи регистрируется всякий раз, когда пользователь пытается войти в сеть. Регистрируются как удачные, так и неудачные попытки. Неудачные попытки впоследствии делятся на те, для которых учетная запись устарела, пользователь пытался войти локально, был введен неправильный пароль или другие случаи. Можно проверить следующие элементы.

• Управление учетной записью. Регистрируется всякое управление учетной записью.
• События ввода. Регистрируются все события, связанные с вводом данных в сети.
• Доступ к объекту. Регистрируются все попытки доступа к конкретному объекту (папке, принтеру).
• Изменения политики. Регистрируется всякое успешное изменение политики сети. Полезно, если вы хотите переустановить политику до определенного состояния и нуждаетесь в справочном материале.
• Использование привилегий. Регистрируются попытки воспользоваться специальными привилегиями. Регистрационная запись делается как для удачной, так и для неудачной попытки.
• Отслеживание процесса. Регистрируются процессы, запускаемые пользователем. Эта функция используется для мониторинга приложений, запускаемых пользователем в течение дня.
• События системы. Регистрируются события, происходящие в системе, например перезапуск системы.

Перед тем как заняться аудитом, следует составить четкий план, включающий в себя все, что нужно проверять, и то, как использовать эту информацию для позитивных изменений. Аудит в значительной степени расходует ресурсы системы - надо точно знать, что проверять, чтобы не переборщить.

Например, если в сети наблюдаются проблемы с выполнением, то начать следует с отслеживания процессов. Сравнив регистрационную запись об отслеживании процессов с общей работой системы, вы сможете определить, отвечают ли конкретные приложения за замедление работы сети. Если вы обнаруживаете избыточный расход тонера (краски для принтера), то аудит доступа к объектам поможет определить, кто из работников использует принтер и для каких целей. Вы сможете решить, нужно ли ограничить разрешение на доступ к принтеру некоторым пользователям.

Для включения аудита проделайте следующие шаги.

1. Щелкните правой кнопкой мыши на объекте, который вы хотите проверить, и затем щелкните на Properties (Свойства).
2. На вкладке Security (Безопасность) нажмите кнопку Properties.
3. Появятся расширенные настройки безопасности для страницы Shared Documents (Общие документы). Щелкните на вкладке Auditing (Аудит) (рис. 9.7).
4. Щелкните на кнопке Add (Добавить). Появится список пользователей и групп. Выберите пользователя или группу, чьи действия вы хотите проверять.
5. Можете выбрать несколько пользователей или групп. Для каждого из них решите, что нужно отслеживать: успешные действия, неудачные или оба вида (см. рис. 9.8).
6. Выберите, будет ли аудит проводиться только в отношении этого объекта, или будет включать в себя и дочерние объекты. Например, если выбрана папка Documents, в которой содержатся подкаталоги Administration Documents и Accounting Documents, и требуется мониторинг их использования, выберите опцию применения аудита к объектам и/или контейнерам внутри этого контейнера (Apply auditing entries to objects and/or containers within this container only).
7. Выполните все настройки для мониторинга выбранных пользователей, компьютеров или групп и нажмите на ОК.
   
   
   
   Рис. 9.7.  Аудит папки в Windows XP Professional
   
   
   
   Рис. 9.8.  Выбор объектов для мониторинга

8. Откройте оснастку Group Policy (Групповая политика) ММС. Перейдите в Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
9. Щелкните дважды на Audit objects access (Аудит доступа к объектам).
10. Отметьте или очистите флажки "successful" (успех) или "failed" (неудача) в соответствии с требованиями проверки.
11. Нажмите на ОК.

Аудит может интенсивно поглощать время и ресурсы. Однако, решив, какие именно свойства следует проверить, и составив четкий план их анализа, вы сможете убедиться в том, что безопасность системы настроена должным образом.

Оснастка Security Configuration and Analysis (Анализ и настройка безопасности) ММС является хорошим инструментом для анализа текущих настроек безопасности и сравнения их с базовым шаблоном безопасности. Учитывая, что в системе Windows XP Professional имеется огромное количество настроек безопасности, отслеживать каждую из них представляется достаточно сложной задачей. Анализ же позволяет обнаруживать дыры в системе безопасности, тестировать влияние множественного изменения настроек безопасности в системе без реализации этого изменения и обнаруживать любые отклонения в политике безопасности, существующей в сети.

Например, если вы создали шаблон безопасности и хотите сравнить его (то есть идеальные настройки безопасности) с текущими настройками безопасности системы, воспользуйтесь инструментом Security Configuration and Analysis. Если ваш шаблон безопасности окажется более строгим, чем текущий, то инструмент укажет те области, которые следует укрепить, чтобы они соответствовали новым настройкам. Более того, инструмент сообщит, что произойдет с системой в случае реализации этих новых настроек.

Для запуска инструмента Security Configuration and Analysis проделайте следующее.

1. Введите в командную строку MMC/s.
2. В меню File (Файл) щелкните на Add/Remove Snap-in (Добавить или удалить оснастку).
3. Щелкните на Add (Добавить).
4. В Available Standalone Snap-ins (Доступные изолированные оснастки) найдите Security Configuration and Analysis (Анализ и настройка безопасности) и сделайте двойной щелчок.
5. Нажмите на Close (Закрыть), затем на ОК.

Теперь инструмент Security Configuration and Analysis доступен вам (рис. 9.9), но еще предстоит его сконфигурировать.

Работа инструмента Security Configuration and Analysis (Анализ и настройка безопасности) основана на использовании базы данных. Вам надо ее создать. Инструмент позволяет создать базу данных конфигураций и анализа безопасности, также называемую локальной базой данных политики компьютера.

Изначально база данных создается во время инсталляции Windows XP Professional. В ней содержатся конфигурации безопасности системы по умолчанию. При необходимости можно сразу же после инсталляции экспортировать эту базу данных и держать ее всегда под рукой на случай восстановления первоначальных настроек.

База данных определяет локальную политику безопасности компьютера, работающего при той конфигурации, которая определена требованиями политики безопасности. Однако политика безопасности может оказаться недостаточной для определения всей конфигурации в целом. Например, у вас может не оказаться предписаний безопасности для определенных папок или файлов. Запустив Security Configuration and Analysis, вы сможете найти такого рода ошибки.

Можно создать столько баз данных безопасности, сколько нужно. Для создания базы данных конфигураций безопасности проделайте следующее.

1. В левом окне ММС щелкните правой кнопкой мыши на Security Configuration and Analysis (Анализ и настройка безопасности).
2. Щелкните на Open Database (Открыть базу данных).
3. В диалоговом окне Name (Имя) введите имя, которое вы хотите дать новой базе данных, и щелкните на Open (Открыть).
4. Выберите имеющийся шаблон безопасности для импорта в базу данных.
5. Щелкните на Open.

Для анализа конфигураций базы данных проделайте следующие шаги.

1. В левом окне ММС щелкните правой кнопкой мыши на Security Configuration and Analysis (Анализ и настройка безопасности).
2. Щелкните на Analyze Computer Now (Анализ компьютера).
3. В появившемся диалоговом окне Error log file path (Путь к файлу журнала ошибок) введите место, в котором будут сохранены результаты анализа, например, c:\logs\securitylog.log.
4. Щелкните на Open (Открыть) и затем нажмите ОК. По мере проверки инструментом настроек безопасности компьютера в окне состояния будет отображаться процесс выполнения задания

После того как задание будет выполнено, просмотрите результаты анализа:

1. В левом окне ММС щелкните правой кнопкой мыши на Security Configuration and Analysis (Анализ и настройка безопасности).
2. Щелкните на View (Просмотр) и затем щелкните на Customize (Настроить).
3. Выберите описание для отображения базы данных, над которой вы работаете, и щелкните ОК.
4. В левом окне щелкните на Security Configuration and Analysis.
5. В правом окне щелкните дважды на любой записи для получения подробного объяснения (см. рис. 9.10).

Здесь представлены результаты анализа конфигурации следующих областей.

• Account policies (Политика учетной записи). Показывает пароль, блокировку учетной записи и политику аутентификации, соответствующую протоколу Kerberos (в системе Windows 2000 только контроллеры доменов)
• Event log (Журнал событий). Показывает методы аудита, включая доступ к объекту, изменение пароля и операции входа/выхода в систему.

• Local policies (Локальная политика). Показывает методы аудита назначения прав пользователей и опции безопасности компьютера.
• Restricted groups (Группы с ограниченным доступом). Показывает членство для групп, определенных как секретные.
• Object trees (Объектные деревья). Как и Windows 2000, контроллер доменов показывает объекты каталогов, журнал подключей и записей, а также локальную файловую систему.

Другие записи включают в себя сервисы системы, журнал и файловую систему. Проанализировав свою систему безопасности, возможно, вы захотите внести изменения в ее настройки. Если вы считаете настройку актуальной, то отметьте флажок Define this policy (Определить следующую политику в базе данных) во время исследования системы безопасности. Если очистить флажок, то данная политика будет удалена из конфигурации.

В будущем для использования различных видов конфигурации и анализа просто щелкните на элементе управления Еdit Security Settings (Изменить параметры безопасности), чтобы изменить текущее определение безопасности, содержащееся в базе данных.

Хотя Windows XP Professional не имеет версии, предназначенной специально для серверов, тем не менее, следует предпринять несколько важных шагов по обеспечению безопасности сервера (Windows NT, 2000 или .NET) во время постройки и конфигурирования Windows XP Professional сети. Так же следует обдуманно настраивать соединения сервера с Windows XP Professional-клиентами. В этом разделе рассматриваются такие методы обеспечения безопасности сервера, как IPSec, протоколы безопасности, групповая политика, аутентификация и списки управления доступом.

Windows XP Professional обеспечивает безопасность передачи пакетов в сетях TCP/IP с помощью протокола IPSec. IPSec можно использовать для создания сквозных безопасных решений, основанных на применении шифрованной передачи данных. IPSec-решение предлагает следующее.

• Конфиденциальность. Отдельные лица не могут перехватывать и читать сообщения.
• Аутентификация. Отправители сообщений действительно являются теми, кем себя объявляют.
• Целостность. Сообщения гарантированно не могут быть фальсифицированными при передаче.
• Защита. Блокируя определенные порты или протоколы, IPSec защищает от возможных отказов от обслуживания (denial of service, DoS).

На рис. 9.11 схематически изображена работа протокола IPSec. Хост с активной политикой безопасности хочет установить соединение с другим компьютером, использующим политику безопасности.

1. Хост А пытается передать данные. IPSec-драйвер хоста А связывается с IPSec-драйвером хоста В для установления ассоциированной безопасности (SA) , о которой пойдет речь в следующем разделе.
2. Два компьютера производят обмен секретными ключами проверки подлинности, создавая секретные ключи совместного пользования.
3. Используя методику безопасности, согласованную в SA, хост А подписывает и шифрует пакеты, предназначенные для хоста В.
4. Хост В получает пакеты, и драйвер IPSec проверяет подпись и ключ пакетов. После аутентификации данные передаются по стеку в хост В.

Разумеется, весь процесс происходит быстро и незаметно для пользователей компьютеров А и В. Однако на шифрование и дешифрование этих пакетов расходуются дополнительные циклы работы процессора.

На каждом компьютере в Windows XP/2000/.NET сетях имеется агент IP-политики. Является он активным или нет, решает администратор. Если агент активен, то он извлекает IPSec-политику, которая описывает согласование методов локальной защиты, и внедряет ее на локальном компьютере.

SA является контрактом, заключаемым между двумя компьютерами до начала обмена данными. В этом соглашении определены следующие особенности обмена данными.

• Протокол IPSec. Заголовок аутентификации, инкапсулированная полезная нагрузка.
• Алгоритм целостности. Message Digest 5, алгоритм безопасного хэширования.
• Алгоритм шифрования. Data Encryption Standard (DES), Triple DES, 40-битное DES или никакого.

По умолчанию Windows XP Professional предоставляет три вида заранее определенной политики безопасности, которые подходят для большинства случаев. Вы также можете начать с одного из этих видов политики и модифицировать его в соответствии со своими нуждами. Ниже дается описание этих политик.

• Client (Работает только в режиме отклика). Компьютеру дается указание использовать протокол IPSec, если другой компьютер запрашивает его. IPSec не требуется при установке связи с другим компьютером. Эта политика лучше всего подходит для компьютеров, в которых находится очень мало или отсутствуют секретные данные.
• Server (Защита желательна). Эта политика предназначена для серверов, которые должны по мере возможности использовать протокол IPSec, но не отменяют сеанс связи, если клиент не поддерживает IPSec. При необходимости тотальной безопасности должна применяться политика Secure Server, описанная ниже. Политика Server применяется в таком окружении, где не каждый клиент может использовать IPSec. Например, во время миграции из системы Windows NT.
• Secure Server (Защита обязательна). Эта политика подходит для серверов, содержащих секретные данные. Она требует использования IPSec всеми клиентами. Все исходящие соединения безопасны, а все небезопасные запросы клиентов получают отказ.

Выбор правильной политики основывается на тщательной оценке данных. Необдуманное предписание самого высокого уровня безопасности для всех пользователей и серверов создаст огромную и ненужную нагрузку на серверах и клиентских рабочих станциях. Это связано с дополнительной работой компьютеров по шифрованию и дешифрованию всего сетевого трафика. Однако разрешение любому клиенту устанавливать связь с безопасным сервером открывает широкий доступ для потока небезопасной информации.

Консоль Microsoft Management Console (MMC) используется для создания и конфигурирования IPSec-политики. Для этого в ММС надо добавить оснастку IPSec Policy Management (рис. 9.12).

Примечание. Добавление IPSec в ММС происходит аналогично добавлению других оснасток, упомянутых в этом курсе. Просмотрев список доступных оснасток, выберите IP Security Policy Management.

После добавления IPSec в консоль ММС появится запрос, каким компьютером эта оснастка будет управлять. Можно выбрать следующие опции:

• этот компьютер;
• контроллер домена Active Directory, членом которого является этот компьютер;
• другой домен Active Directory;
• другой компьютер.

Когда вы в первый раз откроете оснастку IPSec, то увидите три вида политик, предоставленных по умолчанию, чтобы вы могли модифицировать их так, как нужно. Вы можете создать собственную политику, используя мастер политики IP-безопасности. Мастер запускается правым щелчком мыши на оснастке IPSec в левом окне с последующим выбором Create IP Security Policy (Создать политику безопасности IP).

При запуске мастер запросит следующую информацию.

• Имя и описание политики.
• Будет ли политика отвечать на запросы по установке безопасных соединений.
• Метод аутентификации (Kerberos, сертификат или общий секретный ключ).

Фрагмент готовой IPSec-политики показан на рис. 9.13.

Можно также регулировать настройки, относящиеся к работе с ключами и к ограничениям информации, которой вы будете обмениваться. Например, щелкнув дважды на All IP Traffic (Весь IP-трафик), можно уточнить настройки данной характеристики. Как показано на рис. 9.14, эта специфическая деталь IPSec указывает на фильтрацию всего IP-трафика, ICMP-трафика или трафика обоих видов.

Можно импортировать другие доступные методы обеспечения безопасности по мере их появления, чтобы не привязываться к устаревшей технологии. После внесения изменений политика будет добавлена к списку политик безопасности по умолчанию, так что вы всегда сможете воспользоваться ей или модифицировать ее позже.

Дальше IPSec-политика может быть присвоена групповой политике (Group Policy). Здесь она будет применяться ко всем компьютерам, которые являются членами группы, и ко всем пользователям. В отличие от других видов политики, локальная политика безопасности имеет приоритет над политиками, стоящими выше с иерархической точки зрения. Например, локальная IPSec-политика организационной единицы аннулирует политику, присвоенную домену.

Впервые пользователь сталкивается с политикой безопасности при входе в систему. Когда он усаживается за свой компьютер и нажимает на CTRL-ALT-DEL, то видит приглашение ко вводу имени пользователя и пароля. В этом разделе мы подробно рассмотрим, что представляет собой процесс входа в системе Windows XP Professional, и как осуществляется переход от одной учетной записи пользователя к другой.

При использовании Windows 2000 в качестве операционной системы сервера, Windows XP Professional использует четыре типа процессов входа.

• Интерактивный. Используется при входе пользователя на локальный компьютер.
• Сетевой. Используется при входе пользователя в сеть. Локальный администратор безопасности (Local Security Authority, LSA) клиентской рабочей станции предпринимает попытку авторизации с помощью аутентификационных данных входа в систему.
• Сервисный. Сервисы на базе Win32 загружаются на локальный компьютер, используя данные удостоверения личности из учетной записи пользователя локальной сети (или домена) или учетной записи LocalSystem. При использовании учетной записи LocalSystem (в Windows 2000 Server) сервис будет иметь свободный доступ к Active Directory. С другой стороны, если сервис использует привилегии безопасности учетной записи пользователя, то у него не будет доступа к сетевым ресурсам.
• Пакетный. Этот тип входа в систему редко используется в Windows-окружении и применяется, в основном, для крупных пакетов заданий.

При входе в систему Windows XP Professional с использованием интерактивного процесса данные, удостоверяющие личность пользователя, сверяются с данными, хранящимися на локальном компьютере или на контроллере домена. Эти процессы будут различаться в зависимости от того, где хранятся данные о пользователе.

Примечание. При входе в домен Windows 2000 в диалоговом окне должна появится надпись Logon domain (Домен входа). Если этого не произошло, щелкните на кнопке Options (Параметры) и выберите домен или введите имя пользователя в следующем формате: username@ mycomputer.myorganization.com.

Для конечного пользователя процесс входа представляется достаточно простым. Надо вписать свое имя пользователя и пароль и нажать на Enter. Однако большая часть событий, необходимых для осуществления интерактивного входа, происходит "за кулисами". В процессе входа задействованы следующие компоненты.

• Winlogon. Процесс, отвечающий за проведение операций входа и выхода, а также за начало сессии пользователя.
• Graphical Identification and Authentication (GINA). Файл динамической библиотеки (DLL), вызываемый Winlogon и содержащий имя пользователя и пароль. Представлен в виде диалогового окна, появляющегося при входе в систему.
• Local Security Authoruty (LSA). Объект на локальном устройстве, который проверяет имя пользователя и пароль при аутентификации.
• Security Account Manager (SAM). Объект, который ведет базу данных имен пользователей и паролей. SAM находится как на локальных компьютерах, так и на контроллерах доменов.
• Net Logon Service. Эта служба используется наравне с NTLM (будет обсуждаться далее в лекции) для отправки запросов к SAM контроллера домена.
• Kerberos Key Distribution Center (KDS) service. Эта служба применяется при аутентификации для доступа к Active Directory.

Если вы в своей Windows-сети выполняете всю работу, используя свои администраторские данные для удостоверения личности, то подвергаете сеть необоснованному риску. Например, вы можете неумышленно занести вирус, который распространится по всей сети. Наилучшим способом минимизировать риск является использование для входа прав обычного или опытного пользователя и своей учетной записи администратора, только если этого требует работа.

К сожалению, выходить из системы в качестве пользователя и снова входить в нее в качестве администратора - дело достаточно нудное и неэффективное. Поэтому в Windows XP Professional есть инструмент под названием Run As (Запуск от имени). Он позволяет пользователю входить в систему с одним набором данных, удостоверяющих его личность, а затем запускать приложения, используя другой набор привилегий. Например, используя данные удостоверения личности обычного пользователя, вы можете выполнять свою ежедневную работу, заходить на сайты в интернете и т. д. Затем, если потребуется управление группой пользователей, вы обращаетесь к Run As, выполняете свои административные задачи и закрываете Run As.

Запуск от имени позволяет запускать:

• программы;
• ярлыки программ;
• ММС;
• элементы Панели управления.

Для запуска Run As проделайте следующие шаги.

1. Определите место расположения элемента, который вы хотите открыть, в Windows Explorer, и затем щелкните на нем.
2. Нажмите на SHIFT, щелкните правой кнопкой мыши на элементе и выберите Run As (Запуск от имени).
3. В открывшемся диалоговом окне (рис. 9.15) щелкните на кнопке The following user (Учетная запись указанного пользователя).
   
   
   
   Рис. 9.15.  Диалоговое окно Run As (Запуск от имени)

4. Введите свое имя пользователя и пароль или учетную запись, которую вы хотите использовать для доступа к элементу.
5. В окне Domain (Домен) выполните одно из действий:
   • введите имя своего компьютера для использования данных удостоверения личности администратора локальной сети;
   • введите имя своего домена для использования данных удостоверения личности администратора домена.

Если инструмент Run As (Запуск от имени) не работает, убедитесь в том, что сервис Run As подключен, используя оснастку Services (Службы) ММС.

Существует много протоколов обеспечения безопасности, и система Windows XP Professional использует два наиболее распространенных: Kerberos и NTLM. NTLM используется по умолчанию как протокол входа в систему в сетях Windows NT. Kerberos применяется как протокол по умолчанию для доменов Windows 2000.

Протокол Kerberos применяется в том единственном случае, когда контроллеры доменов используют Windows 2000 или .NET, а клиенты используют Windows XP Professional. В остальных сценариях применяется протокол NTLM. В следующих разделах рассматривается работа этих протоколов безопасности.

Мы уже упоминали Kerberos ранее. Но в связи с его важностью для Windows 2000 доменов (и их взаимодействия с Windows XP Professional) он заслуживает более подробного рассмотрения. Kerberos - это протокол аутентификации по умолчанию, используемый в системах Windows 2000 и Windows XP Professional.

Протокол Kerberos был разработан в Технологическом институте (Массачусетс) в 1999 г. Этот протокол предоставляет быстрый одноразовый вход в систему Windows-сети, а также в сети с другими операционными системами, поддерживающими Kerberos. Протокол Kerberos обеспечивает следующие возможности:

• быструю аутентификацию при входе в компьютерную сеть со множеством компонентов;
• взаимодействие с не-Windows системами, использующими протокол Kerberos;
• сквозную аутентификацию для распределенных приложений;
• транзитивные доверительные отношения между доменами.

Протокол Kerberos обеспечивает взаимно-секретную аутентификацию. Это означает, что знают пароли только клиент и другой компьютер (называемый центром распространения ключей - KDS). Kerberos предоставляет быструю аутентификацию, поскольку снимает бремя этой задачи с сервера и передает его клиенту и KDS.

Примечание. Вход с систему в соответствии с протоколом Kerberos описан в лекции 2.

Протокол NTLM осуществляет аутентификацию компьютеров и клиентов по принципу вызов/ответ. При работе по протоколу NTLM исходный сервер должен контактировать с контроллером домена для подтверждения подлинности пользователя или компьютера.

Примечание. Протокол NTLM можно использовать не только в окружении домена, но также при взаимодействии двух устройств одного ранга и в групповой работе.

Следующие шаги поясняют, что происходит при интерактивном входе в систему в соответствии с протоколом NTLM.

1. Пользователь инициирует вход, нажимая клавиши CTRL+ALT+DEL. Это называется SAS (Secure Attention Sequence).
2. Далее Winlogon вызывает библиотеку GINA.DLL - появляется диалоговое окно входа.
3. После того как пользователь ввел свое имя и пароль, Winlogon посылает информацию в LSA.

   Примечание. LSA - это объект, который получает имя пользователя и пароль от Winlogon и принимает решение о разрешении входа в систему локального компьютера или сети.

4. Если учетная запись пользователя хранится на локальном компьютере, то LSA использует пакет аутентификации MSV1_0 , сравнивая информацию для входа с данными, хранящимися в базе данных SAM компьютера. Если учетная запись пользователя хранится в сети, то LSA использует MSV1_0 и службу Сетевой вход в систему (Net Logon) для проверки SAM на Windows NT-контроллере домена.
5. Если информация подтверждается, то SAM сообщает об этом LSA, высылая пользовательский идентификатор защиты (SID). Более того, SAM высылает идентификаторы защиты (SID) всех групп, к которым принадлежит пользователь. Эта информация используется локальным администратором безопасности (LSA) для создания маркера доступа, который включает в себя идентификатор защиты пользователя.
6. Сеанс работы пользователя начинается после получения службой Winlogon этого маркера.

Не путайте вход в систему с аутентификацией. В то время как вход позволяет пользователю получать доступ к компьютеру (локально или с сетевыми полномочиями), процесс аутентификации позволяет пользователям иметь определенные разрешения на работу и членство в группах.

Создание, управление и удаление учетных записей пользователей и создание и поддержка групп безопасности являются важнейшими задачами управления безопасностью. Именно от этих функций зависит уровень доступа пользователей и их возможность работать с сетевыми ресурсами.

Каждый пользователь в сети имеет свою учетную запись. Учетные записи могут создаваться локально или как часть домена. Если у пользователя имеется локальная учетная запись, то он не может получить доступ к сетевым ресурсам (если в сети нет разрешенного анонимного доступа). Если у пользователя есть учетная запись на уровне домена, то со своего локального компьютера он может получать доступ к ресурсам сети.

При инсталляции Windows XP Professional создаются две учетные записи пользователя.

• Администратор. Позволяет конфигурировать и управлять системой. После окончания инсталляции и конфигурирования Windows XP Professional эта учетная запись нужна только для выполнения отдельных административных задач.

Примечание. Хорошей практикой в обеспечении безопасности является отключение учетной записи администратора и использование для повседневной работы учетной записи пользователя.

• Гость. Позволяет пользователям входить в компьютер без отдельной учетной записи для каждого пользователя.

Помимо этих учетных записей, Windows XP Professional позволяет создавать еще ряд учетных записей.

• Оператор архива. Члены этой группы могут выполнять операции копирования и восстановления на компьютерах, независимо от имеющихся разрешений.
• Группа службы поддержки. Члены этой группы могут использовать приложения для диагностики проблем, возникающих в системе.
• Операторы настройки сети. Члены этой группы могут выполнять ограниченные административные функции, такие как выдача IP-адресов.
• Опытные пользователи. Члены этой группы занимают промежуточное положение между администраторами и простыми пользователями. Они могут устанавливать и модифицировать приложения, имеют права на чтение и запись и могут получать разрешения на установку локальных принтеров (с согласия администратора).
• Пользователи удаленного рабочего стола. Члены этой группы имеют право доступа с удаленного компьютера.
• Репликатор. Члены этой группы имеют право копировать файлы домена.
• Пользователи. Члены этой группы имеют ограниченное право доступа к системе и могут получать права на чтение и запись только в индивидуальном порядке.

Если для локального компьютера нужен определенный тип учетной записи, то администратор должен войти в систему и создать эту учетную запись. Никто, кроме него, не имеет права создавать учетные записи.

Для создания, управления и удаления учетной записи проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления).
2. Щелкните на User Accounts (Учетные записи пользователей). Появится окно, показанное на рис. 9.16.

Вы также можете управлять дополнительными характеристиками пользователей, о чем пойдет речь в следующих разделах.

Работники приходят и уходят (некоторым даже предлагается это сделать). Поэтому Windows XP Professional обеспечивает возможность управления паролями служащих вашей организации. Есть два способа управления паролями.

• User Accounts (Учетные записи пользователей). Расположенная в панели управления, эта опция используется, если компьютер не является частью домена, и паролями надо управлять локально.
• Local Users and Groups (Локальные пользователи и группы). Эта оснастка ММС используется, если компьютер является частью домена и надо управлять паролями на нескольких компьютерах.

Для изменения пароля пользователя проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления) и затем щелкните дважды на User Accounts (Учетные записи пользователя).
2. В появившемся диалоговом окне (рис. 9.17) щелкните на имени пользователя и затем щелкните на Change Password (Смена пароля).
3. Впишите новый пароль два раза в диалоговом окне Reset Password (Смена пароля).
4. Вы можете ввести подсказки для пароля, если считаете, что это поможет пользователю вспомнить забытый пароль.

Windows XP Professional позволяет устанавливать определенные правила для управления паролями. Например, можно заставить пользователя изменять свой пароль при каждом входе в систему, отключить учетную запись и т. д. Для установки правил проделайте следующее.

1. Откройте ММС и добавьте оснастку Local Users and Groups (Локальные пользователи и группы).
2. Щелкните дважды на папке Users (Пользователи).
3. Щелкните правой кнопкой мыши на имени пользователя, учетной записью которого вы собираетесь управлять, и затем выберите Properties (Свойства).
4. На странице свойств (рис. 9.18) можно установить следующие правила:
   • User must change password at next logon (Пользователь должен сменить пароль при следующем входе);
   • User cannot change password (Пользователь не может менять пароль).
   • Password never expires (Время действия пароля не ограничено);
   • Account is disabled (Учетная запись отключена);
   • Account is locked out (Учетная запись заблокирована).

Примечание.Установить более сложные правила для использования пароля можно с помощью оснастки Group Policy (Групповая политика): установить минимальную длину пароля или определить время смены пароля. Групповая политика будет обсуждаться в одном из следующих разделов этой лекции.

Сохранение имен пользователей и паролей. Исходя из сложности и конфигурации сети, вы можете не захотеть, чтобы пользователь применял одни и те же реквизиты для доступа к различным ресурсам. Например, пользователь будет иметь доступ на уровне опытного пользователя для сети, но только уровень обычного пользователя для доступа к серверу. В любом случае Windows XP Professional будет отслеживать реквизиты пользователя с помощью опции Stored User Names and Passwords (Сохранение имен пользователей и паролей), находящейся в панели управления.

Примечание. Возможности сохранения имен пользователей и паролей не ограничиваются только именами пользователей и паролями. Также можно отслеживать сертификаты безопасности, смарт-карты и мандаты Passport.

Если пользователь пытается получить доступ к сетевому ресурсу, защищенному паролем, то будут использованы его реквизиты входа. Если эти реквизиты окажутся недостаточными, то будет послан запрос в файл Stored User Names and Passwords (Сохранение имен пользователей и паролей). Если реквизиты пользователя окажутся на месте, то пользователь получит доступ к ресурсу. Если реквизитов на месте не окажется, то пользователю порекомендуют ввести корректные реквизиты, которые будут сохранены для использования в будущем.

При создании нового имени пользователя и пароля для доступа к защищенному паролем ресурсу сети проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления) и дважды щелкните на User Accounts (Учетные записи пользователей).
2. Если вы являетесь частью домена, щелкните на вкладке Advanced (Дополнительно) и затем щелкните на Manage Passwords (Управление паролями). На компьютерах, не являющихся часть домена, надо щелкнуть на значке, аналогичном учетной записи, и затем в области Related Tasks нажать на Manage your stored passwords (Управление сохраненными паролями).
3. Щелкните на Add (Добавить).
4. Введите необходимую информацию.

Восстановление паролей. Если вы когда-нибудь забывали свой пароль, то вам знакомо ощущение тревоги и неудобства, связанное с его восстановлением. Для решения этой проблемы Windows XP Professional включает в себя мастер сброса пароля (Password Reset Wizard), который позволяет создавать запасную дискету для восстановления пароля.

Примечание. Мастер сброса пароля работает только на локальном компьютере. Программу нельзя использовать для сетевых учетных записей. Более того, на дискете на самом деле нет пароля, а вместо этого она содержит пару секретных ключей - общий и личный. Так как ваш пароль не хранится на дискете, то нет необходимости создавать новую запасную дискету всякий раз при смене пароля.

Для создания запасной дискеты проделайте следующие шаги.

1. Выберите Start\Control Panel (Пуск\Панель управления).
2. Выберите User Accounts (Учетные записи пользователей) и в списке выберите свою учетную запись.
3. В окне Related Tasks (Связанные задачи) щелкните на Prevent a forgotten password. Этим приводится в действие мастер сброса пароля.
4. Щелкните на Next (Далее).
5. Вставьте дискету в дисковод.
6. В поле Current User Account Password (Пароль текущей учетной записи) введите свой пароль и нажмите Next (Далее).
7. Когда индикатор выполнения задания покажет, что задание выполнено, нажмите на Finish (Готово) и уберите дискету в безопасное место.

Примечание. Лучше не снабжать дискету наклейкой с надписью "Запасная копия пароля".

Теперь при вводе неверного пароля система Windows XP Professional будет запрашивать дискету с запасной копией. Мастер задаст вопрос, в каком дисководе находится запасная дискета, и попросит ввести новый пароль.

Учетные записи пользователей являются строительными блоками для построения безопасности групп. Группы можно создавать и управлять ими в зависимости от нужд организации. Например, можно разбить всех пользователей на группы, состоящие из руководителей высшего звена, среднего звена и простых служащих. Такая структура будет полезна, если вы хотите дать (или отобрать) разрешение определенной группе пользователей, не затрагивая всей организации. Например, в организации только что установили новый цветной принтер, но вы хотите, чтобы к нему имело доступ только руководство. Дав разрешение на доступ к принтеру только группам, включающим в себя руководителей высшего и среднего звена, вам не придется беспокоиться по поводу того, что все служащие компании будут пользоваться принтером. Более того, надо выдать всего два разрешения (по одному каждой группе пользователей), а не возиться целый день с учетными записями пользователей сети, чтобы выдавать разрешения каждому по отдельности.

Группы безопасности могут быть любого размера. Они включают от одного компьютера или пользователя до всего домена или леса. Все группы безопасности системы Windows XP Professional подпадают под одну из следующих категорий.

• Локальные группы компьютера. Эти группы определены только в рамках работы локального компьютера и не фигурируют нигде внутри домена.
• Локальные группы домена. Разрешения выдаются только устройствам, являющимся частями домена.
• Глобальные группы. Используются в рамках домена для объединения учетных записей пользователей, которым необходим доступ, на основании их работы внутри организации.
• Универсальные группы. Группы этой категории применяются в многодоменной сети для объединения пользователей, которым необходим доступ к сетевым ресурсам на основании их работы в данной организации.

Встроенные принципы безопасности применяются к любой учетной записи, которая использует компьютер определенным образом, по сути, не являясь группой безопасности, но подчиняясь тем же правилам. Например, встроенные принципы безопасности могут применяться к каждому, кто использует соединение наборного доступа, или к любому, кто входит в компьютер из сети.

В основном группы определяются на основании того, в какой части сети они могут использовать разрешения, и по количеству трафика, который генерирует группа. Другим преимуществом использования групп является то, что если они хорошо спланированы и реализованы, то сетевая нагрузка снижается в связи с отсутствием необходимости в обширной репликации контроллера домена.

Нет, Whoami - это не группа мирового класса по брэйк-дансу начала 1980-х. Это инструмент командной строки системы Windows XP Professional, который позволяет просматривать разрешения и права, выданные пользователю.

Whoami находится на диске с Windows XP Professional в каталоге Support\Tools. Этот инструмент возвращает имя домена или компьютера наряду с именем текущего пользователя и компьютера, в системе которого работает Whoami. Он показывает имя пользователя и его SID, группы и их идентификаторы защиты, привилегии и статус.

Для инсталляции Whoami щелкните дважды на инструменте SETUP.EXE в каталоге Support/Tools на компакт-диске Windows XP Professional. Затем выполните действия в мастере установки (Support Tools Setup Wizard) для завершения инсталляции Whoami.

Для запуска Whoami в окне команд введите whoami.

Ниже перечислены опции команды Whoami для получения необходимых результатов:

• /all Показывает всю информацию текущего маркера доступа.
• /user Показывает информацию о пользователе, связанном с текущим маркером доступа.
• /groups Показывает группы, связанные с текущим маркером доступа.
• /priv Показывает привилегии, связанные с текущим маркером доступа.
• /logonid Показывает ID входа в систему, используемый в текущей сессии.
• /sid Показывает SID, связанный с текущей сессией. Этот аргумент должен добавляться в конце опций /USER, /GROUPS, /PRIV, /LOGONID.

Далее следуют два примера применения Whoami.

C:\Documents and Settings\Robert Elsenpeter>whoami /user /priv
[User] = "GEONOSIS\Robert Elsenpeter"
(X) 	SeChangeNotifyPrivilege 			= Bypass traverse checking
(O) SeSecurityPrivilege 				= Manage auditing and security log
(O) SeBackupPrivilege 					= Back up files and directories
(O) SeRestorePrivilege 					= Restore files and directories
(O) SeSystemtimePrivilege 				= Change the system time
(O) SeShutdownPrivilege 				= Shut down the system
(O) SeRemoteShutdownPrivilege 		= Force shutdown from a remote system
(O) SeTakeOwnershipPrivilege 			= Take ownership of files or other objects
(O) SeDebugPrivilege 					= Debug programs
(O) SeSystemEnvironmentPrivilege 	= Modify firmware environment values
(O) SeSystemProfilePrivilege 			= Profile system performance
(O) SeProfileSingleProcessPrivilege 	= Profile single process
(O) SeIncreaseBasePriorityPrivilege 	= Increase scheduling priority
(X) SeLoadDriverPrivilege 				= Load and unload device drivers
(O) SeCreatePagefilePrivilege 			= Create a pagefile
(O) SeIncreaseQuotaPrivilege 			= Adjust memory quotas for a process
(X) SeUndockPrivilege 					= Remove computer from docking station
(O) SeManageVolumePrivilege 			= Perform volume maintenance tasks

Для вывода SID используйте параметры /user и /sid вместе:

C:\Documents and Settings\Robert Elsenpeter>whoami /user /sid
[User] = "GEONOSIS\Robert Elsenpeter" S-1-5-21-606747145-113007714-17085377
68-1003

В последнем разделе мы поверхностно рассмотрели учетные записи пользователей и управление ими с помощью групп. Для управления группами (добавления и удаления пользователей и разрешений) администраторы применяют списки контроля доступа (ACL).

В Windows XP Professional имеется два вида ACL.

• Discretionary access control lists (DACL) - списки разграничительного контроля доступа. Используются для идентификации пользователей и групп, которым разрешен (или запрещен) доступ.
• System access control lists (SACL) - системные списки контроля доступа, контролируют проверку доступа.

Списки контроля доступа являются удобным инструментом определения того, кто имеет доступ к конкретному объекту, и предоставляют возможность редактировать разрешения. Например, если вы считаете, что новый лазерный принтер не должен использоваться никем, кроме работников отделения маркетинга, то для приведения в действие этих ограничений можно использовать ACL.

Для просмотра ACL щелкните правой кнопкой мыши на значке объекта (папки, принтера и т. д.) и выберите Properties (Свойства). Щелкните на вкладке Security (Безопасность) - и увидите группы и пользователей, имеющих доступ к этому объекту, а также перечень разрешений, выданных этой группе.

Примечание. Компьютеры с системой Windows XP Professional, как отдельные, так и в составе рабочей группы, не смогут увидеть вкладку Security (Безопасность), если работают в режиме простого обмена информацией. Для отключения Simple Sharing откройте My Computer (Мой компьютер). В меню Tools (Параметры) щелкните на Folder Options (Свойства папок). Затем щелкните на вкладке View (Просмотр) и очистите флажок Use simple file sharing (Использовать простой обмен файлами).

На вкладке Security (Безопасность) расположены два окна.

• Group or user names (Группы или пользователи). В этом окне перечислены группы и пользователи, которые имеют необходимые разрешения для доступа к данному объекту.
• Permissions (Разрешения). В этом окне перечислены разрешения, выданные или запрещенные для пользователя или группы, выбранных в окне Group or user names (Группы или пользователи).

Примечание. Только пользователи, имеющие разрешения доступа к определенному объекту, могут просматривать ACL данного объекта.

Кнопки Add (Добавить) и Remove (Удалить) выполняют те действия, на которые указывают их названия, а именно добавление или удаление пользователей или группы из списка.

Щелкнув на кнопке Advanced (Дополнительно), можно изучить детали настроек определенного пользователя или группы. На странице Advanced Security Settings (Дополнительные параметры безопасности) можно установить большее количество расширенных свойств выдачи разрешений:

• выдача специальных разрешений пользователю или группе;
• создание наследуемых возможностей доступа для дочерних объектов данного объекта;
• отслеживание попыток доступа к объекту;
• управление правами собственности на информацию данного объекта.

При своем появлении страница Advanced Security Settings автоматически выводит на экран вкладку Permissions (Разрешения). На ней показаны разрешения, которые были установлены в явном виде для данного объекта. Другая вкладка с разрешениями, называемая Effective Permissions (Действующие разрешения), позволяет просматривать все разрешения, которые применяются к пользователю или группе в отношении данного объекта, включая разрешения, являющиеся частью разрешений определенной группы или установленные для определенного пользователя.

Одним из наиболее сильных инструментов администрирования в Windows XP Professional является Group Policy (Групповая политика). Разумное использование этого инструмента может уменьшить TCO (Total Cost of Ownership - полная стоимость владения) посредством блокировки системы пользователя и снижения вероятности взлома ее каким-нибудь пользователем. Group Policy является оснасткой ММС и может применяться практически к любому объекту. Вы могли бы создать и применить групповую политику к домену, подразделению и группе внутри подразделения. Применение политики иерархически распространяется по всему дереву домена. Следовательно, если политика на более высоких уровнях дерева конфликтует с политикой нижележащих уровней, то по умолчанию приоритет остается за политикой верхних уровней.

Примечание. В целом Group Policy используется для доменов Active Directory. Для применения групповой политики на своем локальном компьютере вы должны использовать инструмент Local Group Policy (Локальная групповая политика). Вы применяете эту политику примерно так же, как и групповую политику. Однако при подключении оснастки Group Policy задается вопрос, каким компьютером вы намерены управлять - следует выбрать Local Computer (Локальный компьютер).

Оснастка Group Policy (Групповая политика) (рис. 9.19) включает в себя две основные группы: Computer Configuration (Настройка компьютера) и User Configuration (Конфигурация пользователя). Они соответствуют System Policy Editor (Редактор системной политики) и User Policies (Политики пользователей). Каждая из этих групп содержит в себе еще три подгруппы.

• Software Settings (Настройки программ). Инсталлирует программы на определенные компьютеры или пользовательские системы.
• Windows Settings (Настройки Windows). Устанавливает настройки системы безопасности и запускает сценарии при включении и выключении компьютера.
• Administrative Templates (Административные шаблоны). Контролирует вид и поведение системы Windows и приложений.

После выбора политики, требующей изменения, щелкните правой кнопкой мыши на ней и выберите Properties (Свойства). Вы можете подключить или отключить политику. Допустим, мы подключили меню Remove Documents (Удалить меню (Документы)) из главного меню. Теперь ни один пользователь во всем домене не будет видеть элемент Documents (Документы) в своем меню Start (Пуск).

В организации с тысячами работников не представляется возможным отдельно управлять каждой учетной записью пользователя. Именно здесь полезны и необходимы группы. Вы можете присваивать атрибуты широкому диапазону пользователей двумя щелчками мыши.