Администрирование сетей Microsoft Windows XP Professional

Содержание


Лекция 1. Основы организации сети

Содержит общие сведения о работе с компьютерными сетями. Приводится объяснение некоторых сетевых терминов и концепций, о которых пойдет речь в курсе.

Перед тем как погрузиться в подробное изучение Windows XP Professional, давайте познакомимся с общими концепциями построения сетей и соответствующей терминологией. Знание этих базовых положений пригодится нам при рассмотрении более сложных вопросов. В лекции приведен обзор концепций сетевой работы, включая общие понятия о том, как компьютер обрабатывает данные и как это используется при организации сетевого взаимодействия. Дополнительно рассказывается о семиуровневой модели взаимодействия открытых систем (Open Systems Interconnect, OSI), о сетевых протоколах, с которыми вы встретитесь при работе с Windows XP Professional, о сетях Ethernet и гигабитный Ethernet и беспроводном оборудовании. Завершит лекцию обзор технологий глобальных сетей (Wide Area Network, WAN).

Если вы хорошо разбираетесь в организации сетей, то можете пропустить эту лекцию.

Биты и байты

Перед тем как приступить к изучению сетей и их организации, давайте разберемся в технологии работы компьютера. Это важно, поскольку способы обработки информации внутри машины действительны и для сетевых технологий. В этом разделе мы рассмотрим, как компьютеры обмениваются данными.

Представление данных в компьютере

Для большинства пользователей является загадкой, что же происходит в "том углу", где находится сервер и концентратор. Некоторые настолько запутались в работе своего компьютера, что им нет никакого дела до сервера и до того, что "эти компьютерщики" с ним делают. На самом же деле серверы, как и другое сетевое оборудование, - это просто компьютеры. Основное различие между рабочей станцией, сервером и маршрутизатором состоит в их конфигурации.

У сетевых устройств, в отличие от обычных компьютеров, нет мониторов и дисководов. Так происходит потому, что они выполняют одну-единственную функцию - передают трафик. Им не нужно хранить информацию или выводить ее на дисплей. Сетевые устройства, как и персональные компьютеры, имеют центральный процессор, память и операционную систему.

Двоичные сообщения состоят из битов

Для обмена данными компьютеры, образующие сеть, должны передавать друг другу электрические сигналы при помощи различных аппаратных средств (о которых мы поговорим позже). Эти сигналы проходят по лабиринту транзисторов и микросхем внутри компьютера, а затем отправляются по соединительным кабелям к другим сетевым устройствам.



Во время передачи от одного устройства к другому сигнал сначала попадает на сетевую интерфейсную плату (Network Interface Card, NIC), или сетевой адаптер. Сетевой адаптер преобразует электрические волновые импульсы в данные, понятные компьютеру. Он интерпретирует каждый волновой импульс как одно из состояний: включено (on) или выключено (off). Этот процесс называется преобразованием в двоичную форму. Состояние on означает двоичное число 1, а состояние off - 0. Данные, поступившие в компьютер, превращаются в биты. Файл, состоящий из битов, называется двоичным файлом.

Примечание. В оптоволоконных сетях в двоичную форму переводятся световые импульсы, также представляющие собой сигналы on и off.

Колебания напряжения электрических импульсов (своего рода азбука Морзе) преобразуются в двоичную форму. Естественно, эти колебания происходят за очень короткие промежутки времени. Период времени между двумя колебаниями называется циклом, обратная величина к периоду называется частотой, частота измеряется в герцах (Гц). Так, процессор в сетевой плате, работающий со скоростью 100 Мб/с, генерирует сто миллионов импульсов в секунду.

Что такое байты

Мы уже сказали, что биты являются основными блоками при обработке данных. Это действительно так, но компьютеру неудобно обрабатывать информацию по одному биту в каждый момент времени. Это выглядит так, как если бы вы, решив построить во дворе печь для барбекю, шли в магазин, приносили один кирпич, укладывали его и шли за следующим. Ясно, что вы сразу купите столько кирпичей, сколько вам требуется, а затем приступите к строительству.

Примерно так и компьютер обрабатывает биты - он собирает их в группы по 8 битов в каждой, которые называются байтами. Байт считается единицей информации. Один символ, введенный с клавиатуры, представляется одним байтом. Буква "к" в слове "клавиатура" - это 1 байт или 8 битов. Все слово "клавиатура" состоит из 10 байтов или 80 битов.



Объединение битов в байты - это логичный способ повышения эффективности работы компьютера. В результате система функционирует быстрее, ее легче программировать и отлаживать. Определение места расположения отдельного бита является задачей компьютера.

Компьютерные слова

Хотя приложения (а следовательно, их пользователи и разработчики) манипулируют байтами, компьютеры все-таки должны обрабатывать каждый отдельный бит. Операция перевода битов в байты в центральном процессоре может занять слишком много времени. Для ускорения этого процесса используются слова. Слова состоят из байтов так же, как байты состоят из битов. Слово включает в себя то количество байтов, которое процессор способен обработать за один цикл.



Например, процессор типа Intel Pentium III является 32-битным. Это означает, что он обрабатывает 32 бита (или 4 байта) за один полный цикл. С развитием технологий скорость обработки данных процессором возрастает. В результате на место 32-битного процессора приходит 64-битный, такой как Itanium, манипулирующий восьмибайтовыми словами.

Архитектура компьютера

Архитектура компьютера - это состав всех его компонентов. В напечатанном виде такая подробная схема займет несколько сотен страниц. И все же некоторые компоненты остаются абстрактными. Точная реализация этих специфических участков архитектуры является задачей разработчиков.



Отделение архитектуры от спецификации продуктов реализуется с помощью уровней абстракции. Уровень абстракции - это фиксированный интерфейс между двумя компонентами системы. Этот уровень отслеживает отношения между функциями и их реализацией c обеих сторон.

Уровни абстракции становятся полезны тогда, когда в одном компоненте системы происходят изменения. В этом случае не требуется модификация другого компонента, поскольку уровни абстракции гарантируют совместимость:

Абстракция - это всегда "головная боль", но она решает множество проблем. Например, позволяет различным командам разработчиков работать над проектами, дающими одинаковый результат. Примером служат DVD-дисководы, которые создаются различными производителями, но при этом отвечают DVD-спецификациям.

Существует несколько типов архитектур компьютера различной степени открытости. Наиболее хорошо изученной считается архитектура Microsoft/Intel 80x86. Другие архитектуры включают в себя Java, дисковые массивы RAID (Redundant Array of Inexpensive Disks) и прочее. Самой важной архитектурой является эталонная модель OSI, благодаря которой возможно существование интернета и связь между различными компьютерными платформами.

Примечание. О модели OSI мы будем рассказывать позже в разделе "Модель взаимодействия открытых систем".

Сетевые устройства

На первый взгляд может показаться, что стоит лишь соединить два компьютера кабелем, и они без проблем начнут обмениваться информацией. К сожалению, все гораздо сложнее.

Существует несколько причин для использования сетевых устройств в различных точках сети. В малом офисе компьютеры объединяются с помощью концентратора, или хаба (hub) либо небольшого коммутатора (switch), соединенного с сервером. В крупной организации работает большее количество коммутаторов, соединенных с несколькими серверами. При работе с интернетом к этому набору добавляются маршрутизаторы (router). Давайте более подробно рассмотрим работу этих устройств, выясним их функции и место в сети.

Пару десятилетий назад аббревиатура LAN (Local Area Network - локальная вычислительная сеть) применялась для описания сетей любого размера. Независимо от количества компьютеров - два или четыре тысячи - все они объединялись в одну сеть. Позже, когда размер сетей значительно вырос, началось их разделение на сети меньшего размера.

Примечание. Благодаря LAN-сегментации, у нас появился маршрутизатор - основа интернета. Маршрутизатор был изобретен одним человеком из Стенфорда (его рабочая станция находилась в одной локальной сети), который хотел общаться со своей женой (ее рабочая станция располагалась в другой локальной сети). Эти двое и положили начало небольшой компании, о которой вы, наверное, слышали - компании Cisco.

Маршрутизаторы

Без маршрутизаторов невозможно было бы существование интернета. Маршрутизатор делает именно то, на что указывает его название - направляет данные из одной локальной сети к другому маршрутизатору, тот - к следующему, и этот процесс повторяется до тех пор, пока информация не достигнет места назначения. Маршрутизаторы играют роль дорожной полиции, разрешая пересылку данных только авторизованным машинам, чтобы гарантировать конфиденциальность личной информации. Осуществляя поддержку соединений удаленного доступа (dial-in) и выделенных линий, маршрутизаторы обрабатывают ошибки, ведут статистику использования сети и обеспечивают безопасность данных.

Интернет осуществляет информационную связь между несколькими компьютерами, поэтому разработчики осознали потребность в инструменте для поддержки этой связи. В основном, интернет использует для своих нужд существующие телекоммуникационные линии. Для того чтобы компьютер А в США установил связь с компьютером Б в Голландии, необходимо:

Эти задания выполняют маршрутизаторы, передавая по одному пакету в единицу времени.



Примечание. Пакеты аналогичны словам, т. е. представляют собой группы байтов одинакового размера. Отличие в том, что пакеты не обрабатываются компьютером, а передаются по телекоммуникационной системе, а затем конвертируются в данные, используемые принимающим устройством.

Функции маршрутизаторов уникальны и заключаются в следующем.

Маршрутизаторы похожи на универсальных переводчиков - их важнейшим качеством является способность одновременной поддержки нескольких сетевых протоколов. Именно благодаря этому несовместимые компьютеры могут поддерживать связь друг с другом, несмотря на различие в архитектуре сети, операционных системах, формате данных и т. д.

Способность маршрутизаторов отфильтровывать нежелательный трафик также очень важна для работы в сети. Некоторые представляют себе интернет территорией, где отсутствуют законы, и каждый может делать все, что ему вздумается. На самом деле сетевые администраторы могут оградить вас от нежелательной информации, соответствующим образом настроив свои маршрутизаторы. Это дает возможность эффективной работы в режиме онлайн, снижая ощущение, что кто-то посторонний просматривает секретные документы и файлы.

Серверы

Серверы - это компьютеры сети, управляющие важнейшими операциями ее функционирования. В локальных сетях серверы предоставляют информацию компьютерам-клиентам, а в более крупных сетях управляют работой файловой системы и печатью.

Функции сервера могут быть и узкоспециализированными в зависимости от потребностей компании, назначения и размеров сети. Одни серверы будут выполнять уникальные функции, а другие - дублирующие, в зависимости от важности возложенной на них работы.

На количество и размещение серверов влияют несколько факторов. Небольшой организации нужен всего один сервер для связи с компьютерами-клиентами. В крупных организациях серверы выполняют более специализированные задания. Как показано на рис. 1.1, в компании Acme Consolidated Consumer Products используется несколько серверов, выполняющих различные функции.

Каждый из этих серверов может быть отдельным устройством, но это не обязательно. На одном компьютере можно разместить несколько отдельных серверов, если правильно их настроить.

Размещение серверов в сети


Рис. 1.1.  Размещение серверов в сети

Концентраторы и коммутаторы

Концентраторы и коммутаторы - это те самые устройства, чей внешний вид больше всего пугает пользователей, со множеством портов, к которым присоединены кабелями пятой категории компьютеры этих пользователей. Основной функцией концентраторов и коммутаторов является соединение многочисленных устройств (персональных компьютеров, принтеров, других концентраторов и коммутаторов) с серверами.

Концентратор (хаб) предназначен для соединения нескольких персональных компьютеров с одним сервером. Его принцип работы напоминает работу распределителя электропитания, который используется для подключения к одной розетке нескольких устройств (телевизора, DVD-плеера, спутниковой тарелки и т.д.) При обмене данными между сервером и его клиентами хаб разделяет одно соединение на несколько.

Хаб передает один и тот же сигнал на все выходные порты, поэтому данные распространяются на все устройства локальной сети, подключенные к нему. Остается загадкой, почему в ваш компьютер не попадают данные, предназначенные для коллеги за соседним столом. Это происходит благодаря тому, что каждый компьютер отфильтровывает те пакеты, которые ему не предназначены.

Коммутатор во многом похож на концентратор. Оба устройства имеют панель с портами (разъемами), к которым подключается кабель типа "витая пара". Концентраторы и коммутаторы образуют в локальной сети домен и используются для прямой доставки сообщений через главную магистраль сети.

Коммутатор отличается от хаба тем, что может создавать в сети выделенные (частные) соединения. В нашем примере с распределителем электропитания электрический ток разделяется на несколько потоков, подводимых ко всем устройствам в помещении. Эта аналогия соответствует работе коммутатора не полностью, поскольку он работает избирательно. Тут в большей степени подходит сравнение с системой коммутации, используемой в локальной АТС. Когда вы звоните своей матери по городскому телефону, то коммутатор работает таким образом, что образуется изолированная цепь, чтобы вы могли вести приватную беседу по поводу тети Джулии. Если бы соединение осуществлялось с помощью концентратора, то ваша беседа транслировалась бы на каждый телефонный аппарат, подключенный к нему. На рис. 1.2 показано отличие в работе концентратора и коммутатора.

Концентратор повторяет сигнал, а коммутатор направляет его к определенному порту


Рис. 1.2.  Концентратор повторяет сигнал, а коммутатор направляет его к определенному порту

Коммутаторы удобны тем, что они разделяют полосу пропускания. В коммутируемых сетях все устройства получают полный доступ к полосе пропускания физической среды передачи данных, и для выполнения передачи требуются доли секунды.

Концентратор принимает кадры (фреймы) от одного хоста (устройства, подключенного к сети и работающего через протокол TCP/IP) и пересылает их на все хосты, которые с ним связаны. Коммутатор просматривает кадры, поступающие через его порты, и сразу передает их порту (или портам) другого коммутатора. Весь процесс происходит очень быстро, поэтому коммутаторы передают одновременно несколько потоков данных. Таким образом, коммутатор может поддерживать десятки хостов посредством одного коммутируемого порта. На самом деле в каждый момент времени от порта к порту пересылается один кадр, но процесс выполняется настолько быстро, что становится прозрачным для всех работающих хостов.

Модель взаимодействия открытых систем

Для того чтобы сетевые устройства могли общаться друг с другом, они должны "говорить" на одном языке. Однако множество компаний разрабатывают свои собственные фирменные устройства и операционные системы, поэтому возникает вопрос - как определить лучшую из них? Кто принимает решение о том, на каком языке эти устройства обмениваются информацией?

На этот вопрос дала ответ Международная организация по стандартизации (International Standards Organization, ISO), расположенная в Париже. В 1978 г. ISO обнародовала эталонную модель взаимодействия открытых систем (Open System Interconnection, OSI). Эта модель состоит из семи уровней и является стандартом для разработки интерфейсов взаимодействующих устройств, она стала основой для создания популярного межсетевого протокола IP (Internet Protocol).

Семиуровневая модель OSI является базой для осуществления взаимодействия в сетях, т. е. компьютерная система одного разработчика получает возможность обмениваться данными с системой другого разработчика. Трудности обмена информацией между различными системами напоминают разговор представителей двух разных национальностей. Если вы предложите выходцу из Германии поговорить с уроженцем Аргентины, то попытка общения потерпит неудачу при условии, что никто из говорящих не знает языка страны собеседника. С компьютерами все обстоит еще хуже, так как они не могут размахивать руками и говорить на языке жестов. Без модели OSI компьютер Macintosh не сможет получить доступ к PC-серверу и обменяться информацией с Novell-сервером.

Семиуровневый стек

Модель OSI делит сеть на семь функциональных уровней, поэтому ее иногда называют семиуровневым стеком. Каждый уровень соответствует функции или набору функций, которые выполняются во время прохождения данных по сети. Модель OSI является стандартом, поэтому не имеет значения, какие протоколы взаимодействуют друг с другом. Если протоколы работают в рамках семиуровневого стека, то на каждом уровне действуют одни и те же правила, создавая межпротокольную связь.

Каждый уровень имеет свой собственный протокол взаимодействия между устройствами (см. рис. 1.3). Для установки соединения в рамках стандартизированного взаимодействия каждый уровень обращается к другому уровню для управления определенным фрагментом сетевого соединения. Между уровнями всегда имеется фиксированный интерфейс, позволяя установку соединения с помощью различных протоколов.

Каждый уровень модели OSI работает со своим протоколом для установки связи между устройствами


Рис. 1.3.  Каждый уровень модели OSI работает со своим протоколом для установки связи между устройствами

Таким образом, наличие абстрактных уровней облегчает кажущуюся невыполнимой задачу по установке соединения. Чем выше мы поднимемся по стеку, начиная с самых основ - электрических сигналов в среде передачи данных, тем ближе подойдем к пользователю - к реальному содержанию пересылаемых данных. Ниже приведено описание уровней модели OSI.

Примечание. Мы будем обсуждать протоколы TCP и UDP в гл. 3.

Примечание. Обратите внимание на правильное значение названия "уровень приложений"! Здесь имеются в виду сетевые, а не программные прикладные приложения типа текстовых редакторов или электронных таблиц. Сетевые приложения включают в себя электронную почту, веб-браузеры и протокол пересылки файлов (FTP).

Реализация OSI

Понять, как работает модель OSI, легче, если мы взглянем на нее под другим углом зрения. Модель взаимодействия открытых систем имеет вертикальную структуру, которая называется стеком, а мы расположим ее горизонтально. В предыдущем разделе мы поднимались от уровня 1 и до уровня 7. На этот раз начнем с уровня 7 (ближайшего к пользователю) и пройдем по стеку до физического уровня. Это поможет нам разобраться во взаимодействии различных уровней.

В основе любого сообщения лежит полезная нагрузка. Ее размеры и содержимое зависят от программного приложения. Важно понять, что при пересылке данных вся полезная нагрузка обычно не помещается в одном сообщении. Чаще всего эта нагрузка разбивается на отдельные небольшие порции, к заголовкам которых добавляются протоколы, управляющие сообщением. Величина порции полезной нагрузки зависит от используемого приложения. Например, если вы открыли сессию Telnet с библиотекой, то будет передаваться небольшой объем данных (коды клавиш, которые вы нажимаете, и числа). А вот при загрузке файла с FTP-сайта величина полезной нагрузки будет гораздо больше и составит миллионы байтов в тысячах пакетов.

Помимо полезной нагрузки имеются протоколы, управляющие передачей сообщения. Первые три уровня в этой модели управляют используемым сетевым приложением (уровень приложений), форматом представления данных (уровень представлений) и характеристиками соединения (сеансовый уровень). Например, порт 25 идентифицирует SMTP-приложение электронной почты.

Примечание. Порты не являются физическими объектами, как можно предположить из их названия. Это, скорее, логические зоны компьютера, где ожидается получение информации определенного типа.



При переходе на следующий уровень - транспортный - размер сообщения немного увеличивается. Здесь главная задача состоит в предоставлении принимающему компьютеру сведений о поступающем сообщении, а также в том, чтобы он не был перегружен пакетами. Кроме того, этот уровень дает гарантию того, что все передаваемые пакеты дойдут до получателя.



Следующий уровень, добавляемый к сообщению, - сетевой уровень. Именно на этом этапе сообщение превращается в пакет или дейтаграмму. В заголовок пакета включается логический сетевой адрес, по которому передается сообщение. В числе других сетевые протоколы включают в себя и протокол IP.



За сетевым уровнем следует канальный уровень. Здесь считываются данные, представленные в двоичном виде, и добавляются к формату, который называется кадром. Формат кадра задается протоколом сетевого адаптера (например, Ethernet или ATM). В заголовке каждого кадра содержится MAC-адрес (Media Access Control) - адрес управления доступом к среде для сетевого устройства. У каждого сетевого адаптера есть свой уникальный MAC-идентификатор.



Вот мы и дошли до физического уровня. Вы помните, что на этом уровне сообщение преобразуется в последовательность импульсов, передающих данные в двоичном виде. Это последний уровень стека, и он не зависит от того, в каком виде передается сигнал, - в виде электрических импульсов обычной сети или световых импульсов оптоволоконной линии. Импульсы обрабатываются платами сетевого интерфейса, программное обеспечение сетевой среды в этом процессе не участвует.

Сетевые технологии

Теперь поговорим о технологиях, с помощью которых происходит передача пакетов данных. Сетевые технологии работают в сегментах локальных сетей и называются также LAN-технологиями или сетевыми спецификациями. Самой популярной сетевой технологией является Ethernet, но вы можете подыскать для своей сети другую, более подходящую технологию.

В этом разделе мы обсудим технологию Ethernet и ее разновидности: Ethernet, работающий на скорости 1 Гбит/с (гигабитный Ethernet), и Ethernet, работающий на скорости 10 Гбит/с (десятигигабитный Ethernet); поговорим о технологиях Token Ring, ATM (Asynchronous Transfer Mode) и беспроводной сети.

Как уже было сказано выше, сетевые технологии реализуются на канальном уровне стандартной модели OSI. Это значит, что их можно охарактеризовать физическими носителями и способом управления доступом к этим носителям. Работа в сети требует наличия связности отдельных сетевых устройств и определенного порядка их взаимодействия. По этой причине канальный уровень передачи данных еще называют уровнем управления доступом к среде или MAC-уровнем. Сообщения, расположенные на этом уровне, называются фреймами.



Порядок взаимодействия в сетевом соединении обеспечивается только за счет МАС-адресов (серийных номеров или идентификаторов). Для передачи сообщения из локальной сети во внешнюю необходим протокол сетевого уровня, например IP. Сетевые технологии могут функционировать только в коммутируемых объединенных сетях, т.е. их целесообразно использовать в локальных сетях или при передаче по простым, неразветвленным, протяженным маршрутам.

Сетевые технологии работают на двух уровнях.

До сих пор в этой лекции мы обсуждали тот факт, что разные компьютеры могут общаться друг с другом с помощью уникальных, присущих только им способов. Но общаются не только компьютеры. Некоторые компании разработали свои собственные средства преодоления межсетевого пространства как локального, так и глобального масштаба.

Сеть общего доступа и магистральная сеть


Рис. 1.4.  Сеть общего доступа и магистральная сеть

Ethernet

В 1970 г. корпорация Xerox разработала первую версию Ethernet. Спустя десять лет, в результате совместных усилий с компаниями Intel и Digital Equipment Corporation (позже превратившейся в Compaq), в 1983 г. была выпущена вторая версия. В последующие 20 лет Ethernet стала лидирующей сетевой технологией. Возможно, такой популярности Ethernet обязана своей дешевизне. Сетевая карта Ethernet стоит меньше 10 долларов, а некоторые производители интегрируют Ethernet-карты в материнские платы своих компьютеров.

Наряду с популярностью возрастала и мощность Ethernet. Термин Ethernet стал применяться при описании технологии со скоростью передачи данных в 10 Мб/с. Fast Ethernet, внедренный в 1995 г., работал на скорости 100 Мб/с. В следующем году появился гигабитный Ethernet, а в 2002 г. в качестве стандарта был предложен 10-гигабитный Ethernet, который выводит технологию Ethernet на просторы глобальных вычислительных сетей (WAN). Технология Ethernet удовлетворяет спецификации IEEE 802.3.

Примечание. Институт инженеров по электротехнике и электронике (Institute for Electronics Engineers - IEEE), возникший еще в 20 веке, разработал стандарты для первого и второго уровней модели OSI. Стандарты 3 уровня (и выше) выпустила инженерная группа проектирования интернета (Internet Engineering Task Force - IETF).

Архитектура Ethernet

Популярность Ethernet нередко вызывает удивление. Эта технология изначально не является эффективной. На самом деле только 37 % полосы пропускания подходит для ее функционирования, так как Ethernet работает в условиях одновременного использования канала связи. Устройства, подключенные к локальной сети Ethernet, прослушивают линию и ожидают ее освобождения для отправки сообщения. Если два устройства одновременно начинают передачу данных, и их пакеты сталкиваются, то обе передачи прерываются, и рабочие станции через некоторое время, определяемое случайным образом, осуществляют новую попытку отправки данных.

Ethernet использует алгоритм CSMA/CD (Carrier Sense Multiple Access with Collision Detection - множественный доступ с контролем несущей и обнаружением конфликтов) для прослушивания линии, распознавания коллизии и прерывания передачи. CSMA/CD является "светофором" технологии Ethernet и служит для предотвращения беспорядочных столкновений пакетов в сети. На рисунке 1.5 показано, как работает алгоритм CSMA/CD.

Работа алгоритма CSMA/CD


Рис. 1.5.  Работа алгоритма CSMA/CD

Технология Ethernet использует общую среду передачи, поэтому все устройства локальной сети Ethernet получают все сообщения, а затем проверяют, совпадает ли адрес назначения с собственным адресом устройства. Если адреса совпадают, то сообщение принимается и проходит через все семь уровней стека, в противном случае сообщение отбрасывается.

Реализация коммутируемой архитектуры сети Ethernet имеет преимущество в том, что линии, связывающие коммутатор с устройствами, подключенными к сети, получают полосу пропускания максимальной ширины. Это объясняется тем, что передаваемые пакеты не отправляются широковещанием ко всем устройствам сети, а передаются от коммутатора к пункту назначения.

Гигабитный Ethernet

Гигабитный Ethernet является расширением Ethernet-стандарта до скорости 1000 Мб/с. Такой скачок вызван тем, что он наследует возможности других Ethernet-спецификаций (исходного 10-мегабитного Ethernet и 100-мегабитного Fast Ethernet).

Технология гигабитного Ethernet является основным конкурентом технологии ATM. (Об этой технологии мы будем кратко говорить далее). Так как Ethernet является самой популярной сетевой технологией, то гигабитный Ethernet выигрывает у ATM, поскольку является более изученным. Изначально он разрабатывался для эксплуатации в локальных сетях, но при возрастании скорости передачи данных до 1 Гбит/с его можно использовать в качестве WAN-технологии.

Несмотря на высокую скорость передачи, Ethernet не совсем подходит для глобальных сетей. Эта технология использует кадры переменного размера - от 64 до 1400 байт, что не соответствует характеристикам ATM по качеству обслуживания (Quality of Service, QoS).

Примечание. Качество обслуживания (QoS) гарантирует наиболее эффективную отправку и получение пакетов. В лекции 5 мы более подробно рассмотрим QoS и его реализацию в Windows XP.

Разумеется, о конкретных нуждах и эксплуатационных возможностях организации можно говорить долго. Если компания не делает акцент на характеристики QoS и имеет достаточную базу знаний об Ethernet, то идеальным решением для нее является гигабитный Ethernet. Популярным решением такой сети является подключение локальных сетей общего доступа с технологией Fast Ethernet к магистральной сети, работающей по технологии гигабитного Ethernet.

10-гигабитный Ethernet

Следующей ступенькой в развитии Ethernet стал 10-гигабитный Ethernet. Скорости передачи 10 Мбит/с и 100 Мбит/с в технологии Ethernet делают ее хорошим способом доступа к данным, гигабитный Ethernet становится претендентом на роль WAN. А 10-гигабитная реализация Ethernet становится настоящей глобальной сетевой технологией.

10-гигабитный Ethernet использует Ethernet-протокол, формат кадра и размер кадра, определенные в спецификации IEEE 802.3. Переменный размер кадров по-прежнему остается проблемой, однако принципиальных трудностей для группировки множества мелких пакетов в один большой транк (trunk) технологии 10-гигабитного Ethernet, не существует. Все "за" и "против" должны рассматриваться для конкретной организации или ситуации.

Token Ring

У вас могло сложиться впечатление, что весь мир пользуется Ethernet-соединениями, но все же это не единственный стандарт для локальных сетей. Технология Token Ring является главным конкурентом Ethernet в борьбе за лидерство в LAN-технологиях. По крайней мере, так было до сих пор. Token Ring отличается своей архитектурой и не совместим с Ethernet во всем, что касается сетевых карт, соединительных кабелей и программного обеспечения.

Примечание. Технология Ethernet определяется в спецификации IEEE 802.3, технология Token Ring - в спецификации IEEE 802.5.

Token Ring (кольцевая сеть с маркерным доступом) называется так, потому что образует из хостов (узлов) логическое кольцо. Сегменты локальной сети, организованной по технологии Token Ring, передают сигналы по очереди от одного хоста к следующему, как если бы кабель на самом деле представлял собой одно гигантское кольцо. На практике хосты не обязательно соединяются по кругу, более того, конфигурация их соединения может иметь обычную топологию "звезда" (см. рис. 1.6). Обратите внимание на то, что вместо хаба или коммутатора в центре звезды находится модуль множественного доступа (Media Access Unit - MAU).

Организация локальной сети Token Ring


Рис. 1.6.  Организация локальной сети Token Ring

Технология Ethernet в процессе принятия решения о том, какой хост будет широковещательным, отслеживает освобождение линии связи. Технология Token Ring действует более упорядоченно: протокол с эстафетной передачей маркера контролирует трафик, посылая специальный кадр - маркер (token) - от хоста к хосту. Только хост, владеющий маркером, получает право на передачу информации, что позволяет устранять коллизии пакетов.

По сути, Token Ring избегает коллизий за счет времени ожидания, так как каждому хосту приходится ждать своей очереди на передачу. Однако только этим все не ограничивается. Исключение коллизий пакетов в значительной степени способствует более полному использованию полосы пропускания. Token Ring использует до 75 % полосы пропускания, в то время как теоретический максимум использования у Ethernet составляет около 37 %. В первых реализациях Token Ring скорость передачи данных составляла 4 Мбит/с. Сейчас большинство локальных сетей с технологией Token Ring повысили свою скорость до 16 Мбит/с. Это не так много по сравнению со 100-мегабитным Fast Ethernet, но, как уже говорилось, Token Ring работает гораздо эффективнее, чем Ethernet.

Не стоит забывать, что деньги тоже имеют значение. Token Ring не стал лидирующим стандартом только потому, что имеет более высокие цены за трафик.



Организация локальных сетей Token Ring стоит дороже из-за технологической сложности механизма эстафетной передачи маркера и использования сетевых карт, которые передают пакеты в упорядоченном режиме.

ATM

Технология асинхронного режима передачи (Asynchronous Transfer Mode, ATM) отличается от других сетевых технологий тем, что каждая передача состоит из 53-байтовых ячеек. Ячейки - это блоки фиксированной длины и, подобно пакетам, представляют собой части сообщения. Формат фиксированной длины позволяет получать уникальные характеристики.

АТМ-технология отличается от технологии Ethernet и Token Ring тем, что является коммутируемой технологией, в которой виртуальные каналы устанавливаются до начала передачи. Ethernet и Token Ring не создают виртуальных каналов, более того, они отсылают сообщение хосту без предварительного уведомления, оставляя задачу определения оптимального маршрута маршрутизаторам.

Ячейки АТМ достаточно малы (53 байта) по сравнению с Ethernet-пакетами, имеющими размер от 64 до 1500 байт, поэтому их быстрее обрабатывать и легче осуществлять контроль.



Еще одной отличительной чертой АТМ является то, что эта технология разработана для оптоволоконных кабелей, работающих в технических условиях синхронных оптических сетей (Synchronous Optical Network, SONET). SONET является ANSI-стандартом, который определяет характеристики физических интерфейсов, подключаемых к оптоволоконным кабелям.

Архитектура ATM-сетей эффективно использует полосу передачи для максимальных скоростей, на 75% превышая эффективность технологии Token Ring. Скорость передачи для большинства магистральных АТМ-сетей составляет 155 Мбит/с (ОС-3) или 622 Мбит/с (ОС-12). Скорость передачи для сильно нагруженных междугородных линий связи составляет 622 Мбит/с (ОС-12) и 2,488 Гбит/с (ОС-48).

Примечание. ОС определяет оптический носитель и является мерой скорости при передаче данных по оптоволоконным линиям.

Беспроводная связь

Функциональные особенности вышеописанных сетевых технологий сильно отличаются друг от друга. Одни технологии являются более распространенными, другие - более дорогими, третьи - более эффективными. Хотя технологии Ethernet, АТМ, Frame Relay обладают уникальными функциями, у них есть одна общая черта - необходимость физического соединения между хостами, независимо от того, что их соединяет: медный кабель "витая пара" или оптическое волокно. Беспроводные локальные сети (Wireless LAN, WLAN) "освобождают" устройства от физической привязки к сети, при этом сохраняя возможность передачи данных.

Технологической базой для работы беспроводных локальных сетей является стандарт IEEE 802.11. Он введен в эксплуатацию в начале 90-х годов прошлого века и применяется в нелицензированном диапазоне частот 2,4 ГГц. Первые версии стандарта 802.11 поддерживали скорость передачи данных от одного до двух мегабит в секунду. Усовершенствованный стандарт 802.11b повысил эту скорость до 5,5 Мбит/с и 11 Мбит/с, что достигается расширением спектра сигнала по принципу прямой последовательности (DSSS), т. е. использованием другой схемы модуляции.

Появилась новая версия протокола 802.11а, работающая на скорости 54 Мбит/с, но она еще не завоевала такой популярности, как версия 802.11b. Протоколы 802.11 и 802.11b работают на частоте 2,4 ГГц, а версия 802.11а - на частоте 5,8 ГГц. Вместо DSSS в этой версии используется ортогональное мультиплексирование деления частоты (Orthogonal Frequency Division Multiplexing, OFDM).

Целью разработки стандарта 802.11а было следующее:

Примечание. Именно из-за третьего пункта IEEE выбрал в качестве рабочей частоты 2,4 ГГц. Это нелицензированная полоса частот, предназначенная для использования в промышленности, науке и медицине.

Архитектура беспроводных локальных сетей, работающих по стандарту 802.11, напоминает архитектуру сетей сотовой телефонной связи. Используя сетевую архитектуру, описанную ниже, беспроводные компьютерные сети пользуются преимуществами роуминга телефонных сетей, обеспечивая высокие скорости передачи данных.

Использование архитектуры сотовой связи позволяет беспроводным устройствам соединяться, разъединяться и совершать роуминг от ячейки к ячейке. Более подробная информация о работе беспроводных сетей в Windows XP Professional приведена в лекции 5.

Технологии глобальной сетевой связи

Вычислительная сеть не ограничивается длиной кабеля пятой категории или диапазоном частот устройства, работающего по стандарту 802.11. Многие организации поддерживают связь со своими филиалами, находящимися на огромных расстояниях, с помощью технологий глобальной сетевой связи (Wide-Area Network, WAN). Эти технологии позволяют сетевым устройствам по всему земному шару подключаться к глобальной сети интернет.

Существует два основных вида WAN-технологий, с помощью которых удаленные пользователи и офисы устанавливают связь с сетью организации.

Независимо от вида WAN-соединения, для передачи данных между пользователями и офисами задействованы линии обычной телефонной связи. Различие заключается в использовании линии:

Примечание. Отрезок между домом (офисом) и коммутационной телефонной станцией традиционно называется "последней милей". Это самое узкое место, снижающее скорость WAN-соединения, поскольку эта инфраструктура не рассчитана на передачу больших объемов информации.



В последние годы термин "последняя миля" стал очень распространенным, поскольку популярность и важность интернета растет, а пользователи страдают из-за медлительности их домашних и рабочих соединений удаленного доступа. Высокая пропускная способность нужна очень многим, а не только подросткам, скачивающим музыку в формате МР3.

В этом разделе мы остановимся на технологиях, которые позволяют решить проблему "последней мили". Это технологии DSL (Digital Subscriber Lines - цифровые выделенные линии) и ISDN (Integrated Services Digital Network - цифровая сеть связи с комплексными услугами). Операторы кабельного телевидения и компании спутниковой связи тоже стараются избежать связи с телефонной сетью. Позже мы рассмотрим транк-технологии, использующие всю полосу пропускания для пересылки миллиардов пакетов в секунду.

Технологии удаленного доступа

Основное отличие технологии удаленного доступа и транк-технологии заключается в том, что соединение удаленного доступа является временным. По окончании сеанса связи пользователь кладет трубку, и соединение обрывается. Большинство телефонных линий в жилых домах являются аналоговыми, т. е. звук поступает в систему в виде звуковой волны. Для обмена данными между компьютерами посредством телефонной связи используются модемы (название является сокращением от модулятор/демодулятор). Модемы конвертируют двоичные сигналы в звуковые и осуществляют обратное преобразование. Поэтому во время дозвона до интернет-провайдера или отправки факса вы слышите характерные звуки, доносящиеся из этих устройств.

Аналоговые сети не так уж плохи, не будь они такими "медлительными". Низкие скорости обусловлены узостью полосы пропускания медного телефонного кабеля для прохождения акустического сигнала. И, если задуматься, это оправдано - ведь телефонная сеть создавалась для голосового общения, а не для пересылки данных. Поэтому даже самый быстрый модем работает со скоростью передачи данных 56 Кбит/с. На рисунке 1.7 показано сравнение пропускной способности сети при использовании различных скоростей и технологий.

Пропускная способность сетей, использующих различные технологии


Рис. 1.7.  Пропускная способность сетей, использующих различные технологии

Высокоскоростными технологиями удаленного доступа, в которых используется существующая инфраструктура телефонной связи, являются цифровая сеть с комплексными услугами (Integrated Services Digital Network, ISDN) и цифровые выделенные линии (Digital Subscriber Lines, DSL). ISDN была внедрена в конце 1980-х годов, но распространялась довольно трудно. DSL является новейшей технологией и предлагает более высокие скорости по сравнению с ISDN. К сожалению, хоть на DSL и существует высокий спрос, локальные носители или не поддерживают эту технологию, или поддерживают не так быстро, как хотелось бы.

ISDN

Технология ISDN была первым цифровым сервисом на дому. В связи с тем, что эта технология является цифровой, для ее использования дома или в небольшом офисе требуется специальное оборудование. К сожалению, доступность ISDN часто зависит от взаимного расположения пользователя и центральной телефонной станции, и поэтому не всегда возможна.

Интерфейс базового уровня. Технология ISDN создает множество каналов в одном соединении. Каналом называется путь передачи данных, который встраивается в телефонную линию наряду с другими каналами. Основным каналом является канал интерфейса базового уровня (Basic Rate Interface, BRI) с двумя несущими, или B-каналами, для полезной нагрузки. На рисунке 1.8 приведено сравнение канала аналог/модем с каналом BRI.

Канал интерфейса базового уровня предоставляет три цифровых канала


Рис. 1.8.  Канал интерфейса базового уровня предоставляет три цифровых канала

Каждый В-канал работает со скоростью 64 Кбит/с при общей пропускной способности в 128 Кбит/с. Возможно вас удивит то, что ISDN делит линию на два канала. Почему не создается один канал для лучшего использования полосы пропускания? Дело в том, что раздельные В-каналы повышают пропускную способность симметричных соединений, то есть таких соединений, в которых одновременно происходит и отправка, и прием трафика. Третий канал, называемый D-каналом (или дельта-каналом), работает со скоростью 16 Кбит/с. Он не несет полезной нагрузки, как В-каналы, а служит для передачи сетевой контрольной информации. Это разделение полезной нагрузки и контролирующих данных улучшает работу ISDN и повышает ее надежность.

Интерфейс основного уровня. Существует еще один вид ISDN-каналов, который называется интерфейсом основного уровня (Primary Rate Interface, PRI). Функционально PRI ничем не отличается от BRI. Однако PRI гораздо "упитаннее", так как включает 23 В-канала и один D-канал (64 Кбит/с) при общей пропускной способности 1,544 Мбит/с. Интерфейс основного уровня часто называют Т1. PRI ориентирован на обслуживание малого бизнеса, который нуждается в связи с многочисленными клиентами.

DSL

Как и ISDN, технология DSL является цифровой технологией, которая работает на базе обычной телефонной сети. В DSL используются сложные алгоритмы модуляции сигналов для повышения пропускной способности в инфраструктуре "последней мили".

В отличие от симметричной ISDN, технология DSL является асимметричной, т. е. скорость приема данных может быть гораздо выше скорости отправления, что очень нравится пользователям домашнего офиса, которые в основном стремятся получать информацию, а не отсылать ее. Существует несколько типов DSL.

Для DSL-соединения требуется специальное оборудование, как и для ISDN. DSL-модемы разделяют сигналы на два канала: принимающий и передающий. При использовании технологии DSL Lite это разделение происходит на телефонном коммутаторном узле (см. рис. 1.9). Технология DSL более экономна по сравнению с ISDN, так как DSL-оборудование стоит дешевле, чем ISDN, а разделение сигнала осуществляется в оборудовании, установленном в помещении пользователя. Не следует думать, что DSL является "лекарством" на все случаи жизни. Для установки DSL-связи пользователь должен находиться не далее пяти миль от телефонной коммутационной станции.

Высокую пропускную способность DSL-модема обеспечивает разделение трафика на два канала, работающих в разных направлениях


Рис. 1.9.  Высокую пропускную способность DSL-модема обеспечивает разделение трафика на два канала, работающих в разных направлениях

Кабельные модемы и спутниковая связь

Если мысль о передаче высокоскоростных данных через телефонную линию кажется вам невыносимой, то знайте, что есть варианты преодоления "последней мили". Кабельные модемы и спутниковая связь завоевывают популярность как способы высокоскоростного подключения к интернету.

Кабельный модем. Использует в качестве носителя коаксиальный кабель, при помощи которого подключено кабельное телевидение. Кабельный модем подключается к телевизионному кабелю и к сетевой карте Ethernet компьютера.

В зависимости от пакетов услуг, предлагаемых компанией, вы можете рассчитывать на скорость получения данных от 384 Кбит/с до нескольких миллионов бит в секунду. Слабым местом кабельных модемов является то, что они используют информационный канал наравне с соседними пользователями. Будет замечательно, если вы окажетесь единственным обладателем кабельного модема. Однако при наличии других пользователей, подключающихся к сети, скорость передачи данных резко снижается.

Спутниковая связь. Основными ограничительными факторами на пути решения проблемы "последней мили" являются возможности телефонной компании в предоставлении абонентской цифровой линии (DSL) или компании кабельного телевидения в предоставлении кабеля. Однако даже если вы заброшены на северное побережье озера Сьюпериор, вы можете справиться с этой проблемой. Многие видели 18-дюймовые спутниковые тарелки, прикрепленные к крышам и стенам домов. Раньше они использовались только для просмотра телепрограмм и кинофильмов. А сегодня многие компании предлагают через них спутниковый доступ в интернет. Раньше спутниковая связь работала только в режиме скоростного приема информации, но в последнее время ее функциональность расширилась до осуществления двухсторонней скоростной передачи данных.

Транк-технологии глобальной связи

Выше уже говорилось о том, что транк - это высокопроизводительный канал связи, соединяющий две точки, каждая из которых является коммутационным узлом. Такие каналы не обязательно работают только на междугородных и городских линиях, их можно устанавливать внутри зданий и студенческих городков.

А теперь давайте рассмотрим соединения Т1, Т3 и технологию Frame Relay.

Арендуемые линии Т1 и Т3

Т1 и Т3 являются наиболее распространенными технологиями для арендуемых линий в Северной Америке и Японии. Арендуемые линии являются линиями связи (или фрагментами линий), которые резервируются для использования организациями за определенную плату.

Наиболее популярной технологией цифровых линий является Т1. Она использует телекоммуникационную схему мультиплексирования с временным разделением (time-devision multiplexing, TDM) для работы на скоростях передачи данных до 1,5 Мбит/с. TDM объединяет все потоки данных в одной линии, назначая каждому потоку свой временной слот. В линиях Т1 используется медный кабель, и вы можете арендовать такую линию в своей телефонной компании. Если пропускная способность в 1,5 Мбит/с превышает ваши потребности, то можно арендовать часть линии Т1.

Линии Т3 являются более надежным вариантом линий Т1 и обеспечивают скорость передачи данных в 45 Мбит/с. Технологии Т3 обычно используются крупными поставщиками услуг интернет-связи для более мелких провайдеров. Линию Т3 можно разбивать на отдельные сегменты, и это очень удобно, поскольку пропускная способность и цена за использование такой линии слишком велики для одной организации.

Frame Relay

И напоследок рассмотрим технологию ретрансляции кадров Frame Relay. Ретрансляция кадров применяется для передачи данных в крупных сетях, как, например, региональная телефонная компания AT&T. На рисунке 1.10 показано, как технология Frame Relay использует линии телефонной связи для соединения с удаленными точками.

Технология Frame Relay эффективна для нестационарного трафика


Рис. 1.10.  Технология Frame Relay эффективна для нестационарного трафика

С точки зрения стоимости технология ретрансляции кадров выглядит достаточно привлекательно. Она получила свое название в связи с тем, что данные конвертируются в кадры (фреймы) переменной длины. Работа сети ускоряется из-за того, что управление сеансами связи и исправление ошибок возлагается на узлы, расположенные в сети.

Пользователи арендуют постоянный виртуальный канал (Permanent Virtual Circuit - PVC), который предоставляет им выделенную WAN-линию без арендной платы. Как вы помните, Т1 и Т3 являются арендуемыми платными соединениями, независимо от того, сколько времени вы ими пользуетесь.

Пользователи линий Frame Relay оплачивают использование канала связи в зависимости от времени, проведенного в сети, в контракте они могут также установить перечень платных услуг, предоставляемых компанией.

Сети Frame Relay базируются на каналах Т1 и Т3, управляемых оператором сети. Использование сетей с ретрансляцией кадров целесообразно в том случае, если объем передаваемой информации не очень велик.

Говорить о работе сетей можно много и долго. Только об основных функциях сетевых соединений можно написать целые тома. Нашей целью являлось обсуждение базовых моментов сетевого и межсетевого взаимодействия. Эти сведения необходимы для дальнейшей работы с Windows XP Professional.

Лекция 2. Введение в Windows XP Professional для работы в сети

В первой лекции мы обсудили основы работы сетей и передачи компьютерных данных. В этой лекции мы сконцентрируем свое внимание на Windows XP Professional, особенно на ее отличиях от более ранних версий, и на ее использовании в работе сети. Затем мы поговорим о переходе к работе с Windows XP Professional, будь то обновление ранней версии Windows или первоначальная инсталляция.

Что нового в Windows XP Professional

Если вы смотрели телевизор в то время, когда анонсировался выпуск Windows XP Professional, то вдоволь налюбовались рекламой о легкости использования этого продукта, его улучшенной графике и возможностях работы с цифровыми фотографиями и МР3. Все это замечательно для домашнего использования, но есть ли в этой системе что-то новое для профессиональной деятельности и работы в сети. Конечно, есть!

В этом разделе мы рассмотрим новые сетевые функции Windows XP Professional и встроенные свойства, которые призваны повысить надежность работы вашей сети.

Сетевые свойства

То, что Windows XP Professional имеет улучшенный графический пользовательский интерфейс и широкие мультимедийные возможности, не исключает наличия в ней важных инструментов для работы в рамках предприятия.

Примечание. Microsoft называет рабочий стол и набор инструментов Windows XP Professional интеллектуальным пользовательским интерфейсом (Intelligent User Interface, IUI). Вы должны решить, действительно ли это название оправдывает себя, или это плод "мозгового штурма", предпринятого работниками маркетингового отдела Microsoft.

Некоторые усовершенствования прежней версии Windows включают в себя возможности работы в беспроводных сетях, удаленный доступ и поддержку виртуальной частной сети (virtual private network, VPN).

Работа в беспроводной сети

Одной из улучшенных возможностей Windows XP Professional является способность работать в беспроводной сети, в частности в беспроводной сети Ethernet, известной также как Wi-Fi или 802.11b. За последние годы беспроводные сети получили широкое распространение. Беспроводные сети высокофункциональны, они не требуют соединительных кабелей 5-ой категории и предоставляют скорость передачи данных до 11 Мбит/с. Более того, цена адаптеров для беспроводных сетей постепенно снижалась, и точки входа в беспроводные сети появляются в столицах и аэропортах.

Мы поговорим об особенностях установки Wi-Fi соединения в лекции 5, а здесь обсудим вклад Windows XP Professional в беспроводное сообщество. Windows XP Professional поддерживает ряд адаптеров беспроводных сетей без необходимости в инсталляции дополнительных драйверов. Это позволяет настроиться на работу в беспроводной сети за считанные минуты. На рисунке 2.1 изображено диалоговое окно для настройки работы в беспроводной сети.

Настроить работу беспроводной сети с Windows XP Professional легко, как никогда раньше


Рис. 2.1.  Настроить работу беспроводной сети с Windows XP Professional легко, как никогда раньше

Однако легкость первоначальной настройки работы сети еще не означает, что и дальше все пойдет гладко. Хотя Wi-Fi предоставляет возможность доступа к беспроводной сети, она одновременно создает брешь в системе безопасности, через которую может проехать танк Шермана. После того как вы настроили работу беспроводной сети в Windows XP Professional, неплохой мыслью будет найти время для конфигурации соответствующих мер безопасности в целях предохранения сети от несанкционированного доступа. Все, что требуется для такого доступа, - портативный компьютер и беспроводной адаптер на автостоянке, и ваша сеть будет взломана. Более того, любой человек, находящийся в том же здании, имея компьютер и беспроводной адаптер, может проникнуть в незащищенную беспроводную сеть.

Более подробную информацию о работе с Windows XP Professional в беспроводной сети вы найдете в лекции 5.

Работа с удаленным компьютером

Windows XP Professional включает в себя две новые программы удаленного доступа. До некоторой степени Remote Desktop (Удаленный рабочий стол) и Remote Assistance (Удаленный помощник) дополняют друг друга. Тем не менее, это две отдельные программы со своими уникальными функциями. Давайте поближе рассмотрим эти инструменты и выясним, как и в чем они могут помочь. Затем наступит очередь обсуждения виртуальных сетей VPN в Windows XP Professional.

Удаленный рабочий стол. Windows XP Professional может выступать в качестве хоста, которым можно управлять с другого компьютера, работающего в среде Windows, независимо от установленной на нем версии Windows. Это приложение предоставляет возможность удаленного управления, которые давно имеются в приложениях других разработчиков, таких как PCAnywhere, Carbon Copy и т.д. На рисунке 2.2 показан инструмент Remote Desktop (Удаленный рабочий стол).

Инструмент Remote Desktop (Удаленный рабочий стол) позволяет осуществлять доступ к удаленному компьютеру


Рис. 2.2.  Инструмент Remote Desktop (Удаленный рабочий стол) позволяет осуществлять доступ к удаленному компьютеру

При работе с Remote Desktop вы должны помнить о двух вещах:

Если на хосте пользователь входит систему, в то время как удаленный пользователь устанавливает соединение, то пользователь хоста будет удален из сети. Это удобно для службы технической поддержки организации, когда она должна разрешить проблему, связанную с персональным компьютером. Сотрудники этой службы могут видеть, что делал пользователь на хосте до начала сеанса удаленной связи при условии, что удаленный пользователь вводил для входа в систему ту же информацию, что и пользователь хоста.

Примечание. Только один пользователь может иметь доступ к машине хоста в текущий момент времени.

Приложение Remote Desktop (Удаленный рабочий стол) удобно использовать, если пользователю нужно войти в свой компьютер из удаленного места.

Удаленный помощник. Второе приложение Windows XP Professional называется Remote Assistance (Удаленный помощник). Одним из преимуществ Удаленного помощника над удаленным рабочим столом состоит в том, что удаленную машину можно контролировать, и обе стороны могут просматривать содержимое экрана.

Примечание. Эта функция работает только в том случае, если на обоих компьютерах установлена Windows XP Professional. Эта функция не работает с более ранними версиями Windows, а также с Windows XP Home Edition.

Удаленный помощник позволяет IT-отделам и работникам локальных служб поддержки справляться с возникающими у пользователей проблемами или демонстрировать новые приложения. Сеанс Удаленного помощника может быть инициирован посредством Windows Messenger или по электронной почте. Будьте внимательны, поскольку при неправильном применении электронной почты вы можете подвергнуть безопасность системы риску. Для приглашений, отправляемых по почте, следует сообщить пароль (его не обязательно включать в почтовое отправление, а можно передать по телефону). Вы также можете ограничить время, в течение которого приглашение контролирует ваш рабочий стол.

Для запуска сеанса Удаленного помощника следует выполнить три основных действия.

  1. Пользователь запрашивает помощь либо посредством Windows Messenger, либо по почте. В письме должен находиться в виде вложения специальный "билет" (ticket) (см. рис. 2.3).
  2. Для ответа эксперт должен щелкнуть на билете или на запросе в Windows Messenger.
  3. Обе стороны соглашаются инициировать сеанс Удаленного помощника.

Приглашение эксперту принять участие в сессии Remote Assistance (Удаленный помощник)


Рис. 2.3.  Приглашение эксперту принять участие в сессии Remote Assistance (Удаленный помощник)

Помимо этого, эксперт может послать совет пользователю. После того как соединение установлено, эксперт и пользователь могут обмениваться между собой текстовыми сообщениями. К сожалению, существует ряд барьеров, нарушающих плавное течение сессии. Во-первых, если пользователь и эксперт находятся в разных локальных сетях, то Удаленный помощник не работает. Если один из компьютеров защищен брандмауэром и блокирует порт 3389 или использует сетевую трансляцию адресов (Network Address Translation, NAT), то сеанс может не состояться.

Если организация беспокоится по поводу безопасности, работу Удаленного помощника можно ограничить посредством групповой политики. Устанавливаются разрешения, ограничивающие работу Remote Assistance только устройствами, защищенными брандмауэром организации, или компьютерами одной локальной сети.

VPN. Если послушать вечерние новости, то может показаться, что интернет - это грязный притон, заполненный извращенцами и преступниками. Верите ли вы этому или нет, но некоторые сигналы, предупреждающие об опасности, должны звучать в вашем мозгу при мысли о передаче секретных данных вашей организации через эфирное пространство, где царит беззаконие. Но даже при наличии небольшой опасности организация все же может обезопасить себя, предприняв ряд соответствующих шагов.

Информация, пересылаемая через интернет, обычно не защищена от злоумышленников. Однако можно защитить данные организации, обезопасив линии связи и распространив свою частную сеть в интернете с помощью технологии, известной под названием виртуальной частной сети (VPN).

VPN использует технологический прием под названием туннелирование для пересылки частных данных по открытой сети (типа интернет) к удаленному серверу в локальной сети на месте вашей работы. VPN экономит деньги, потому что вы пользуетесь интернетом, а не WAN или междугородной телефонной линией для соединения с сетью. Соединение посредством протокола туннелирования "точка-точка" (Point-to-Point Tunneling Protocol, PPTP) является зашифрованным и безопасным. Протоколы аутентификации и шифрования реализуются удаленным сервером входящей информации.

На рисунке 2.4 показано диалоговое окно для создания VPN-соединения.

Создать VPN-соединение можно двумя способами.

Примечание. Мы более подробно поговорим об организации VPN в Windows XP Professional в лекции 4.

Создание VPN-соединения


Рис. 2.4.  Создание VPN-соединения

Другие свойства

Так как в этом курсе мы рассматриваем организацию сетей, то начали с тем, наиболее близких к сетевой и межсетевой работе. Однако у Windows XP Professional есть еще несколько новых качеств, которые помогут наладить стабильную и безопасную работу сети. Такие свойства, как стабильность, совместимость и способность системы к восстановлению не относятся только к категории сетевых. Однако благодаря им ваша сетевая работа пойдет лучше.

Стабильность

Одним из провозглашенных компанией Microsoft достижений, касающихся Windows XP Professional, является стабильность и надежность этой операционной системы. Хотя каждая последующая версия Windows объявлялась все более устойчивой и надежной, все же Windows XP Professional намного улучшена по сравнению с предыдущими версиями.

Windows XP Professional достигает такого высокого уровня надежности и стабильности, потому что создана не на основе Windows 98 (как это было с предшественницей ХР - версией Windows Me). Windows ХР построена на основе Windows NT и Windows 2000, которые доказали, что являются более устойчивыми системами по сравнению с Windows 9X. Причиной надежности систем Windows 2000 и NT является то, что приложения работают в своих собственных пространствах памяти. Это предохраняет их от конфликтов и возникающих в связи с ними проблем.

Windows XP Professional может выдать предупреждение о возможных проблемах с драйвером из-за работы с непроверенным источником. Windows XP Professional включает в себя механизм, называющийся Driver Protection, который блокирует работу драйверов других производителей в связи с возможным нарушением стабильности системы.

Совместимость

Другим качеством Windows XP Professional является способность работать с приложениями, которые не были специально созданы для среды Windows XP Professional. Используя опцию Compatibility Mode (Режим совместимости), пользователь может эмулировать Windows 95 или NT, и приложение будет работать корректно. Более того, приложение можно ассоциировать с режимом совместимости во избежание возможных проблем.

Так почему же, если система Windows XP Professional настолько хороша, она изначально несовместима с другими версиями Windows? Дело в том, что каждая последующая версия Windows не была на 100 % совместима с предыдущей. Windows XP Professional допускает некоторую обратную совместимость, достаточную для того, чтобы не выбрасывать приложения вместе со старой системой. На рисунке 2.5 показана настройка диалогового окна Compatibility Mode (Режим совместимости).

Режим совместимости позволяет приложениям, работавшим со старыми версиями Windows, сохранять свою функциональность


Рис. 2.5.  Режим совместимости позволяет приложениям, работавшим со старыми версиями Windows, сохранять свою функциональность

Восстановление системы

И все же система Windows XP Professional не является "пуленепробиваемой" на сто процентов. Если происходит сбой и компьютер переходит в Safe Mode (Безопасный режим), операционная система предлагает возможность отката под названием System Restore (Восстановление системы). Это позволяет пользователю вернуться к тем установкам, которые имелись в компьютере до инцидента. Так называемые точки восстановления (restore points) могут быть созданы пользователем в любое время. Кроме того, операционная система периодически создает свои собственные точки восстановления и при каждой инсталляции новой программы. При отказе компьютера к точке восстановления операционная система использует установочные данные, соответствующие тому времени, когда система работала нормально. На рисунке 2.6 показан экран установок для восстановления системы.

System Restore (Восстановление системы) делает мгновенный снимок системных настроек и предпочтений


Рис. 2.6.  System Restore (Восстановление системы) делает мгновенный снимок системных настроек и предпочтений

Свойство, впервые появившееся в Windows 98, присутствует и в Windows XP Professional. Это автоматическое обновление, которое позволяет пользователю посетить сайт Microsoft и бесплатно скачать обновления к Windows XP Professional.

Создание резервных копий и помощь

Создавать резервные копии и реставрировать файлы в Windows XP Professional стало легче. В систему встроена возможность использования любого типа носителя для создания копий. В прошлом система Windows требовала создания резервного файла, а затем вы сами решали, какое приложение стороннего производителя использовать для записи этого файла на компакт-диск или другой носитель. В Windows XP Professional имеется встроенная функция копирования на компакт-диск, магнитную ленту или другой носитель.

В Windows XP Professional полностью обновлена справочная система. Новинкой стал Центр помощи и поддержки (Help and Support Center), в котором собраны советы разработчиков и других специалистов. Войдя в Центр помощи и поддержки, пользователь может получить онлайновую помощь от Microsoft или от друга, используя Remote Assistance (Удаленный помощник).

Сетевые элементы Windows XP Professional

По мере того как мир становится все более зависимым от компьютерных сетей и интернета, возрастает и стремление сделать работу в сети более производительной и легкой. В этом разделе мы обсудим, что предлагает система Windows XP Professional для сетевой работы. Будет рассмотрена файловая система, общее использование интернет-соединения и обеспечение безопасности.

Файловая система

Одним из первых шагов при переходе к Windows XP Professional является принятие решения об использовании FAT32 или NTFS. На самом деле ОС напомнит о выборе файловой системы во время инсталляции. Предпочтение отдается NTFS, хотя можно выбрать и FAT32. Единственное отличие состоит в том, что NTFS предлагает больше возможностей (особенно касающихся обеспечения безопасности), которыми вы предпочли бы воспользоваться.

В таблице 2.1 перечислены некоторые различия между FAT32 и NTFS.

Таблица 2.1. Ключевые различия между файловыми системами FAT32 и NTFS
FAT32NTFS
3 символа в расширенииМного символов в расширении, много точек (".").
Не зависит от регистра, регистр не сохраняется.Не зависит от регистра, регистр сохраняется.
Максимальный размер файла - 4 ГбМаксимальный размер файла - 16 Тб минус 64 Кб.
Размер тома - от 512 Мб до 2 Тб. В Windows XP Professional - до 32 Гб.Рекомендуемый минимальный размер тома - 10 Мб. Рекомендуемый практический максимум - 2 Тб (допускается и больший размер).
Максимальное количество файлов в томе - 4177920Максимальное количество файлов в томе - 4294967295.
NTFS надежней

Один взгляд на таблицу 2.1 выявляет ряд различий между FAT и NTFS. Но вы можете заметить, что эти различия касаются не только имен и расширений. NTFS является более надежной файловой системой для файловых серверов, потому что она устойчива к ошибкам и предлагает "горячее" исправление (hot fixing). NTFS устойчива к ошибкам, так как регистрирует все обновления каталогов и файлов.

Если в системе происходит сбой, то NTFS автоматически завершает процесс, выполняемый во время прерывания работы системы. Это гарантирует, что все внесенные в файл изменения сохранятся даже в момент остановки. Другим качеством, повышающим надежность NTFS, является "горячее" исправление. Нot fixing распознает испорченные сектора на диске, переносит все данные из сбойного сектора на хороший, а затем делает пометку на испорченном секторе. Все это происходит совершенно незаметно для работающего приложения.

NTFS имеет встроенный механизм для сжатия пользовательских данных. Вы можете сами определить, какие директории или диски необходимо сжать. При перемещении файла в одно из этих мест он будет сжиматься. Этот процесс невидим как для пользователя, так и для приложения. Уровень ожидаемого сжатия зависит от типа файла.

NTFS безопасней

Основной целью разработчиков NTFS было сделать систему более безопасной, то есть отойти от корней DOS в сторону UNIX-модели. NTFS добивается этого, сопровождая каждый файл дескриптором в качестве фрагмента файла. Этот дескриптор определяет следующее:

Перед тем как разрешить приложению открыть файл, NTFS проверяет наличие разрешенного доступа к файлу у пользователя или процесса. В маленьком офисе или в домашней сети это может показаться не важным, но в большой сети это имеет решающее значение.

На предыдущей странице указаны недостатки FAT, но это еще не повод говорить о непригодности данной файловой системы. FAT экономична и идеально подходит для маленьких жестких дисков. NTFS использует так много протокольных данных, что заново переписывает всю дискету при форматировании. FAT - это все, что вам нужно для работы в системах DOS или Windows 95 или для получения доступа к дисководам из этих операционных систем и XP. Наконец, вы всегда можете конвертировать свой жесткий диск из FAT в NTFS. Сделать наоборот не получится. После выбора NTFS у вас нет пути назад.

Вы можете выбрать систему NTFS при инсталляции Windows XP Professional либо сделать это позже, запустив утилиту CONVERT в командной строке:

Convert <drive:> /fs:ntfs

где <drive> - это буква, обозначающая диск, который вы собрались конвертировать. Если CONVERT не может получить эксклюзивного доступа к диску, то вам придется перезагрузиться, чтобы конвертирование началось при старте.

Совместное использование интернет-соединения

Функция Internet Connection Sharing (ICS) (Совместное использование интернет-соединения) позволяет Windows-компьютеру делиться интернет-соединением с другими компьютерами локальной сети. Это замечательное качество для маленьких офисов или домашних сетей, которые имеют только один выход в интернет. ICS не является новинкой в Windows XP Professional. На самом деле это свойство существует со времен Windows 98 SE. К счастью, в Windows XP Professional оно стало еще лучше. ICS в Windows XP Professional имеет следующие усовершенствования по сравнению с прошлыми версиями.

ICS стало легче настраивать. Нет дополнительной программы инсталляции, и к сети не добавляются новые компоненты и протоколы. ICS стала более надежной и реже вызывает проблемы в работе сети. Вы можете построить сетевой мост, соединив две и более локальные сети, и использовать интернет-соединение на всех компьютерах этих сетей. Это бывает полезно, если компьютеры, работающие под Windows XP Professional, соединены как обычными, так и беспроводными сетями.

Однако в Windows XP Professional функция ICS потеряла некоторые полезные качества, имевшиеся в предыдущих версиях. Вы не можете отключить DHCP-сервер, изменить IP-адрес или изменить диапазон адресов, назначаемых DHCP-сервером. Поэтому при использовании совместного интернет-соединения помните о следующем.

С учетом этих предупреждений ICS является замечательным инструментом для подключения к интернету нескольких компьютеров посредством одного соединения.

Система обеспечения безопасности

Как и многие другие средства, инструменты системы обеспечения безопасности, ранее доступные только в приложениях других разработчиков, теперь являются частью Windows XP Professional. В этом разделе мы рассмотрим новый брандмауэр Internet Connection Firewall, сопротивление атакам вирусов и те инструменты обеспечения безопасности, которые так хорошо работали в прошлых версиях Windows, что Microsoft сохранил их и в этой. Однако не стоит думать, что Windows XP Professional является "пуленепробиваемой" системой. Мы обсудим имеющиеся в ней бреши.

Internet Connection Firewall

Internet Connection Firewall идеально подходит для пользователей, имеющих кабельный или DSL-доступ в интернет. Эти типы соединений являются уязвимыми, так как постоянно находятся в рабочем состоянии. Internet Connection Firewall делает компьютер невидимым из интернета, что мешает хакерам выбрать его в качестве мишени. Специалисты из Gartner Group назвали этот брандмауэр "рудиментарным". Для получения лучших результатов система обеспечения безопасности должна быть улучшена с помощью дополнения, созданного разработчиками другой компании. На рисунке 2.8 показан инструмент ICF.

Настройка ICF в Windows XP


Рис. 2.8.  Настройка ICF в Windows XP

Блокировка вирусов

Атакам вирусов противостоит новая ограничительная политика. Она позволяет администраторам блокировать исполняемый код, который может удалить файлы или привести к другим повреждениям при неосмотрительном открытии файла, зараженного вирусом. Вместе с этим инструментом компания McAfee, специализирующаяся на защите от вирусов, оптимизировала свою антивирусную программу VirusScan Online специально для Windows XP Professional. Эта программа автоматически обновляется через интернет при добавлении нового вируса в базу данных McAfee.

Уж если она работает, так работает

Фундаментальный код Windows XP Professional стал еще прочнее по сравнению с предыдущими версиями. Как было отмечено ранее, Windows XP Professional базируется на коде Windows NT и в таком качестве более устойчива к атакам хакеров по сравнению с Windows 98 или Me.

Другие NT-дополнения Windows XP Professional включают в себя файловую систему Windows NT, которая позволяет пользователям устанавливать пользовательские идентификаторы и контролирует доступ к файлам внутри компьютера. Это бывает полезно, когда компьютером пользуется не один человек (дома или на работе). К файлу, созданному одним пользователем, нет доступа для другого пользователя.

Потенциальные бреши в системе безопасности

К сожалению, Windows XP Professional имеет свои слабые места. Некоторые ее свойства могут быть использованы хакерами для проникновения в систему. Например, эта ОС автоматически пересылает информацию от компьютера к Microsoft, касающуюся регистрации продуктов, ошибок и обновления программ. Более того, свойство удаленного управления позволяет группе поддержки в организации или администратору управлять компьютером со своей машины. В обоих случаях может произойти атака хакеров.

Windows XP Professional является еще одним шагом Microsoft на пути от рабочего стола к веб-сервису. Программа Microsoft .Net хранит приложения и информацию на серверах, соединенных с интернетом и доступных из любого места. Хотя это и удобно в рамках .Net-инициативы, но это создает точку для атаки, которой может воспользоваться хакер.

Windows XP Professional является гораздо более безопасной системой, чем более ранние версии Windows, но все же она несовершенна, так как содержит множество мест для нежелательного проникновения в сеть. Система обеспечения безопасности в Windows XP Professional состоит из противовирусной защиты, межсетевого экрана и общей системы обеспечения безопасности пользователей.

Kerberos

Мерой для обеспечения безопасности, реализованной в Windows 2000 и перенесенной в Windows XP Professional, является Kerberos v.5. Протокол Kerberos предоставляет средства для взаимной аутентификации клиента (пользователя, компьютера или сервиса) и сервера.

Kerberos дает очень эффективный и удобный способ аутентификации даже в очень больших сетях. Работа протокола основана на предположении, что изначально транзакции между клиентом и сервером происходят в незащищенной сети. А раз так, то неавторизованный пользователь может представиться клиентом или сервером и перехватить или подделать сообщение для аутентификации.

Kerberos использует секретный ключ шифрования для защиты мандатов пользователя в процессе их перемещения по сети. Тот же самый ключ может затем использоваться для расшифровки мандата пользователя на принимающей станции. Дешифровка и последующие регистрационные процедуры выполняются контроллером домена с помощью Центра распространения ключей Kerberos (Kerberos Key Distribution Center, KDC).

Примечание. Более подробно контроллеры доменов описаны в гл. 6.

Примечание. Kerberos - это имя трехголового пса, стерегущего вход в ад. Кто бы объяснил, зачем его надо сторожить?

Удостоверение личности (аутентификатор) - это фрагмент информации, который каждый раз генерируется по-новому. Аутентификатор используется в каждом зашифрованном регистрационном сообщении для гарантии того, что прежнее зарегистрированное удостоверение личности не использовалось повторно.

Если первоначально введенное удостоверение личности принято, то KDC выдает билет (ticket-granting ticket, TGT), который используется локальными средствами защиты для получения сервисных билетов. Эти сервисные билеты используются для доступа к сетевым ресурсам без повторной проверки личности клиента, до тех пор пока сервисный билет остается действующим. В билете содержатся закодированные данные, которые однозначно идентифицируют пользователя. За исключением введения пароля или данных смарт-карты весь процесс является прозрачным для пользователя.

На рисунке 2.9 показана процедура входа с Kerberos.

Kerberos-процедура входа


Рис. 2.9.  Kerberos-процедура входа

Обновление Windows NT/9X/2000

Последний раздел этой лекции имеет самое непосредственное отношение к вашей собственной работе в сети. Все разговоры о том, насколько Windows XP Professional превосходит более ранние версии, весьма интересны, но каким образом можно перейти от имеющейся у вас системы к Windows XP Professional? Здесь мы расскажем об обновлении более ранней версии Windows и о реализации этого шага.

Системные требования

Если вы используете недостаточно мощный компьютер, то при инсталляции Windows XP Professional не испытаете ничего, кроме раздражения. В этом разделе мы рассмотрим минимальные системные требования для Windows XP Professional (а также коснемся 64-битной версии Windows XP Professional) и поговорим о некоторых инструментах проверки системы на предмет совместимости.

Windows XP Professional

С каждой новой версией Windows минимум системных требований продолжает расти. Не стоит удивляться тому, что Windows XP Professional не будет работать на старой 25-мегагерцовой машине и с 2 Мб оперативной памяти. Для того чтобы заставить Windows XP Professional работать, компьютер должен удовлетворять следующим требованиям.

Это минимальные системные требования для инсталляции Windows XP Professional. Если вы хотите работать быстрее и эффективнее, то следует повысить мощность любого, а может быть и всех вышеназванных компонентов.

64-битное издание Windows XP Professional

Хотя мы не собираемся подробно обсуждать 64-битное издание Windows XP Professional в этом курсе, вы можете обнаружить, что оно лучше подходит вашей организации. Давайте взглянем на то, что предлагает 64-битная версия и каковы ее требования.

Windows XP Professional и Windows XP Professional 64-Bit Edition отличаются друг от друга и в исполнении, и в своих возможностях. Поэтому существуют различия в требованиях к установке, дисковому пространству и драйверам устройства. Это также касается инсталляции и работы некоторых приложений типа Microsoft Management Console (MMC).

Системные требования. В таблице 2.2 приведены различия между Windows XP Professional и Windows XP Professional 64-Bit Edition.

Драйверы устройств. Так как Windows XP Professional 64-Bit Edition работает в 64-битном окружении, она требует 64-битных драйверов. Некоторые драйверы разрешают инсталляцию как 32-битных, так и 64-битных драйверов из одного и того же .inf-файла. Расширение .ia64 используется в рамках .inf-файла этих драйверов для указания файлов инсталляции, устанавливаемых в 64-битной системе. Более ранние версии Windows не могут распознавать расширение .ia64.

Таблица 2.2. Системные требования Windows XP Professional и Windows XP Professional 64-Bit Edition
КомпонентWindows XP ProfessionalWindows XP Professional 64-Bit Edition
Процессор (минимум)233 MГц733 MГц
Процессор (рекомендуется)300 MГцНе ограничено
Оперативная память (минимум)64 Mб1 Гб
Оперативная память (рекомендуется)128 MбНе ограничено
Пространство на жестком диске1,5 Гб1,5 Гб

Примечание. Не обращайте внимание на то, что написано о программных пакетах устройства. Даже если пакет программ сообщает о том, что он совместим с Windows XP Professional, это не означает, что устройство совместимо с Windows XP Professional 64-Bit Edition.

MMC. Начиная с Windows 2000 Microsoft включает в свои операционные системы консоль управления Microsoft Management Console (MMC). Это центральное управляющее приложение, к которому подключаются интегрируемые приложения, позволяющие создавать систему пользовательского управления. Использование интегрируемых приложений позволяет администраторам отслеживать и работать с множеством данных из одного места, не пропуская никакой посторонней информации. MMC можно использовать в работе с групповой политикой и настройками сети. Кроме того, использование интегрируемых приложений позволяет программистам других компаний разрабатывать свои собственные приложения. На рисунке 2.10 показано окно ММС.

Windows XP Professional 64-Bit Edition включает в себя как 64-, так и 32-битную версии ММС. По умолчанию активируется 64-битная версия, хотя в случае необходимости можно выбрать и 32-битную. Версии ММС не могут обмениваться интегрируемыми приложениями. Windows XP Professional распознает количество интегрируемых приложений, доступных в системе, и активирует версию, основанную на анализе алгоритма интегрируемых приложений.

Двойная загрузка

Если у вас уже установлена Windows NT, Windows 2000 или Windows 98, то вы имеете возможность обновления текущей системы или параллельной инсталляции Windows XP Professional. Например, если вы решите проинсталлировать новую копию вместе с NT, то у вас будет две системы для загрузки компьютера. Это называется двойной загрузкой.

ММС в Windows XP Professional


Рис. 2.10.  ММС в Windows XP Professional

Если вы решите иметь DOS или Windows 9X в качестве альтернативной операционной системы в своей системе двойной загрузки, то часть дискового пространства следует отформатировать под FAT. Для лучшего результата и меньшего количества ошибок эта OС должна инсталлироваться перед установкой Windows XP Professional. Весьма рекомендуется размещать Windows XP Professional в своем собственном разделе диска. Хотя ОС находится в своем каталоге, если вы проинсталлируете несколько копий Windows в одном разделе дискового пространства, то они будут вести запись в один и тот же каталог Program Files. XP может переписать там несколько файлов или изменить разрешение на доступ к некоторым важным файлам, что приведет к невозможности загрузки альтернативной операционной системы. Далее, если вы выбрали NTFS в качестве XP файловой системы, то представляется невозможным хранить NTFS файлы на диске, отформатированном под FAT.

Совместимость

Для гарантии совместимости компьютерного оборудования и программ с операционной системой Windows XP Professional компания Microsoft на своем сайте (http://www.microsoft.com/windowsxp/pro/howtobuy/upgrading/compat.asp) создала страницу проверки совместимости продуктов. Так как страница довольно обширная, компания Microsoft упростила процесс проверки на совместимость. Пользователи могут ввести данные о модели своих компьютеров или о версиях своего программного обеспечения, а сайт сделает все остальное. На рисунке 2.11 показано, как выглядит эта страница.

Определенные бренды, модели компьютеров, оборудования и программ можно сравнить со списком совместимого оборудования на сайте Microsoft


Рис. 2.11.  Определенные бренды, модели компьютеров, оборудования и программ можно сравнить со списком совместимого оборудования на сайте Microsoft

Если вы не уверены в конкретной модели, то сайт Product Compatibility (Совместимость оборудования) позволяет ввести тип оборудования и имя производителя. На рисунке 2.12 показаны результаты поиска для принтера Hewlett-Packard LaserJet. Если не выбрана определенная модель, то машина поиска генерирует список всех совместимых принтеров Hewlett-Packard LaserJet.

Даже если вы не сверитесь со списком совместимости оборудования перед инсталляцией Windows 2000, то во время инсталляции программа перенесет вас на эту веб-страницу для сверки оборудования и программ. Однако разумнее определить готовность своего компьютера до начала инсталляции.

Если идея о необходимости штудировать множество страниц об устройствах вам не нравится, то существует альтернатива в виде приложения Microsoft, которое можно скачать по адресу http://www.microsoft.com/windowsxp/pro/howtobuy/upgrading/advisor.asp. Программа Windows XP Professional Upgrade Advisor (рис. 2.13) проверит систему и сгенерирует список совместимых и несовместимых устройств.

Поиск для принтеров Hewlett-Packard LaserJet дает много совпадений


Рис. 2.12.  Поиск для принтеров Hewlett-Packard LaserJet дает много совпадений

Программа Windows XP Professional Upgrade Advisor проверит систему на предмет совместимости с Windows XP Professional


Рис. 2.13.  Программа Windows XP Professional Upgrade Advisor проверит систему на предмет совместимости с Windows XP Professional

Примечание. Советчик по обновлению занимает чуть больше восьми мегабайт, так что при скачивании придется немного подождать (в зависимости от скорости интернет-соединения).

Усовершенствованное оборудование

Разумеется, системы, построенные вами, должны превосходить минимум системных требований, изложенный в предыдущем разделе. Сколько оборудования вы добавите к своей системе, зависит, в основном, от предназначения компьютера и вашего бюджета. Основные области обновления - это оперативная память, жесткие диски и процессоры. Мы вкратце поговорим о каждом компоненте.

Оперативная память. Windows XP любит оперативную память. Несколько лет назад эта память стоила дорого. Настолько дорого, что это казалось главным препятствием для пользователей при переходе к Windows-окружению. К счастью, теперь, когда цена на оперативную память упала, ее обновление до 256 Мб уже не равняется стоимости целого компьютера. В 90-х если бы вы в разговоре упомянули рабочую станцию с 256 Мб оперативной памяти, то слушатели, вытаращив глаза, зашумели и стали бы судорожно хвататься за бумажники. Теперь же 512 Мб является хорошей стартовой площадкой для оперативной памяти. Но для некоторых специализированных рабочих станций (вроде тех, что работают с системами автоматизированного проектирования или графического дизайна) и этого будет мало. Не так уж необычно увидеть компьютеры с памятью в 512 Мб или даже в 1 Гб. Самым лучшим вариантом будет начать свою работу с 256 Мб для рабочих станций и 512 Мб для серверов.

Примечание. Для большей простоты обновления убедитесь в том, что вы используете самые мощные SIMM, какие только можете себе позволить. Например, если у вас имеется 8 слотов, не заполняйте их SIMM по 64 Мб. Лучше купить 2 пары по 128 Мб, и тогда у вас останутся еще два слота для будущих обновлений.

Жесткие диски. Когда Microsoft рекомендует 1,5 Гб свободного пространства на жестком диске, то это относится только к OС и не к чему больше. Если вы инсталлируете Windows XP Professional в систему со всего лишь 1,5 Гб, то будете разочарованы тем, что этого достаточно только для инсталляции системы, но не для ее работы. Более чем вероятно, что вы захотите добавить одно или два приложения к OС, которые займут, наверняка, еще больше пространства на диске. Далее, вам потребуется место для файла подкачки (свопинг-файла), по меньшей мере, на одном диске. Этот файл OС использует, если задействованная оперативная память превышает количество физической памяти, имеющееся в машине. Размер этого файла должен быть от 50 Мб или больше.

К счастью, если вы попробуете купить жесткий диск сегодня, то вам вряд ли попадется такой, на котором имеется только 2 Гб пространства. Очень важно не забывать об ограничениях, связанных с количеством свободного дискового пространства при инсталляции Windows XP Professional в уже существующую систему.

Система с мультипроцессором. Если у вас имеется приложение с очень высокими требованиями, или вы ожидаете, что многочисленные пользователи будут заходить на определенный сервер, то следует подумать о приобретении компьютера с симметричными мультипроцессорами (SMP). Windows XP Professional выходит с поддержкой двух процессоров. SMP-системы - это слишком хорошо, чтобы быть правдой, и, действительно, тут есть некоторые предостережения. Не надейтесь удвоить скорость работы при помощи двух процессоров. На самом деле бывали случаи, когда добавление в систему еще одного процессора приводило к замедлению работы. С дополнительным процессором добавляется и еще одна OС. К тому же, для успешного использования мультипроцессорной машины требуется написание специального кода.

Обновление другой версии Windows

Так как операционная система Windows стала вездесущей, справедливо предположить, что в вашей сети уже проинсталлирована какая-нибудь из версий Windows. В зависимости от того, какую именно версию вы собираетесь обновлять, есть вероятность, что предстоит выполнить грандиозный объем работы.

К сожалению, провести обновление до Windows XP Professional не удастся на машинах с Windows 95 и Windows 3.X. Если вы обладаете лицензионной копией, то сможете купить свежую версию, но все равно инсталляцию придется проводить в очищенной от старой версии системе.

Примечание. Если вы продолжаете работать на компьютере с Windows 95 или 3.Х, то дело не только в несовместимости кодов OS. Похоже на то, что большая часть вашего оборудования устарела. Выше в этой лекции мы перечислили минимальные требования к "железу" для Windows XP Professional. Можно безбоязненно побиться об заклад, что компьютер с Windows 95 или 3.Х ни по каким параметрам не подходит для Windows XP Professional.

Если ваш компьютер работает с Windows 95 или 3.Х, то лучшее, что можно придумать - это пойти и купить новый компьютер. Если в последний раз вы покупали рабочие станции в 1995 году или раньше, то вы более чем созрели для модернизации. Более того, если вы купите новые машины сейчас, то на них уже будет установлена операционная система Windows XP Professional.

Модернизация с уровня Windows 98 или Ме может потребовать некоторого дополнительного планирования. Основным пунктом является структура реестра и процесс установки. Если вы выбрали обновление своих машин, то некоторые вещи не будут работать с Windows XP Professional, и их нужно удалить до начала модернизации. Такие инструменты Windows 98, как ScanDisk, PCAnywhere и DriveSpace, нельзя повысить до уровня Windows XP Professional.

Легче всего провести модернизацию Windows NT и Windows 2000, так как эти версии имеют много общего с Windows XP Professional.

Подготовка к переходу

Есть вещи, которые вы можете проделать сейчас, чтобы обеспечить более легкий переход потом и уменьшить нарушения в работе, обычные для нового оборудования. Сначала мы обсудим, как организовать новую сеть. Затем рассмотрим, как подготовиться к переходу на операционную систему Windows XP Professional, учитывая все оборудование и программы.

Переход к ХР

Как и при любом переходе на новую операционную систему, процесс представляет собой нечто большее, чем просто помещение диска с инсталляцией в дисковод CD-ROM и ожидание того, что компьютер выполнит сам всю остальную работу. Этот процесс требует тщательного планирования, тестирования и хорошо рассчитанного отката.

Легче всего просто купить новые рабочие станции с уже установленной системой Windows XP Professional. Это избавляет от всяческих проблем с конфигурациями, вызывающих в дальнейшем головную боль. Однако, возможно, ваш бюджет не позволяет осуществить этот план.

Если вы решили переходить от текущей Windows-платформы, то Microsoft рекомендует для этого следующий четырехступенчатый план, показанный в таблице 2.3.

Эти шаги очень подробно описаны ниже.

Таблица 2.3. План перехода к операционной системе Windows XP Professional
ЭтапЦель
Логический проектДля определения основных характеристик и рамок предпочитаемой конфигурации Windows XP Professional.
Лабораторное тестированиеДля построения, конфигурации и тестирования проекта в контролируемых условиях.
Проект реализацииДля оценки и выбора метода автоматической инсталляции Windows XP Professional.
Пилотный проектДля проверки пилотной конфигурации и методов реализации Windows XP Professional.

Примечание. Разумеется, для одного-двух компьютеров это явный перебор. Такие шаги следует предпринимать в крупной организации, в которой компьютеры имеют стандартные конфигурации.

Логический проект. Этап логического проектирования предполагает выбор характеристик и конфигурационных возможностей для идеальной настройки Windows XP Professional-системы, устраивающей как работников на местах, так и мобильных пользователей. На этом этапе вы должны продумать как сетевые параметры и протоколы, так и структуру файловой системы и те приложения, которые будут использованы в системе. Например, если вы будете использовать определенный текстовый процессор, будет ли он совместим с Windows XP Professional? Лучше всего свериться с веб-сайтом Microsoft и убедиться, что все пойдет гладко.

Наконец, самое время подумать о структуре файловой системы. Windows XP Professional поддерживает FAT16, FAT32 и NTFS. Как мы указали ранее, NTFS предлагает больше всего выгод, включая поддержку зашифрованных файлов и большие разделы диска, наряду с лучшей системой обеспечения безопасности и надежностью.

Система тестирования. Следующий этап состоит в построении системы тестирования. На этом этапе вы возьмете свою "идеальную" систему и проинсталлируете ее на нескольких компьютерах в изолированном кабинете. Не соединяйте эту лабораторию со своей рабочей сетью. Вам надо протестировать свою систему и убедиться, что она работает правильно и у вас есть драйверы всех устройств.

Примечание. Windows XP Professional изначально совместима со многими драйверами. Однако если какое-либо из периферийных устройств не поддерживается Windows XP Professional, то надо зайти на сайт производителя этого устройства и посмотреть, нет ли там новых драйверов.

Проект реализации. После того как вы опробовали и настроили систему Windows XP Professional в изолированной лаборатории, вам следует решить, как доставить новую OС в свою систему. Этот метод тоже нужно протестировать в лаборатории, чтобы предусмотреть все возможные проблемы.

Можно метаться от компьютера к компьютеру с загрузочным диском и списком ключей продуктов, но с Windows XP Professional вы имеете возможность инсталлировать OС автоматически со своего административного компьютера. Одно из основных решений, касающихся выбора метода отката, зависит от использования службы Active Directory, которая входит в Windows 2000 Server. Если вы используете ее, то у вас будет доступ к нескольким инструментам групповой политики и больший выбор развертывания.

Пилотный проект. На последнем этапе необходимо установить Windows XP Professional нескольким пользователям и провести несколько последних проверок перед выполнением финальной установки. Наконец, вы проводите установку, используя любую из полудюжины различных опций инсталляции, которые рассматриваются в следующем разделе.

Опции инсталляции

Если вы готовы инсталлировать Windows XP Professional на свои клиентские рабочие станции, то можете выполнить это несколькими способами. Путь инсталляции, который вы выбрали, зависит от нескольких факторов. От того, как вы ответите на следующие вопросы, зависит способ инсталляции.

Ответив на эти вопросы и прочитав следующие параграфы о путях инсталляции, вы сможете решить, какой из методов больше подходит вашей организации.

Автоматическая инсталляция. Автоматическая инсталляция позволяет проводить инсталляцию - о, чудо! - автоматически. При использовании этого метода сценарии отвечают на все вопросы во время установки. Вы можете использовать Setup Manager 3.0 для настройки автоматических сценариев. Для автоматической инсталляции запустите WINNT32.EXE из командной строки компьютера, на котором установлена OС Windows NT 4.0, 98 или 2000, затем выберите соответствующие команды для запуска сценария.

Преимущества автоматической инсталляции состоят в следующем.

Недостатком автоматической инсталляции является то, что с ней можно выполнять только обновление операционной системы. Чистую инсталляцию нельзя провести автоматически.

Примечание. На самом деле чистую инсталляцию можно провести автоматически, но для этого потребуется программа другого разработчика. Однако с помощью доступных инструментов Microsoft выполнить автоматическую инсталляцию нельзя.

SysPrep. Инструмент System Preparation (SYSPREP.EXE) позволяет сделать "моментальную фотографию" конфигурации клиента и затем разослать ее многочисленным клиентам, используя инструмент Symantec Ghost Corporate Edition 7.5. Этот процесс также называется клонированием.

Преимущества клонирования заключаются в следующем.

У этого метода есть несколько недостатков.

Загрузочный компакт-диск. После того как образ был создан с помощью SysPrep, его можно скопировать на компакт-диск. Этот диск можно передать любому пользователю, не имеющему доступа в сеть, или в тех случаях, когда пользователь хочет обновлять свою систему самостоятельно. Как и в случае с SysPrep, пользователи сами вводят соответствующие данные, или можно сгенерировать сценарий и передать его пользователю на дискете, которая запускается одновременно с компакт-диском при установке.

Загрузочный компакт-диск имеет следующие преимущества.

К недостаткам можно отнести следующее.

Сервисы удаленной инсталляции. В то время как автоматическая инсталляция допускает только обновление OС, сервисы удаленной инсталляции (Remote Installation Services, RIS) разрешают чистую инсталляцию Windows XP Professional на компьютерах организации. RIS позволяет клиентам загружаться с сетевой карты. Администрация может использовать сервисы удаленной инсталляции для создания и последующего хранения образов Windows XP Professional на том сервере, где работает RIS. После того как пользователь загрузился с сетевой карты, RIS-образ скачивается через сетевое соединение. Инсталляция является гибкой, загрузка RIS-образа бывает полностью автоматической, или пользователь вводит специальную информацию - пароль или имя компьютера.

Для работы сервисов удаленной инсталляции клиентский компьютер должен поддерживать Pre-Boot Execution Environment. Более того, RIS можно использовать только вместе с Active Directory. Для компьютеров, не содержащих PXE-based remote ROM, сервисы удаленной инсталляции включают в себя инструмент Remote Boot Floppy (RBFG.EXE) для создания загрузочного диска, который надо использовать параллельно с RIS. Сервисы удаленной инсталляции имеют следующие преимущества.

К недостаткам можно отнести следующее.

Systems Management Server. SMS является встроенным набором инструментов для управления работой Windows в сети, состоящей из тысяч компьютеров. SMS включает в себя инструменты управления рабочим столом и распространения программного обеспечения, облегчая процесс обновления. SMS используется только для обновления, а не для чистой инсталляции. Удобство обновления посредством SMS состоит в том, что администратор может контролировать весь процесс с центрального компьютера. Администраторы могут решать, когда проводить обновление, на каких компьютерах, а также как применять ту или иную политику.

SMS имеет следующие преимущества.

К недостаткам можно отнести то, что SMS должен быть вовлечен в работу вашей сети. К тому же, научиться работать с SMS не просто.

Быстрое сравнение. Предыдущие разделы нагрузили вас обширной информацией о различных способах инсталляции и обновления Windows XP Professional. Чтобы все это не перепуталось у вас в голове, в таблице 2.4 приведено сравнение и показаны особенности каждого метода.

Таблица 2.4. Сравнение различных методов инсталляции Windows XP Professional по сети
ТребованияАвтоматическая инсталляцияSysPrepЗагрузочный компакт-дискСервисы удаленной инсталляцииSMS
Чистая инсталляция или обновлениеЛюбой вариантЧистая инсталляцияЛюбой вариантЧистая инсталляцияОбновление.
Требования к аппаратной частиСетевой загрузочный диск при использовании удаленного распространенияОдинаковые конфигурации всех компьютеров-клиентовДисковод CD-ROMКомпьютеры, поддерживающие PXE, или компьютеры с сетевыми картами, которые поддерживаются инструментом Remote Boot FloppyВысокоскоростное соединение с SMS-сайтом
Требования к серверуНетНетНетActive Directory на сервере, работающем в Windows 2000 или боллее поздней версииWindows-сервер с SMS, работающим на SMS-сайте.
Необходимость взаимодействия с пользователемНоминальнаяНоминальная (при использовании SysPrepinf)Номинальная при обновлении, более интенсивная при чистой инсталляцииНоминальнаяНоминальная
Необходимость ввода данных

В зависимости от того, как вы решите продолжать установку, и какие функции уже установлены на компьютере, вам придется ответить на ряд вопросов при инсталляции Windows XP Professional. В таблице 2.5 перечислены пункты, в отношении которых нужно принять решение.

Потратив некоторое время на обдумывание предполагаемых ответов, мы сэкономим его в процессе инсталляции. Это особенно важно, если вы будете инсталлировать Windows XP Professional на нескольких компьютерах с использованием сценариев.

Серверы

Предыдущие версии операционных систем Windows, предназначенные для бизнеса (NT и 2000), включали в себя версию для инсталляции на рабочих станциях и версию для инсталляции на сервере. Однако Windows XP Professional предназначена только для рабочих станций, так что понятия Windows XP Professional Server не существует.

Таблица 2.5. Данные для ввода, запрашиваемые при инсталляции Windows XP Professional
ПунктПояснение
Лицензионное соглашениеВыберите I accept (Согласен) для соглашения с условиями Microsoft. Если вы не согласны, то Windows XP Professional не будет инсталлироваться
Специальные опцииИнсталляция Windows XP Professional может быть модифицирована с учетом определенного языка и настроек доступа
Файловая системаWindows XP Professional может автоматически конвертировать жесткий диск или его разделы в NTFS.
Региональные настройкиВнесите изменения в системные или локальные пользовательские настройки с учетом различия регионов и языков.
Персонализируйте свою OSВведите полное имя пользователя, который будет пользоваться этой копией Windows XP Professional.
Имя компьютера и пароль администрацииВведите уникальное имя компьютера, отличное от других имен в сети. Мастер-программа предложит вам имя, но его можно изменить. Во время инсталляции мастер автоматически создает административную учетную запись. Использующий эту запись получает полное право на доступ к установкам компьютера и может создать пользовательский доступ к компьютеру. Полезно создать пароль для администратора (а не просто нажать на Enter) и хранить его в безопасном месте.
Установки даты и времениУточните время для своего региона и установите соответствующий часовой пояс. Это позволит Windows XP Professional автоматически вносить поправки в компьютер при переходе на летнее время.
Сетевые настройкиПри обычной инсталляции просто выберите опцию Typical (Типичная) для сетевой конфигурации. Однако для ручной настройки сетевых клиентов, сервисов и протоколов выберите опцию Custom (Выборочная).
Рабочая группа или компьютерный доменСледует выбрать, к какой рабочей группе или рабочему домену вы собираетесь подсоединиться.
Мастер индентификации сетиЕсли компьютер соединен с сетью, то мастер попросит индентифицировать пользователей, которые будут работать на компьютере. Если этот пользователь окажется единственным, то ему будут присвоены права администратора.

Можно инсталлировать ХР на рабочих станциях посредством NT-серверов, но лучше всего воспользоваться Windows 2000 Server. Это не только более надежная версия Windows-сервера, но она также позволяет при работе в сети использовать преимущества Active Directory.

Примечание. Active Directory - это база данных, с помощью которой можно находить объекты в сети. Она очень удобна, так как с ее помощью администратор может применить политики (policies) к целой группе пользователей в нескольких доменах одним нажатием кнопки мыши. Являясь мощным инструментом, Active Directory, тем не менее, работает только на 15% систем, перешедших на операционную систему Windows 2000.

Организация

Если вы решите перейти на своих серверах с Windows NT к Windows 2000, то вам потребуется сделать больше, нежели просто проинсталлировать несколько программ и добавить несколько блоков оперативной памяти. Одним из краеугольных камней системы Windows 2000 является совершенно новый подход к организации работы сетей.

В этом разделе мы не собираемся от изучения Windows XP Professional перейти к Windows 2000, но в целях наилучшего развертывания нам необходимо поговорить об оснащении серверов организации системой Windows 2000. Если у вас уже установлены серверы Windows 2000, то можно пропустить этот раздел.

В центральной точке любого Windows 2000 домена находятся контроллеры домена. Windows 2000 отличается от Windows NT тем, что администраторы больше не должны решать, будет ли сервер работать контроллером домена или нет. В системе Windows NT присвоение рядовому серверу статуса контроллера домена требовало новой инсталляции. В Windows 2000 обычные системы могут работать как контроллеры доменов посредством применения утилиты DCPROMO.EXE.

Подготовка

Перед тем как вносить изменения в работу серверов, вы должны хорошо представить себе, как работает сеть, и как она будет работать после перехода к Windows 2000. При каждой миграции большая часть работы касается определения текущего статуса сети, прогнозов на будущее сети и того, как новая система будет этому способствовать.

На этом этапе следует убедить всех, кто вовлечен в миграцию, подготовиться к переходу в систему Windows 2000. Они должны разбираться в ключевых свойствах Windows 2000 (например, в Active Directory) и в том, как эта операционная система будет работать в связке с Windows XP Professional на рабочих станциях.

Проведите инвентаризацию

Далее необходимо составить опись своей сети. В зависимости от размеров этой сети задача может показаться пугающей. Однако создание инвентарного списка всего, что у вас есть, поможет разобраться в общей картине.

Помимо перечисления всего оборудования и программ сети, следует составить документы, отражающие топологию сети, модель домена, сервера и их роли. Сколько имеется основных и резервных контроллеров доменов? Где расположены DNS- и DHCP-серверы? Сколько у вас клиентов? Какие операционные системы на них работают? Все ли они будут мигрировать в Windows XP Professional? Какова степень доверительности их отношений?

Примечание. Доверительные отношения устанавливаются между двумя компьютерами. Они разрешают пользователям одного компьютера иметь доступ к информации другого компьютера.

Active Directory

Одной из главных причин для обновления до Windows 2000 являются преимущества, предоставляемые Active Directory. AD - это не только мощный компонент Windows 2000, но и очень полезное качество Windows XP Professional.

Используя Active Directory, можно устанавливать и регулировать следующие переменные.

Топологическое состояние сети организации является ключевым определителем того, насколько гладко пройдет переход к системе Windows 2000. Однако при использовании многодоменной модели вам предстоит не так много работы.

Примечание. Одно- или многодоменные модели представляют собой именно то, что описывает их название, то есть домены с одним или несколькими главными контроллерами доменов. Кроме того, они работают в Windows NT Server, а не в Windows 2000 Server.

Ограничения архитектуры NT доменов вынуждали к применению многодоменной модели. Очень часто верхнюю часть модели домена занимал отдел IT, но это не устраивало те организации, в которых администраторы считали, что в верхней части домена должны находиться они. Используя Windows 2000, организации могут внести изменения в свою сетевую иерархию без особых проблем.

С Active Directory вы сможете выровнять свои домены. Консолидация и уменьшение размеров многодоменных структур сделает переход к новой системе более гладким.

Как бы замечательно ни выглядело выравнивание доменов, оно может не подходить для организации, например, если подразделения организации должны функционировать раздельно до совершения перехода.

Изложите это на бумаге

Следующий этап состоит в проектировании структуры Active Directory. В свою схему не забудьте включить Windows 2000-серверы, которые будут играть ключевые роли в работе сети. Хотя Windows 2000 используют более гибкие контроллеры домена вместо главных и резервных контроллеров домена, до сих пор существуют серверы, которые играют такие важные роли. Эти контроллеры доменов называются Operation Masters (в Windows NT они называются Flexible Single Master Operations). Некоторые из этих серверов ограничиваются одним доменом и не распространяются на всю сеть.

Последний шаг состоит в принятии решения, как будут структурированы организационные единицы.

Примечание. Организационные единицы - это базовый строительный блок Active Directory домена, в нем содержатся пользователи, файлы и устройства.

Вы должны решить, какие пользователи, папки и компьютеры будут составлять каждую организационную единицу, а затем соответствующим образом их сгруппировать.

Стандартизация сетевых протоколов

На следующем шаге следует убедиться, что в сети работают общие сетевые протоколы. Стандартом де-факто считается протокол TCP/IP. Он стал популярным благодаря тому, что предоставляет собой единый протокол, поддерживающий многие операционные системы. Если работа ваших устройств еще не сведена к единому протоколу, самое время сделать это сейчас.

Примечание. Мы поговорим о TCP/IP и о том, как это использовать в Windows XP Professional, в лекции 3.

Проведите обновление своего оборудования

Ранее в этой лекции мы говорили о требованиях к оборудованию, которые предъявляет Windows XP Professional. Давайте теперь посмотрим, что потребуется для Windows 2000 Server. Я повторю старое предупреждение - это только минимум, для лучших результатов используйте более мощные машины с большим объемом памяти.

В таблице 2.6 указано, что потребуется для каждого сетевого сервера.

Таблица 2.6. Минимум оборудования, необходимого для системы серверов Windows 2000
Жесткий дискПроцессорПамять
СерверыПо крайней мере 2 Гб, но используйте SCSI дисковую подсистему для снижения износа процессораPentium 2128 Mб
Контролеры доменовПо крайней мере 2 Гб, но используйте SCSI дисковую подсистему для снижения износа процессораPentium 2128 Mб

Опять же, это только минимум рекомендованных размеров и скоростей для Windows 2000 Server. Тестирование Windows 2000 в лаборатории поможет определить нужды организации и спланировать бюджет на будущее.

Переход

После дюжины страниц о миграции настало время действительно показать вам, как это делается. Мы начнем с того, что расскажем об обновлении серверов до Windows 2000, превратим серверы в контроллеры доменов (если вы хотите продолжать использовать Windows NT в качестве основы сетевой работы, то можете пропустить этот раздел) и, наконец, переведем рабочие станции на Windows XP Professional.

Обновление серверов

Помимо хлопот с переносом рабочих станций в Windows XP Professional, существует еще одна головная боль - миграция серверов. Миграция требует огромного объема планирования и тестирования. Однако после того как вы твердо убедитесь в том, что все спланировано и протестировано, можно начинать процесс миграции.

Обновление доменов включает в себя три этапа.

Однозначно, что это приведет к повышению функциональности Windows XP Professional, сначала в том, что касается инсталляции, а затем и в повседневном пользовании.

Шаг 1 - обновление первого основного контроллера домена (PDC). Первый шаг состоит в проведении обновления PDC в NT-домене. Это делается потому, что домен может присоединиться к дереву (если такое существует), и администраторы могут создавать объекты Active Directory (типа организационных единиц). Кстати, когда все члены домена пройдут процедуру обновления, у них появится домен для присоединения.

Примечание. На языке Active Directory деревья являются коллекциями доменов, а лес - это коллекция деревьев.

Если по какой-либо причине решено не конвертировать все серверы домена в Windows 2000-серверы, PDC все же сможет работать с резервными контроллерами домена (BDC), клиентами и другими NT-серверами.

Лучшим способом обновления является изъятие PDC из сети и проведение обновления этой машины в лаборатории. Вы можете проводить тестирование, не беспокоясь о проблемах остальной сети. После проведения всех проверок вы сможете вернуть машину на рабочее место в сети. Если что-то не получается, всегда можно повысить резервный контроллер домена NT. Как только у вас появится стабильный контроллер домена Windows 2000, переходите к следующему шагу.

Совет. Процесс миграции всегда должен происходить сверху вниз, просто потому что Windows 2000 затем мгновенно присоединится к лесу, домену или дереву.

Шаг 2 - создание большего количества контроллеров доменов. Следующим этапом является добавление большего количества контроллеров для сохранения избыточности Active Directory. Во время миграции хорошо иметь резервный контроллер домена просто на случай, если что-то не пойдет так, как надо, с контроллерами доменов Windows 2000. При любых осложнениях вы всегда можете повысить BDC до PDC и вернуться в домен.

Контроллер домена, который прежде был резервным для NT-домена, по-прежнему сохраняет это значение в NT-системе. Он использует старый протокол для копирования с BDC, но также использует Windows 2000 протокол для копирования Active Directory и его партнеров - контроллеров домена Windows 2000.

Шаг 3 - переход в естественный режим. Как только все BDC будут превращены в контроллеры доменов Windows 2000, вы можете предпринять последний шаг по переводу своих серверов в Windows 2000 и Active Directory. Вы переводите контроллеры доменов из смешанного режима работы в естественный. Смешанный режим позволяет NT-серверам соседствовать с Windows 2000-серверами. К сожалению, смешанный режим не позволяет воспользоваться преимуществами Active Directory, а ведь это и есть самое важное.

Предупреждение. Как только вы перейдете в естественный режим, вы уже не сможете вернуться назад. Если вы работаете со смешанным режимом, то всегда сможете переключиться в естественный. Однако это улица с односторонним движением. Убедитесь в том, что вам никогда не потребуется добавить еще один NT-контроллер домена в свою сеть, так как это не удастся сделать.

Кстати, переход в естественный режим выгоден клиентам, так как у них появляются переходящие доверительные отношения. Это означает, что ресурсы всех устройств становятся общими. То, что доступно на одном устройстве, доступно и на другом.

Миграция рабочих станций

После того как серверы мигрировали и были повышены, можно переходить к миграции рабочих станций. На этом этапе переведите модель своей рабочей станции из фазы тестирования или пилотной фазы в фазу широко развернутой сетевой работы. Если используется Windows 2000 Server, то будет значительно легче внедрять Windows XP Professional на рабочих станциях и устанавливать пользовательскую политику. Однако, как мы отметили выше, метод для развертывания оборудования станции будет зависеть от количества переменных именно в вашей организации.

Примечание. Задача перехода серверов к работе в операционной системе Windows 2000 гораздо обширнее, чем мы можем обсудить в этом курсе. Мы рекомендуем достать копию Windows 2000 Enterprise Networking для более углубленного изучения этой темы.

Активация

Одно из наиболее часто обсуждаемых качеств Windows XP Professional не имеет ничего общего с пользовательским интерфейсом или сетевыми возможностями. Напротив, оно касается недавно нанесенного компанией Microsoft удара по пиратству. Это качество называется активацией.

Windows Product Activation (WPA) является технологией, используемой для приведения в рабочее состояние копии Windows XP Professional на определенном компьютере. В рамках лицензионного соглашения с компанией Microsoft пользователю разрешается инсталлировать Windows XP Professional на одну машину.

Примечание. Естественно, что при покупке Windows XP Professional для нескольких компьютеров необходимо купить несколько лицензий Microsoft.

При активации Windows XP Professional операционная система исследует ключевые компоненты компьютера и создает внутреннее число, которое объединяется с 25-значным ID продукта. Так получается 50-значное число Installation ID. Это число пересылается в компанию Microsoft в обмен на 42-значное число Activation ID, отключающее блокировку активизации. При попытке активизировать ту же копию Windows XP Professional с другой машины Microsoft отменит Activation ID.

Проблема с активизацией состоит в том, что создается моментальный снимок установок системы, который затем пересылается в Редмонд в Вашингтоне. Защитники прав на личную жизнь утверждают, что компании Microsoft совсем не надо знать о вас так много. Кстати, если вы решите сменить "железо" в своей системе, то Activation ID больше не будет действовать. Microsoft еще позволит добавить немного памяти, но когда речь заходит о добавлении или замене жесткого диска, то хватка Microsoft становится крепче. Компания говорит, что если вы добавляете жесткий диск или производите серьезные изменения в своей системе, то можете вызвать их специалистов, и вам дадут новый Activation ID.

Если вы не активировали систему, то сможете пользоваться Windows XP Professional только 30 дней, после чего система будет заблокирована, и вам ничего не останется, как активировать ее. Периодически в течение этих 30 дней Windows XP Professional будет напоминать о том, что надо активироваться. На рисунке 2.14 показан инструмент активации.

Как бы ни усердствовала компания Microsoft за введение активизации в Windows XP Professional, сама по себе активизация не является новым изобретением. Такие компании, как Novell, Adobe и Symantec требуют регистрации и активизации своих продуктов.

Переход к новой операционной системе - хлопотное дело. Особенно, если надо проводить обновление серверов. Однако тщательное обдумывание всего, что вовлечено в процесс перехода, помогает легче справится с трудностями.

Windows XP Professional позволяет активировать себя в течение 30 дней


Рис. 2.14.  Windows XP Professional позволяет активировать себя в течение 30 дней

Лекция 3. Протокол TCP/IP и другие протоколы

TCP/IP (Transmission Control Protocol/Internet Protocol - Протокол управления передачей/Межсетевой протокол) был и остается протоколом, с помощью которого работает интернет. За то время, что интернет базировался на TCP/IP, он превратился в протокол, который используется в сетях любых конфигураций и размеров. В этой лекции исследуется протокол TCP/IP и возможность его применения в сети, работающей под операционной системой Windows XP Professional.

TCP/IP

Вся прелесть протокола TCP/IP заключается в том, что он позволяет обмениваться информацией между компьютерами, работающими в разных операционных системах. Например, Novell NetWare умеет "разговаривать" на языке TCP/IP, как и Windows XP Professional.

TCP/IP разработан DARPA (Defense Advanced Research Projects Agency) в 1970-х годах. Целью его разработки являлось создание возможности для обмена информацией между различными компьютерами, независимо от их местоположения. С самого начала TCP/IP разрабатывался на компьютерах UNIX, что способствовало росту популярности протокола, так как производители включали TCP/IP в набор программного обеспечения каждого UNIX-компьютера. TCP/IP находит свое отображение в эталонной модели OSI, как это показано на рисунке 3.1.

Вы видите, что TCP/IP располагается на третьем и четвертом уровнях модели OSI. Смысл этого состоит в том, чтобы оставить технологию работы LAN разработчикам. Целью TCP/IP является передача сообщений в локальных сетях любого типа и установка связи с помощью любого сетевого приложения.

Протокол TCP/IP функционирует за счет того, что он связан с моделью OSI на двух самых нижних уровнях - на уровне передачи данных и физическом уровне. Это позволяет TCP/IP находить общий язык практически с любой сетевой технологией и, как результат, с любой компьютерной платформой. TCP/IP включает в себя четыре абстрактных уровня, перечисленных ниже.

Стек протоколов TCP/IP соответствует эталонной модели OSI


Рис. 3.1.  Стек протоколов TCP/IP соответствует эталонной модели OSI

Благодаря своему широкому распространению протокол TCP/IP фактически стал интернет-стандартом. Компьютер, на котором реализована сетевая технология, основанная на модели OSI (Ethernet или Token Ring), имеет возможность устанавливать связь с другими устройствами. В лекции 1 мы рассматривали уровни 1 и 2 при обсуждении LAN-технологий. Теперь мы перейдем к стеку OSI и посмотрим, каким образом компьютер устанавливает связь в интернете или в частной сети. В этом разделе рассматривается протокол TCP/IP и его конфигурации.

Что такое TCP/IP

То, что компьютеры могут общаться между собой, само по себе представляется чудом. Ведь это компьютеры от разных производителей, работающие с различными операционными системами и протоколами. При отсутствии какой-то общей основы такие устройства не смогли бы обмениваться информацией. При пересылке по сети данные должны иметь такой формат, который был бы понятен как отправляющему устройству, так и принимающему.

TCP/IP удовлетворяет этому условию за счет своего межсетевого уровня. Этот уровень напрямую совпадает с сетевым уровнем эталонной модели OSI и основан на фиксированном формате сообщений, называемом IP-дейтаграммой. Дейтаграмма - это нечто вроде корзины, в которую помещена вся информация сообщения. Например, при загрузке веб-страницы в браузер то, что вы видите на экране, доставлено по частям дейтаграммой.

Легко перепутать дейтаграммы с пакетами. Дейтаграмма - это информационная единица, в то время как пакет - это физический объект сообщения (созданный на третьем и более высоких уровнях), который действительно пересылается в сети. Хотя некоторые считают эти термины взаимозаменяемыми, их различие на самом деле имеет значение в определенном контексте - не здесь, конечно. Важно понять то, что сообщение разбивается на фрагменты, передается по сети и собирается заново на принимающем устройстве.



Положительным в таком подходе является то, что если один-единственный пакет будет испорчен во время передачи, то потребуется повторная передача только этого пакета, а не сообщения целиком. Другой положительный момент состоит в том, что ни одному хосту не приходится ждать неопределенно долгое время, пока не закончится передача на другом хосте, чтобы послать свое собственное сообщение.

TCP и UDР

При пересылке IP-сообщения по сети используется один из протоколов транспортировки: TCP или UDР. TCP (Transmission Control Protocol) составляет первую половину аббревиатуры TCP/IP. Протокол пользовательских дейтаграмм (User Datagram Protocol, UDР) используется вместо ТСР для транспортировки менее важных сообщений. Оба протокола служат для корректного обмена сообщениями в сетях TCP/IP. Между этими протоколами есть одно существенное различие.

ТСР называют надежным протоколом, так как он связывается с получателем для проверки факта получения сообщения.

UDР называют ненадежным протоколом, так как он даже не пытается устанавливать связь с получателем, чтобы убедиться в доставке.



Важно помнить, что для доставки сообщения можно воспользоваться только одним протоколом. Например, при загрузке веб-страницы доставкой пакетов управляет ТСР без всякого вмешательства UDP. С другой стороны, простой протокол передачи файлов (Trivial File Transfer Protocol, TFTP) загружает или отправляет сообщения под контролем протокола UDP.

Используемый способ транспортировки зависит от приложения - это может быть электронная почта, НТТР, приложение, отвечающее за сетевую работу, и так далее. Разработчики сетевых программ используют UDP везде, где только можно, так как этот протокол снижает избыточный трафик. Протокол ТСР прилагает больше усилий для гарантированной доставки и передает гораздо больше пакетов, чем UDP. На рисунке 3.2 представлен список сетевых приложений, и показано, в каких приложениях применяется ТСР, а в каких - UDP. Например, FTP и TFTP делают практически одно и то же. Однако TFTP, в основном, применяется для загрузки и копирования программ сетевых устройств. TFTP может использовать UDP, потому что при неудачной доставке сообщения ничего страшного не происходит, поскольку сообщение предназначалось не конечному пользователю, а администратору сети, уровень приоритета которого гораздо ниже. Другим примером является сеанс голосовой видеосвязи, в котором могут быть задействованы порты как для ТСР-сессий, так и для UDP. Так, сеанс TCP инициируется для обмена данными при установке телефонной связи, в то время как сам телефонный разговор передается посредством UDP. Это связано со скоростью потоковой передачи голоса и видео. В случае потери пакета не имеет смысла повторно посылать его, так как он уже не будет соответствовать потоку данных.

ТСР и UDP управляют разными сетевыми приложениями (номерами портов)


Рис. 3.2.  ТСР и UDP управляют разными сетевыми приложениями (номерами портов)

Формат IP-дейтаграммы

IP-пакеты можно разбивать на дейтаграммы. Формат дейтаграммы создает поля для полезной нагрузки и для данных управления передачей сообщения. На рисунке 3.3 показана схема дейтаграммы.

Примечание. Пусть вас не вводит в заблуждение величина поля данных в дейтаграмме. Дейтаграмма не перегружена дополнительными данными. Поле данных является на самом деле самым большим полем дейтаграммы.

Формат IP-дейтаграммы имеет переменную длину


Рис. 3.3.  Формат IP-дейтаграммы имеет переменную длину

Важно помнить, что IP-пакеты могут иметь различную длину. В лекции 1 говорилось о том, что информационные пакеты в сети Ethernet имеют размер от 64 до 1400 байт. В сети Token Ring их длина составляет 4000 байт, в сети ATM - 53 байта.

Примечание. Использование в дейтаграмме байтов может привести вас в недоумение, так как передача данных чаще связана с такими понятиями, как мегабиты и гигабиты в секунду. Однако в связи с тем, что компьютеры предпочитают работать с байтами данных, в дейтаграммах также используются байты.

Если вы еще раз посмотрите на формат дейтаграммы на рисунке 3.3, то заметите, что крайние поля слева имеют постоянную величину. Так происходит, потому что центральный процессор, работающий с пакетами, должен знать, где начинается каждое поле. Без стандартизации этих полей конечные биты будут представлять собой мешанину из нулей и единиц. В правой части дейтаграммы находятся пакеты переменной длины. Назначение различных полей дейтаграммы состоит в следующем.

Как говорилось ранее, пакет состоит из двух основных компонентов: данных об обработке сообщения, размещенных в заголовке, и собственно информации. Информационная часть находится в секторе полезной нагрузки. Можете представить себе этот сектор в виде грузового отсека космического корабля. Заголовок - это все бортовые компьютеры шаттла в кабине управления. Он распоряжается всей информацией, необходимой всевозможным маршрутизаторам и компьютерам на пути следования сообщения, и используется для поддержания определенного порядка сборки сообщения из отдельных пакетов.

IP-адресация

Для того чтобы найти в интернете нужный веб-сайт, необходимо ввести его адрес (URL) в своем веб-браузере. Для получения URL используется соединение уникальных имен доменов с типами (категориями) организаций (вроде http://www.whitehouse.gov, http://www.velte.com или http://harvard.edu).

Адреса URL предназначены только для облегчения работы обычных пользователей. Они не являются истинными IP-адресами. Для установки связи в интернете компьютеры используют 32-битные адреса (IP-адреса), которые работают аналогично номерам телефонов. При использовании URL для соединения с веб-сайтом URL следует конвертировать в IP-адрес. Например, при вводе URL http://www.velte.com в веб-браузере посылается запрос на ближайший сервер имен доменов (DNS), который отыскивает URL и конвертирует его в IP-адрес (см. рис. 3.4).

DNS-серверы действуют как каталоги, конвертируя URL в числовые IP-адреса


Рис. 3.4.  DNS-серверы действуют как каталоги, конвертируя URL в числовые IP-адреса

Это преобразование необходимо, потому что маршрутизаторы и коммутаторы не знают, что такое имя домена. На самом деле даже при обмене информацией со своим DNS-сервером следует вводить IP-адрес для осуществления запроса. На рисунке 3.5 показан вход в DNS-сервер в системе Windows XP Professional.

В этом окне вводятся данные о месте нахождения DNS-сервера


Рис. 3.5.  В этом окне вводятся данные о месте нахождения DNS-сервера

Все адреса в интернете являются IP-адресами. Выдачей IP-адресов и имен доменов занимаются две организации. Агентство по выделению имен и уникальных параметров протоколов интернет (Internet Assigned Numbers Authority, IANA) отвечает за IP-адреса, а организация по назначению адресов и имен в интернете (Internet Corporation for Assigned Names and Numbers, ICANN) - за имена доменов. Например, адрес velt.com был утвержден организацией InterNIC (предшественницей ICANN) в 1999 г., а соответствующий IP-адрес 64.66.150.248 был выдан интернет-провайдером, получившим его от IANA.

Формат IP-адресов

Рассматривайте IP-адрес как сверх-номер телефона. Он использует формат, который пересекает континенты и имеет величину, достаточную для установки связи между миллионами устройств. Сюда входят устройства-хосты и сети. Неважно, какое именно это устройство или сеть. Если они подключены к интернету, то используют IP-адреса. Даже те устройства, которые объединены в локальные сети со своими собственными системами адресации (типа AppleTalk), должны конвертировать свои адреса в IP-адреса, если они намерены устанавливать интернет-соединение.

Адрес любого устройства в интернете уникален. В отличие от телефонных номеров, которые могут быть разной длины и используют разные коды стран по всему миру, IP-адреса имеют одинаковый формат. Размер IP-адреса составляет 32 бита и разделен на четыре секции, каждая из которых содержит 8 бит и называется октетом.

Маршрутизаторы используют IP-адреса для пересылки сообщений от одной сети к другой. По мере того как пакет путешествует от маршрутизатора к маршрутизатору, он отрабатывает свой путь слева направо в IP-адресе, пока не достигнет пункта назначения.



Сообщение может быть несколько раз передано от маршрутизатора к маршрутизатору, пока не достигнет пункта назначения. Однако чаще сообщения перескакивают через целые октеты и достигают нужного сегмента LAN за один или два перехода.

От битов к десятичному формату

Как говорилось в лекции 1, компьютеры понимают только данные, записанные в двоичном формате. Это справедливо и для IP-адресов. Однако, по аналогии с телефонным номером, был изобретен десятичный формат, чтобы можно было прочесть двоичные IP-адреса. На рисунке 3.6 показан типичный для Северной Америки телефонный номер, из которого видно, что региональный код используется для нахождения определенного региона страны, к которому относится данный номер. Затем исследуется префикс, и телефонный звонок поступает в нужный район. Последние четыре цифры посылают телефонный вызов владельцу выделенной телефонной линии.

IP-адреса аналогичны телефонным номерам


Рис. 3.6.  IP-адреса аналогичны телефонным номерам

Приблизительно так работает десятичный формат с разделительными точками. Он так назван потому, что биты конвертируются в десятичные числа в каждом октете и отделяются друг от друга точками. На рисунке 3.7 показано, как IP-адрес конвертируется в десятичный формат.

32 бита определяют IP-адреса, представленные в десятичном формате с разделительными точками


Рис. 3.7.  32 бита определяют IP-адреса, представленные в десятичном формате с разделительными точками

Классы IP-адресов

IETF - организация, следящая за интернетом - делит все IP-адреса на три обобщающих класса. Каждый класс отличается способом назначения сетевых адресов по сравнению с хостами. На рисунке 3.8 показан диапазон чисел, охватываемый первым октетом адреса. Темные октеты показывают, какая часть пространства IP-адресов зарезервирована для создания сетевых адресов. По мере того как темная часть сдвигается вправо, возрастает количество потенциальных сетевых адресов, но уменьшается количество адресов хостов.

Примечание. IETF делит IP-адреса на две группы по специализации: одни - для групповой рассылки, а другие - для поиска. Здесь мы не будем это рассматривать.

Это разделение диапазонов называется правилом первого октета. Любой маршрутизатор сможет прочесть первый октет IP-адреса и интерпретировать биты, чтобы отличить сетевые адреса от адресов хостов. Многие сети используют IP-адреса класса В или класса С. Октет содержит следующие диапазоны.

Три класса IP-адресов отличаются друг от друга октетами, которые они используют для сетевых адресов


Рис. 3.8.  Три класса IP-адресов отличаются друг от друга октетами, которые они используют для сетевых адресов

Примечание. Для выполнения расчета хоста два зарезервированных адреса должны быть удалены из пула: 0 для данной сети и 255 для широкого вещания. Адреса с 1 по 254 могут быть присвоены хосту.

Посмотрев на предыдущий список, вы уже догадались, что только очень небольшое число организаций может иметь адреса класса А (а именно - 126). Большинство пользователей для связи с интернетом используют IP-адреса классов В и С.

IP-адреса, маски подсети и шлюзы по умолчанию

При настройке сетевой работы в Windows XP Professional самое важное - это иметь информацию по трем следующим пунктам:

Разбиение на подсети расширяет пространство сетевых адресов вправо


Рис. 3.9.  Разбиение на подсети расширяет пространство сетевых адресов вправо

Это основные адреса, которые позволяют вашему компьютеру видеть и быть видимым в сети. К тому же, они предоставляют возможность выделить большее пространство для IP-адресов и позволяют компьютерам одной подсети обмениваться информацией с компьютерами другой подсети.

До того как мы будем обсуждать реализацию этого в Windows XP Professional, давайте посмотрим, в чем состоит назначение этих трех адресов.

IP-адреса общего пользования

Первая группа IP-адресов называется адресами общего пользования или адресами глобальной маршрутизации. Это те адреса, по которым любой компьютер, соединенный с интернетом, может получить доступ к веб-сайту.

IANA назначает диапазоны IP-адресов общего пользования для организаций, чтобы те впоследствии могли присваивать эти адреса индивидуальным компьютерам. Это предохраняет организации от использования одних и тех же IP-адресов общего пользования.

В Windows XP Professional IP-адреса могут присваиваться посредством протокола динамической конфигурации хоста (Dynamic Host Configuration Protocol, DHCP) сервера, доступного в организации, или конфигурируются вручную интернет-провайдером через соединение наборного доступа.

Примечание. Текущая четвертая версия IP определяет 32-разрядные адреса, и это дает 4294967296 адресов, доступных во всем мире. Так как в последние годы интернет завоевывает все большую популярность, количество доступных IP-адресов сокращается. Поэтому разработано уже новое поколение IP-адресов (версия 6). Однако текущая система IP-адресов не станет в одночасье устаревшей, и обе системы будут некоторое время существовать совместно после внедрения новой версии.

Маски подсети

Может так случиться, что вам потребуется выделить большее количество сетевых адресов из предоставленной вам области IP-адресов. Если вы не можете найти достаточного количества IP-адресов, то на помощь придет подсеть. Классы IP-адресов определяют, какие биты по умолчанию относятся к сетевым, а какие - к хостам. По умолчанию это означает, что, прочитав первый октет в IP-адресе, маршрутизатор может определить, какие биты следует отнести к сетевым. Например, взглянув на адрес класса С, маршрутизатор по умолчанию отнесет биты трех первых октетов к сетевым, а биты последнего - к хосту.



Несмотря на кажущееся изобилие IP-адресов, правда заключается в том, что большинству организаций требуется большее пространство сетевых адресов, чем им выделяет их IP-обслуживание. Это ограничение достаточно легко обойти, если объявить некоторые заданные по умолчанию биты хостов сетевыми адресами. Это выполняется посредством введения третьей зоны в пространство между адресами хостов и сетевыми адресами. На рисунке 3.9 показаны два IP-адреса: один - подсетевой адрес класса A, в другой - класса С.

Класс IP-адреса имеет важное значение, так как подсети начинаются с крайних левых битов и продвигаются вправо. Другими словами, только биты в затемненной части (см. рис. 3.9) могут использоваться для адресации подсети.

Многим организациям приписываются адреса класса С. Это означает, что они имеют около 8 битов, с которыми можно работать. Многим организациям приписывается только диапазон адресов хостов, например 222.198.25.0 - 15.

Пример полного октета подсети. Организация подсети позволяет более эффективно использовать IP-адреса общего пользования, не изменяя их. Рассмотрим пример на рисунке 3.10. Эта организация присваивает IP-адреса общего пользования класса B (151.22.0.0) и отдает подсети весь третий октет.

Подсети повышают эффективность использования пространства адресов. В данном примере класс В выделяет место для создания 254 подсетей


Рис. 3.10.  Подсети повышают эффективность использования пространства адресов. В данном примере класс В выделяет место для создания 254 подсетей

Если вы рассмотрите рисунок 3.10, то увидите, что появилось свободное пространство для создания 254 подсетей с 254 хостами в каждой сети. Затемненный хост справа внизу демонстрирует полный адрес подсети. В этом примере хост 1 соединяется с подсетью 2 посредством IP-адреса 151.22.2.0.

При попытке установить соединение с этими устройствами удаленные маршрутизаторы будут прокладывать маршрут слева направо, используя адреса подсети. По мере прочтения адреса пакеты будут автоматически перемещаться к нужному интерфейсу крайнего маршрутизатора в нижней части "облака" (на рисунке).

Как они выглядят и где находятся. В данный момент вы можете быть озадачены вопросом, что же такое эти подсети? На самом деле они не являются IP-адресами. Скорее они представляют собой 32-разрядные "накладки", которые определяют, как должен быть использован IP-адрес. Они имеют два важных отличия от IP-адресов.

Другими словами, маска подсети - это непрерывная строка из единиц, протянувшаяся от конца пространства сетевых адресов до области хоста. До какой конкретно точки эта строка доходит, зависит от класса адресов. На рисунке 3.10 мы рассматривали адреса класса В. Для реализации маски подсети ее следует вводить в файл конфигураций маршрутизатора.

Выделение подсетей с помощью части октета. Понять, что такое подсеть, довольно просто, но реализация ее на практике может вызвать затруднения. Это происходит, потому что многим организациям приписаны IP-адреса класса С. Только четвертый октет по умолчанию зарезервирован для адресов хостов в IP-адресах класса С. Следовательно, маска подсети частично внедряется в адресное пространство хоста и представлена десятичным числом меньше, чем 255.

Затемненная часть на рис. 3.11 показывает биты, которые предназначены для маски подсети с четвертого октета. В этом примере вы обнаружите, что подсети отведена только половина битов, а не все восемь. Это называется .240-маской, которая позволяет организовать до 14 подсетей. Каждая подсеть имеет достаточно пространства адресов для 14 хостов, то есть всего можно получить 196 хостов.

Как видно из таблицы 3.1, можно выбрать подсеть из ряда подсетевых масок. Важно запомнить, что чем дальше вправо заходит маска в пространство адресов хостов, тем меньше количество потенциальных хостов. Используемая маска будет зависеть от сетевого приложения. Например, если сетевой маршрутизатор связан соединением "точка-точка" с удаленным офисом, то требуется только два адреса хостов - по одному на каждый конец. В этом примере требуется .252-маска, в которой задействованы только два адреса хостов.

Обычно для подсети используется только часть октета, как в этом примере с классом С


увеличить изображение

Рис. 3.11.  Обычно для подсети используется только часть октета, как в этом примере с классом С

Таблица 3.1. Маски подсети, перечисленные в соответствии с числом сетевых ID битов
Маска подсетиБиты сетевогоБиты ID хостаПример записиКоличество подсетейКоличество хостов (узлов) в каждой сети
.192266209.98.208.34/26262
.224275209.98.208.34/27630
.240284209.98.208.34/281414
.248293209.98.208.34/29306
.252302209.98.208.34/30622
Частные адреса

Если вы соедините устройство с системой Windows XP Professional с локальной сетью, ему надо будет присвоить IP-адрес. Однако если интернет использует для связи IP-адреса, то что может помешать какому-нибудь чудаку ввести ваш IP-адрес и добраться до ваших персональных файлов? Помимо всего прочего, использование личных адресов позволяет различным локальным сетям использовать одни и те же IP-адреса. Это возможно, потому что эти адреса используются только в рамках вашей локальной сети.

IANA резервирует для личного использования три блока IP-адресов. Это предохраняет от нехватки IP-адресов (так как повторно использовать одни и те же IP-адреса для устройств, не подключенных к глобальной сети, могут несколько организаций). Вот эти три блока.

Не существует официальных правил, когда использовать один из перечисленных блоков частных сетевых IP-адресов. Полиция, следящая за использованием IP-адресов, не придет и не арестует вас за использование блока 172 вместо положенного 192. Обычно используют тот, который больше подходит по размеру. По очевидным причинам не следует использовать адрес 10.х.х.х, если локальная сеть насчитывает не более 254 хостов. Однако, используя частные адреса, сетевой администратор может чувствовать себя свободно при присвоении адресов различным частям сети, так как строгие правила для IP-адресов общего пользования здесь не применяются.

Если в сети имеется устройство, которое граничит с интернетом (так называемое краевое устройство), то ему следует присвоить IP-адрес общего пользования. Использование частных IP-адресов подразумевается только на хостах, которые связаны с устройствами внутри локальной сети.

Итак, если имеется частный IP-адрес на рабочей станции, то каким образом можно установить связь с интернетом? В конце концов, не является ли целью частной адресации сохранение конфиденциальности связи? Это верно, но только до некоторой степени. Существует две службы трансляции IP-адресов, которые временно выдают действительные IP-адреса общего пользования узлам, которые используют постоянные частные IP-адреса.

Работа этих двух служб показана на рис. 3.12.

NAT временно назначает уникальные общие IP-адреса, которые можно использовать повторно; PAT назначает глобальные IP-адреса


Рис. 3.12.  NAT временно назначает уникальные общие IP-адреса, которые можно использовать повторно; PAT назначает глобальные IP-адреса

Обычно трансляция адреса выполняется брандмауэром (firewall). Имейте в виду, что трансляция адресов общего пользования в частные временная, и они возвращаются в пул IP-адресов при разрыве интернет-соединения.

Основным удобством использования частной адресации является наличие почти безграничного пространства адресов для внутренних сетей и устройств. Если брандмауэр имеет правильную конфигурацию для выполнения NAT- и PAT-трансляции адресов, то соответствующие устройства имеют разрешенный доступ в интернет. С точки зрения обеспечения безопасности, так как настоящие адреса сетевых устройств замаскированы с помощью временно выданных адресов, хакеры не имеют возможности выяснить топологию локальной сети.

Частные IP-адреса могут выдаваться двумя способами.

Примечание. Функция Internet Connection Sharing операционной системы Windows XP Professional предоставляет NAT-обслуживание клиентам частных сетей.

Установка шлюза по умолчанию

Ранее мы говорили о том, что разработчики сетей умеют обходить ограничения, связанные с количеством IP-адресов, с помощью внедрения подсетей. Однако, при всех достоинствах способа, возникает другая проблема, связанная с невозможностью попасть из одной подсети в другую (например, компьютер в бухгалтерии не может связаться с сервером администрации). Для разрешения этой проблемы устанавливаются маршрутизаторы, или шлюзы, между сегментами локальной сети. Если устройство желает установить связь с другим устройством в одном и том же сегменте, то оно напрямую обращается к станции, используя простую технологию обнаружения. Если принимающая станция не расположена в том же сегменте, что и передающая, то она не в состоянии определить, как добраться до пункта назначения.

Чтобы попасть из одной подсети в другую, одним из параметров конфигурации, передаваемым каждому сетевому устройству, является шлюз по умолчанию. Это IP-адрес маршрутизатора, который конфигурируется сетевым администратором. Этот адрес сообщает каждому клиенту или сетевому устройству, куда посылать данные, если принимающая станция находится в другой подсети.

Примечание. Признаком неправильной конфигурации шлюза является способность устанавливать связь с устройствами данной подсети (обычно в одном здании или на одном этаже) и неспособность получить доступ к устройствам вне этой подсети.

При установке TCP/IP-соединения протокол DHCP предоставляет по умолчанию адрес шлюза. Однако если вы выполняете конфигурацию сети вручную, то вам потребуется прослеживать IP-адрес своего маршрутизатора.

TCP/IP-адресация в Windows XP Professional

Самым обычным способом установки связи между устройствами в операционной системе Windows XP Professional является TCP/IP-адресация. Она широко применяется не только для локальных сетей, но и для интернет-связи. В этом разделе мы расскажем о том, как настроить TCP/IP-адресацию и управлять ею.

Обновление

В операционной системе Windows XP Professional протокол TCP/IP инсталлируется по умолчанию. Однако если проводится обновление до Windows XP Professional другой версии Windows, то Windows XP Professional сначала определяет, какой протокол уже имеется, а затем автоматически инсталлирует протоколы, с которыми вы работаете.

Если используются протоколы TCP/IP другого разработчика, то Windows XP Professional удаляет их и заменяет своей версией. Если протокол другой фирмы-разработчика предлагает большие возможности по сравнению с Windows XP Professional, то нужно заново проинсталлировать его.

При инсталляции протокола TCP/IP необходимо проделать следующие шаги.

  1. В Control Panel (Панель управления) выберите пункт Network and Internet Connections (Сетевые подключения).
  2. В Network and Internet Connections (Сетевые подключения) выберите Network Connections (Подключение по локальной сети).
  3. В Network Connections (Подключение по локальной сети) щелкните правой кнопкой мыши на локальной сети, в которую нужно внести изменения.
  4. Выберите пункт Properties (Свойства), щелкните на вкладке General (см. рис. 3.13) и затем щелкните на Add (Добавить).

    Добавление дополнительных протоколов в Windows XP Professional


    Рис. 3.13.  Добавление дополнительных протоколов в Windows XP Professional

  5. В окне выбора сетевого протокола вы сможете выбрать из списка имеющихся в Windows XP Professional протоколов. Если же нужно проинсталлировать протокол другой фирмы-разработчика, нажмите кнопку Have Disk (Установить с диска).
  6. Щелкните на ОК для окончания инсталляции.
  7. Для завершения процесса инсталляции Windows XP Professional следует перезагрузить.

Присвоение IP-адреса

Для выполнения задачи по выдаче IP-адресов в системе Windows XP Professional существует четыре способа.

Конфигурация TCP/IP-соединения

При установке соединения с интернетом или локальной сетью возможно, что вам потребуется конфигурировать TCP/IP. Сначала мы дадим общее представление об этом процессе, а позже разберемся с некоторыми тонкостями.

Для получения доступа к инструменту, который позволяет создавать конфигурацию этого соединения, проделайте следующие шаги.

  1. В панели управления выберите Network and Internet Connections (Сетевые подключения).
  2. В окне Network and Internet Connections (Сетевые подключения) выберите Network Connections (Подключение по локальной сети).
  3. В окне Network Connections (Подключение по локальной сети) щелкните правой кнопкой мыши на LAN, где нужно произвести изменения, и выберите Properties (Свойства).
  4. Щелкните на вкладке Networking (Работа в сети) и выберите Internet Protocol (TCP/IP).
  5. Щелкните на Properties (Свойства).

Результат показан на рис. 3.14.

Инструмент для установки TCP/IP и DNS-адресации


Рис. 3.14.  Инструмент для установки TCP/IP и DNS-адресации

В окне Properties (Свойства) заполните следующие поля.

Управление TCP/IP-адресами

При установке соединения с локальной сетью или с интернетом компьютер должен иметь уникальный IP-адрес. У двух машин не может быть одного и того же адреса. Однако один компьютер может иметь более одного IP-адреса, если он имеет интернет-соединение и соединение с локальной сетью.

Существует три способа отображения IP-адреса интернет-соединения.

Microsoft Windows XP [Version 5.1.2600]
c Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>ipconfig /all
Windows IP Configuration

 	Host Name	: geonosis
 	Primary Dns Suffix	:
 	Node Type	: Unknown
 	IP Routing Enabled	: No
 	WINS Proxy Enabled	: No

Ethernet adapter Local Area Connection:

 	Connection-specific DNS Suffix 	:
 	Description	: Linksys NC100 Fast Ethernet Adapter
 	Physical Address	: 00-04-5A-69-CC-60
 	Dhcp Enabled	: Yes
 	Autoconfiguration Enabled	: Yes
 	IP Address	: 192.168.1.100
 	Subnet Mask	: 255.255.255.0
 	Default Gateway	: 192.168.1.1
 	DHCP Server	: 192.168.1.1
 	DNS Server	: 192.168.1.1
 	Lease Obtained	: Thursday, March 28, 2002 4:35:50 PM
 	Lease Expired	: Thursday, March 28, 2002 4:40:50 PM

C:\Documents and Settings\Administrator>

В этом примере показаны детали соединения с локальной сетью. Как вы можете видеть, компьютер имеет IP-адрес 192.168.1.100. Если бы мы устанавливали связь с интернетом, то IP-адрес, маска подсети и шлюз по умолчанию состояли бы из другого блока данных.

Настройка адресов в Windows XP Professional

Windows XP Professional предлагает несколько способов настройки, управления и изменения IP-адресов. В этом разделе мы изучим каждый инструмент и объясним, как и почему следует пользоваться этим методом, а не другим. Затем мы обсудим различные способы принятия имен в Windows XP Professional. Наконец, мы закончим лекцию кратким обзором других сетевых протоколов.

TCP/IP автоадресация (APIPA и DHCP)

Выше мы очень бегло рассмотрели процесс конфигурации IP-адресов в Windows XP Professional. Однако разные сетевые схемы и их реализации требуют наличия других конфигураций IP-адресов. В этом разделе будет рассказано об автоматической конфигурации IP-адресов.

DHCP

DHCP позволяет присваивать IP-адреса общего пользования автоматически. Конфигурируемый DHCP-сервер предоставляет базу данных доступных IP-адресов и может также настраивать конфигурацию клиентов: адреса DNS-серверов, шлюзов и другую информацию. DHCP-серверы обычно устанавливаются в крупных организациях и сервисных центрах по обеспечению интернет-связи, так как они упрощают выдачу адресов и многократное их использование.

Когда DHCP-клиент приступает к работе, он запрашивает информацию о настройке у DHCP-сервера. Это позволяет автоматически присвоить ему IP-адрес, наряду с маской подсети и другой информацией. IP-адрес присваивается каждому клиенту на ограниченный промежуток времени - это называется арендой. Аренду можно время от времени возобновлять, чтобы сохранялась непрерывность сессии. Аренда обновляется примерно по прошествии половины арендного срока. Если обновление было успешным, то IP-адрес остается у клиента. В противном случае IP-адрес возвращается в пул и дается другому клиенту.

Если протокол TCP/IP установлен в компьютере с операционной системой Windows XP Professional, то автоматически появляется возможность получить IP-адрес с DHCP-сервера. Эта опция может быть отключена, если в сети не используются DHCP-серверы, или если вы хотите вводить IP-адрес вручную. Инструмент IPCONFIG.EXE позволяет пользователям и администраторам просматривать конфигурацию текущего IP-адреса, присвоенного компьютеру.

Примечание. Для получения полного списка команд IPCONFIG.EXE введите ipconfig/? для получения инструкций.

APIPA

В то время как DHCP используется в крупных организациях с большим количеством клиентов, протокол APIPA полезен в маленьких сетях, работающих с одной подсетью. При наличии протокола APIPA клиент Windows XP Professional берет на себя роль назначения IP-адресов вместо DHCP-сервера.

Примечание. Если IP-адрес уже получен посредством протокола APIPA, но появился доступ к DHCP-серверу, то клиент должен поменять свой адрес на адрес, выданный DHCP-сервером.

APIPA присваивает клиенту Windows XP Professional IP-адрес из существующего диапазона адресов с маской подсети 255.255.0.0. Компьютер с такой конфигурацией IP-адреса не может устанавливать соединения с узлами вне данной подсети, включая интернет-узлы. APIPA подходит для работы небольших подсетей, таких как малый офис или домашняя сеть.

Примечание. Если в сети нет DHCP-сервера, то Windows XP Professional автоматически использует APIPA.

Определить, задействован ли протокол APIPA, можно с помощью команды:

Ipconfig/all

Полученная статистика показывает, в числе прочего, IP-адрес и количество обновлений аренды (см. рис. 3.15). Проверьте строку Autoconfiguration Enabled (Автоконфигурирование включено). Если в ней указано Yes (Да) и IP-адрес существует в диапазоне от 169.254.0.1 до 169.254.255.254, то APIPA подключен.

Инструмент ipconfig.exe можно использовать для проверки выданного IP-адреса.


Рис. 3.15.  Инструмент ipconfig.exe можно использовать для проверки выданного IP-адреса.

Если нужно отключить APIPA, то это можно сделать двумя способами.

Данная задача выполняется с помощью инструмента regedit.exe. Просто отредактируйте данные реестра, введя в параметр IPAutoconfigurationEnabled значение 0. Эта строка содержится в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\ interface-name (где interface-name является именем сетевого интерфейса).

Предостережение. Лучше не экспериментируйте с реестром, если недостаточно в этом разбираетесь. Неправильно написанная строка может привести к тому, что компьютер не будет загружаться.

Если надо отключить APIPA на нескольких адаптерах с помощью реестра, установите для параметра IPAutoconfigurationEnabled значение 0х0 в следующем ключе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters.

Статическая IP-адресация

Статическая адресация является способом ручного конфигурирования IP-адресов. Этим методом можно воспользоваться при одновременной недоступности DHCP и APIPA (например, при отсутствии DHCP-сервера и наличии более чем одной подсети). Помимо IP-адреса, необходимо создать конфигурацию шлюза. Как говорилось выше, этот способ не является идеальным для настройки IP-адреса, особенно если вы собираетесь выходить в интернет.

Конфигурирование в единственной сети

Для статической конфигурации IP-адреса потребуется IP-адрес для каждого сетевого адаптера, установленного на компьютере, и маска подсети для каждой локальной сети. Далее выполните следующие шаги. Получившийся результат отображен на рис. 3.16.

  1. В панели управления выберите Network and Internet Connections (Сетевые подключения).

    Установка IP-адреса вручную


    Рис. 3.16.  Установка IP-адреса вручную

  2. В окне Network and Internet Connections (Сетевые подключения) выберите Network Connections (Подключение по локальной сети).
  3. В Network Connections (Подключение по локальной сети) щелкните правой кнопкой мыши на LAN, которую нужно модифицировать.
  4. Выберите Properties (Свойства) и щелкните на вкладке General (Общие).
  5. Выберите Internet Protocol (TCP/IP) из списка и щелкните на Properties (Свойства).
  6. На вкладке General (Общие) выберите опцию Use the following IP address (Использовать существующий IP-адрес).
  7. Введите IP-адрес, маску подсети и шлюз по умолчанию.
  8. Нажмите ОК, чтобы закрыть окно свойств Internet Protocol (TCP/IP); снова нажмите ОК, чтобы закрыть окно Local Area Connection Properties (Свойства LAN).
Множественная адресация

В последнем примере мы устанавливали соединение, используя один сетевой адаптер. Однако может так случиться, что в компьютере установлено несколько сетевых адаптеров. Это называется множественной адресацией. Более того, система Windows XP Professional поддерживает логическую множественную адресацию, что позволяет осуществлять множественную адресацию в устройствах с одним сетевым адаптером. Для настройки множественной адресации проделайте следующие шаги.

Примечание. Метрика определяет, сколько изменений маршрута необходимо для доставки сообщения в пункт назначения.

Альтернативная IP-конфигурация

Функция Alternate IP Configuration (Альтернативная IP-конфигурация) позволяет создавать конфигурацию сетевого интерфейса с несколькими IP-адресами. Это бывает необходимо, когда требуется устанавливать связь с более чем одной сетью. Более того, эта функция хорошо подходит, когда одна сеть использует протокол DHCP для своих IP-адресов, а в другой сети используются статические IP-адреса (например, канал широкого вещания домашнего ISP).

Альтернативная IP-конфигурация позволяет компьютеру после неудачной попытки установить соединение с первой сетью автоматически предпринять попытку соединения со второй.

Создание конфигурации динамически назначаемого альтернативного IP-адреса

При конфигурировании Windows XP Professional для динамического назначения альтернативных IP-адресов необходимо проделать следующие шаги:

Создание конфигурации статического альтернативного IP-адреса

Окно (см. рис. 3.19) также используется для статического выбора альтернативных IP-адресов. Если IP-адрес выбирается статически, то для этого следует выполнить следующие шаги.

  1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
  2. Щелкните правой кнопкой мыши на локальном сетевом соединении, затем выберите Properties (Свойства).
  3. Щелкните на вкладке General (Общие) и выберите из списка Internet Protocol (TCP/IP) Properties.
  4. На вкладке Alternate Configuration (Альтернативная конфигурация) выберите опцию User configured (Настраиваемая пользователем).

    Вы можете назначить альтернативные IP-адреса статическим или динамическим способом


    Рис. 3.19.  Вы можете назначить альтернативные IP-адреса статическим или динамическим способом

  5. Введите альтернативный IP-адрес, маску подсети и шлюз по умолчанию.
  6. Введите выбранный и альтернативный адреса DNS-серверов.
  7. Введите выбранный и альтернативный адреса WINS-серверов.
  8. Нажмите ОК.

Присвоение имени

Помимо присвоения TCP/IP-адреса, вам придется настраивать сервисы присвоения имени. Как мы отметили ранее, компьютеры и устройства используют IP-адреса для взаимной идентификации, но люди для этой цели используют имена компьютеров. Система Windows XP Professional допускает четыре способа выдачи имен IP-адресов.

Примечание. NetBIOS является программой, позволяющей приложениям в различных компьютерах обмениваться данными в рамках одной локальной сети. Она была создана в IBM на ранних стадиях разработки их сетей персональных компьютеров, а затем была принята в Microsoft, после чего превратилась, по сути, в промышленный стандарт.

Для присвоения имени IP-адресу Windows XP Professional выполняет следующие шаги.

  1. Запрос имени представляется в DNS.
  2. Если DNS не удовлетворяет запрос, то программа назначения имен проверяет длину имени. Если она составляет более 15 знаков, то такое имя не назначается.
  3. Если имя состоит из 15 знаков (или меньше), то программа проверяет рабочее состояние NetBIOS.
  4. Если NetBIOS не работает, то программа назначения имен не выполняет задачу.
  5. Если NetBIOS запущена, то программа пробует назначить разрешенное NetBIOS имя.
Выбор метода назначения имени

В зависимости от имеющихся в сети компонентов необходимо решить, следует ли конфигурировать Windows XP Professional клиентов для использования DNS, WINS или обеих систем. Выберите DNS при наличии следующих условий:

Другие способы назначения имени имеют место в следующих случаях.

Хорошей новостью является то, что при использовании DNS-сервера назначения имени будет сконфигурировано автоматически. Если DNS-сервер не используется, то все данные придется конфигурировать вручную.

Установка и изменение DNS-имени узла

Если проведено обновление более ранней версии Windows, то Windows XP Professional автоматически переносит старое DNS-имя в новую операционную систему. При новых инсталляциях инструмент Setup (Установка) запросит ввод DNS-имени этого клиента. DNS-имя узла имеет длину до 63 символов, оно используется наряду с первичным именем домена для получения полностью квалифицированного имени домена (fully qualified domain name - FQDN).

Например, если компьютер-клиент называется "gilligan" и является частью домена castaways.com, то его FQDN - gilligan.castaways.com.

NetBIOS-имя состоит только из 15 символов, и когда Windows XP Professional присваивает NetBIOS-имя, то она берет DNS-имя и укорачивает его до 15 символов.

Например, фанаты "Звездных войн" обратят внимание, что точное имя компьютера, изображенного на рис. 3.20 должно выглядеть так: "The Forest Moon of Endor", а не просто "Endor". Однако NetBIOS допускает только 15 символов, поэтому имя укоротилось до "The_Forest_Moon". Это выглядело несколько неуклюже, и мы превратили его в "Endor".

После инсталляции можно изменить DNS-имя хоста (что, в свою очередь, повлечет за собой изменение NetBIOS-имени) посредством следующих шагов.

  1. В панели управления выберите System (Система).
  2. Выберите вкладку Computer Name (Имя компьютера) (см. рис. 3.20).
  3. Щелкните на Change (Изменить).
  4. Введите новое имя узла и щелкните на ОК.
  5. Перезагрузите компьютер для завершения процесса изменения имени. Щелкните на Yes (Да), чтобы выполнить это.

Примечание. Вы можете использовать только символы a - z, A - Z, 0 - 9 и -. Если в имени будут присутствовать другие символы, то Windows XP Professional выдаст предупреждение.

Изменение первичного DNS-суффикса

Первичным DNS-суффиксом является имя DNS домена, к которому прикреплен клиент. Если используются домены Active Directory, то имя домена Windows XP Professional клиента автоматически устанавливается как DNS-имя домена Active Directory. Первичный DNS-суффикс можно модифицировать следующим образом.

  1. Откройте панель управления и выберите System (Система).
  2. Выберите вкладку Computer Name (Имя компьютера)
  3. Щелкните на Change (Изменить), затем щелкните на More (Дополнительно).
  4. В поле введите первичный DNS-суффикс.

    Имя этого узла <<Endor>>


    Рис. 3.20.  Имя этого узла <<Endor>>

  5. Нажмите ОК.

В том случае, когда устанавливается соединение Windows XP Professional клиентов с Windows NT доменом, но планируется переход на Windows 2000 или .NET-серверы, то клиенты смогут автоматически изменить свои DNS-суффиксы после миграции. Просто убедитесь в том, что во время смены доменов включен флажок Change DNS domain name (Сменить DNS-имя домена). (Эта настройка делается по умолчанию).

Имена доменов специальных соединений

Windows XP Professional позволяет давать компьютерам различные имена в зависимости от типа сети, с которой устанавливается соединение. Они называются именами доменов специальных соединений (connection-specific domain name). Например, если суффикс организации - castaways.com и компьютер имеет имя "gilligan", то FQDN -gilligan.castaways.com. Тем не менее, при установке связи с ISP (dobiegillis.net) можно изменить DNS-имя на "maynardgkrebs", что приведет к изменению FQDN на maynardgkrebs.dobiegillis.net.

Имена доменов специальных соединений для каждого сетевого адаптера приписываются либо автоматически, либо вручную. Следующие шаги иллюстрируют выполнение этого процесса вручную.

  1. Откройте панель управления и выберите Network and Internet Connections (Сетевые подключения).
  2. Затем выберите Network Connections (Подключение по локальной сети), щелкните правой кнопкой мыши на выбранном сетевом соединении и выберите Properties (Свойства).
  3. На вкладке General (Общие) выберите Internet Protocol (TCP/IP) из списка и затем щелкните на Properties (Свойства).
  4. Щелкните на Advanced (Дополнительно) и выберите вкладку DNS.
  5. В окне DNS-суффикса для этого соединения введите имя домена для соединения.
  6. Щелкните на ОК, чтобы закрыть три диалоговых окна.
Предпочтительные и альтернативные DNS-серверы

В зависимости от конфигурации сети, у вас может быть один DNS-сервер, дюжина или еще больше. Windows XP Professional позволяет выбирать DNS-сервер первичного доступа при создании имени компьютера. Кроме того, можно устанавливать неограниченное количество альтернативных имен, на случай если не получится осуществить запрос предпочтительного DNS-сервера.

Для указания предпочтительного и альтернативного DNS-серверов проделайте следующее.

  1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
  2. Щелкните правой кнопкой мыши на локальной сети, которую вы хотите модифицировать, и выберите Properties (Свойства).
  3. На вкладке General (Общие) выберите Internet Protocol (TCP/IP) из списка и затем щелкните на Properties (Свойства).
  4. В окне Internet Protocol (TCP/IP) выберите вкладку General (Общие) и выберите метод, которым вы воспользуетесь для доступа к DNS-серверам:
    • выберите Obtain DNS server address automatically, если DHCP-сервер доступен для автоматической выдачи IP-адресов;
    • выберите Use the following DNS server addresses, если нужно вручную создавать конфигурацию DNS-сервера, и затем введите соответствующий IP-адрес DNS сервера.
  5. Щелкните на ОК для выхода из диалоговых окон.

Укажите дополнительные альтернативные серверы, проделав следующее.

  1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
  2. Щелкните на вкладке General (Общие), затем - на Advanced (Дополнительно).
  3. Щелкните на вкладке DNS.
  4. Под адресами DNS-серверов по очередности щелкните на Add (Добавить).
  5. Введите IP-адрес альтернативного DNS-сервера.
  6. Щелкните на Add (Добавить).

Вы можете удалить DNS сервер из списка, выбрав его и нажав на Remove (Удалить).

Если нужно установить порядок поиска DNS-сервера, проделайте следующее.

  1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
  2. Щелкните правой кнопкой мыши на локальной сети, которую вы хотите модифицировать, и выберите Properties (Свойства).
  3. На вкладке General (Общие) выберите Internet Protocol (TCP/IP) из списка и затем щелкните на Properties (Свойства).
  4. Щелкните на Advanced (Дополнительно).
  5. Выберите вкладку DNS.
  6. В списке DNS-адресов, размещенных в порядке очередности использования, выделите IP-адрес DNS-сервера, который нужно изменить, а затем воспользуйтесь клавишами со стрелками вверх и вниз для изменения расположения этого адреса в списке.
  7. Нажмите ОК.
WINS

WINS - это служба разрешенных наименований для перевода NetBIOS- имен в IP-адреса. Ее можно использовать отдельно или совместно с DNS. WINS бывает полезна для уменьшения количества процедур присвоения локальных разрешенных имен и позволяет пользователям размещать компьютеры в сетях удаленного доступа. К тому же, для автоконфигурации можно применять DHCP-сервер, если он доступен в данной сети.

Конфигурация. При конфигурации Windows XP Professional клиента на использование WINS для получения имени необходимо предпринять следующие шаги.

  1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
  2. Щелкните правой кнопкой мыши на локальной сети, которую вы хотите модифицировать, и выберите Properties (Свойства).
  3. На вкладке General (Общие) выберите Internet Protocol (TCP/IP) из списка и затем щелкните на Properties (Свойства).
  4. Если DHCP-сервер функционирует, выберите опцию Obtain an IP address automatically (Получить IP-адрес автоматически).
  5. Если DHCP сервер не функционирует и недоступен, то выполните следующие действия:
    • выберите Advanced (Дополнительно);
    • на вкладке WINS щелкните на Add (Добавить);
    • введите адрес WINS-сервера и щелкните на Add (Добавить);
  6. Нажмите ОК для выхода из диалоговых окон.

Порядок поиска. По аналогии с DNS-сервером можно задать более одного WINS-сервера в сети. В этом случае выполните следующие шаги.

  1. Откройте панель управления, выберите Network and Internet Connections (Сетевые подключения), затем - Network Connections (Подключение по локальной сети).
  2. Щелкните правой кнопкой мыши на локальной сети, которую вы хотите модифицировать, и выберите Properties (Свойства).
  3. На вкладке General (Общие) выберите Internet Protocol (TCP/IP) из списка и затем щелкните на Properties (Свойства).
  4. Щелкните на Advanced (Дополнительно), а затем выберите вкладку WINS.
  5. Под адресами WINS в порядке очередности использования выберите IP-адрес WINS-сервера, который нужно переместить.
  6. Воспользуйтесь клавишами со стрелками вверх и вниз для изменения порядка размещения WINS-серверов.

Другие протоколы

TCP/IP не является единственным в своем роде сетевым протоколом. На самом деле встречаются другие сетевые протоколы, которые окажутся более полезными, чем TCP/IP. Возможно, вам захочется применить некоторые из них вместо или наряду с TCP/IP.

Давайте рассмотрим два самых главных вопроса - обеспечение безопасности и взаимодействие, а затем мы предложим вам краткий обзор других протоколов, которые можно установить в системе Windows XP Professional.

Обеспечение безопасности

В наше время все пекутся об обеспечении безопасности, и хотя интернет и считается безопасным пространством, все же и в нем есть слабые места. В действительности, если вы хотите пересылать свои секретные данные через интернет, то нужно делать это таким образом, чтобы не скомпрометировать свою организацию или свой банковский счет. Для этой цели протокол TCP/IP недостаточно хорош, и надо поискать что-нибудь понадежнее.

Здесь на сцену выходят протокол туннелирования второго уровня (Layer 2 Tunneling Protocol, L2TP) и протокол туннелирования от точки к точке (Point-to-Point Tunneling Protocol, PPTP). При использовании совместно с VPN (см. гл. 14) эти протоколы гарантируют безопасную пересылку информации.

Взаимодействие

Хотя TCP/IP превратился в стандарт мирового масштаба, еще существуют некоторые компьютеры и устройства, которые не могут установить связь с ним. Точнее говоря, нельзя максимально использовать соединение своего компьютера с этими устройствами с помощью TCP/IP.

PPP

Протокол двухточечного соединения (Point-to-Point Protocol, PPP) является набором протоколов кадрирования и аутентификации и представляет собой часть системы удаленного доступа в Windows. Этот протокол обеспечивает взаимодействие программ для удаленного доступа разных фирм-разработчиков.

Разновидностью протокола PPP является PPP over Ethernet (PPPoE). Он позволяет пользователям устанавливать связь нескольких узлов посредством простого аппаратного моста с удаленным концентратором. Каждый узел использует свое собственное PPP-соединение. Для того чтобы установить PPP-соединение в Ethernet, необходимо знать Ethernet-адреса всех удаленных узлов и установить уникальный идентификатор сессии. PPPoE включает в себя протокол обнаружения, который создает идентификатор сессии.

PPTP

Протокол туннелирования от точки к точке (Point-to-Point Tunneling Protocol, PPTP) разработан Microsoft и является открытым стандартом, используемым в виртуальных частных сетях (VPN). PPTP разрешает туннелирование PPP-кадров. Туннелирование позволяет осуществлять в интернете безопасную пересылку кадров. PPP-кадры могут включать в себя IP и другие сетевые протоколы. Существует еще два протокола (L2TP и IPSec), которые повышают безопасность виртуальных частных сетей, однако PPTP устанавливается гораздо проще. В PPTP используются PPP-аутентификация, сжатие и шифрование.

NetBEUI

Протокол NetBEUI (NetBIOS Extended User Interface) является протоколом компании Microsoft, использующимся в ее сетевых продуктах. Это очень простой в использовании протокол, требующий минимальной настройки. Однако за эту простоту приходится платить. NetBEUI не маршрутизируется, т. е. его можно использовать только в очень простых сетях, в которых отсутствуют маршрутизаторы для соединения с многочисленными сегментами локальной сети.

NetBEUI используется только в локальных сетях с числом клиентов, не превышающим 200, и базируется на технологии Token Ring как единственном способе маршрутизации.

Протокол - это в некотором роде язык, который позволяет компьютерам общаться друг с другом. Наиболее популярным протоколом является TCP/IP, который используется в интернет-соединениях и является самым распространенным стандартом в работе сетей. Операционная система Windows XP Professional позволяет легко устанавливать, конфигурировать и использовать протокол TCP/IP.

Лекция 4. Создание сетевых подключений

В данной лекции обсуждаются все детали интернет-соединений в Windows XP Professional, рассказывается о настройке модемов и широкополосного оборудования, создании соединений, а также об управлении и устранении неполадок в интернет-соединениях.

Компьютеры, работающие в операционной системе Windows XP Professional, могут устанавливать удаленное соединение с корпоративными локальными сетями (LAN), поставщиком интернет-услуг (ISP) или с отдельным удаленным компьютером несколькими способами. Технологии для поддержки таких соединений включают в себя аналоговые модемы, цифровые сети связи с комплексными услугами (ISDN), цифровые абонентские линии (DSL), кабельные модемы или добрый старый Ethernet.

В этой лекции мы уделим особое внимание тем шагам, которые вы должны предпринять для установки связи с интернетом или с локальной сетью с удаленного компьютера, используя эти технологии. Сначала мы разберемся, как Windows XP Professional образует соединения с этими устройствами. Затем мы поговорим об инсталляции и конфигурировании модема и дадим вам несколько советов. Наконец, мы рассмотрим программу Add New Hardware Wizard (Мастер установки новых устройств) - главную программу для инсталляции нового устройства в Windows XP Professional.

Аппаратные средства

В этой лекции рассматриваются различные типы устройств для установки соединений, которые можно использовать в Windows XP Professional: аналоговый модем, DSL, ISDN или кабельное соединение. Кроме того, Windows XP Professional предоставляет пару инструментов, которые помогут определить правильность установки периферийных устройств и в случае неправильной установки помогут ее исправить.

Перед тем как погрузиться в тему сетевых соединений, будет разумно рассмотреть приложения, которые используются в Windows XP Professional для "наведения мостов" между операционной системой и устройствами.

Обзор аппаратных средств связи

Устройства, используемые для установки интернет-соединения (или WAN), зависят от потребностей сети, бюджета и политики организации.

Примечание. Типы устройств для установки сетевых подключений рассматривались в лекции 1.

Windows XP Professional включает несколько инструментов, которые помогут вам устанавливать связь, настраивать ее и справляться с некоторыми трудностями. Основными орудиями в арсенале Windows XP Professional являются:

Изучение этих инструментов позволит устанавливать надежные соединения между Windows XP Professional клиентом и необходимым удаленным устройством.

Диспетчер устройств

Вы можете просматривать список устройств, подключенных к компьютеру, с помощью диспетчера устройств (Device Manager). Диспетчер устройств очень удобен для проверки списка устройств, их установок и свойств. В диспетчере устройств (см. рис. 4.1) перечислены все устройства, которыми укомплектован компьютер. С его помощью можно изменять конфигурации этих устройств. Если мастер установки новых устройств обнаруживает конфликт устройств, то диспетчер устройств запускается автоматически.

Для изучения содержимого диспетчера устройств проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск\Панель управления).
  2. Выберите System (Система) и щелкните на вкладке Hardware (Оборудование).
  3. Щелкните на кнопке Device Manager (Диспетчер устройств).

Диспетчер устройств отобразит списки устройств, отсортированные по типу или по соединению. Список устройств, отсортированный по типу, выводится, если в работе возникают какие-то проблемы, причем устройство, являющееся причиной неполадок, рассматривается более подробно. Список, отсортированный по соединению, удобен при отладке драйверов устройств.

Диспетчер устройств отображает аппаратные компоненты компьютера


Рис. 4.1.  Диспетчер устройств отображает аппаратные компоненты компьютера

Примечание. Вы также можете открыть диспетчер устройств из консоли управления Microsoft Management Console (MMC). Щелкните на Start (Пуск), щелкните правой кнопкой мыши на My Computer (Мой компьютер), выберите Manage (Управление), чтобы отобразить MMC, и выберите Device Manager (Диспетчер устройств) в левой панели экрана (см. рис. 4.2).

Диспетчер устройств, открытый через консоль MMC


Рис. 4.2.  Диспетчер устройств, открытый через консоль MMC

Устройства, работающие по принципу "plug and play"

Несколько лет назад при установке принтера, модема, монитора, джойстика или другого периферийного устройства в среде Windows вы сталкивались с изнурительной задачей по инсталляции драйверов устройства. Хуже того, существовали устройства, которые требовали указывать настройки для прерываний (IRQ) и прямого доступа к памяти (DMA). Все это пустяк, если вы продвинутый компьютерщик, но в противном случае это вызывает дикое раздражение.

Когда появились ОС Windows 95 и NT, все несколько упростилось: стало возможно инсталлировать устройство, а затем добавлять простой драйвер. С Windows 98 и Windows 2000 стало еще веселее - ведь появилась технология "plug and play".

Примечание. Технология "plug and play" не является совершенной, и в ее работе имеются некоторые шероховатости. Удастся ли системе Windows XP Professional сгладить их - покажет время.

"Plug and play" вполне оправдывает свое название. Когда подключается "plug and play"-совместимое устройство, система Windows считывает информацию об устройстве и выполняет все настройки автоматически. Windows может запросить пользователя вставить диск с драйвером устройства, но обычно инсталляция проходит гладко и без проблем.

В системе Windows XP Professional технология "plug and play" предлагает следующие возможности:

Некоторые шины (PCI и USB) полностью поддерживают технологию "plug and play". Более старые шины (ISA) не предлагают такой поддержки и требуют большего участия со стороны пользователя для корректной инсталляции драйверов устройств.

Если компьютеры-клиенты представляют собой х86-платформы, то характер взаимодействия программы BIOS с "plug and play"-устройствами может быть другим. Это зависит от того, кто будет конфигурировать устройство: BIOS или операционная система. BIOS (если это возможно на вашем компьютере) может определить, имеются ли условия для применения "plug and play".

В таблице 4.1 перечислены условия и рекомендуемые установки BIOS.

Таблица 4.1. Установки BIOS х86-компьютера для "plug and play"-устройств
СистемаНастройки BIOS
ACPI-система (ACPI BIOS имеется; уровень аппаратных абстракций ACPI установлен)Да/Подключено или Нет/Отключено.
Негибкая ACPI-система (ACPI BIOS имеется; уровень аппаратных абстракций ACPI не установлен)Нет/Отключено.
Не-ACPI системаНет/Отключено.
Двойная загрузка Windows XP Professional и Windows 9X, MeНет/Отключено.

Драйверы устройств

В связи с тем что масса периферийных устройств создается самыми разными производителями, компания Microsoft не в состоянии отслеживать все устройства и налаживать их взаимодействие друг с другом и с операционной системой. Для решения этой проблемы в Windows используются драйверы устройств. Это небольшие программы, которые разработаны производителями устройств, с целью сделать эти устройства работоспособными в системе Windows XP Professional.

Windows XP Professional выходит с набором стандартных драйверов для широкого круга мониторов, принтеров, игровых платформ, модемов и т. д. При покупке периферии (например, модема) вы обычно получаете компакт-диск с драйвером этого устройства, разработанным компанией-поставщиком. На диске имеются драйверы для большинства версий Windows.

Примечание. Если у вас уже есть устройство, которое требуется соединить с Windows XP Professional, то вы должны заглядывать на сайт поставщика, так как там могут находиться обновления для драйверов.

Если вам нужна информация об определенном драйвере, откройте диспетчер устройств, щелкните правой кнопкой мыши на имени устройства и выберите Properties (Свойства). При наличии вкладки Driver (Драйвер) щелкните на ней. Большинство вкладок драйверов содержат следующие кнопки.

Примечание. При инсталляции нового устройства вы можете получить сообщение о том, что Microsoft не одобряет этот драйвер. Microsoft предпринимает эту меру безопасности, чтобы некорректные драйверы не вызывали сбоев в работе Windows XP. К сожалению, существует множество производителей, которые не желают платить за получение сертификата благонадежности от Microsoft. Пропустите это сообщение, щелкнув на нем, и продолжайте инсталляцию драйвера. Если он не будет работать, вы всегда сможете его удалить.

Так как Windows XP Professional построена на базе Windows 2000, если вам предлагается выбор несколько операционных систем, и XP не является одной из них, то выберите Windows 2000.

Аналоговые модемы

В зависимости от необходимости удаленного доступа для клиента, возможно, потребуется установка и конфигурирование модема. В последнее время стала практически невозможной покупка компьютера без уже установленного в нем модема. Однако всегда можно заменить один модем другим. С другой стороны, если в офисе много компьютеров, то можно сэкономить несколько долларов, покупая их без модемов. В любом случае, если вам надо установить модем, следуйте инструкциям, изложенным ниже.

Установка

Если устанавливается внутренний модем, то все этапы установки очень похожи для устройств разных производителей. Нужно выключить питание компьютера, снять крышку, найти нужный PCI-слот и вставить модем. Затем нужно закрыть компьютер, подключить модем к питанию, подключить телефон к модему и включить компьютер.

На этом физическая работа заканчивается. Дальше наступает очередь Windows XP Professional. После включения компьютера "plug and play" укажет, что был установлен новый модем и активирует программу Install New Modem Wizard (Мастер инсталляции нового модема).

Примечание. Мастера инсталляции нового модема можно активировать, выбрав значок Modems (Модемы) в панели управления.

Программа спросит, устанавливается ли PCMCIA-модем (для портативных компьютеров), внутренний модем или внешний. В своих файлах программа будет искать драйвер модема. Если драйвер найден не будет, то нужно вставить диск с драйвером. (Вы можете зайти на веб-сайт производителя модема, скачать оттуда драйвер и указать Windows XP Professional место, где этот драйвер находится на жестком диске.)

После того как операционная система Windows установит драйвер модема, она запросит некоторую информацию:

Вся эта информация содержится в Dialing Location по умолчанию. (Далее в этой лекции мы расскажем о том, что такое Dialing Location и как этим пользоваться.)

Конфигурация

После инсталляции модема его надо сконфигурировать, чтобы Windows XP Professional могла правильно им пользоваться. Посмотреть или модифицировать настройку модема можно, выбрав Start\Control Panel (Пуск\Панель управления), щелкнув на Printers and Other Hardware (Принтеры и прочие устройства), а затем - на Phone and Modem Options (Телефон и модем). На рис. 4.3 показано открывающееся в результате этих действий окно.

Диалоговое окно Phone and Modem Options (Телефон и модем)


Рис. 4.3.  Диалоговое окно Phone and Modem Options (Телефон и модем)

В этом окне щелкните на вкладке Modem (Модем), чтобы увидеть список модемов, установленных в системе. Выберите свой модем и щелкните на Properties (Свойства). Появится окно свойств модема (рис. 4.4).

Примечание. Если установлено несколько драйверов для модема, то щелкните на вкладке Driver (Драйвер) в диалоговом окне Properties (Свойства).

Окно свойств выбранного модема


Рис. 4.4.  Окно свойств выбранного модема

В таблице 4.2 перечислены различные свойства, которые можно настраивать для модема. В диалоговом окне свойств нажмите на кнопку Change Default Preferences, чтобы увидеть список настроек модема по умолчанию. Эти настройки приведены в табл. 4.3.

Таблица 4.2. Настройки в диалоговом окне свойств модема.
ВкладкаСвойствоОписание
General (Общие)Использование устройстваПодключает и отключает модем. Например, если внутренний модем вышел из строя, можно отключить его и воспользоваться другим модемом.
Modem (Модем)ПортУказывает порт модема: COM1, COM2, COM3, COM4, LPT. Если модемподключен к USB- или FireWire-портам, это будет указано.
Регулировка громкоговорителяУстанавливает громкость звукового сигнала модема. Вам не нравятся звуки, которые раздаются во время соединения? Тогда выключите звук совсем.
Modem (Модем)Максимальная скорость портаУстанавливает скорость обмена данными между модемом и компьютером. Обычно равна 115200 бит/с. Примечание: это не та скорость, с которой модем обменивается информацией с другими компьютерами на линии связи.
Контроль набораЗадает для модема необходимость дождаться гудка, перед тем как установить соединение. Эта функция полезна, если у вас установлена голосовая почта с телефонной компанией. Когда поступает голосовое сообщение, то прерывающийся тоновый набор может быть неверно интерпретирован модемом как отсутствие тонового набора.
Diagnostics (Диагностика)Информация о модемеСообщает информацию о модеме, например, его серийный номер. Щелкнув на Query Modem (Запрос к модему), можно получить список отзывов об этой информации.
РегистрацияУказывает, будет ли информация, полученная и отправленная модемом, храниться в файле регистрации. Обычно используется при поиске неисправностей. Для просмотра содержимого лог-файла щелкните на кнопке View Log.
Advanced (Дополнительно)Дополнительные настройкиПеречисляет дополнительные команды, которые можно послать модему, после того как Windows XP Professional отправит ему свои стандартные команды инициализации. В руководстве по работе с модемом или на веб-сайте производителя имеется список уникальных команд модема.
Driver (Драйвер)Поставщик Дата Версия драйвера Цифровая подписьСодержит информацию о драйвере модема. Для получения дополнительной информации об именах и расположении файлов драйвера щелкните на Driver Details (Сведения о драйвере). Щелкнув на Update (Обновить), можно установить новый драйвер. Нажатием на Roll Back Driver (Откатить) можно инсталлировать прежнюю версию драйвера. Для полного удаления драйвера щелкните на Unistall (Удалить).
Таблица 4.3. Свойства модема во вкладке Advanced (Дополнительно) диалогового окна свойств модема
ВкладкаСвойствоОписание
General (Общие)Прервать связь при отсутствии действий более хх минутУказывает, как долго следует поддерживать связь при отсутствии передачи данных.
Отменить вызов, если соединение не устанавливается после хх секундУказывает время простоя (ожидания), если при дозвоне не удается установить соединение.
Скорость портаТо же, что и максимальная скорость порта в табл. 4.2.
Данные протоколаУказывает, какой тип исправления ошибки следует использовать. Если тип не выбран, то соединения будут устанавливаться, но они могут быть менее надежными.
СжатиеУказывает, следует ли сжимать данные до пересылки. Обычно эта опция выбирается, но это зависит от наличия поддержки сжатия данных в модеме.
Контроль за потокомУказывает, должен ли применяться контроль за потоком данных между модемом и компьютером. Существуют два варианта выбора: Xon/Xoff и Hardware.
Advanced (Дополнительно)Биты данныхУказывает сколько бит должно содержаться в каждом байте. Следует установить 8.
Паритет (четность)Указывает, отсылает ли модем бит об обнаружении ошибки (обычно восьмой бит) в каждом байте. Обычно эта опция устанавливается на None (Нет).
Стоп-битыУказывает, сколько дополнительных стоп-битов посылается после каждого байта. Устанавливается значение 1.
МодуляцияУказывает способ преобразования модемом цифровых сигналов в аналоговые для передачи по телефонной линии.

Большая часть этих настроек не нуждается в изменениях. Тем не менее, нужно знать, для чего они нужны и как их можно изменить при необходимости.

Возможные неполадки и способы их устранения

Если у вас возникли проблемы при установке связи по модему, вот несколько полезных советов.

Примечание. Windows XP Professional включает в себя функцию устранения неполадок в модеме для помощи в трудных случаях. Устранение неполадок запускается щелчком на вкладке General (Общие) в окне свойств и последующим щелчком на Troubleshooter (Устранение неполадок).

Аппаратные средства ISDN

Аналогично предыдущим версиям Windows, Windows XP Professional осуществляет поддержку ISDN (службы цифровой связи). Для установки и настройки ISDN-соединения в Windows XP Professional необходимо провести некоторую предварительную подготовку.

Во-первых, служба ISDN должна быть доступной на вашей телефонной линии. Без наличия этого обслуживания там, откуда вы осуществляете дозвон, и в том месте, с которым вы хотите установить связь, ваши устройства не будут работать. Например, если вы используете ISDN-соединение для связи удаленного офиса с центром, то оба пункта должны иметь действующую ISDN-службу. Если вы соединяетесь со своим интернет-провайдером посредством ISDN, то должны подписаться на услуги ISDN и убедиться в том, что эта служба действует у поставщика интернет-услуг, перед тем как заниматься настройкой.

Примечание. Перед установкой ISDN-соединения следует позвонить своему интернет-провайдеру и убедиться в том, что он предлагает услуги ISDN-связи, а также уточнить его политику при предоставлении ISDN- линий.

После того как сервис налажен на обоих концах соединения, надо приобрести необходимое оборудование, то есть внутренний или внешний ISDN-адаптер. Кроме того, во время установки ISDN-адаптера система Windows XP Professional запросит некоторую информацию. Эта информация приведена в таблице 4.4, и вы должны иметь ее, прежде чем приступать к конфигурированию своего ISDN-адаптера.

Установка

Windows XP Professional узнает о том, что установлен ISDN-адаптер, и автоматически проинсталлирует драйвер устройства при наличии поддержки "plug and play". Если система не поддерживает "plug and play", то выполнив следующие шаги, вы осуществите процесс инсталляции вручную.

  1. В панели управления выберите Printers and Other Hardware (Установка оборудования).
  2. Выберите Add New Hardware (Добавить новое устройство).
  3. После запуска мастера установки нового оборудования нажмите Next (Далее). (На этом этапе Windows XP Professional автоматически проверит наличие новых устройств в вашем компьютере.)
  4. Если мастер не сможет найти ISDN-адаптер, появится диалоговое окно с вопросом о том, подключено ли уже новое оборудование. Если это так, то нажмите на Yes (Да), в противном случае - на No (Нет). (Если вы ответите отрицательно, то Windows XP Professional попросит подключить устройство и предпримет новую попытку.)
  5. Щелкните на Next (Далее).
  6. Если ISDN-адаптер все еще не обнаружен, выберите Add a new hardware device (Добавить новое устройство) и щелкните на Next.
  7. Для того чтобы система Windows XP Professional могла найти ISDN-адаптер автоматически, щелкните на Search For and Install The Hardware Automatically (Поиск установленного оборудования). Если нужно выбрать ISDN-адаптер вручную, то выберите The Hardware That I Will Manually Select From A List (Установка вручную), а затем следуйте указаниям.
  8. Щелкните на Show All Devices (Показать все устройства).
  9. Выберите поставщика модема в левой панели и модель модема в правой панели и щелкните на Next (Далее). Если поставщика и модели вашего адаптера нет в списках, то вставьте компакт-диск с драйвером устройства и щелкните на Have Disk (Установить с диска).

Примечание. Вы можете скачать драйвер с веб-сайта производителя устройства, щелкнуть на Have Disk (Установить с диска) и указать Windows XP Professional это место расположения на своем жестком диске либо в сети.

После инсталляции ISDN-адаптера система Windows XP Professional попросит ввести некоторую информацию об адаптере. В таблице 4.4 перечислена вся информация, которая нужна Windows XP Professional для конфигурации адаптера. Вы должны будете получить эту информацию у своей телефонной компании.

Таблица 4.4. Информация для настройки ISDN, необходимая системе Windows XP Professional
НастройкиОписание
Тип коммутатораНеобходимо указать, коммутатор какого типа будет использоваться для соединения с телефонной компанией. В Windows XP Professional перечислены следующие типы: ESSS (AT&T), National ISDN1, Northern Telecom DMS 1000.
SPID (Service Profile Identifier)SPID - это телефонный номер вместе с несколькими дополнительными цифрами, приписанными к началу и концу номера. SPID используется коммутатором для того, чтобы лучше разобраться в деталях ISDN-соединения.
Номер телефонаВ зависимости от ISDN-линии каждый В-канал может иметь свой телефонный номер, либо все каналы используют один номер.

Если нужно изменить эти настройки, проделайте следующие шаги.

  1. В панели управления выберите System (Система) и щелкните на Hardware (Оборудование).
  2. Выберите Device Manager (Диспетчер устройств).
  3. Щелкните правой кнопкой мыши на ISDN-адаптере, который вы хотите модифицировать, и выберите Properties (Свойства).
  4. Выберите вкладку ISDN.

Для изменения этой информации выберите тип коммутатора из списка. SPID и телефонные номера изменяются с помощью щелчка на Configure (Настройка).

DSL-устройства

Цифровые абонентские линии (DSL) в некотором смысле настраивать проще, чем аналоговые модемы, зато во всем остальном они гораздо сложнее.

По аналогии с ISDN вы не можете просто купить DSL-модем, подключить его и начать работать. Необходимо подписаться на DSL-обслуживание в вашей телефонной компании. Однако вы можете и не подойти для DSL-обслуживания, в зависимости от расстояния до вас от центрального офиса. Учитывая различные модификации DSL, следует убедиться в том, что купленный модем будет работать на этой DSL-линии.

Процесс можно упростить, позвонив провайдеру интернет-связи и попросив его об установке DSL-обслуживания. В большинстве случаев провайдер может связаться с телефонной компанией и получить для вас нужный модем. В некоторых случаях, в интересах рекламы телефонной компании, вы можете получить этот модем бесплатно.

Это все, что касается сложностей. К легким моментам можно отнести непосредственную конфигурацию DSL-модема. Сначала посмотрим, как происходит установка этого устройства.

Установка

Установить DSL модем легко. Существует три типа DSL-модемов, незначительно различающихся способом соединения.

Использование NIC. Внешний DSL-модем использует кабель пятой категории для соединения с сетевым адаптером (NIC) компьютера.

Примечание. В зависимости от производителя может потребоваться переходной кабель для подключения модема.

Использование порта USB. DSL-модем подключается к одному из USB-портов компьютера. Действие, связанное с подключением USB-кабеля, приведет к запуску программы New Hardware Wizard (Мастер установки новых устройств). Просто следуйте командам на экране для инсталляции необходимого драйвера, если в списке Windows XP Professional его нет.

Примечание. Само собой разумеется, что в компьютере должен быть установлен сетевой адаптер, если вы используете внешний DSL-модем. Мы поговорим о его инсталляции и настройке в лекции 5.

Внутреннее подключение

Подключение внутреннего модема связано с открыванием компьютера, поиском свободного PCI-слота и установкой модема. Когда вы снова подключите компьютер к источнику питания и запустите его, то DSL-модем (если он является "plug and play"-устройством) проинсталлирует драйвер. Если модем не поддерживает "plug and play", то придется инсталлировать драйвер вручную с помощью мастера установки нового устройства (Add New Hardware Wizard).

Примечание. При инсталляции следуйте инструкциям производителя. Они должны заменять любые другие инструкции.

Конфигурирование

Для просмотра DSL-конфигурации выполните следующие действия.

  1. Выберите Start\My Network Places (Пуск\Сетевое окружение) и щелкните на New Network Connections (Новое поключение).
  2. Щелкните правой кнопкой мыши на DSL-соединении.
  3. Выберите Properties (Свойства).
  4. Щелкните на вкладке Networking (Сеть).
  5. Щелкните на Internet Protocol (TCP/IP) и щелкните на кнопке Properties (Свойства).

Конфигурацию настроек, скорее всего, вы получите от ISP вместе с поздравительным пакетом. Обычно это сообщение, в котором содержится ваш IP-адрес и адрес DNS-сервера. Лучше всего сохранить его в безопасном месте на случай переустановки устройства или изменения настроек.

Кабельный модем

Установка кабельного модема подразумевает подключение к линии кабельного телевидения. В зависимости от производителя и модели, кабельный модем подключается либо к сетевому адаптеру, либо к USB-порту, либо может быть встроенным.

Установка

Устанавливать кабельный модем достаточно просто. Существует три типа кабельных модемов, немного отличающихся друг от друга деталями инсталляции. В любом случае, модем подключается не только к компьютеру, но и к коаксиальному кабелю, доставляющему кабельное телевидение в ваш дом.

Примечание. В зависимости от модели вам, возможно, придется воспользоваться переходным кабелем.

В зависимости от интернет-возможностей кабельного телевидения, может быть, вам придется подключать свой кабельный адаптер к разъему телевизора. Так происходит, потому что некоторые кабельные системы допускают только односторонний перенос данных по коаксиальному кабелю. Если вы хотите отправлять информацию, то сможете сделать это посредством стандартной телефонной линии.

Конфигурирование

Конфигурировать кабельный адаптер гораздо легче, чем настраивать модем или ISDN-соединение. Поскольку Windows XP Professional общается с кабельным модемом, используя протокол TCP/IP, то от вас потребуется только настроить TCP/IP.

Для настройки протокола TCP/IP, в первую очередь, вам нужны адреса IP- и DNS-сервера и другая информация от вашей кабельной компании. Скорее всего, вы получите эту информацию при покупке данного вида обслуживания. Для настройки TCP/IP проделайте следующие шаги.

  1. Выберите Start\My Network Places (Пуск\Сетевое окружение) и щелкните на View Network Connections (Отобразить сетевые подключения).
  2. Щелкните правой кнопкой мыши на кабельном интернет-соединении.
  3. Выберите Properties (Свойства) и щелкните на вкладке Networking.
  4. Щелкните на Internet Protocol (TCP/IP) и щелкните на кнопке Properties.

Вы получите список настроек TCP/IP для кабельного адаптера. Здесь снова потребуется ввести данные, полученные от кабельной компании.

Решение проблем, связанных с оборудованием

Какими бы прекрасными ни были программы-мастера от Microsoft, какой бы убедительной ни была реклама безукоризненности данной версии Windows, подключение устройств всегда может преподнести пару неожиданностей. Обнаружение и решение таких проблем может занять от нескольких минут до значительного промежутка времени. Следующие действия помогут найти выход из затруднительных положений.

Ошибки инсталляции Windows XP

При установке устройства Windows иногда пытается инсталлировать файлы из CAB-файлов (названных так по расширению .cab). Эти файлы находятся на компакт-диске Windows XP Professional.

Примечание. Если операционная система установлена поставщиком компьютера, тогда, скорее всего, CAB-файлы находятся в каталоге C:\i386.

Иногда Windows XP Professional не может отыскать место нахождения cab-файла и нуждается в вашей помощи. Для обнаружения пропавшего файла щелкните на кнопке Details (Состав) в диалоговом окне, в котором Windows XP Professional запрашивает о его месте нахождения. Затем выберите Start\Search (Пуск\Поиск) и введите имя файла, который запрашивает система. Затем выберите жесткий диск (или компакт-диск Windows XP Professional) и найдите потерянный файл. Снова войдите в диалоговое окно и сообщите Windows XP Professional, где следует искать cab-файл.

Безопасный режим

Часто инсталляция драйвера устройства приводит к выходу из строя Windows XP Professional. Если это случилось, то воспользуйтесь опцией безопасного режима (Safe Mode) Windows XP Professional. Safe Mode использует настройки по умолчанию (VGA-монитор, драйвер мыши, отсутствие сетевых соединений и минимальный набор драйверов устройств), чтобы только запустить компьютер. Если проблема не возникает при работе в безопасном режиме, то вы можете принять настройки по умолчанию, а минимальное количество драйверов не является проблемой (см. рис. 4.5).

Windows XP Professional имеет более надежный безопасный режим, чем предыдущие версии Windows, что помогает быстрее справляться с трудностями, возникающими при настройке и инсталляции. В безопасный режим можно войти, нажав клавишу F8 во время загрузки. Опции режима Safe Mode системы Windows XP Professional перечислены здесь.

Безопасный режим операционной системы Windows XP Professional используется для обнаружения потерянных драйверов и неправильных настроек


Рис. 4.5.  Безопасный режим операционной системы Windows XP Professional используется для обнаружения потерянных драйверов и неправильных настроек

Более подробно мы обсудим безопасный режим в лекции 8. Тем не менее, вам полезно знать, как использовать этот режим для решения проблем с драйверами.

Использование Диспетчера устройств

Ранее в этой лекции мы уже говорили о Диспетчере устройств, но сейчас давайте разберемся подробнее с тем, как можно его использовать для выявления и решения проблем, возникающих при инсталляции устройств. Для работы с настройками откройте Диспетчер устройств, выполнив следующие действия.

  1. Выберите Start\Control Panel (Панель управления).
  2. Щелкните на значке System (Система) и выберите вкладку Hardware (Оборудование).
  3. Щелкните на кнопке Device Manager (Диспетчер устройств), чтобы открыть окно диспетчера устройств, показанное на рис. 4.1.

Если с устройством что-то не так, то рядом с его значком присутствует желтый восклицательный знак или значок перечеркнут красным крестиком. Вы можете исследовать определенное устройство, щелкнув правой кнопкой мыши на его значке и выбрав Properties (Свойства) в появившемся меню. Изучите различные вкладки для получения более подробной информации о конфликте. Скорее всего, вы найдете, что ищете, на вкладках General (Общие) или Resources (Ресурсы). Конфликтующее устройство будет выделено, как это показано на рис. 4.6.

Существует два наиболее распространенных источника конфликтов, с которыми вы будете разбираться для решения проблемы.

Диспетчер устройств помогает выявить проблемы с оборудованием. С изучения информации в его окне следует начинать выяснение причин неполадок, которые у вас происходят.

Конфликтующий драйвер модема


Рис. 4.6.  Конфликтующий драйвер модема

Создание интернет-соединений

Допустим, что Windows XP Professional-клиенту потребуется соединение с интернетом. К счастью, Windows облегчает решение этой задачи с помощью очень полезного мастера - New Connection Wizard (Мастер новых подключений).

Этот инструмент позволяет сообщить системе Windows XP Professional, какой тип соединения вы используете, и как конфигурировать это соединение. Программа может автоматически устанавливать и конфигурировать соединения для аналогового, DSL-, ISDN- или кабельного модема. В следующем разделе рассказывается, как использовать эту программу, и какая информация для этого потребуется.

Знакомство с мастером новых подключений

Программа New Connection Wizard (Мастер новых подключений) делает процесс установки нового соединения проще, чем в предыдущих версиях Windows. Для запуска мастера выполните следующие действия.

  1. Выберите Start\Control Panel (Пуск\Панель управления) и затем щелкните на Network and Network Connections (Сетевые подключения).
  2. Щелкните на Create a New Connection (Создать новое сетевое подключение) в левом верхнем окне.

Окно мастера новых подключений показано на рис. 4.7.

Мастер новых подключений


Рис. 4.7.  Мастер новых подключений

Мастер новых подключений позволяет установить один из типов сетевых соединений:

В следующих разделах эти соединения рассматриваются более подробно.

Интернет-соединение

Выбор Connect to the Internet (Подключение к интернету) активизирует мастер подключения к интернет (Internet Connection Wizard), который помогает настроить соединение для доступа в интернет. При запуске программы одной из опций по умолчанию является отключение совместного использования файлов и принтера в сетях Microsoft. Этим вы усиливаете защиту своих активов от грязных происков из интернета.

В следующем окне появится запрос, хотите ли вы выбрать соединение из списка ISP, установить его вручную или воспользуетесь компакт-диском, который вы получили от интернет-провайдера (ISP). Мы будем создавать соединение вручную, что делается чаще всего.

Выбрав подключение к интернету, укажите один из способов соединения: по широкополосному каналу (например, с помощью DSL или кабельного модема) или путем телефонного набора.

Указание соединения посредством широкополосного канала (Broadband Connection). При выборе опции Broadband connection вы настраиваете свой Windows XP Professional компьютер для доступа в интернет посредством современной высокоскоростной технологии, такой как DSL, T1 или кабельной. Сообщите системе Windows XP Professional, какой тип технологии вы собираетесь использовать для связи по широкополосному каналу, но если вы этого не сделаете, то она сама автоматически исследует систему и сконфигурирует соединение, подразумевая, что устройство уже находится в компьютере.

Перед установкой такого соединения свяжитесь со своим провайдером и выясните следующее.

Указание соединения путем набора телефонного номера. Dial-up-соединение использует для связи телефонную линию в течении ограниченного промежутка времени, аналоговые модемы или ISDN. При выборе такого способа доступа под рукой должны быть сведения о соединении (телефонные номера ISP и тому подобное). Если вы еще не выбрали провайдера, то мастер автоматически соединит вас со справочной службой Microsoft Referral Service, позволяя выбрать провайдера из списка Microsoft.

Вы получите соединение с Microsoft Referral Service, если укажите один из вариантов.

Перед запуском мастера необходимо иметь следующую информацию:

Соединение с сетью

Соединение с сетью позволяет устанавливать соединение с LAN из дома, с улицы - откуда угодно. При выборе этой опции появляются еще две подкатегории.

Прямое соединение. При прямом соединении вы устанавливаете связь с LAN посредством наборного доступа или по широкополосному каналу. Прямое соединение позволяет обходиться без ISP и непосредственно устанавливать связь с LAN. При этом подразумевается, что другой компьютер настроен соответствующим образом для приема входящего вызова (см. "Настройка расширенного соединения").

Связь через интернет-соединение. Если вы решите устанавливать связь посредством интернет-соединения, то получите доступ к LAN путем создания безопасного виртуального частного соединения (VPN).

Примечание. Мы будем подробно обсуждать VPN-соединения в лекции 14.

Настройка расширенного соединения

При выборе опции Set up an advanced connection (Настройка расширенного соединения) вам предоставляется выбор из двух вариантов.

Прием входящих соединений. Позволяет конфигурировать Windows XP Professional-клиента для работы в качестве сервера удаленного доступа. На компьютер будут поступать входящие сигналы от компьютеров, устанавливающих dial-up-соединения.

Прямое соединение с другим компьютером. Выбор опции позволяет устанавливать связь Windows XP Professional-клиента с другим компьютером посредством параллельного, последовательного или инфракрасного соединения. При выборе этой опции вы конфигурируете компьютер для работы в качестве хоста или гостевого компьютера. Хостом называется компьютер, обменивающийся данными; гостевым называется компьютер, получающий доступ к данным.

Использование мастера нового подключения

Мастер нового подключения (New Connection Wizard) делает процесс настройки соединения практически безболезненным. Программа позволяет выбирать из следующих трех типов соединений.

При активизации мастер задает ряд вопросов и использует ответы для создания соединения. В таблице 4.5 перечислена информация, которую запрашивает мастер.

Таблица 4.5. Информация, запрашиваемая мастером нового подключения.
Запрашиваемая информацияНастройки
Тип сетевого соединенияВыберите Connect to the Internet (Подключение к интернету).
Вид настройкиВыберите Set up my connection manually (Настроить соединение вручную).
Интернет-соединениеВыберите тип телефонной линии (dial-up или широкополосный канал).
Имя ISPВведите выбранное для этого соединения имя. Это не обязательно должно быть настоящее имя ISP.
Номер телефонаВведите номер телефона, выданный вам ISP.
Реквизиты доступа в интернетВведите свое имя пользователя и пароль.
Использовать это имя и пароль для каждого доступа к интернету с этого компьютераЕсли все, имеющие доступ, будут использовать это соединение, включите флажок. Иначе оставьте окошко пустым.
Сделать это интернет-соединение соединением по умолчаниюЕсли вы собираетесь применять это соединение всегда при использовании интернет-приложения, не находясь в режиме онлайн, оставьте флажок отмеченным.
Включить защиту интернет-соединения (firewall) для этого соединенияРешите сами, хотите ли вы применить защиту (ICF) для этого соединения. Если вы не собираетесь использовать соединение для приложений, которые плохо работают с ICF (например, для игр онлайн), то лучше оставьте флажок включенным.
Добавить ярлык соединения на рабочий столЕсли вы хотите разместить значок соединения на рабочем столе, то выберите эту опцию.
Широкополосный канал

Если вы устанавливаете соединение через широкополосный канал связи, то Windows XP Professional автоматически настраивает соединение в папке Network Connections (Сетевые подключения) (выберите Start\Connect To\Show All Connections [Пуск\Подключения\Отобразить все подключения]). После того как значок соединения появится в папке, щелкните на нем правой кнопкой мыши, перейдите в окно свойств, выберите вкладку Networking (Общие), щелкните на Internet Protocol (TCP/IP), щелкните на Properties (Свойства) и затем введите параметры TCP/IP.

ISDN

Мастер нового подключения при использовании ISDN создает гибрид dial-up-соединения и широкополосного канала. Однако во время настройки он предлагает ряд других опций, перечисленных в табл. 4.6. Мастер нового подключения создает ISDN-соединение, но вам самим придется конфигурировать его. Для этого проделайте следующие шаги.

Следующим шагом будет создание конфигурации пакетирования (bundling), если у вас имеется многосвязное ISDN-соединение, что означает объединение обоих ISDN-каналов. Щелкните на вкладке Options (Параметры) в диалоговом окне свойств dial-up-соединения, а затем выберите настройки пакетирования, как показано в табл. 4.7.

Таблица 4.6. Информация о ISDN-соединении, необходимая мастеру нового подключения
Необходимая информацияНастройки
Тип сетевого соединенияВыберите Connect to the Internet (Подключение к интернету).
Вид настройкиВыберите Set up my connection manually (Настроить соединение вручную).
Интернет-соединениеВыберите Connect using a dial-up modem (Подключение через dial-up-модем)
Все доступные ISDN линии являются многосвязными (по умолчанию)Оставьте флажок включенным, если хотите пакетировать оба канала ISDN-соединения. В противном случае вы сможете выбирать только один из каналов, перечисленных в списке индивидуальных ISDN-каналов устройства, если хотите устанавливать связь посредством одного 64 Кб/с канала.
Таблица 4.7. Настройка пакетирования ISDN-соединения
НастройкиДействия
Дозвон только до первого доступного устройстваПозволяет посылать и принимать запросы о соединении путем телефонного набора, используя только один ISDN канал.
Дозвон до всех устройствПозволяет осуществлять двухканальное соединение со скоростью 128 Kб/с.
Дозвон до устройств только в случае необходимостиИспользуется один канал. Если его ресурсы исчерпаны, то подключается второй канал.

Управление соединениями

После конфигурирования устройства, которое вы будете использовать для доступа в интернет или локальную сеть, Windows XP Professional устанавливает правила дозвона. Эти правила включают в себя указание размещения, коды городов и управление телефонными картами.

В этом разделе мы рассмотрим эти пункты и объясним, как сделать Windows XP Professional более дружественной по отношению к пользователям, в особенности, когда надо устанавливать связь из различных мест расположения.

Вы можете периодически проверять свои соединения (интернет или LAN), чтобы убедиться в том, что находитесь на линии, или для проверки качества соединения. Для мониторинга сетевых соединений откройте Network Connection (Сетевое подключение), щелкните правой кнопкой мыши на соединении и выберите Status (Состояние). Можно установить автоматический постоянный мониторинг состояния активных соединений. Щелкните правой кнопкой мыши на соединении, выберите Properties (Свойства), а затем выберите значок Show (Показать в области уведомления).

Если вы включите флажок, то сможете быстро проверять сетевые соединения, наводя курсор мыши на соответствующий значок в системном трее (нижний правый сектор панели задач). При отсутствии соединения значок будет перечеркнут красным крестиком и снабжен небольшим окном с названием соединения. При наличии связи на значке не будет красного крестика, и в окошке появится информация о соединении, скорости и другие данные, зависящие от типа устройства и производителя.

Конфигурация места размещения для набора номера

Если Windows XP Professional-клиент размещен на портативном компьютере, то проблемы могут возникнуть во время путешествия, или если вам надо дозваниваться из нескольких различных мест. Например, у вас установлено соединение наборного доступа с ISP, который находится в области действия того же кода, что и ваш дом. Если вам надо дозвониться до ISP с работы, то могут возникнуть проблемы из-за различий в коде и в правилах набора номера. Если вы берете компьютер с собой в поездку, то правила набора будут меняться в зависимости от города, в котором вы находитесь. Для решения этой проблемы Windows XP Professional позволяет устанавливать место набора номера.

Место набора номера содержит следующую информацию.

Все эти детали могут изменяться в зависимости от места вашего нахождения.

Что представляет собой место размещения для набора номера

Место размещения для набора номера (Dialing Location) по умолчанию устанавливается при запуске New Connection Wizard и указании dial-up-настроек. Вы можете просмотреть и изменить место размещения для набора номера, проделав следующее.

  1. Выберите Start\Control Panel (Пуск\Панель управления).
  2. Выберите Phone and Modem Options (Телефон и модем).
  3. В появившемся диалоговом окне выберите вкладку Dialing Rules (Правила дозвона) (рис. 4.8).

Вы можете просмотреть, отредактировать или удалить места размещения, нажимая соответственно кнопки New, Edit или Delete в нижней части диалогового окна.

Настройка места размещения для набора номера в Windows XP Professional

Если нужно добавить в список новое место размещения, то проделайте следующие шаги.

  1. Нажмите кнопку New (Создать) в диалоговом окне Phone and Modem Options (Телефон и модем) (см. рис. 4.9) и убедитесь в том, что выбрана вкладка General (Общие).
  2. Введите имя для нового места размещения в окне Location Name (Имя).
  3. Выберите из списка страну и введите код.
  4. В области Dialing rules (Правила дозвона) введите следующую информацию:
    • цифры, которые следует набрать для получения доступа к внешней линии для локальных звонков;

      Установка места размещения для набора номера в Windows XP Professional


      Рис. 4.8.  Установка места размещения для набора номера в Windows XP Professional

      Ввод новой информации о месте размещения


      Рис. 4.9.  Ввод новой информации о месте размещения

    • цифры, которые следует набрать для получения доступа к внешней линии для междугородних звонков;
    • коды для звонков с очень больших расстояний и международных звонков.
  5. Если вы хотите отключить ожидание дозвона, то убедитесь в том, что окошко под рамкой выбрано и введен корректный код для отключения сервиса (#78 или что-то похожее).
  6. Выберите тоновый или импульсный набор.

Примечание. После создания нового места набора (Dialing Location) щелкните на Apply (Применить) и выберите место по умолчанию с помощью кнопок управления слева от имен мест размещения.

Функция Dialing Location удобна не только для набора номера своего провайдера или места работы, но также для посылки факсов посредством консоли Windows Fax. Для изменения места набора номера в мастере отправки факсов (Send Fax Wizard) отметьте флажок Use Dialing Rules (Использовать правила набора), а затем выберите место набора. Более подробная информация по этому вопросу содержится в лекции 14.

Код города

После появления сотовой телефонной связи и пейджеров сильно возросло количество телефонных номеров. Это означает необходимость большего количества кодов (особенно, в столичных областях), а также введение более сложных правил набора номеров. Например, если вам надо позвонить домой с работы, то, возможно, придется использовать другой код города или набирать 1 перед вводом телефонного номера. Windows XP Professional позволяет применять эти правила следующим образом.

  1. Выберите Start\Control Panel (Пуск\Панель управления).
  2. Выберите Phone and Modem Options (Телефон и модем).
  3. В появившемся диалоговом окне выберите вкладку Dialing Rules (Правила набора), укажите место размещения, куда вы хотите внести изменения, и щелкните на Edit (Изменить).
  4. Щелкните на вкладке Area Code Rules (Код города), которая показана на рис. 4.10, а затем щелкните на New (Создать).

    Примечание. Правила кода города можно также устанавливать при вводе нового места размещения. Щелкните на вкладке Area Code (Код города), после того как закончите вводить основную информацию о месте размещения.

  5. Введите код города, который будет подчиняться этому правилу (Windows XP Professional может использовать эту информацию для всех звонков с данным кодом города из Dialing Location).

    Диалоговое окно создания правила для кода города


    Рис. 4.10.  Диалоговое окно создания правила для кода города

  6. В окошке Prefixes (Префиксы) установите, будет ли правило применяться ко всем коммутаторам (три цифры, идущие за кодом города в телефонном номере) или только к выбранным префиксам.
  7. Если надо набирать 1 или другую цифру перед номером телефона, щелкните в поле Dial и введите нужные цифры.

    Примечание. Цифра 1 введена по умолчанию.

  8. Если нужно набирать код области перед этими цифрами, то убедитесь в том, что выбрано соответствующее поле.
  9. Нажмите на ОК для завершения ввода информации.

Использование телефонных карт

Естественно, если вам надо позвонить куда-либо по коду, встает вопрос о стоимости такого звонка. Если вы путешествуете, то можете включить стоимость звонка в оплату гостиничного номера или сэкономить несколько рублей, используя телефонную карту. Система Windows XP Professional позволяет сохранить информацию телефонной карты и автоматически вводить ее при необходимости.

Чтобы использовать телефонную карту, Windows XP Professional нужна некоторая информация:

Ввод телефонной карты

Для установки правил использования телефонной карты проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск\Панель управления).
  2. Выберите Phone and Modem Options (Телефон и модем).
  3. В открывшемся диалоговом окне выберите вкладку Dialing Rules (Правила набора), выберите место размещения, в которое вы хотите внести изменения и щелкните на Edit (Изменить).
  4. Щелкните на вкладке Calling Card (Телефонная карточка) (см. рис. 4.11).

    Ввод информации о телефонной карте


    Рис. 4.11.  Ввод информации о телефонной карте

    Примечание. Правила для телефонной карты можно установить при вводе новой информации в место размещения. Щелкните на вкладке Сalling Card (Телефонная карточка), после того как закончите вводить основную информацию.

  5. Вы увидите список типов телефонных карт. В систему Windows XP Professional уже загружено большинство типов телефонных карт, так что остается только выбрать нужную.
  6. Windows XP Professional покажет список свойств этой карты. Вам нужно только ввести номер своего счета и PIN.

    Примечание. Еще раз проверьте цифры в номере своей карты на тот случай, если в Microsoft перепутали номера или ваша телефонная компания их изменила.

  7. Нажмите на ОК для завершения настройки.
Ввод новой телефонной карты

Вполне допустимо, что вашей телефонной карты нет в списке Windows XP Professional. Вы не можете ограничивать себя этим списком. Добавить новую карту можно, проделав следующие шаги.

  1. Откройте диалоговое окно Edit Location (Изменить место) и выберите вкладку Calling Card (Телефонная карточка), изображенную на рис. 4.11.
  2. Щелкните на кнопке New (Создать). Появится диалоговое окно, показанное на рис. 4.12.

    Создание новой телефонной карты


    Рис. 4.12.  Создание новой телефонной карты

  3. Введите имя телефонной карты, номер своего счета и PIN.
  4. Щелкните на вкладке Long Distance (Международная связь).
  5. Введите телефонный номер, используемый для международной связи.
  6. Используя кнопки, показанные на рис. 4.13, введите те действия, которые должна выполнить ваша телефонная карта для установки соединения. Напишите сценарий, в соответствии с которым Windows XP Professional получит доступ к вашей телефонной карте. Например, щелкнуть на Access Number (Учетный номер) для ввода своего номера доступа, щелкнуть на Account Number (Номер счета) для ввода своего номера счета и щелкнуть на Destination Number (Вызываемый номер) для ввода номера телефона, по которому вы будете звонить. Используйте кнопку Wait (Ожидание) для указания времени ожидания до начала ввода номера доступа, PIN или другой информации.

    Свойства телефонной карты


    Рис. 4.13.  Свойства телефонной карты

  7. Вы можете переходить от пункта к пункту, пользуясь кнопками в правой части окна телефонной карточки, можете также удалять пункты соответствующей кнопкой.

    Примечание. Полезно сделать контрольный звонок и записать серии номеров и длину пауз, которые потребовались для этого звонка.

  8. Повторите п. 4 и п. 5 для установки правил для междугородных местных звонков.

Для использования телефонной карты в dial-up-соединении в окне свойств соединения щелкните на кнопке Dialing Rules (Правила набора), а затем выберите место размещения. Щелкните на вкладке Calling Card (Телефонная карточка) и выберите телефонную карту.

Если с помощью телефонной карты вы хотите послать факс, то в программе Send Fax Wizard (Мастер отправки факсов) выберите окошко Use Dialing Rules (Использовать правила набора), затем выберите место размещения и щелкните на кнопке Dialing Rules (Правила набора), чтобы увидеть телефонную карту.

В Windows XP Professional установка, конфигурирование и управление аппаратными средствам связи осуществляется очень просто и эффективно. Пользуясь преимуществами имеющихся инструментов, вы можете предоставить своим клиентам весьма надежные и функциональные виды соединений.

Лекция 5. Подключения к рабочим группам

Windows XP Professional предназначена для работы как в больших, так и в малых сетях. В данной лекции рассматриваются вопросы конфигурации рабочих групп и их соединений.

Лекция 4 была посвящена различным способам подключения клиента к интернету. В этой лекции внимание сосредоточено на работе системы Windows XP Professional в локальных сетях (LAN). Windows XP Professional имеет ряд инструментов для организации как очень больших сетей, так и сетей небольшого размера.

Причем, Windows XP Professional не только упрощает процессы установки и создания конфигураций, но и посредством своих инструментов повышает возможности удовлетворения требований ваших рабочих групп. В этой лекции мы обсудим различные способы применения Windows XP Professional для построения сетей и улучшения их взаимодействия. Сначала мы поговорим об установке соединения клиентов с локальной сетью и рассмотрим работу мастера создания нового подключения (Network Setup Wizard), который помогает устанавливать эти соединения. Затем мы обсудим программу Internet Connection Sharing (ICS), которая представляет собой отличный способ подключения к интернету всех устройств в малых офисах и домашних сетях с несколькими компьютерами, но только одним доступом в интернет. Мы также продемонстрируем Internet Connection Firewall (ICF), продукт Microsoft, обеспечивающий безопасность данных, пока они находятся в интернете. В заключение мы исследуем поддержку системой Windows XP Professional беспроводных сетевых соединений.

Соединение клиентов с рабочими группами

Есть два способа соединения Windows XP Professional-клиентов с локальной сетью: автоматический и ручной. Автоматический способ является наиболее предпочтительным, так как он достаточно надежен и предоставляет высокую скорость. Тем не менее, иногда бывает необходимо произвести подключение клиента вручную или применить определенный протокол или сервис.

Первый раздел этой лекции посвящен взаимодействию клиента с локальной сетью, то есть установке соединения и обеспечению работоспособности.

Мастер создания нового подключения

Первым шагом при подготовке Windows XP Professional-клиента к работе в локальной сети является инсталляция сетевой карты и соединение с сетью. Если у вас есть интернет-соединение, то убедитесь в том, что оно работает, и включите все принтеры. Это позволит мастеру увидеть их. Для запуска мастера проделайте следующие шаги.

  1. Выберите Start\All Programs\Accessories\Communications\Network Setup Wizard (Пуск\Все программы\Стандартные\Связь\Мастер новых подключений) или выберите Start\Control Panel\Network and Internet Connections (Пуск\Панель управления\Сетевые подключения). Щелкните на Set up or change a home or small office network (Установить домашнюю сеть или сеть малого офиса).
  2. Щелкните на Next (Далее).
  3. Мастер покажет на экране серию шагов, которые вы должны последовательно выполнить. Вы должны выполнить следующее.
    • Установить сетевые карты, модемы и кабели.
    • Включить все компьютеры, принтеры и наружные модемы.
    • Установить связь с интернетом.
  4. Щелкните на Next (Далее) для перехода к следующему окну.
  5. Появится вопрос о том, как будет устанавливаться связь с интернетом (если будет), то есть будет ли компьютер напрямую выходить в интернет или посредством локальной сети.
  6. В следующем окне (см. рис. 5.1) введите описание и имя компьютера и щелкните на Next (Далее). Следующее окно запрашивает имя рабочей группы.
  7. В заключение мастер спросит, хотите ли вы создать установочный диск Network Setup Disk, который можно запускать в системах Windows Me, 2000, 9X и NT. Если вы ответите утвердительно, то вам потребуется чистая дискета. Если вы устанавливаете новую сеть, в которой работают различные версии операционной системы Windows, то следует иметь такой диск.

Итак, что же делает мастер? Он устанавливает следующее:

Все эти сервисы и протоколы можно установить вручную, но почему бы мастеру не сделать это за вас?

Примечание. Если вы собираетесь использовать ICS, то можете сэкономить время, доверив инсталляцию ICS мастеру при настройке сети. Мы поговорим об ICS подробнее в другом разделе этой лекции.

Мастер создания нового подключения просит ввести описание и имя компьютера


Рис. 5.1.  Мастер создания нового подключения просит ввести описание и имя компьютера

Использование установочного диска

Если вы решились создать дискету для настройки сетевых конфигураций для работы с другими версиями Windows, то процесс инсталляции не будет представлять особых сложностей. После того как дискета создана, вы помещаете ее в дисководы своих компьютеров. Надо выбрать Start\Run (Пуск\Выполнить), ввести a:\setup (где a - это обозначение дисковода) и нажать на ОК. Мастер выполняет инсталляцию в Windows-клиентах и может потребовать перезагрузки.

Можно пользоваться не дискетой для инсталляции компьютера-клиента, а компакт-диском Windows XP Professional. Проделайте следующие шаги.

Вставьте компакт-диск Windows XP Professional в клиентский CD- или DVD-дисковод. Запуск компакт-диска происходит автоматически. Если это произошло, то переходите к пункту 5, если нет - выполните пункт 2.

  1. Выберите Start\Run (Пуск\Выполнить).
  2. Введите \d:setup (где d - обозначение CD- или DVD-дисковода). Нажмите на ОК.
  3. Выберите Perform additional tasks (Выполнение иных задач).
  4. Выберите Set up a home or small office network (Установить домашнюю сеть или сеть малого офиса).
  5. Мастер установки сети представит ряд инструкций, которым надо следовать.
Наглядное отображение сети

После того, как мастер установки сети выполнит все задания, в правой части меню Start (Пуск) появится значок My Network Places (Мое сетевое окружение). Такой же значок появится в диалоговом окне приложения Open (Открыть) для облегчения доступа к папкам общего пользования.

Если значок не появился в меню Start (Пуск), то, скорее всего, Windows XP Professional не распознает вашу сетевую карту. Используйте Диспетчер устройств для проверки правильности работы сетевой карты. (О Диспетчере устройств рассказывается в лекции 4.)

Двойной щелчок на значке My Network Places (Мое сетевое окружение) выводит на экран список папок общего доступа в локальной сети. (В лекции 11 об этом рассказывается подробнее.) На рис. 5.2 показан пример такой папки.

My Network Places (Мое сетевое окружение) выводит на экран список папок общего пользования локальной сети


Рис. 5.2.  My Network Places (Мое сетевое окружение) выводит на экран список папок общего пользования локальной сети

Отображение соединений локальной сети

Система Windows XP Professional предлагает прекрасный способ отображения различных соединений, которые использует компьютер. Открыв окно Network Connections (Сетевые подключения), вы сможете увидеть различные локальные соединения (беспроводные и кабельные) и интернет-соединения (использующий наборный доступ или широкополосный канал).

Окно Network Connections (Сетевые подключения) можно открыть двумя способами.

  1. Щелкните на Start (Пуск), правой кнопкой мыши щелкните на My Network Places (Сетевое окружение) и выберите Properties (Свойства).
  2. Если пункт Connect To (Подключить к) имеется в меню Start (Пуск), то выберите Start\Connect To\Show All Connections (Пуск\Подключить к\Отобразить все подключения).

На рис. 5.3 показано окно Network Connections (Сетевые подключения).

Окно Network Connections (Сетевые подключения)


Рис. 5.3.  Окно Network Connections (Сетевые подключения)

Конфигурирование вручную

Организация локальных сетевых соединений с помощью мастера установки сети (Network Setup Wizard) достаточно проста, так как проводится автоматически. Однако иногда вам может потребоваться более сложная задача, чем простой запуск мастера для настройки соединения. Некоторые соединения требуют инсталляции или удаления таких компонентов сети как клиентские компьютеры, протоколы или сервисы.

У каждого сетевого соединения, входящего в список в окне Network Connections (Сетевые подключения), имеются определенные свойства, которые можно изучать, конфигурировать или настраивать с помощью щелчка правой кнопкой мыши на соединении и выбора Properties (Свойства). На рис. 5.4 приведен пример свойств сетевого соединения.

Как показано на рис. 5.4, в списке наряду с клиентами, протоколами и сервисами представлена сетевая карта соединения.

Свойства сетевого соединения


Рис. 5.4.  Свойства сетевого соединения

В обычной локальной сети с протоколом TCP/IP должны присутствовать следующие компоненты.

Перед установкой, конфигурацией или удалением любого клиента, сервиса или протокола вы должны сначала установить и создать конфигурацию адаптера. Адаптером называется драйвер устройства, используемый Windows XP Professional для связи с сетевой картой. При инсталляции сетевой карты механизм "plug and play" должен обнаружить ее. Если карта не является "plug and play"-совместимой, то вам следует установить драйвер устройства вручную. Запустите мастер установки нового оборудования (Add New Hardware Wizard), чтобы начать инсталляцию драйвера.

Примечание. Разумеется, если вы мигрировали с другой версии Windows и у вас уже есть сетевой адаптер, то Windows XP Professional автоматически проведет обновление настройки сетевого соединения.

Установка клиентской программы

Далее следует инсталлировать клиентский компонент сетевого соединения. Он будет определять тип сетевого соединения. По умолчанию Windows XP Professional устанавливает программу Client For Microsoft Networks (Клиент для сетей Microsoft). Для просмотра клиентов, установленных в компьютере, изучите область ниже заголовка This connection uses the following items (Компоненты, используемые этим подключением), показанную на рис. 5.4.

Если надо установить другой тип клиента, то проделайте следующее.

  1. Выберите Start (Пуск) и щелкните правой кнопкой мыши на My Network Places (Сетевое окружение). Выберите Properties (Свойства). Затем щелкните правой кнопкой мыши на нужном подключении по локальной сети и выберите Properties (Свойства).
  2. Щелкните на вкладке General (Общие).
  3. Щелкните на кнопке Install (Установка).
  4. Выберите Protocol (Протокол) и затем щелкните на Add (Добавить).
  5. Выберите нужный протокол. Если вы инсталлируете протокол других разработчиков, вставьте диск и щелкните на кнопке Have Disk (Установить с диска). Нажмите ОК.
  6. Вы можете получить подсказку о том, что надо вставить компакт-диск Windows XP Professional для записи дополнительных файлов.
  7. Нажмите ОК для завершения установки протокола.
Привязка

После установки протокола Windows XP Professional автоматически распространяет этот протокол на все сервисы и клиентские программы, инсталлированные на компьютере. Привязка - это способ заставить Windows XP Professional использовать определенный протокол при обращении к определенному клиенту или сервису. Если вы не хотите использовать специальный протокол с каким-либо клиентом или сервисом, то можете отключить его.

Однако, несмотря на все прелести автоматического конфигурирования, можно не использовать новый протокол с каждым сервисом и клиентской программой, а привязывать определенные протоколы к определенным клиентам и сервисам.

  1. Выберите Start\Control Panel (Пуск\Панель управления), затем щелкните на Network and Internet Connections (Сеть и подключения к интернету).
  2. Щелкните на Network Connections (Сетевые подключения).
  3. В меню выберите Advanced\Advanced Settings (Дополнительно\Дополнительные параметры)(см. рис. 5.5).

    Привязка протоколов к клиентам и сервисам


    Рис. 5.5.  Привязка протоколов к клиентам и сервисам

  4. Щелкните на вкладке Adapters and Bindings (Адаптеры и привязки).
  5. В окне Connections (Подключения) выберите Local Area Connection (Подключения по локальной сети).
  6. В окне Bindings for Local Area Connection (Привязка для подключений по локальной сети) перечислены все клиентские программы и сервисы этого соединения. Установленные протоколы перечислены под каждым клиентом или сервисом.
  7. В окошках рядом с каждым протоколам поставьте или уберите отметку, в зависимости от того, нужно ли привязывать этот протокол к клиенту или сервису.
  8. Можно изменить порядок применения протоколов (поставив наиболее часто используемые протоколы в начало списка, а редко используемые - в конец), выбирая их по одному и перемещая их с помощью стрелок вверх и вниз, расположенных в правой части диалогового окна. Установка очередности использования протоколов удобна, если вы планируете использовать один протокол гораздо чаще другого в конкретном соединении.
  9. По окончании работы нажмите ОК.
Установка сервисных программ

Последним компонентом сети, который вы добавите, будет сервисная программа. Сервисными программами или сервисами называются механизмы, позволяющие компьютеру предоставлять свои ресурсы для использования в сети. В отличие от протоколов и клиентских программ сервисы являются дополнительными (необязательными) компонентами, то есть вам не нужен сервис, чтобы создать соединение. Однако без сервисов совместное использование принтеров, файлов и т. п. становится невозможным.

Для инсталляции сервиса проделайте следующие шаги.

  1. Выберите Start (Пуск) и щелкните правой кнопкой мыши на My Network Places (Сетевое окружение). Выберите Properties (Свойства), правой кнопкой мыши щелкните на LAN и выберите Properties (Свойства).
  2. Щелкните на вкладке General (Общие).
  3. Щелкните на кнопке Install (Установить).
  4. Щелкните на Service (Сервисы) и затем нажмите Add (Добавить).
  5. Выберите сервисную программу для инсталляции и щелкните на Add (см. рис. 5.6).

    Инсталляция сервисной программы


    Рис. 5.6.  Инсталляция сервисной программы

  6. Выберите сервис, который нужно инсталлировать (если ваша сервисная программа разработана посторонним производителем и находится на дискете или компакт-диске, то вставьте дискету и щелкните на кнопке Have Disk [Установить с диска]).
  7. Нажмите на ОК. Вы можете получить подсказку снова вставить в дисковод компакт-диск Windows XP Professional.
  8. Нажмите ОК для завершения инсталляции.

Использование общего доступа к подключению к интернету (Internet Connection Sharing)

Само собой разумеется, что компьютеры-клиенты должны иметь возможность выхода в интернет. В больших организациях нет проблем создания онлайновой связи пользователей. Однако маленькие организации или домашние офисы (так называемые SOHO) могут сталкиваться с проблемами при установке интернет-связи для своих пользователей.

Трудность заключается в том, что в SOHO имеется одно интернет-соединение. Здесь нет острой нужды в покупке крупной линии связи типа Т1 для подсоединения нескольких десятков устройств. Следовательно, доступ в интернет имеет только один компьютер. Представьте себе маленький офис с пятью компьютерами-клиентами. Если в интернет одновременно пожелают выйти два пользователя, то, скорее всего, возникнут конфликты. Если один из пользователей скачивает большой файл из интернета, то этот файл после загрузки должен быть направлен в соответствующий клиентский компьютер. Более того, подумайте о вопросах безопасности частной переписки, когда для всех электронных писем используется один компьютер.

Для того чтобы обойти эту проблему, компания Microsoft ввела систему общего доступа к подключению к интернету (Internet Connection Sharing, ICS), работающую под Windows 98 и хорошо настраиваемую для работы в системе Windows XP Professional.

Параметры ICS

ICS является сетевой программой трансляции адреса (Network Address Translation), которая позволяет компьютеру-клиенту с интернет-доступом предоставлять этот доступ другим клиентам локальной сети (рис. 5.7).

ICS позволяет клиентам локальной сети использовать интернет-соединение одного компьютера


Рис. 5.7.  ICS позволяет клиентам локальной сети использовать интернет-соединение одного компьютера

Компьютер с интернет-доступом называется ICS-сервером. Остальные компьютеры являются ICS-клиентами. ICS-клиенты могут работать в операционных системах Windows XP Professional, Windows XP Home, Windows 2000 или Me или даже в Mac OS, если они поддерживают протокол TCP/IP.

ICS использует IP-адреса, принадлежащие блоку 192 (точнее, 192.168.0.ххх). ICS включает в себя DHCP-сервер на ICS-сервере, который назначает IP-адреса ICS-клиентам. На рис. 5.7 вы видите, что DHCP-сервер присваивает адрес 192.168.0.1 себе, а затем последовательно выдает IP-адреса другим клиентам (192.168.0.2, 192.168.0.3 и т.д.).

Однако, как вы помните из нашего обсуждения TCP/IP в лекции 3, ICS-сервер имеет два IP-адреса - тот, который выдан интернет-провайдером (в данном случае 209.98.145.144), и другой, соответствующий локальной сети (192.168.0.1).

Примечание. ICS позволяет подключать к одному соединению до 254 устройств с IP-адресами в диапазоне от 192.168.0.1 до 192.168.0.254.

ICS состоит из трех компонентов.

Установка ICS

Теперь, когда вы в целом разобрались в принципах работы ICS, давайте пройдем через процессы установки и конфигурирования. Как и большинство Windows XP Professional инструментов, этот инструмент тоже использует мастер для облегчения процесса установки. Тем не менее, если в ваших обстоятельствах создание конфигурации вручную является более предпочтительным, мы рассмотрим и этот вариант.

Конфигурация ICS-сервера

Самым лучшим при установке ICS будет воспользоваться мастером установки сети (Network Setup Wizard) в системе Windows XP Professional. При запуске мастера на ICS-сервере он создаст установочный диск (дискету), которым вы сможете пользоваться для конфигурирования Windows Me, 9X, 2000 и NT клиентов своей локальной сети.

Для запуска мастера установки сети на компьютере, который будет ICS-сервером (помните, что это тот компьютер, который имеет интернет-соединение), выберите Start\All Programs\Accessories\ Communications\Network Setup Wizard (Пуск\Программы\Стандартные\Связь\Мастер установки сети).

При работе мастер (вам надо будет пройти через несколько диалоговых окон) попросит сделать несколько выборов, показанных в таблице 5.1.

Таблица 5.1. Настройки для ICS в мастере установки сети
НастройкаОписание
Выберите способ соединенияВыберите This Computer Connects To The Internet (Этот компьютер подключается к интернету). Замечание: убедитесь в том, что у вас уже имеется конфигурация интернет!соединения. Обратитесь к лекции 4 за более подробной информацией о создании соединения.
Выберите интернет-соединениеВам будут показаны списки как локальных, так и интернет-соединений, доступных на компьютере. Выберите интернет-соединение.
Дайте описание и имя этому компьютеруНа этом этапе введите имя компьютера, чтобы его могли идентифицировать другие устройства локальной сети. Если компьютер уже является частью сети, то эта информация вводится автоматически.
Создайте сетевое имяДайте имя своей рабочей группе.
Вы уже почти все сделалиВ конце убедитесь в том, что настройки клиентов совместимы с настройками, которые вы только что установили (см. рис. 5.8). Это означает, что нужно так сконфигурировать ICS-клиентов, чтобы они использовали свой ICS-сервер в качестве DHCP-сервера. Вы можете сделать это, запустив программу Setup Wizard (Мастер установки) на компьютерах ICS-клиентов (разумеется, если они работают в системе Windows XP Professional) или создав загрузочный диск, который может быть передан ICS-клиентам.
Соединение других устройств с данным устройством

Как было отмечено в предыдущем разделе, настройку связи с другими клиентами можно легко выполнить либо с помощью установочной дискеты, созданной мастером установки сети (в системах Windows 9X, Me, 2000, NT или XP), либо запустив мастер установки сети на клиентском компьютере (только в системе Windows XP Professional).

Примечание. Вы можете передавать по сети файлы установочного диска для осуществления бездисковой инсталляции.

Заключительный этап создания конфигурации ICS-сервера с помощью мастера установки сети


Рис. 5.8.  Заключительный этап создания конфигурации ICS-сервера с помощью мастера установки сети

В процессе конфигурации протокол TCP/IP инсталлируется как сетевой протокол (если в этом качестве он еще не установлен), и компьютеру дается команда получить свой IP-адрес на DHCP-сервере - в данном случае на ICS-сервере.

При конфигурировании ICS-клиента с помощью дискеты просто вставьте ее в дисковод и выполните следующие действия.

  1. Выберите Start\Run (Пуск\Выполнить).
  2. Введите a:\setup.
  3. Щелкните на Open (Открыть).

Для конфигурирования клиентов (если они работают в системе Windows XP Professional) выберите Start\ All Programs\Accessories\ Communications\Network Setup Wizard (Пуск\Программы\Стандартные\Связь\Мастер установки сети).

Затем нужно выполнить установки, показанные в таблице 5.2. Сейчас самое время протестировать ICS и убедиться, что все настройки сделаны правильно.

Создание конфигурации ICS вручную

Хотя мастер установки сети предлагает достаточно простой способ настройки ICS, все это можно сделать еще быстрее. При конфигурировании вручную подразумевается, что сетевые и интернет-соединения уже находятся в рабочем состоянии.

Таблица 5.2. Настройки для ICS-клиентов
НастройкиОписание
Выберите способ соединенияВыберите This Computer Connects To The Internet Trough Another Computer On My Network Or Through A Residential Gateway (Этот компьютер подключается к интернету через другой компьютер или шлюз)
Дайте описание и имя этому компьютеруВведите уникальное имя и описание своего компьютера.
Дайте имя своей сетиВведите такое же имя рабочей группы, какое вы вводили в аналогичной строке табл. 5.1. Щелчок на Next (Далее) открывает окно, аналогичное изображенному на рис. 5.8, в котором вы можете произвести изменение своих настроек.
Заключительный этапВас спросят, нужно ли создать Network Setup Disk (Сетевой установочный диск). Установочная дискета пригодится, если на большей части клиентских компьютеров не установлена система Windows XP Professional.

На ICS-сервере выполните следующие действия.

  1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на Network and Internet Connections (Сеть и подключения к интернету), затем выберите Network Connections (Сетевые подключения).
  2. Щелкните на том интернет-соединении, которое вы будете использовать.
  3. В окне Network Tasks (Сетевые задачи) щелкните на Change Settings Of This Connection (Изменение настроек подключения). Откроется окно свойств (см. рис. 5.9).
  4. Выберите вкладку Advanced (Дополнительно). Вы увидите ряд настроек как для ICS, так и для ICF. Установите их в соответствии с таблицей 5.3.
  5. Нажмите ОК.

При конфигурировании ICS-сервера вручную не забудьте проделать следующее.

  1. Убедитесь в том, что интернет-соединение работает, т. е. если вы только что установили соединение, протестируйте его, походите по веб-сайтам, отправьте и получите почту.
  2. Убедитесь в том, что интернет-соединение имеет конфигурацию соединения по умолчанию.
  3. Убедитесь в том, что введено имя пользователя и пароль.

    Создание ICS-конфигурации вручную


    Рис. 5.9.  Создание ICS-конфигурации вручную

    Таблица 5.3. Ручная настройка ICS
    НастройкаОписание
    Защитить компьютер и локальную сеть, ограничив или запретив доступ к компьютеру из сетиКратко это выражается словами "Включить ICF". Этот флажок рекомендуется выбирать в целях обеспечения безопасности. Мы будем говорить о ICF позже в этой лекции.
    Позволить другим сетевым пользователям использовать интернет-соединение этого компьютераВключите этот флажок, чтобы включить ICS. Для отключения ICS уберите галочку.
    Устанавливать dial-up-соединение при любой попытке компьютера сети получить доступ в интернетЭто освобождает пользователей от проблем, которые могут возникнуть у них при попытке войти в интернет при отключенном от интернета ICS-сервере. В зависимости от потребностей в доступе к интернету вы можете отключить или включить эту опцию.
    Позволять другим пользователям локальной сети контролировать или отключать интернет-соединение общего пользования.ICS-клиенты могут иметь небольшую степень контроля над интернет-соединением в виде возможности подключать или отключать ICS-сервер. Замечание: они могут инициировать соединение с ICS-сервером, только если включена предыдущая опция (включен предыдущий флажок)
  4. Убедитесь в том, что конфигурация ICS-сервера позволяет ему автоматически устанавливать интернет-соединение, если один из клиентов пожелает выйти в интернет.

ICS-модель виртуальных частных сетей

Если вы хотите дополнить набор своих сетевых соединений, то попробуйте установить VPN через ICS, используя PPTP. Другими словами, создайте виртуальную частную сеть, работающую с протоколом туннелирования "точка-точка" (Point-to-Point Tunneling Protocol), позволяя удаленным пользователям безопасно обращаться к корпоративным сетям с помощью коммутируемого соединения, предоставляемого поставщиком интернет-услуг или с помощью прямого интернет-соединения через ICS.

Примечание. L2TP-соединения не могут быть созданы с использованием ICS.

Рассмотрим сеть, изображенную на рис. 5.10. По этому сценарию клиенту, находящемуся в сети SOHO, нужен VPN-канал связи со штаб-квартирой корпорации. Возможно, ему требуется послать какую-то секретную информацию финансового характера, требующую безопасной линии связи.

VPN-туннель поверх ICS


Рис. 5.10.  VPN-туннель поверх ICS

При создании соединения между ICS-клиентом и корпоративной сетью клиент видит только ресурсы, доступные ему в корпоративной сети, и он отрезан от интернета на весь период связи через VPN-соединение. Однако это не означает, что клиент не может вернуться в интернет. ICS-клиент может получить доступ к интернету через интернет-соединение корпоративной сети.

При установке такого соединения важно не создать VPN-туннель от ICS-сервера. Использование ICS-сервера будет по умолчанию приводить к пересылке всего трафика с ICS-сервера по VPN-туннелю в корпоративную сеть. Это сделает интернет-ресурсы недоступными для ICS-клиентов (так как их соединение будет видеть только корпоративную сеть и только ею распознаваться).

Примечание. В лекции 14 содержится более подробная информация о VPN в Windows XP Professional.

Решение проблем, связанных с ICS

Если у вас возникли затруднения, связанные с ICS, то обратите внимание на следующее.

  1. Дайте ICS-серверу некоторое время для входа в интернет, особенно при использовании dial-up-соединения. ICS-клиент должен подождать, пока ICS-сервер подключается к интернету.
  2. В Windows XP Professional есть специальная программа Internet Connection Sharing Troubleshooter (Устранение неполадок ICS). Установите эту программу на ICS-сервере и хотя бы на одном ICS-клиенте. Вы можете запустить ICS Troubleshooter, выполнив следующие действия.
    • Выберите Start\Help And Support (Пуск\Справка и поддержка).
    • В окне Help And Support Center (Центр справки и поддержки) выберите пункт Fixing A Problem (Поиск неполадок).
    • Щелкните на Networking Problems (Неисправности в сети)
    • Щелкните на Internet Connection Sharing Troubleshooter.
  3. Если вы перезагрузили свой ICS-сервер, то перезагрузите и ICS-клиентов.
  4. Убедитесь в том, что ICS-сервер действительно может устанавливать интернет-соединение. Если это не так, то нужно еще раз проверить это соединение.

Проще всего пользоваться инструментом Internet Connection Sharing Troubleshooter. Он поможет решить проблемы, связанные с ICS, последовательно проведя вас по всем пунктам. Хотя кое-что может показаться элементарным (проверить, включен ли ICS-клиент), иногда именно в этих простых вещах кроется причина неполадок.

ICS в рабочей группе

Многие организации обеспечивают безопасность своих сетей с помощью защитного экрана (firewall), установленного между локальной сетью и интернетом. Обычно такие устройства располагаются в одном помещении с сервером, где они отфильтровывают все нежелательные проникновения, атаки и тому подобную информацию. В Windows XP Professional есть своя система защиты. Не такая выносливая, как автономное устройство, программа брандмауэр подключения к интернету (Internet Connection Firewall, ICF) является инструментом, ограничивающим информацию, которой обменивается ваше устройство и интернет.

Особенно эффективен ICF при работе с ICS. Используя ICF на своем ICS-сервере, вы защищаете ICS-клиентов от нападения. Несмотря на то что ICF, в основном, применяется в ICS-сетях, эта защита весьма эффективна и для отдельных компьютеров, соединенных с интернетом.

Обзор ICF

ICF является системой защиты, отслеживающей все аспекты работы линии связи и проверяющей все исходные и конечные адреса информационных пакетов. Для предотвращения попадания нежелательного трафика в вашу сеть из интернета ICF содержит список всех соединений исходного компьютера. Входящий трафик сравнивается с данными этой таблицы. При несовпадении данных входящие пакеты блокируются. Это препятствует таким атакам хакеров, как сканирование портов. ICF не надоедает пользователю сообщениями о каждом нежелательном действии, вместо этого записи о работе ICF ведутся в специальном журнале безопасности.

Примечание. Общий доступ к подключению к интернету и брандмауэр подключения к интернету отсутствуют в системе Windows XP 64-Bit Edition.

Однако не весь непредусмотренный трафик обязательно является вредным. Поэтому ICF можно сконфигурировать таким образом, чтобы пропускать сообщения и направлять их в соответствующее устройство. Например, при наличии веб-сервера ICF может отправлять информационные пакеты на этот сервер.

Использование ICF

ICF не следует включать там, где нет интернет-соединения. Например, если ICF работает на ICS-клиенте (а не на ICS-сервере), то связь между этим компьютером и остальными компьютерами сети будет нарушена. Именно поэтому мастер установки сети не включает ICF в частных соединениях между ICS-сервером и ICS-клиентами. В противном случае эти соединения оказались бы заблокированными.

Примечание. Если у вас уже имеется брандмауэр или прокси-сервер, то в ICF нет необходимости.

Посмотрите на сеть, изображенную на рис. 5.11. В этой конфигурации есть два места, где следует применить ICF. Во-первых, в соединении между ICF-сервером и ISP. Во-вторых, один из ICS-клиентов имеет свое собственное интернет-соединение. Применив ICF в интернет-соединении (но не в частной линии между ICS-сервером и ICS-клиентом), можно отфильтровывать нежелательные пакеты. Без применения ICF в этих местах сеть станет уязвимой для атаки.

Размещение ICF


Рис. 5.11.  Размещение ICF

ICF-несовместимость

На первый взгляд ICF может показаться весьма полезным инструментом для предотвращения атак на сеть. И до некоторой степени так оно и есть. Однако в связи с тем, что ICF блокирует любой пакет, неожиданно приходящий в сеть, работа некоторых приложений типа электронной почты или онлайнового чата может стать проблематичной. Это случается потому, что программы электронной почты типа Outlook Express ожидают некоторое время, перед тем как запросить почтовый сервер. Это неплохо, так как ICF сделает запись в своей таблице о том, что почтовая программа отправила пакет на почтовый сервер. Когда данные возвращаются с почтового сервера, ICF уже имеет запись в таблице и пропускает обратное сообщение.

С другой стороны, Outlook Express устанавливает соединение с Microsoft Exchange Server. Используя удаленный вызов процедуры (RPC), сервер рассылает сообщения своим клиентам о поступлении новой почты. Так как в таблице ICF нет записи о том, что клиент инициировал контакт, то система заблокирует RPC-уведомление. Это не означает потерю почтовых данных. Они будут по-прежнему сохраняться на Exchange Server, однако клиенты должны будут проверять почту вручную.

Ведение журналов

Для просмотра списка пакетов, не пропущенных системой ICF, откройте журнал безопасности ICF. Для этого проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на Internet Connections (Подключение к интернету) и выберите Network Connections (Сетевые подключения).
  2. Щелкните на соединении, для которого включена система ICF.
  3. В Network Tasks (Сетевые задачи) щелкните на опции Change settings for this connection (Изменение настроек выбранных подключений).
  4. На вкладке Advanced (Дополнительно) щелкните на Settings (Настройка).
  5. На вкладке Security Logging (Запись в журнал событий безопасности) в области Log file options (Параметры файла журнала) поля Name (Имя) выберите Browse (Обзор).
  6. Найдите файл pfirewall.log. Щелкните на нем правой кнопкой мыши и выберите Open.

Ведение журналов можно настроить для записи как запрещенного, так и разрешенного трафика. Если опция Allow incoming request echo (Разрешить отклик на входящий запрос) протокола ICMP не включена, то входящий пакет будет заблокирован, и в журнале будет сделана запись.

Существует целый ряд опций ICMP (расположенных на вкладке ICMP диалогового окна Advanced Settings [Дополнительные параметры], которое вы открывали, проделывая шаги 1 - 4, чтобы найти журнал безопасности), которые можно использовать. Эти опции позволяют регулировать функциональность ICF и включают в себя следующее.

Вы можете управлять величиной журнала безопасности, чтобы он не переполнялся запросами, которым отказано в обслуживании. Также можно устанавливать те сервисы, которыми вы собираетесь пользоваться на своем Windows XP Professional-устройстве.

Конфигурация ICF

Включать и отключать ICF очень просто. Проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск/Панель управления) и щелкните дважды на Network Connections (Сетевые подключения).
  2. Щелкните на том интернет-соединении, которое вы хотите защитить с помощью ICF.
  3. В окне Network Tasks (Сетевые задачи) щелкните на Change settings of this connection (Изменение настроек подключения).

На вкладке Advanced (Дополнительно) можно включать ICF отметкой флажка Protect my computer and network by limiting or preventing access to this computer from the Internet (Защитить мое подключение к интернету).

Беспроводные соединения

Количество аббревиатур в мире сетей и сетевых соединений растет с появлением каждой новой технологии или метода. Две наиболее часто встречающиеся аббревиатуры: WPAN (Wireless Personal Area Network) - беспроводная частная сеть, WLAN (Wireless Local Area Network) - беспроводная локальная сеть. Не путайте WPAN с WLAN. В то время как WLAN работает на 100-метровом расстоянии, WPAN охватывает не более 10 метров. Кроме того, в этих сетях используются разные технологии.

WPAN

WPAN отличается не только тем, что работает на близких расстояниях. В системе Windows XP Professional работа беспроводных персональных сетей основана на технологии IrDA (Infrared Data Association - ассоциация передачи данных в инфракрасном диапазоне). Эта технология позволяет пользователям, имеющим на своих компьютерах устройства, работающие в инфракрасном диапазоне, обмениваться данными, устанавливать dial-up-соединения и получать доступ в локальные сети.

IrDA

IrDA - это стандарт на передачу данных для компьютеров, принтеров и других периферийных устройств на короткие расстояния в инфракрасном диапазоне. Инфракрасные лучи распространяются не так хорошо, как видимый свет. Поэтому два устройства в сети WPAN не должны быть заслонены друг от друга какими-либо объектами (аналогично телевизионному пульту дистанционного управления).

Примечание. Инфракрасный свет имеет длину волн в диапазоне от 850 до 900 нанометров. Он не видим для глаза, так как его волны немного длиннее волн видимого света.

Как видно из таблицы 5.4, существует ряд аргументов как "за", так и "против" применения инфракрасного излучения.

IrDA имеет три режима работы, отличающихся скоростью передачи данных.

Таблица 5.4. IrDA: за и против
ЗаПротив
Большая пропускная способностьТрудно "нацелить" два устройства друг на друга.
Не регулируется Федеральной комиссией связиКороткий диапазон.
Не смешивается с радиочастотами (RF) беспроводных сетейНе может проникать сквозь стены и другие препятствия.
С трудом поддается прослушиванию при передаче данных в инфракрасном диапазоне
Использование IrDA в Windows XP Professional

Windows XP Professional поддерживает IrDA в пяти различных пользовательских профилях.

WLAN

На другом конце спектра находится стандарт 802.11х, который широко применяется для беспроводного обмена данными.

Не считая общего аспекта "крутизны" компьютерной беспроводной сети, есть несколько важных факторов, которые позволяют считать беспроводные сети весьма полезной и продуктивной технологией.

Подобно беспроводным телефонам, WLAN используют электромагнитные радиоволны для обмена информацией между портативным компьютером и точкой доступа (на сервере) без использования физической среды для передачи сообщения. Это показано на рис. 5.12.

В беспроводных сетях устройством, которое физически соединяется с обычной сетью, является трансивер (приемопередатчик) или точка доступа. Точка доступа получает, размещает в буфере и передает данные WLAN в обычную сеть и обратно. Как показано на рис. 5.13, точка доступа представляет беспроводной концентратор, который обслуживает сотни клиентов. В зависимости от диапазона работы точки доступа, клиенты могут располагаться в радиусе от нескольких метров до полутора километров от нее. Лучше если антенна точки доступа расположена высоко над полом. Однако ее можно размещать в любом достаточно свободном месте.

Беспроводные компьютерные сети обмениваются информацией так же, как и другие беспроводные устройства


Рис. 5.12.  Беспроводные компьютерные сети обмениваются информацией так же, как и другие беспроводные устройства

Точки доступа работают как концентраторы, соединяя одно или несколько беспроводных устройств с обычной локальной сетью


Рис. 5.13.  Точки доступа работают как концентраторы, соединяя одно или несколько беспроводных устройств с обычной локальной сетью

Для соединения с точкой доступа компьютеры-клиенты используют WLAN-адаптеры, которые являются небольшими PC-картами для ноутбуков и карманных компьютеров и картами для настольных компьютеров. Этими картами могут быть укомплектованы и переносные компьютеры. Карты имеют встроенные антенны и трансиверы.

Давайте рассмотрим два основных способа построения беспроводной сети в системе Windows XP Professional.

Одноранговая сеть

Самая простая беспроводная сеть состоит из двух компьютеров, оснащенных беспроводными сетевыми картами. Как видно из рисунка 5.14, здесь не нужна точка доступа, и всякий раз, когда эти два компьютера находятся в радиусе взаимодействия друг с другом, они образуют свою собственную независимую сеть. Такая сеть называется одноранговой (peer-to-peer) сетью. Такие сети с быстрой реакцией устанавливаются и настраиваются особенно легко. Им не нужны администрирование и предварительная настройка конфигурации. В данном случае каждый компьютер получает доступ только к ресурсам другого компьютера, а не центрального сервера или интернета. Сети такого вида идеально подходят для дома, небольшого бизнеса или для разовых нужд.

Сеть устройств одного уровня


Рис. 5.14.  Сеть устройств одного уровня

Внутренние сети

Как и в обычных компьютерных сетях, оборудование внутренних (внутри здания) беспроводных сетей состоит из PC-карты, PCI- и ISA-клиентских адаптеров и точек доступа.

Как и обычная локальная сеть небольшого размера, WLAN может быть составлена из пары компьютеров, обменивающихся информацией, или в ней может использоваться топология, изменяемая по ходу дела, в которой применяются только сетевые карты клиентов. Для расширения беспроводной локальной сети (см. рис. 5.15) или для повышения ее функциональности используются точки доступа, которые могут выполнять роль моста к сети Ethernet.

Применение WLAN-технологии к настольным системам дает организации такую гибкость в работе, которая просто невозможна в обычных локальных сетях. Устройства-клиенты могут быть размещены там, куда нельзя проложить кабель. Более того, клиентов можно переставлять в любой момент времени по мере необходимости. Все это делает беспроводные сети идеальным вариантом для временных рабочих групп или для быстро растущих организаций.

Механизм работы

Архитектура локальной сети, работающей по протоколу 802.11, очень похожа на сеть сотовой телефонной связи. Используя аналогичный дизайн, беспроводная компьютерная сеть может сохранить все преимущества сотовой связи и предоставить при этом более высокие скорости передачи данных.

Осуществляя сетевое взаимодействие на основе сотовой архитектуры, беспроводные устройства могут соединяться, отсоединяться и переходить от ячейки к ячейке аналогично сотовым телефонам.

Установка беспроводных соединений

Настроить сети WLAN или WPAN в операционной системе Windows XP Professional очень легко. Компания Microsoft включила в эту систему ряд инструментов, облегчающих не только процесс установки, но и повседневную работу в беспроводной сети.

Роуминг

Одним из главных усовершенствований новой версии Windows в области беспроводной сетевой связи является улучшение возможностей роуминга. По аналогии с технологией сотовой телефонной связи в беспроводных локальных компьютерных сетях (WLAN) используются параметры роуминга. Это позволяет устройствам отслеживать вход (и выход) в область обслуживания точки доступа. Улучшение роуминга в системе Windows XP Professional заключается в том, что система определяет переход устройства к новой точке доступа и требует повторной аутентификации для гарантии правильности уровней сетевого доступа. Это называется технологией распознавания сетевой среды (media sense). Возможность определять изменения распространяется и на IP-подсеть, что позволяет выдавать идеальные IP-адреса, гарантирующие наилучшее пользование ресурсами.

В Windows XP Professional учитывается множественное конфигурирование IP-адреса, а также автоматическое присвоение оптимального адреса. При необходимости изменения IP-адреса Windows XP Professional позволяет провести повторную конфигурацию.

Когда устройство переходит из области действия одной точки доступа к другой точке доступа, информация об устройстве перемещается вместе с ним (например, информация о месте расположения устройства для корректной доставки сообщений). Поставщиками беспроводной связи совместно разработан протокол для облегчения такой передачи данных - Interaccess Point Protocol, IAPP. Он еще не стал стандартом, но его появление - хороший признак того, что производители готовы отбросить в сторону соблюдение формальностей для блага конечного потребителя.

Нулевая конфигурация клиента

Замечательным качеством сетевого взаимодействия в системе Windows XP Professional является возможность переходить от одной беспроводной локальной сети к другой, не конфигурируя заново свое устройство или соединение. Например, если у вас имеется одна WLAN в офисе, а другая - дома, то Windows XP Professional-устройство может использовать одну и ту же конфигурацию. Она называется нулевой конфигурацией (zero configuration). Нулевая конфигурация использует Windows XP Professional-пользовательский интерфейс при попытках установить связь между беспроводными устройствами.

Конфигурация

Так как система Windows XP Professional поддерживает стандарт 802.11, то работа в беспроводных сетях требует минимума изменений в конфигурации. Если на вашем устройстве доступна автоматическая настройка конфигураций, то вы можете свободно переходить из одной беспроводной локальной сети в другую без повторного конфигурирования своего Windows XP Professional-клиента.

При переходе из одной WLAN в другую система Windows XP Professional просматривает новую сеть и автоматически настраивает конфигурацию карты вашего сетевого адаптера для работы в новом окружении. Если вы оказались в такой области, где доступны несколько WLAN, то можете создать список предпочтительных WLAN и установить очередность подключения к ним.

Автоматическая настройка беспроводной сети

Процесс настройки автоматического конфигурирования беспроводной сети весьма прост. Проделайте следующие шаги.

  1. Выберите Start\Connect To\Show All Connections (Пуск\Подключить к\ Отобразить все подключения).
  2. Щелкните правой кнопкой мыши на соединении, которое вы хотите установить с помощью своего беспроводного сетевого адаптера, и выберите Properties (Свойства).
  3. На вкладке Wireless Networking (Беспроводное подключение) (см. рис. 5.16) проделайте одно из следующих действий:
    • выберите опцию Use Windows to configure my wireless network settings (Использовать Windows для конфигурирования настроек беспроводной сети) для автоматического создания беспроводной сетевой конфигурации;
    • отключите опцию Use Windows to configure my wireless network settings для отключения автоматического создания беспроводной сетевой конфигурации.

    Свойства беспроводного соединения


    Рис. 5.16.  Свойства беспроводного соединения

  4. Список доступных WLAN обнаружен и появляется в области Available Networks (Доступные сети). Вы можете изменять этот список и его настройки с помощью следующих действий:
    • для добавления доступной WLAN в области Available networks (Доступные сети) выберите сеть, которую вы хотите добавить, и щелкните на Configure (Настройка);
    • для добавления новой беспроводной сети в список Preferred networks (Предпочитаемые сети) в области Preferred networks щелкните на Add (Добавить). В поле Wireless Network properties (Свойства беспроводного подключения) введите имя сети (SSID), ключ беспроводной сети и предназначена ли сеть для работы в специальном режиме;
    • для изменения порядкового номера WLAN в списке Preferred networks (Предпочитаемые сети) щелкните на WLAN, которую вы хотите перенести, и затем щелкните на Move up (Вверх) или Move down (Вниз).
    • для удаления WLAN из списка щелкните на ней и затем нажмите Remove (Удалить).
  5. Теперь вы можете установить тип беспроводной сети, к которой будете подключаться, щелкнув на кнопке Advanced (Дополнительно) и выбрав сеть, с которой вы хотите работать. Затем сообщите Windows XP Professional, будет ли это соединение работать в специальном или инфраструктурном режиме.

Примечание. Сети, работающие в специальном режиме - это сети, созданные двумя устройствами для временной работы. Например, два сотрудника обмениваются данными на конференции. Инфраструктурными называются те беспроводные локальные сети, беспроводные устройства которых получают доступ к локальной сети организации посредством точки доступа.

Аутентификация

Вполне естественно, если у вас есть одна или несколько беспроводных локальных сетей, то процесс установки связи компьютеров с этими сетями очень прост. Однако и тот, кто не должен иметь доступа к вашим сетям, может, сидя на близлежащей парковке, с такой же простотой начать просматривать ваши файлы. Поэтому следует убедиться в том, что сети настроены для аутентификации в соответствии с протоколом 802.1х.

Не путайте аутентификацию с WEP-ключом. Аутентификация является средством подтверждения идентичности компьютера. WEP-ключ предоставляет ключ кодировки для установленного соединения. Другими словами, пройдя процедуру аутентификации, компьютер использует WEP-ключ, чтобы посторонний ничего не выведал и не прочитал данные, ему не предназначенные.

Следующие шаги показывают, что надо сделать для работы аутентификации 802.1х.

  1. Выберите Start\Connect To\Show All Connections (Пуск\Подключить к\ Отобразить все подключения).
  2. Щелкните правой кнопкой мыши на сетевом соединении, для которого нужно включить или отключить 802.1х аутентификацию.
  3. На вкладке Authentication (Аутентификация) можно включить 802.1х-аутентификацию, отметив флажок Network access control using IEEE 802.1x (Управление сетевым доступом с помощью IEEE 802.1x). Для отмены аутентификации снимите флажок (см. рис. 5.17).
  4. В поле EAP type выберите тип протокола Extensible Authentication Protocol (Протокол расширенной проверки подлинности), который будет использоваться этим соединением.
  5. Если вы выбрали смарт-карту или другой сертификат в секции EAP type, то можете сконфигурировать дополнительные настройки. Для этого щелкните на Properties (Свойства) и выполните следующие действия.
    • Выберите опцию Use my smart card, чтобы использовать сертификат смарт-карты для аутентификации.
    • Выберите опцию Use a certificate on this computer, чтобы использовать сертификат, хранящийся на вашем компьютере. Можно проверить достоверность сертификата, включив флажок Validate server certificate (Проверка сертификата сервера). Также нужно установить, следует ли осуществлять подключение только в случае подлинности сертификата в определенном домене, а затем указать достоверные доказательства полномочий сертификата безопасности.
    • Выберите опцию Authenticate as guest when user or computer information is unavailable для попытки зарегистрироваться в качестве гостя, если информация о пользователе или компьютере недоступна.

    Свойства протокола аутентификации 802.1х


    Рис. 5.17.  Свойства протокола аутентификации 802.1х

  6. Чтобы сообщить Windows XP Professional, предпринимать ли попытку авторизации в сети пользователя, который либо не зарегистрирован, либо информация о нем недоступна, включите флажок Authenticate as computer when computer information is available (Проверять подлинность как у компьютера при отсутствии сведений о компьютере) или флажок Authenticate as guest when user or computer information is unavailable (Проверять подлинность как у гостя при отсутствии сведений о компьютере или пользователе).
Подключение

Наконец вы добрались до подключения своего беспроводного устройства к беспроводной локальной сети WLAN. К счастью, в системе Windows XP Professional это делается легко. Просто выполните следующие действия.

  1. Выберите Start\Connect To\ имя беспроводного соединения.
  2. Щелкните правой кнопкой мыши на значке сетевого соединения и затем щелкните на View Available Wireless Networks (Просмотр доступных беспроводных сетей).
  3. В области Connect to Wireless Network (Подключение к беспроводной сети) щелкните на беспроводной сети, с которой вы хотите установить соединение. (Это показано на рис. 5.18)

    Соединение беспроводного устройства с WLAN


    Рис. 5.18.  Соединение беспроводного устройства с WLAN

  4. Если вам требуется WEP-ключ, то выполните одно из следующих действий:
    • если WEP-ключ хранится в беспроводной сетевой карте компьютера, то оставьте поле Network Key (Ключ сети) пустым.
    • Если WEP-ключ не вводится автоматически, то впишите его.
  5. Щелкните на Connect (Подключение).

Настройка клиентов для работы в рабочих группах в системе Windows XP Professional значительно упрощена по сравнению с предыдущими версиями Windows. Частично за это следует поблагодарить целый ряд программ-мастеров, которые используются в этом процессе. Рабочие группы под управлением Windows XP Professional также могут пользоваться преимуществами беспроводного взаимодействия, являясь либо частью WLAN, либо WPAN. Наконец, даже самые маленькие рабочие группы могут испытать на себе удобства повышенной функциональности рабочих групп в системе Windows XP Professional, используя одно общее соединение для доступа в интернет и применяя встроенную систему защиты (firewall) от проникновения злоумышленников.

Лекция 6. Обмен информацией между доменами

В предыдущей лекции речь шла о небольших сетях, называемых рабочими группами. Windows XP Professional обладает всеми средствами и функциональностью, позволяющими обеспечить широкие возможности в работе с сетью в домене Windows 2000/.NET. В данной лекции рассказывается о соединениях домена.

В мире компьютерных сетей Microsoft есть два типа логических сетей, частью которых может являться клиент: рабочая группа или домен. В лекции 5 говорилось о рабочих группах, которые идеально подходят для одноранговых соединений или небольших организаций. В этой лекции мы обсудим домены, которые обычно используются в крупных сетях.

Но обсуждение доменов не сводится только к размерам сетей. Домены, помимо прочего, несут на себе определенные функции (вроде единой системы защиты для всех устройств внутри домена). В этой лекции мы поговорим о доменах и о том, как система Windows XP Professional может быть частью домена. А в конце лекции мы рассмотрим инструмент, делающий домены еще более жизнестойкими и мощными, который называется Active Directory.

Домены Windows

Если вы работаете с Windows 2000, то, возможно, уже пользуетесь доменами. Однако если в вашей сети установлена более ранняя версия операционной системы (или вообще не Windows-версия), то будет неплохо разобраться сейчас с понятием доменов и для чего они нужны.

В этом разделе дается краткий обзор доменов и того, каким образом Windows XP Professional вписывается в их среду.

Что такое домен?

В предыдущей лекции основное внимание было сосредоточено на соединениях между рабочими группами. Как вы помните, рабочие группы - это отдельные компьютеры или сети, состоящие только из компьютеров, работающих на базе Windows XP Professional. Рабочие группы хорошо подходят для небольших сетей и прямых контактов. Однако в больших организациях обмен компьютерными данными осуществляется посредством доменов.

Доменом называется группа учетных записей и ресурсов сети, организованных под одним именем (например, NASA.gov). Эти устройства и учетные записи находятся в области действия системы защиты, которую обеспечивает домен. Это означает, что если глава НАСА пытается подключиться к домену NASA.gov, то от него потребуют (только один раз) ввести соответствующий пароль для получения доступа к ресурсам домена.

Домены облегчают жизнь пользователей, так как последним не обязательно знать многочисленные пароли различных устройств, как это было в рабочих группах. В домене управление паролями и разрешениями происходит централизованно. Когда глава НАСА желает получить доступ к домену через свой компьютер в офисе или через другую рабочую станцию, то его информация автоматически посылается одним из контроллеров домена на компьютер, которым он в данный момент пользуется.

Примечание. В Windows NT Microsoft использует первичные контроллеры доменов (PDC) и запасные контроллеры доменов (BDC). В среде Windows 2000 и .NET PDC и BDC заменяются контроллерами доменов (DC).

Microsoft рекомендует использовать домены как можно шире (разумеется, так они смогут продавать больше серверных продуктов). Но домены содержат качества, отсутствующие в рабочих группах. Большую часть работы домен выполняет посредством системы Active Directory. Мы будем обсуждать Active Directory и роль Windows XP Professional в службе каталога далее в лекции.

Как работает домен

Как говорилось выше, домены представляют собой группы сетевых ресурсов с централизованным управлением. В системе Windows NT использовались PDC и BDC. Было удобно пользоваться одним основным (первичным) устройством для контроля за работой сети и иметь запасные устройства на случай непредвиденных проблем. Компания Microsoft сделала систему еще более совершенной, включив в Windows 2000 контроллеры доменов. Теперь все функции дублируются на каждом контроллере домена (см. рис. 6.1), в то время как в системе Windows NT обязанности распределялись между PDC и BDC.

Примечание. Для простоты будем считать, что домен находится под контролем Windows 2000 Server. Однако его функциональность сохраняется и для Windows Server 2003.

Для нормальной работы домена содержимое Active Directory должно обновляться для всех контроллеров домена своевременно. В системе Windows 2000 для поддержания на всех контроллерах доменов наличия текущей (свежей) информации используется множественное копирование (репликация). Вместо использования линейной базы данных, копирующейся с одного контроллера домена на другой, подчиненный ему контроллер домена (как это делается в Windows NT), все контроллеры доменов системы Windows 2000 считаются устройствами одного ранга. Поэтому изменения на одном из контроллеров копируются на все контроллеры доменов.

Контроллеры доменов равномерно распределяют между собой рабочую нагрузку, связанную с администрированием сети


Рис. 6.1.  Контроллеры доменов равномерно распределяют между собой рабочую нагрузку, связанную с администрированием сети

По умолчанию репликация происходит каждые 5 минут в пределах одного домена. Для выполнения бесперебойного копирования компонент Knowledge Consistency Checker (KCC) (Проверка согласованности знаний), работающий в контроллерах доменов, создает логическую замкнутую схему (кольцо), в которую входят все контроллеры домена данного сайта, и автоматически создает соединения для реализации этой схемы. Копирование продолжается по кругу, до тех пор пока не дойдет до исходного DC.

Как система Windows XP Professional вписывается в модель домена

При существующем обилии версий Windows на рынке программных продуктов неплохо было бы разобраться в том, как эти версии работают совместно в рамках домена. Каждая версия Windows имеет свое место в модели домена, и для полноценной работы они должны быть соответствующим образом организованы. На рис. 6.2 показано расположение различных версий Windows в домене.

Размещение различных Windows-продуктов в домене


Рис. 6.2.  Размещение различных Windows-продуктов в домене

Windows 2000 Server

Как мы уже говорили, центром Windows-домена является Windows 2000 Server (Advanced Server или Datacenter). Windows 2000 Server является устройством, на котором находится служба Active Directory. Так как система Windows XP Professional не имеет специальной версии для работы в качестве сервера, то лучше воспользоваться системой Windows 2000, чем пытаться заставить Windows XP Professional выполнять эту роль. К тому же, это будут устройства, работающие как контроллеры доменов.

Windows XP-клиенты

Как вы уже догадались, Windows XP Professional обслуживает клиентские компьютеры в Windows-домене. Windows XP Professional можно интегрировать с Windows 2000 и создавать интерфейс для конечных пользователей.

Хотя Windows 2000 больше подходит для работы на сервере, в некоторых случаях можно использовать и Windows XP Professional. Однако это будут особые случаи, в которых задействованы соединения устройств одного уровня (ранга), например при использовании Internet Connection Sharing (см. в гл. 5) или Internet Information Server (см. в гл. 7). Однако в рамках этого обсуждения Windows XP Professional будет выступать в роли клиентского компьютера.

Windows Server 2003

Следующей итерацией Windows-серверов является Windows Server 2003. Она будет использоваться вместо (или вместе) Windows 2000 Server и является новой средой, связывающей информацию, людей, службы и устройства в представлении компании Microsoft. Ее цель состоит в наиболее полной связи приложений посредством использования XML (Extensible Markup Language) веб-сервисов.

Примечание. Более подробную информацию о .NET можно найти на сайте http://www.Microsoft.com/net.

Связь между доменами

Теперь, когда вы знаете о том, как работают домены, и как отдельные операционные системы функционируют в рамках домена, давайте поговорим об установке связи с доменом. Также обсудим ряд инструментов и методик, которые помогут при решении проблем, связанных с настройкой связи с доменом.

Подключение к домену

В предыдущей лекции рассказывалось о том, как подключаться к сетям, работающим в операционной системе Windows XP Professional, в частности, о соединениях устройств одного ранга, то есть к образованию рабочих групп. Эти виды соединений хорошо подходят для небольших сетей. Однако в крупных организациях мы переходим от рабочих групп к доменам. Вы можете вручную сконфигурировать своего Windows XP Professional-клиента для его соединения с Windows-доменом.

Использование мастера сетевой идентификации

Проще всего настроить связь с доменом можно посредством одного из многочисленных мастеров, предоставляемых системой Windows XP Professional. В данном случае вы воспользуетесь программой Network Identification Wizard (Мастер сетевой идентификации). Эта мастер-программа предоставляет средства соединения Windows XP Professional-клиентов с Windows NT- или Windows 2000-доменами.

Примечание. Программа Network Identification Wizard также используется для установки связи Windows XP Professional-клиента с рабочей группой.

Для запуска мастера проделайте следующие шаги.

  1. Щелкните правой кнопкой мыши на My Computer (Мой компютер) и выберите Properties (Свойства).
  2. На вкладке Computer Name (Имя компьютера) щелкните на Network ID и затем на Next (Далее).
  3. Выберите This Computer is part of a business network and I use it to connect to other computers at work (Компьютер входит в корпоративную сеть, и во время работы я использую его для соединения с другими компьютерами) и затем щелкните на Next.
  4. Мастер даст указание собрать некоторую информацию, необходимую для завершения работы. Эта информация включает в себя следующее:
    • имя пользователя;
    • пароль;
    • домен учетной записи пользователя;
    • имя компьютера;
    • домен компьютера.

На рис. 6.3 показано окно мастера сетевой идентификации с полями для ввода имени пользователя, пароля и домена.

Поля для ввода имени пользователя, пароля и имени домена в окне мастера сетевой идентификации


Рис. 6.3.  Поля для ввода имени пользователя, пароля и имени домена в окне мастера сетевой идентификации

Подключение вручную

Вы можете подключиться к домену вручную, если не хотите использовать Network Identification Wizard или по другой причине. Проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск\Панель управления) и затем щелкните на Performance and Maintenance (Производительность и обслуживание).
  2. Выберите System (Система).
  3. В свойствах системы выберите вкладку Computer Name (Имя компьютера) (см. рис. 6.4).

    Соединение с доменом вручную


    Рис. 6.4.  Соединение с доменом вручную

  4. Щелкните на Change (Замена).
  5. Если учетная запись компьютера уже создана и находится на контроллере домена, введите свое имя пользователя, пароль и имя домена. Щелкните на Next (Далее) и переходите к п. 7.
  6. Если учетная запись компьютера еще не создана на контроллере домена, то проделайте следующее.
    • Введите имя пользователя, пароль и имя домена и щелкните на Next (Далее).
    • После подсказки введите имя пользователя и пароль учетной записи администратора и затем щелкните на ОК.
  7. Щелкните на ОК трижды.
  8. Появится подсказка перезагрузить компьютер. Нажмите Yes (Да).

После выполнения этих шагов будет неплохо подтвердить свое членство в домене. Это выполняется посредством перезагрузки компьютера с последующим нажатием CTRL-ALT-DEL. Появится диалоговое окно входа в систему. Справа от окошка регистрации находится стрелка. Щелкните на ней, чтобы просмотреть список доменов. В нем должен находиться домен, членом которого вы только что стали, наряду с другими доверенными доменами. Учетную запись домена можно протестировать с помощью установки связи с вашим или другим доменом.

Примечание. Доверенный домен - это такой домен, который поддерживает взаимную связь с другим доменом. Допустим, вы зарегистрировались на домене corporate.jeep.com. При наличии доверительных отношений (и необходимого разрешения) вы имеете возможность получать доступ к информации компании, производящей автомобильные рули - http://www.steeringwheelworld.com.

Если вы входите в домен, используя свои удостоверения личности на контроллере домена, то ваша учетная запись работает. Если вы получаете сообщение о том, что вход выполнен с использованием удостоверения личности, хранящегося в кэше, то контакт с контроллером домена невозможен во время процесса аутентификации.

Ответьте на эти вопросы в случае неудачи процесса подтверждения.

Затруднения, возникающие при установке связи с доменом

Система Windows XP Professional включает в себя ряд инструментов, полезных при решении проблем, возникающих при установке связи с доменом.

NLtest.exe

В Windows XP Professional имеется инструмент, с помощью которого вы можете проверить свое логическое соединение с контроллером домена. NLTEST.EXE является инструментом командной строки, который входит в комплект инструментов Windows Support Tools из диска Windows XP Professional. Этот инструмент можно использовать в NT- или 2000-сетях.

Примечание. Инструмент NLTEST.EXE находится в файле support.cab в папке tools\support на диске Windows XP Professional.

Воспользовавшись инструментом NLTEST.EXE, вы выясните, может ли контроллер домена аутентифицировать клиента. NLTEST.EXE позволяет определить, какой именно домен выполнял аутентификацию, и может сгенерировать список доверенных доменов.

Безопасный канал (secure channel) - это логическое соединение между Windows XP Professional-клиентом и контроллером домена. Безопасный канал используется для аутентификации учетных записей компьютеров, работающих в системах Windows XP Professional, Windows 2000, Windows .NET и Windows NT. Кроме того, безопасный канал используется, если удаленный пользователь подключается к сетевым ресурсам. Инструмент NLTEST.EXE можно использовать для тестирования безопасных каналов и их перенастройки в случае необходимости.

Допустим, имеется домен Windows 2000 (с названием Domain). Имя вашей учетной записи User1 на Windows XP Professional-компьютере с именем Client1. Синтаксически эта команда записывается так:

Nltest [/OPTIONS]

Для идентификации контроллеров домена из домена domain1.com введите следующее:

Nltest /dclist:domain1

Вы сможете определить, будет ли контроллер домена (который можно найти с помощью NLTEST.EXE, если вы не знаете его имени) идентифицировать пользователя. Для этого в окне команд введите следующее:

Nltest /whowill:domain1 User1

Вы можете проверить, имеет ли Client1 безопасное соединение с контроллером домена, введя команду:

Nltest / server:Client1 / sc_query:domain1

Для получения полного списка команд NLTEST.EXE введите в строку команд следующее:

Nltest /?
Невозможно подключиться к домену

Если вы пытаетесь установить связь между Windows XP Professional-клиентом и Windows 2000 или Windows NT-доменом, то можете получить следующее сообщение:

Unable to connect to the domain controller for this domain (Невозможно установить связь с контроллером для этого домена).

Either the user name or password entered is incorrect (Введенное имя пользователя или пароль неверны).

При подключении Windows XP Professional-клиента к Windows NT или 2000 домену имя учетной записи должно быть частью имени группы администраторов домена. Кроме того, у пользователя должно быть разрешение на добавление клиентов к домену.

Невозможно найти контроллер домена

Если вы пытаетесь установить связь между Windows XP Professional-клиентом и Windows 2000 или Windows NT-доменом, то вы можете получить следующее сообщение:

The specified domain does not exist or could not be contacted. (Указанный домен не существует или контакт с ним невозможен)

В таком случае выполните следующие действия.

  1. Первым делом следует проверить правильность имен, введенных в поля Workgroup (Рабочая группа) и Domain (Домен) вкладки Computer Name (Имя компьютера) в диалоговом окне свойств.
  2. Затем надо проверить протокол TCP/IP, который мог быть неправильно сконфигурирован. Для проверки конфигурации TCP/IP войдите в систему под административной учетной записью и проделайте следующее.
    • Воспользуйтесь программой PING для проверки контроллера домена, употребив его NetBIOS-имя или полное имя DNS- домена. Если это не поможет, то сделайте то же самое, но применив IP-адрес контроллера домена.

      Примечание. Если вы не знакомы с командой PING, то мы поговорим о ней более подробно в гл. 8.

    • Если ping-попытки не принесли результата, а домен использует DNS или WINS, то еще раз проверьте IP-адреса этих серверов. Попробуйте применить команду PING к контроллеру домена еще раз.
    • Если вам опять не повезло, и Windows XP Professional-клиент расположен в одной подсети с контроллером домена, то проверьте IP-адрес клиента, чтобы убедиться в его правильности.
    • Если Windows XP Professional-клиент находится в другой подсети, то убедитесь, что адрес шлюза по умолчанию правилен.
  3. Если контроллер домена работает в соответствии с политикой протокола IPSec, установленного на сервере безопасности, то IP-пакеты не отсылаются клиентам, если в них также не задействован протокол IPSec. Самым лучшим будет обратиться к администратору домена и поговорить с ним о пересмотре IPSec-политики. (Более полную информацию о IPSec можно найти в лекции 9.)
  4. Если домен использует маршрутизаторы, работающие в соответствии с протоколом RIP (Routing Information Protocol), то установите поддержку RIP.
Невозможно переименовать компьютер

У вас могут возникнуть проблемы, если вы попытаетесь дать компьютеру новое имя, похожее на имя контроллера домена. В этом случае вы получите следующее сообщение:

The new computer name may not be the same as the Workgroup (Domain) name. (Новое имя компьютера не должно быть таким, как имя рабочей группы [домена])

Даже если имя компьютера только похоже на имя контроллера домена, вы все равно можете получить такое сообщение. Например, если имя домена crazyearlsstereoshop.com, а имя клиента - crazyearlsstereomanager, то вы получите вышеназванное сообщение. Почему? Если NetBIOS работает на всех клиентах и серверах, то первые 15 знаков в имени Windows XP Professional-клиента (в данном случае crazyearlsstere) не могут быть такими же, как у контроллера домена, сервера, клиента и любого другого устройства.

Невозможно зарегистрироваться в домене

Если вы не можете зарегистрироваться в домене, то, возможно, увидите следующее сообщение:

The system cannot log you on due to the following error: There is a time difference between the Client and Server. Please try again or consult your system administrator.

(Система не может зарегистрировать вас по следующей причине:

существует разница во времени между клиентом и сервером. Пожалуйста, попробуйте еще раз или проконсультируйтесь у администратора системы.)

Эта ошибка возникает из-за того, что протокол безопасности Kerberos проверяет отметку времени на запросе об аутентификации клиента. Если разница во времени между клиентом и сервером составляет больше 5 минут, то аутентификация отменяется. Это можно исправить путем сравнения с коллегой, зарегистрированном на этом домене, и убедившись в том, что часы вашего компьютера показывают правильное время. Также хорошо бы проверить свою временную зону и убедиться, что она настроена соответствующим образом. Дело в том, что для полного совпадения Kerberos переводит все временные метки во время по Гринвичу.

Другие ошибки регистрации, которые мешают клиентам подключиться к домену, включают в себя следующее:

В случае проблемы с протоколами контроллера домена и клиента обратите внимание на следующие детали, которые могут вызывать несовместимость:

Получение доступа к ресурсам домена

После того как вы стали членом домена, вы можете пользоваться доступными вам ресурсами. Иначе для чего все это было нужно? Теперь же вы стали частью структуры безопасности домена и будете иметь доступ к данным и другим компьютерам этого домена.

Безопасность

Помимо решения организационных задач домены позволяют централизованно использовать функции обеспечения безопасности. Информация об учетных записях домена хранится в службе каталогов Active Directory (AD), которая размещена на Windows NT, 2000 или .NET сервере. После регистрации в домене Windows XP Professional-клиент получает информацию о настройках и разрешениях AD. Учетные записи доменов используются в больших сетях, где ведение учетных записей в индивидуальном компьютере становится непрактичным. Например, учетные записи доменов могут использовать блуждающие профили пользователей (roaming user profiles). Эти профили позволяют пользователям переходить с компьютера на компьютер со своими разрешениями, настройками и даже разметкой рабочего стола.

Примечание. В качестве меры обеспечения безопасности Windows XP Professional защищает с помощью пароля файлы, находящиеся в папке My Documents (Мои документы), от прочтения их теми, кто может работать на этом клиентском компьютере.

Network Neighborhood/My Network Places

Каждый, кто прошел через несколько обновлений системы Windows, наверное, заметил привычку Microsoft брать существующее приложение или инструмент и давать ему новый значок и новое имя. Так, Microsoft переделывает уже знакомое название Network Neighborhood (Сетевое окружение) в новое My Network Places (Сетевое окружение). My Network Places - это те места, куда вы заходите во время работы в сети.

Просмотр соединений

Для просмотра соединений своей сети просто откройте значок My Network Places (Сетевое окружение).

Примечание. My Network Places проще всего найти, щелкнув на кнопке Start (Пуск). Однако можно расположить этот значок у себя на рабочем столе. Это делается с помощью нажатия на Start (Пуск), щелчка правой кнопкой мыши на My Network Places и выбора Show on Desktop (Отображать на рабочем столе).

Посмотрите на рис. 6.5. На нем показаны компьютеры этой сети с соответствующими ресурсами. Эту картинку можно получить, выбрав View (Просмотр) в окне My Network Places и затем выбрав Computer (Компютер) в Arrange Icons by (Упорядочить значки). Вы видите, что тут показаны два компьютера - Coruscant и Endor. В окне показаны компьютеры и папки, которыми они могут обмениваться.

Просмотр сетевых соединений с каждым компьютером


Рис. 6.5.  Просмотр сетевых соединений с каждым компьютером

Просмотр сетевых ресурсов

Сети состоят не только из компьютеров и папок (хотя и без них не обойдешься). Помимо этих устройств существуют и другие ресурсы, которыми можно совместно пользоваться. Например, My Network Places (Сетевое окружение) позволяет использовать такие сетевые ресурсы, как принтеры (рис. 6.6).

В данном случае принтер Brother соединен с компьютером Coruscant. Однако принтер не обязательно должен быть соединен с компьютером. Так же легко сетевой принтер можно соединить со своим собственным сервером печати.

Соглашение о назначении имен

Так как Windows предоставляет графический способ взаимодействия вашего компьютера с сетью, то легко забыть о том, что все компьютеры и сетевые взаимодействия контролируются посредством интерфейса командной строки. Графический интерфейс (GUI), конечно, сильно облегчает работу на компьютере, но иногда все же бывает полезно ввести простую команду и заставить Windows выполнить то, что вам надо.

При работе в сети Соглашение о назначении имен (Universal Naming Convention, UNC) является способом указать файл общего пользования без необходимости знать, на каком устройстве он хранится. UNC - это не уникальная особенность системы Windows. Им можно пользоваться в любых операционных системах: в Novell NetWare, Linux и др.

Просмотр сетевых принтеров


Рис. 6.6.  Просмотр сетевых принтеров

В операционных системах Windows UNC-формат имени выглядит следующим образом:

\\servername\sharename\filename

UNC расшифровывается так:

Например, рассмотрим UNC:

\\ENDOR\webfiles\html\osborne.html

Этот UNC указывает сервер (ENDOR), на котором находится общедоступный файл (Osborne.html), хранящийся наряду с другими HTML файлами в папке, отведенной под веб-файлы. HTML-папка является общим ресурсом, поэтому имя, идентифицирующее ресурс на сервере, и данные о пути могут быть пропущены.

\\ENDOR\HTML

приведет вас к папке общего доступа, а

\\ENDOR\HTML\osborne.html

доставит прямо к нужному файлу.

Использование в Windows XP

Использовать ли UNC в Windows XP Professional - это вопрос личного предпочтения. Возможно, вам больше нравится щелкать на значках, чтобы добраться в нужное место. С другой стороны, вы можете обнаружить, что постоянно используете данный ресурс, поэтому проще вводить его UNC.

Windows XP Professional позволяет просматривать UNC различных сетевых ресурсов. Если вам нужен UNC конкретного объекта, то следует убедиться в том, что способность видеть UNC включена. Это можно выполнить, проделав следующее.

  1. Выберите Start\Control Panel (Пуск\Панель управления). Щелкните на Appearance and Themes (Оформление и темы) и выберите Folder Options (Свойства папки).
  2. Щелкните на вкладке View (Вид) (рис. 6.7).

    Детали UNC в Windows XP Professional


    Рис. 6.7.  Детали UNC в Windows XP Professional

  3. В области File and Folders (Файлы и папки) убедитесь в том, что включены флажки Display full path in the address bar (Отображать полный путь в строке адреса) или Display full address in the title bar (Отображать полный адрес в строке заголовка).

Независимо от того, включена ли опция для показа информации об UNC, можно использовать UNC для перехода в определенную сетевую папку. Например, на рис. 6.8 показан результат простого введения UNC нужного сетевого ресурса: Windows XP Professional переходит непосредственно в эту папку. UNC является полезным инструментом, потому что вам не надо щелкать на все значки, если вы знаете путь к нужной папке.

Название


Рис. 6.8.  Название

UNC можно использовать в ряде приложений для перехода к нужному сетевому ресурсу или файлу. Например, в веб-браузере можно просто ввести соответствующий UNC в адресную строку и перейти к этой папке или файлу.

Active Directory

Основой работоспособности Windows-домена является инструмент Active Directory. Active Directory (AD) - это база данных всего домена. В ней содержится информация о различных атрибутах объектов системы, включая пользователей, разрешения, настройки компьютеров, периферийных устройств и т. д.

Как и в любой базе данных, в AD содержатся информационные поля. Если сравнить AD с базой данных магазина, продающего запчасти для автомобилей, то отличие состоит в том, что в AD содержатся не названия деталей, а информация (имена и описания) об объектах домена.

Active Directory имеет логическую иерархическую структуру, что позволяет сортировать содержимое от самых больших элементов до самых маленьких. Кроме того, AD является расширяемой базой данных, то есть ее можно модифицировать, добавляя новые поля для размещения информации.

IntelliMirror

Интересно выяснить, какую именно выгоду получают пользователи системы Windows XP Professional, помимо надежности в сетевой работе, которую предоставляет AD. Почему они беспокоятся по поводу AD, доменов и всего прочего? Один из ответов заключается в IntelliMirror службы каталогов Active Directory.

IntelliMirror - это не отдельный продукт или приложение, а, скорее, набор свойств, предоставляемых Windows 2000-серверами. IntelliMirror - это демонстрация того, насколько AD полезна для Windows XP Professional-клиентов. Например, IntelliMirror предоставляет инструменты, которые облегчают управление, обеспечивая пользователям доступность их настроек, документов и приложений, независимо от компьютера, с которого они загружаются в рамках домена. IntelliMirror достигает этого тремя способами.

Приложения следуют за пользователем

При входе пользователя система определяет, что нужное пользователю приложение недоступно на текущем компьютере-клиенте, и начинает инсталляцию программных пакетов. Система знает, какие приложения инсталлировать, так как при регистрации пользователя проверяется заложенная в компьютер групповая политика инсталляции программ. Если политика требует приложение, которого нет, то оно загружается на клиентский компьютер.

Настройки следуют за пользователем

Блуждающий профиль в операционной системе Windows NT является инструментом, позволяющим индивидуальным настройкам компьютера переходить с компьютера на компьютер вслед за пользователем. В рамках AD эту функцию берет на себя групповая политика. Эта политика диктует, в каком виде рабочий стол, элементы меню и другие прикладные свойства должны предоставляться пользователю, независимо от места его регистрации. Пользователям это нравится, так как они всегда попадают в знакомое окружение. Администраторам это тоже нравится, так как они могут блокировать вход пользователей в отдельные части операционной системы.

Данные следуют за пользователем

Хорошо иметь под рукой настройки и приложения, перескакивая с компьютера на компьютер. Однако если у вас нет доступа к электронной таблице, над которой вы работали, или к документу Word, находящемуся на другом компьютере, то от правильной темы рабочего стола и значков мало прока. AD позволяет создавать на компакт-диске специальные папки, в которые копируется сетевая рабочая информация.

Во время работы над электронной таблицей платежной ведомости за четвертый квартал, например, в папке My Documents (Мои документы), ее можно скопировать в безопасное сетевое место расположения. Когда вы прерываете связь с сетью на одном компьютере и заходите в нее с другой машины, то система отслеживает специальную папку для гарантии наличия самых свежих файлов и предоставляет ваши документы.

Организационные единицы

Структура Active Directory имеет важное значение. Ранее в этом курсе мы говорили о таких объектах, как организационные единицы (Organizational Units, OU), домены, леса и деревья. Они представляют собой строительные блоки Active Directory. Прочитайте следующее, чтобы освежить память (рис. 6.9).

Организационная иерархия элементов службы каталогов


Рис. 6.9.  Организационная иерархия элементов службы каталогов

В среде операционных систем Windows 2000 или Windows .NET организационные единицы (OU) являются основными элементами. Для сравнения - в системе NT основным элементом являлся домен. Так как организационные единицы обеспечивают раздробленную организацию ресурсов, то такая сетевая иерархия делает контроль за сетью и ее атрибутами более четким. Например, если вы хотите присвоить специальные атрибуты двум пользователям в удаленном офисе, то их можно определить как организационную единицу. В системе NT вам пришлось бы присваивать эти признаки всему домену.

Другой важной составляющей службы каталога является его схема, которая представляет собой внутреннюю структуру базы данных. Схема (являющаяся частью файла NTDS.dit) определяет взаимосвязи между классами и объектами. Например, используя в качестве примера магазин автомобильных запчастей, у вас может быть класс "Колесо", имеющий атрибут "Количество спиц". Это указывает на то, что объект класса колес должен содержать информацию о количестве спиц в каждом колесе. Классы могут происходить из других классов, образовывая иерархию классов. На рис. 6.10 показана иерархия классов и подклассов на примере базы данных из магазина автозапчастей.

Классы и подклассы


Рис. 6.10.  Классы и подклассы

Глобальный каталог

Глобальный каталог является отдельной базой данных объектов Active Directory. В нем содержатся все объекты основной базы данных и часть атрибутов этих объектов. Глобальный каталог позволяет пользователям быстро находить объекты в лесу. Он особенно полезен, если у вас много доменов и деревья доменов разбросаны по сети большого размера.

Примечание. Глобальный каталог можно представить себе в виде указателя ресурсов домена.

Глобальный каталог по умолчанию создается на первом контроллере домена в дереве. Позже при желании можно использовать оснастку MMC Active Directory Sites (Active Directory - сайты), чтобы вручную выбрать другие домены для глобального каталога.

Во время развертывания сети, работающей под управлением Windows 2000 или .NET, убедитесь в правильности установки глобального каталога. Каждый Windows XP Professional-клиент должен иметь легкий доступ к глобальному каталогу для оптимального поиска.

Группы

В системе Windows NT было две группы пользователей: глобальная и локальная. Эти группы создавались для присваивания атрибутов безопасности и содержали только объекты пользователей. Active Directory добавляет третью группу - универсальную. Между группами существуют следующие различия.

По таблице 6.1 легко найти различия между локальными, глобальными и универсальными группами.

Таблица 6.1. Типы групп и области их применения
Тип группыВидимостьСостав
ЛокальныеЛокальный доменПользователи, глобальные или универсальные группы,
ГлобальныеЛесПользователи или глобальные группы
УниверсальныеЛесПользователи, глобальные или универсальные группы

Инструменты администрирования

Несмотря на то что поддержка и управление службой Active Directory находится на Windows 2000 или .NET-серверах, ей можно управлять и с удаленного Windows XP Professional-клиента. Такое управление реализуется посредством средств администрирования Windows .NET - набора инструментов, который можно добавить к консоли MMC Windows XP Professional-клиента.

Примечание. Важно помнить, что Windows XP Professional-клиент, которым вы пользуетесь, должен быть частью Windows 2000 домена. "Удаленно" не означает, что управление доменом осуществляется из интернета.

Как мы упоминали ранее, MMC является полезным инструментом, так как позволяет создавать модифицированное под нужды клиента окружение для сетевой работы и управления компьютером. Это реализуется с помощью оснасток. Вы можете добавлять их столько, сколько нужно для работы.

Набор инструментов Windows .NET Server Administration Tools Pack (adminpak.msi) позволяет администратору удаленно управлять серверами Windows 2000 с Windows XP Professional-компьютера.

Для инсталляции Windows .NET Server Administration Tools Pack на локальном компьютере скачайте его с сайта http://www.microsoft.com/downloads/release.asp?ReleaseID=34032&area=search&ordinal=1.

Файл adminpak.msi включен в инсталляционный диск Windows 2000. Однако версия для Windows XP на установочном диске Windows XP Professional отсутствует, хотя adminpak.msi включен в установочный диск .NET.

Примечание. На момент написания данного курса существовала третья бета-версия Windows .NET Server Administration Tools Pack. Размер файла составляет 10,4 Mб, что следует иметь в виду при загрузке файла по медленному соединению.

Windows .NET Server Administration Tools Pack предоставляет набор часто используемых инструментов для удаленного администрирования серверов и служб. Инструменты администрирования поставляются как оснастки для MMC. Их можно использовать для любой операционной системы Windows .NET Server и Windows XP Professional.

Примечание. Набор инструментов для администрирования не работает в среде Windows XP Home Edition или с 64-разрядными версиями.

Файл adminpak.msi включает в себя следующие приложения:

На рис. 6.11 приведен пример приложения Network Load Balancing Manager (Диспетчер балансировки сетевой нагрузки). Мы рассмотрим специфические функции каждого инструмента Windows .NET Administration Tools в приложении.

Домены являются важной составляющей работы сети. Они представляют собой не только механизмы для работы в больших сетях, но также важны для функционирования службы Active Directory и для обеспечения границ безопасности. Помимо использования на клиентских машинах, система Windows XP Profеssional также применяется для управления ресурсами домена.

Диспетчер балансировки сетевой нагрузки является частью пакета средств администрирования Windows .NET


Рис. 6.11.  Диспетчер балансировки сетевой нагрузки является частью пакета средств администрирования Windows .NET

Лекция 7. Информационные службы интернета

Windows XP Professional содержит программный продукт Internet Information Services (IIS), представляющий собой базирующееся на интернет программное обеспечение, используемое на серверах Microsoft. С помощью Windows XP Professional можно выполнять ограниченный набор задач веб-хостинга. Эта лекция рассказывает о таких задачах.

Несмотря на то что система Windows XP Professional гордится своими новыми инструментами для работы в интернете, один из самых мощных инструментов существует со времен появления Windows NT. Информационные службы интернета (Internet Information Services, IIS) предоставляют интегрированное обслуживание протокола транспортировки гипертекста (Hypertext Transport Protocol, HTTP ) и протокола передачи файлов (File Transfer Protocol, FTP ). IIS также включают в себя расширения и приложения других разработчиков, которые выводят его возможности за границы обычных интернет-сервисов. Сюда входят электронная почта, система безопасности и инструменты управления сайтами.

В этой лекции мы рассмотрим главный инструмент веб-сервиса компании Microsoft и его применение в среде Windows XP Professional. Сначала мы поговорим о том, что собой представляет IIS, и как им пользоваться. Затем рассмотрим процесс инсталляции в системе Windows XP Professional. В конце лекции мы дадим несколько полезных советов по использованию IIS.

Что такое IIS

IIS представляют собой группу интернет-серверов, в том числе веб-сервер и FTP-сервер. IIS включает приложения для построения и управления веб-сайтами, машину поиска и поддержку разработчиков веб-приложений, имеющих доступ к базам данных.

Компания Microsoft разработала IIS для построения веб-сервисов с использованием архитектуры учетных записей пользователей, предоставляемой доменом или службой Active Directory. Это позволяет использовать существующие базы данных пользователей, вместо того чтобы создавать новые. Преимущества этой особенности очевидны, если мы представим себе нужды крупной организации с огромными базами пользовательских данных. Кроме того, возможность тесной интеграции нового сервиса с доменом делает применение IIS еще более выгодным.

Другим хорошим качеством IIS является то, что эти службы интегрируются в операционные системы Windows XP Professional и Windows 2000 вместе с NTFS. Они работают вместе со стандартными инструментами сервера, такими как Event Viewer (Просмотр событий), Performance Monitor (Системный монитор), SNMP и System Management Server (Сервер управления системой), позволяя быстрее справляться с затруднениями и улучшая управление.

IIS также поддерживает интерфейс программирования приложений интернет-сервера (Internet Server Application Programming Interface, ISAPI). С помощью ISAPI можно создавать программы для работы с данными, которые приходят на сервер и возвращаются клиенту. ISAPI используется для создания соединений с серверами баз данных посредством службы ODBC (Open Database Connectivity). В этом разделе рассматривается версия IIS 5.1.

Отличительные черты IIS 5.1

IIS 5.1 является одной из версий служб интернета компании Microsoft, предоставляющей много инструментов для облегчения управления и веб-разработки.

Как упоминалось ранее, многие улучшения IIS касаются внутренней работы Windows XP Professional, обеспечивая прочную базу для функциональности и надежности системы. Улучшенная система безопасности и администрирования доступны в любой момент. Усовершенствования IIS 5.1 имеют отношение к четырем конкретным областям: надежности, безопасности, управлению и приложениям.

Надежность

По сравнению с прежними версиями IIS 5.1 демонстрирует повышенную надежность и стабильность. Например, при сбое перезапуск IIS стал более быстрым и легким. В ранних версиях при возникновении проблемы и остановке IIS администратору приходилось перезапускать четыре различных службы. IIS 5.1 перезапускается щелчком правой кнопки мыши на элементе консоли управления MMC или из командной строки.

HTTР (протокол, отвечающий за обмен данными в интернете) также улучшил свои качества в IIS 5.1. Администраторы веб-сайтов могут генерировать свои собственные модифицированные сообщения об ошибках. IIS включает в себя инструмент сжатия HTTP, который используется для упаковки статических и динамических веб-страниц с целью их ускоренной пересылки. Динамические страницы должны сжиматься отдельно, а статические страницы хранятся в кэше, что ускоряет передачу для будущих запросов данных.

Наконец, в IIS применяется защита приложений, которая позволяет приложениям работать отдельно от остальных IIS-процессов. В случае падения приложения вместе с ним не упадет весь IIS-сервер.

Регистрация и дросселирование

В IIS 5.1 улучшен процесс регистрации. У администраторов появилось больше возможностей отслеживать то, что происходит с их веб-сервисами. IIS могут не только генерировать регистрацию в почасовом режиме, но и позволяют обрабатывать зарегистрированные данные. К таким данным относятся пользовательское время и время ядра, дефекты страниц и прерванные процессы. Такой способ регистрации позволяет администраторам определять, где используются ресурсы системы, как можно изменить эти ресурсы, и что может этому препятствовать.

Если, просмотрев регистрационный журнал, администратор решит предпринять какие-либо действия, то он может воспользоваться инструментом, который называется дросселированием. Для управления ресурсами веб-серверов существует два вида дросселирования.

WebDAV. WWW является замечательным местом для массовой публикации материалов. Однако насколько удобно просматривать информацию, настолько же неудобно совместно работать над проектом. Компания Microsoft предлагает решать эту проблему с помощью продукта WebDAV (Web Distributed Authoring and Versioning).

WebDAV представляет собой расширение HTTP и позволяет авторам работать с файлами и каталогами, находящимися на сервере, с удаленных компьютеров посредством HTTP-соединения. Так как IIS интегрируется с Windows XP Professional, WebDAV получает дополнительную функциональность благодаря обеспечению безопасности и доступа к файлам системы Windows.

WebDAV позволяет удаленным пользователям перемещать, искать, редактировать или удалять файлы и каталоги с сервера. MMC позволяет легко создавать WebDAV-каталог. После того как каталог создан, авторизованные пользователи могут публиковать документы на сервере и вносить изменения в файлы. На рис. 7.1 показано, как происходит обмен документами с помощью WebDAV.

Примечание. Для того чтобы вносить изменения в файлы с помощью WebDAV, пользователи должны пройти авторизацию, то есть получить специальное разрешение на внесение изменений.

Обмен документами с помощью WebDAV


Рис. 7.1.  Обмен документами с помощью WebDAV

Клиенты, использующие WebDAV, могут получать доступ к каталогам посредством Windows XP Professional, Internet Explorer 6.0, Microsoft Office XP или любого другого клиентского приложения, поддерживающего протокол WebDAV. Установить соединение с WebDAV достаточно просто. На Windows XP Professional клиенте откройте My Network Places (Сетевое окружение) и воспользуйтесь мастером добавления в сетевое окружение (Add Network Place Wizard) (рис. 7.2).

После запуска мастера проделайте следующие шаги.

  1. В окне мастера следуйте инструкциям Windows XP Professional по созданию ярлыка веб-сайта, на котором находится WebDAV-сайт.
  2. После создания ярлыка его значок появится в папке My Network Places (Сетевое окружение).
  3. В поле Other Places (Другие места) щелкните на My Documents (Мои документы).
  4. Выберите файл или папку, которые нужно скопировать на веб-сервер.

    Для установки соединения с WebDAV воспользуйтесь мастером добавления в сетевое окружение операционной системы Windows XP Professional


    Рис. 7.2.  Для установки соединения с WebDAV воспользуйтесь мастером добавления в сетевое окружение операционной системы Windows XP Professional

  5. В поле File and Folder Tasks (Задачи для файлов и папок) щелкните на Copy this file (Скопировать файл) или Copy this folder (Скопировать папку).
  6. В диалоговом окне Copy Items (Копирование элементов) щелкните на папке My Network Places (Сетевое окружение) и затем щелкните на папке с ярлыком.
  7. Щелкните на Copy (Копировать).

Поддержка WebDAV со стороны системы Windows XP Professional хороша еще и тем, что любое приложение, запущенное в нем, получает возможность работать с протоколом WebDAV.

Обеспечение безопасности

При появлении каждой новой служебной программы улучшается и обеспечение безопасности. Наиболее интересными инструментами системы безопасности IIS являются Fortezza, Transport Layer Security, Advanced Digest Authentication и протокол аутентификации Kerberos v.5. В IIS содержатся и такие старые проверенные инструменты, как Secure Sockets Layer (SSL) и сертификаты, ставшие в новой версии IIS еще надежнее. Давайте поближе познакомимся с системой обеспечения безопасности IIS 5.1.

Примечание. Название Fortezza является зарегистрированным товарным знаком Национального агентства по безопасности

Примечание. Advanced Digest Authentication поддерживается только на доменах с Windows 2000- или .NET-контроллерами и используется только с браузером Internet Explorer v.5 и выше.

Управление

С IIS 5.1 управление стало более простым. Во-первых, IIS легко инсталлируются (более подробно см. раздел "Инсталляция IIS"). Кроме того, IIS 5.1 включают в себя мастера системы безопасности, учет времени протекания процессов, удаленное администрирование и генерирование сообщений об ошибках пользователей.

Как и многие другие Windows XP Professional-приложения и сервисы, IIS управляется с помощью MMC. Для доступа выберите Start\Control Panel (Пуск\Панель управления). Затем щелкните на Performance and Maintenance (Производительность и обслуживание), выберите Administrative Tools\Computer Management (Администрирование\Управление компьютером), а затем выберите оснастку IIS в поле Server Applications and Services (Серверные приложения и службы). Вы можете получить доступ к MMC, выбрав Start\Control Panel (Пуск\Панель управления). Затем надо щелкнуть на Performance and Maintenance ((Производительность и обслуживание)) и выбрать Administrative Tools\Internet Information Services (Администрирование\Информационные службы интернета).

Примечание. Не забывайте о том, что вы можете создать свою собственную пользовательскую консоль MMC (это и является основным качеством MMC) и включить IIS в список избранных дополнений.

Помимо прочего, IIS использует инструмент администрирования, разработанный на базе браузера, который позволяет управлять IIS посредством удаленного доступа через HTTP-соединение. В этом инструменте используется протокол HTTP, что позволяет управлять удаленным сервером из любого браузера на любой платформе.

Приложения

IIS дает новый импульс разработчикам программ, так как расширяет среду разработок приложений веб-сервера. Такие усовершенствования как Active Directory, модель компонентных объектов (Component Object Model, COM) и активные серверные страницы (Active Server Pages, ASP) широко используются программистами. Основной путь создания динамичного содержимого с помощью IIS состоит в применении ASP.

ASP позволяет объединять HTML и скрипты, используя целый ряд разработчиков для создания веб-страниц "на лету". ASP расширяет функциональность базового веб-сервера, облегчая построение динамичных веб-приложений. За счет этого поддерживается выполнение ASP-скриптов, которые можно написать на языках VBScript, JavaScript или Jscript и на других. Также в ASP можно включать компоненты ActiveX сервера, написанные на языках C++, Visual Basic и Java. Доступны предварительно созданные объекты, что используется для построения законченных веб-приложений без программирования или с небольшой его долей. ASP включает в себя несколько стандартных объектов, используемых при разработке веб-приложений.

ASP-скрипты используются для создания HTML "на лету". Это происходит следующим образом: когда рабочая станция клиента через браузер попадает на IIS-сервер и открывает ASP-документ, запускается скрипт. Скрипт генерирует HTML-код, основанный на введенных пользователем данных, типе браузера, содержания cookies, хранящихся на компьютере-клиенте и т. д. При выполнении он может запросить базу данных и разместить данные в таблице для отправки клиенту в виде HTML. В связи с тем что сервер обрабатывает запросы, выполняет прикладные задачи, получает результаты, упаковывает их, генерирует HTML-код и посылает его в браузер, он должен быть очень мощной системой. Если ваш сервер предназначен быть активным сервером, то позаботьтесь о том, чтобы он обладал достаточной мощностью.

ASP в IIS 5.1 предлагает ряд полезных инструментов.

ASP имеет ряд встроенных компонентов для выполнения следующих заданий:

Это быстрые и гибкие инструменты. Инструмент Browser Capatibilities, например, поддерживает функции, описанные в cookies, присланных браузером. Это дает гибкость работе кода сервера, основанного на характеристиках, поддерживаемых клиентом.

ASP поддерживает командные сценарии Windows, что позволяет превращать скрипты в COM-компоненты многократного использования в ASP и других COM-подчиненных программах.

FrontPage

На рынке программных продуктов нет недостатка в инструментах для создания HTML. Для развертывания и управления сайтами IIS широко использует инструменты приложения Front Page. Так, например, с помощью Front Page Server Extensions администраторы могут управлять своими веб-сайтами с графическим интерфейсом. Авторы могут создавать, размещать и работать со своими веб-страницами с удаленных компьютеров.

Front Page Server Extensions

Расширения FrontPage Server Extensions не ограничиваются работой только с продуктами компании Microsoft. Они могут устанавливаться на UNIX, SunOS и другие платформы.

Примечание. Более подробную информацию о Front Page и расширениях сервера можно получить на сайте http://www.Microsoft.com/frontpage.

FrontPage Server Extensions предлагают сетевым авторам и администраторам ряд возможностей:

Оснастка FrontPage

Управление FrontPage Server Extensions осуществляется посредством оснасток MMC. Оснастка используется для создания и обновления расширений сервера, конвертирования папок в подсети, создания новых конфигураций гиперссылок и многого другого. В более ранних версиях FrontPage управление осуществлялось с помощью инструмента Epsrvwin.

Оснастка позволяет выполнить следующие задания:

Вы можете узнать о том, задействовано ли расширение FrontPage Server Extensions, щелкнув правой кнопкой мыши на виртуальном сервере (расположенном на левой панели оснастки IIS) и выбрав All Tasks (Все задачи). Если вы увидите команду Configure Server Extensions (Настроить серверные расширения) или команды, связанные с сервером (проверка серверных расширений или пересчет гиперссылок), то расширения сервера работают. Если эти команды не появились, то расширения сервера следует подключить. Для этого откройте оснастку IIS MMC и выполните следующие задания.

  1. Щелкните на File (Файл) и затем щелкните на Add/Remove Snap-in (Добавить/удалить оснастку).
  2. Если меню консоли показывает только элемент Options (Параметры), то выберите Options и щелкните на Always open console file in author mode (Всегда открывать файл консоли в авторском режиме). Щелкните на ОК, закройте MMC и снова откройте.
  3. Затем в меню консоли щелкните на Add/Remove Snap-in. В результате появится диалоговое окно, показанное на рис. 7.3.
  4. Выберите вкладку Extensions (Расширения), затем выберите FrontPage Server Extensions (Серверные расширения FrontPage), (если еще не выбрано).
  5. Щелкните на ОК.

Управление содержимым интранета

Удобство IIS 5.1 проявляется не только тогда, когда надо представить материал на обозрение внешнему миру. IIS является хорошим инструментом для создания внутренней сети (интранета). На самом деле это наилучшее использование IIS в системе Windows XP Professional. Например, если у вас есть небольшая локальная сеть в филиале офиса, то желание создать интранет в качестве общедоступного информационного бюллетеня, превратив одного Windows XP Professional-клиента в интранет-сервер, использующий IIS, является разумным.

Подключение серверных расширений FrontPage


Рис. 7.3.  Подключение серверных расширений FrontPage

Для нормального функционирования некоторым приложениям потребуется инсталляция IIS. Например, Microsoft Visual Studio .NET требует инсталляции IIS, если вы собираетесь разрабатывать веб-приложения.

Инсталляция IIS

Как и у большей части других инсталляций, которые влияют на работу всей сети, здесь есть пара шагов, требующих понимания и выполнения перед началом установки IIS на платформу Windows XP Professional. В этом разделе рассматривается несколько вопросов, о которых вы должны помнить, и несколько требований, которые вы должны выполнить. В конце мы расскажем о процессе инсталляции IIS в Windows XP Professional.

Выбор места

IIS следует устанавливать на компьютер, работающий под управлением Windows 2000 Server или .NET Server. Однако в организации может не быть серверов такого типа, так что придется возложить задачу по обеспечению места жительства IIS на клиентский компьютер. Более того, вы можете обнаружить, что иметь IIS на компьютере-клиенте удобно во всех отношениях, включая управление IIS и .NET-разработку.

Воспользуетесь ли вы сервером или клиентом для инсталляции IIS, следует решить несколько чисто физических вопросов. Это необходимо сделать во имя безопасности данных, а не для собственного удобства. Необходимо убедиться в следующем.

Естественно, что потребности организации будут в значительной степени определять, куда и как вы поместите свой IIS-сервер. Например, если в филиале офиса IIS-сервер используется для отслеживания очередности тех, кто ходит за пончиками, то не имеет смысла вкладывать 1000 долларов в покупку источника бесперебойного питания (UPS). С другой стороны, если IIS сохраняет ваш .com на плаву, то, возможно, потребуется нечто более мощное, чем такой UPS.

На рис. 7.4 показано типичное размещение интернет- и интранет-веб-серверов. Интернет-веб-сервер располагается после брандмауэра и конечного маршрутизатора в демилитаризованной зоне (DMZ). Дополнительные меры по обеспечению безопасности и фильтрование могут осуществляться маршрутизатором, связанным с интернетом. Интранет-сервер защищен снаружи брандмауэром, но обеспечивает быстрый доступ для локальных пользователей.

Размещение интернет- и интранет-веб-серверов


Рис. 7.4.  Размещение интернет- и интранет-веб-серверов

Аппаратные и сетевые компоненты

Для установки IIS, учитывая требования компьютера и самой инфраструктуры сети, необходимо иметь какой-то минимум оборудования. Вот список самых необходимых компонентов для IIS-решения.

Программное обеспечение

После создания инфраструктуры на IIS-сервере можно разместить дополнительные сервисы. Основным назначением сервера является: создание и размещение веб-страниц, хранение документов и данных. Тем не менее, вы можете добавить следующие приложения:

В связи с тем, что интернет составляет огромную часть работы компьютерных сетей, постоянно разрабатываются новые дополнительные компоненты. Самую свежую информацию о программном обеспечении IIS можно найти на сайте http://www.microsoft.com.

Этапы инсталляции

Процесс инсталляции и настройки IIS в среде Windows XP Professional достаточно прост. IIS не является частью обычной инсталляции операционной системы, но содержится на компакт-диске Windows XP Professional. Для установки и конфигурации IIS проделайте следующее.

  1. Вставьте компакт-диск Windows XP Professional в CD-дисковод. Выберите Start\Control Panel (Пуск\Панель управления), затем выберите Add/Remove Programs (Установка и удаление программ).
  2. Щелкните на Add Windows Components (Добавить компоненты Windows).
  3. Отметьте флажок Internet Information Services (IIS). Оставьте все настройки инсталляции, данные по умолчанию, без изменений.
  4. Инсталляция занимает несколько минут. После завершения инсталляции вы сможете увидеть свою домашнюю станицу, идентифицировав сайт с помощью UNC. Введите http://localhost, где localhost - имя вашего компьютера. Если у вас нет веб-сайта в каталоге по умолчанию, то появится документация по IIS.

Примечание. Если вы не знаете имени своего компьютера, то щелкните правой кнопкой мыши на значке My Computer (Мой компьютер) на рабочем столе или в меню Start (Пуск). Выберите Properties (Свойства) и щелкните на вкладке Computer Name (Имя компьютера).

Каталог по умолчанию находится в папке C:\Inetpub\wwwroot. Однако добавление в этот каталог приведет к переписыванию IIS-документации. Чтобы избежать этого, следует установить свой собственный виртуальный каталог.

Примечание. Вы можете найти консоль IIS, выбрав Start\Administration Tools\Internet Information Services (Пуск\Администрирование\Internet Information Services).

Открыв консоль IIS (см. рис. 7.5), вы увидите веб-сервисы, работающие на вашей машине, включая SMTP-сервер и FTP-сервер, если они установлены вместе с IIS.

Консоль IIS


Рис. 7.5.  Консоль IIS

Конфигурирование IIS

Инсталляция - это далеко не все, что нужно для работы. К счастью, конфигурировать IIS достаточно легко с помощью дополнительных оснасток MMC. В этом разделе мы рассмотрим инструменты, необходимые для решения различных задач конфигурирования.

Управление IIS

Система Windows XP Professional централизованно управляет своими ресурсами с помощью одного инструмента - MMC. Этот инструмент отображает ресурсы IIS в виде дерева, чтобы вы могли осуществлять руководство посредством дружественного графического интерфейса. Вы можете получать доступ к сервисам с помощью щелчка правой кнопкой мыши и перехода в окно свойств. MMC с оснасткой IIS показан на рис. 7.6.

Оснастка ММС используется в Windows XP Professional для управления IIS


Рис. 7.6.  Оснастка ММС используется в Windows XP Professional для управления IIS

IIS-страница по умолчанию содержит информацию о свойствах и функциях IIS. Если вы захотите ими воспользоваться, то там же имеется несколько образцов веб-страниц. Страница включает в себя ссылки на ресурсы веб-сайтов, для доступа к которым потребуется интернет-соединение.

Конфигурирование веб-сервисов

Оба инструмента управления IIS позволяют администраторам работать с IIS-ресурсами привычным способом. Конфигурирование веб-сервисов выполняется с помощью двойного щелчка на веб-сервисе, выбранном из списка в главном окне управления IIS, и последующего выбора Properties (Свойства). В результате появляется диалоговое окно, показанное на рис. 7.7.

Конфигурирование веб-сервисов с помощью MMC


Рис. 7.7.  Конфигурирование веб-сервисов с помощью MMC

Свойства, которые, возможно, потребуется настроить, перечислены ниже.

Создать виртуальный каталог очень просто.

  1. Для добавления нового виртуального каталога щелкните правой кнопкой мыши на папке под значком Default Web Site и выберите New (Создать). В раскрывающемся списке выберите Virtual Directory (Виртуальный каталог).
  2. Запустится мастер создания виртуального каталога (Virtual Directory Creation Wizard). Щелкните на Next (Далее).
  3. Введите псевдоним, которым вы будете пользоваться для входа в виртуальный каталог из веб-браузера. Это имя вы впишите в веб-браузер после localhost-имени для просмотра веб-страниц, размещенных в этом каталоге.
  4. Появится кнопка Browse (Обзор). Нажмите, чтобы найти место расположения каталога, в котором находятся веб-страницы на компьютере. Затем щелкните на Next.
  5. В конце работы мастер продемонстрирует ряд флажков для настройки системы безопасности (рис. 7.8). Если безопасность вас не очень беспокоит, то отметьте их все. Если же беспокоит, и вы собираетесь работать с ASP-скриптами, то включите два первых флажка - Read (Чтение) и Run (Исполнение). Затем щелкните на Next.

Теперь виртуальный каталог установлен. Вы можете просматривать веб-страницы в папке, вводя http://localhost/aliasname, где aliasname - это имя, которое вы задали в шаге 3.

Примечание. При использовании NTFS можно создать виртуальный каталог, щелкнув правой кнопкой мыши на каталоге в Windows Explorer, затем щелкнув на Sharing (Доступ) и выбрав Web Sharing (Доступ через веб).

Регистрация

IIS предоставляет возможность контроля за тем, какие события регистрируются и как. Помимо разрешения регистрации доступа к обычным текстовым файлам ежедневно, еженедельно или ежемесячно, или пока файл журнала не достигнет определенной величины, вы можете экспортировать файлы журналов в базу данных SQL/ODBC.

Настройка системы безопасности при создании виртуального каталога


Рис. 7.8.  Настройка системы безопасности при создании виртуального каталога

Войдите в систему управления регистрацией, щелкнув правой кнопкой мыши на веб-сайте, которым вы собираетесь управлять, и выбрав Properties (Свойства), выбрать вкладку Web Site. Для включения записи лога нужно убедиться что флажок Enable Logging (разрешить логирование) Отмечен и выбран способ ведения журнала из списка. Далее нужно нажать кнопку Properties (свойства), в результате появится окно, показанное на рис. 7.9.

Опции системы регистрации IIS


Рис. 7.9.  Опции системы регистрации IIS

Скорее всего, вы будете пользоваться другими приложениями для чтения файлов журналов и написания отчетов об использовании веб-страниц. Эта статистика показывает, какие пользователи заходят на веб-сервер и что они просматривают при этом. Более того, журналы очень пригождаются при нарушении безопасности сервера.

Примечание. Если IIS-сервер активно используется, то файлы журналов принимают достаточно большие размеры. Поэтому было бы разумно размещать их на удаленной машине, чтобы их не могли взломать хакеры, если им удастся проникнуть в IIS-компьютер.

Контроль доступа

Естественно, что безопасность вашей сети имеет важное значение. Обеспечить доступ для законопослушных пользователей и одновременно оградить себя от всякого рода злоумышленников порой бывает очень нелегко. IIS включает несколько свойств (о которых мы поговорим позже), помогающих достичь нужного баланса.

Вы можете настроить систему контроля за доступом, щелкнув правой кнопкой мыши на веб-сайте, которым вы хотите управлять с помощью Диспетчера IIS, и выбрав Properties (Свойства). Щелкните на вкладке Directory Security (Безопасность каталога), и перед вами откроется целый ряд опций системы безопасности (см. рис. 7.10).

Контроль доступа поддерживает безопасность IIS


Рис. 7.10.  Контроль доступа поддерживает безопасность IIS

С помощью IIS можно предоставить или отказать в доступе для отдельных компьютеров (через IP-адреса). Если вы собираетесь предоставлять доступ для всех в интернете, то это вид контроля доступа не нужен. Однако если у вас есть личный интранет, то, возможно, потребуется предоставить доступ пользователям определенной подсети, скажем, пользователям подсети 10.0.5.0. Для этого щелкните на кнопке Edit (Изменить) в окне ограничений для IP-адреса и имени домена и введите необходимые ограничения.

Конфигурирование FTP-сервера

Вы можете предоставлять пользование файлами непосредственно на веб-странице. Однако все будет происходить быстрее и эффективнее, если установлен FTP-сервер. Это особенно удобно, когда у вас много файлов или многие хотят скачать эти файлы. В настройках FTP-сервиса есть много общего с настройками веб-сайта. Следовательно, мы будем говорить только об отличиях. Тем не менее, сначала убедитесь в том, что FTP-сервис установлен вместе с IIS. Если FTP-сервис не установлен, то сделайте это следующим образом.

  1. В Control Panel (Панель управления) щелкните на Add/Remove Programs (Установка/удаление программ).
  2. Щелкните на Add/Remove Windows Components (Установка компонентов Windows).
  3. Из списка выберите Internet Information Services (IIS) и щелкните на Details (Состав).
  4. Отметьте флажок File Transfer Protocol (FTP) Service (Служба FTP).
  5. Нажмите на ОК. Windows XP Professional может потребовать инсталляционный компакт-диск.
  6. Щелкните на Next (Далее).
  7. Щелкните на Finish (Готово).

Имеется несколько вкладок с различными настройками, которые можно модифицировать по своему усмотрению. Эти вкладки описаны ниже.

Регистрационные и расширенные возможности FTP-сервера аналогичны возможностям веб-сервера, и вы можете конфигурировать их, как вам удобно.

Использование IIS

Мы только что предоставили краткий обзор IIS. На самом деле это достаточно сложный инструмент, функциональность которого трудно описать в одной лекции. Есть масса других книг, посвященных всем тонкостям работы с IIS.

В последней части этой лекции дается краткий обзор использования IIS для построения и управления ресурсами в среде Windows XP Professional.

Установка страниц по умолчанию

При инсталляции IIS автоматически создаются веб-сайт и FTP-сайт по умолчанию. Однако, несмотря на наличие сетевых папок, вам все же приходится публиковать содержание в этих папках по умолчанию.

Публикация в сетевых папках

Публикация содержания в сетевых папках представляет собой процесс, состоящий из четырех этапов.

  1. Сначала следует создать веб-страницу с помощью любого инструмента для творческой (авторской) работы.
  2. Файл, содержащий домашнюю страницу, должен называться Default.htm или Default.asp.
  3. Скопируйте свою домашнюю страницу в сетевой каталог по умолчанию для IIS. При включении IIS домашний каталог - \Inetpub\wwwroot.
  4. Если сеть имеет службу разрешения имен, то посетители могут вводить имя компьютера в адресной строке веб-браузера, чтобы добраться до вашего сайта. Если разрешение имен недоступно, то они (посетители) должны будут вводить IP-адрес вашего компьютера.
Публикация в FTP-папках

Публикация в FTP-папке выполняется почти так же, как в веб-папке. Для этого проделайте следующие шаги.

  1. Перенесите свои файлы в FTP-каталог для публикаций (каталогом по умолчанию, созданным IIS, является \Inetpub\ftproot).
  2. Если в сети имеется служба разрешения имен, то посетители могут вводить имя компьютера, которому предшествует FTP:// (например, FTP://www.velte.com). Если службы разрешения имен нет, то они должны вводить IP-адрес, которому предшествует FTP://. Однако будет лучше, если пользователи воспользуются FTP-программой типа WS_FTP, которая делает процесс переноса более быстрым и эффективным.

Управление системой безопасности

Излишне говорить, насколько важно обеспечивать безопасность при работе с интернетом. В этом смысле IIS работает вместе с системой безопасности Windows XP Professional. Так создается интегрированная система защиты, которая является исключительно полезной.

Разрешения

Как и многие другие инструменты Windows XP Professional, NTFS предоставляет средства обеспечения безопасности на уровне диска. IIS не является исключением. Одним из лучших качеств NTFS является чувство собственной безопасности. Используя NTFS, можно ограничить доступ к своим IIS-файлам и каталогам, определить, кто из посетителей сайта имеет доступ к файлам на основании своей учетной записи или членства в группе.

Примечание. Перед тем как предпринимать что-либо, убедитесь, что жесткий диск (или его раздел) конвертирован в NTFS. Можете верить или не верить, но без этого NTFS не сможет ничего защитить.

Проделайте следующие шаги, чтобы обезопасить свои файлы с помощью NTFS.

  1. Откройте My Computer (Мой компьютер) и найдите папку или файл, для которых нужно настроить разрешения.
  2. Щелкните правой кнопкой мыши на папке или файле, выберите Properties (Свойства) и затем щелкните на вкладке Web Sharing (Доступ через веб).
  3. Далее воспользуйтесь ниспадающим списком для выбора веб-сайта, с которым вы хотите поделиться этим ресурсом.
  4. Нажмите на кнопку Share this folder (Открыть общий доступ к этой папке). Появится окно (см. рис. 7.11).
  5. Введите псевдоним для папки или файла.
  6. Установите любые разрешения или ограничения по своему выбору, включая следующие:
    • чтение;
    • запись;
    • доступ к тексту сценария (позволяет пользователям получать доступ к исходным файлам);
    • просмотр каталога.

    Введите псевдоним для папки или файла


    Рис. 7.11.  Введите псевдоним для папки или файла

  7. Установите любые разрешения прикладного характера:
    • Никаких;
    • Сценарии;
    • Выполнить (включает в себя сценарии).

Проделывая эти шаги, вы сможете устанавливать различные уровни доступа к своим файлам и папкам. Важно знать, что можно настроить разрешения одного уровня для доступа к папке с файлами, а доступ к определенному файлу (или папке) внутри данной папки сделать более ограниченным.

Аутентификация

Аутентификацией называется процесс подтверждения того, что данный пользователь является именно тем лицом, которым себя объявляет. Он выполняется в окне с полями для ввода имени пользователя и пароля. Если пользователь не обладает корректной информацией, то он не сможет войти в сеть или на FTP-сайт. Более того, IIS позволяет проводить аутентификацию при входе в определенный каталог или файл.

Веб-аутентификация. Для реализации аутентификации на веб-сайте проделайте следующие шаги.

  1. Сначала создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
  2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
  3. В окне Диспетчера IIS выберите веб-сайт, каталог или файл. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
  4. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). В поле Anonymous Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
  5. В появившемся диалоговом окне (рис. 7.12) укажите методы аутентификации, которые вы хотите применить.

Настройка аутентификации на веб-сайте


Рис. 7.12.  Настройка аутентификации на веб-сайте

FTP-аутентификация. Аутентификация на FTP-сервере дает такой же результат, но имеет свой уникальный процесс. Для введения FTP-аутентификации выполните следующие шаги.

  1. Создайте в Windows учетную запись пользователя, которая будет соответствовать выбранному методу аутентификации.
  2. Сконфигурируйте NTFS-разрешения доступа к каталогу или файлу, которые нужно защитить.
  3. В окне Диспетчера IIS выберите FTP-сайт. Щелкните на нем правой кнопкой мыши и выберите Properties (Свойства).
  4. Щелкните на ведомости свойств Security Accounts (Учетные записи безопасности) и отметьте Allow Anonymous Connection (Разрешить анонимные подключения).
  5. В поля Username (Имя пользователя) и Password (Пароль) введите имя пользователя и пароль для анонимного доступа, которые вы будете использовать. Имя пользователя обычно задается в виде IUSR_computername. Если отмечен флажок Allow IIS to control password (Разрешить управление паролем из IIS), то уберите отметку для смены пароля.
  6. Снова отметьте флажок Allow IIS to control password, чтобы синхронизировать пароли с учетными записями.
  7. Отметьте флажок Allow only anonymous connections (Разрешить только анонимные подключения). Это является требованием к каждому посетителю регистрироваться в качестве анонимного пользователя.
  8. Нажмите на ОК.
  9. Установите необходимые NTFS-разрешения для анонимного доступа.
Анонимная аутентификация

Учетная запись доступа IUSR_computername появляется в файле Guest (Гость) при назначении анонимного доступа. Для создания переменного уровня безопасности посредством присвоения разрешений на доступ к различным частям своего веб-сайта, вы можете установить разные анонимные учетные записи, каждая из которых дает различный доступ к группам. Однако имейте в виду, что анонимная учетная запись должна иметь разрешения Log On Locally (Локальный вход), иначе IIS не сможет обрабатывать эти запросы.

Примечание. Права Log On Locally (Локальный вход) присваиваются посредством Active Directory Service Interfaces - ADSI (дополнительного инструмента MMC).

Для изменения учетной записи, используемого для анонимной аутентификации, выполните следующие действия.

  1. В окне Диспетчера IIS щелкните правой кнопкой мыши на сайте, каталоге или файле, в которые нужно внести изменения, и выберите Properties (Свойства).
  2. Выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла) и в поле Anonymouse Access and Authentication Control (Анонимный доступ и контроль аутентификации) щелкните на Edit (Изменить).
  3. Откроется диалоговое окно Authentication Methods (Методы аутентификации). В поле Anonymous access (Анонимный доступ) щелкните на кнопке Browse (Обзор).
  4. В диалоговом окне Anonymous User Account (Учетная запись анонимного пользователя) введите учетную запись пользователя.
  5. Очистите флажок Allow IIS to control password (Разрешить управление паролем из IIS) и введите пароль, соответствующий этой учетной записи.
Шифрование

Правильная регистрация посетителей на IIS еще не означает, что данные полностью защищены от нежелательного просмотра. Вы можете заставить своих авторизованных посетителей создавать зашифрованные каналы, перед тем как получить доступ к информации. Единственная тонкость здесь состоит в том, что и сервер и клиент для обеспечения безопасности канала должны поддерживать одну и ту же схему шифрования. Если они оба используют современные браузеры и серверы, то это не является проблемой.

Примечание. Шифрование невозможно без инсталляции действительного сертификата сервера.

Для настройки шифрования проделайте следующие шаги.

  1. В окне Диспетчера IIS щелкните правой кнопкой мыши на том сайте, каталоге или файле, в которые нужно внести изменения, а затем выберите Properties (Свойства).
  2. Предполагая, что вы еще не создали пару ключей сервера и запрос о сертификате, выберите вкладку Directory Security (Безопасность каталога) или File Security (Безопасность файла). (Если вы это уже проделали, то переходите к пункту 4.)
  3. В поле Secure Communications (Безопасные подключения) щелкните на Server Certificate (Сертификат). Запустится мастер сертфикатов веб-сервера (Web Server Certificate Wizard), который выполнит остальную часть процесса.
  4. Вернувшись в главное окно Properties (Свойства), выберите вкладку Directory Security или File Security и в поле Secure Communications щелкните на Edit (Изменить).
  5. В открывшемся диалоговом окне Secure Communications выберите Require Secure Channel (SSL) (Требуется безопасный канал).

Примечание. Убедитесь в том, что ваши пользователи знают, что им следует вводить https:// вместо http://.

Управление содержимым

Хорошо известно, что разработка содержимого и размещение его на веб-сервере являются не окончанием путешествия, а, скорее, первым шагом. Веб-сайты стали "живыми", в чем и заключается причина такой популярности интернета. Содержание перестает быть статичным, как в книгах, журналах и газетах. И все это может стать настоящей головной болью, если вы не умеете управлять веб-содержимым.

После размещения в интранете информационного бюллетеня компании непременно настанет время его обновить. Вам доступен ряд инструментов, которые помогают управлять содержанием IIS.

С чего начать

Первым делом надо настроить свои веб-страницы, назначив каталоги, в которых будут находиться документы. Веб-страницы должны быть локализованы в этих каталогах, чтобы IIS мог публиковать их. Каталоги выбираются с помощью Диспетчера IIS.

Если принять, что все файлы находятся на одном жестком диске с IIS, то можно опубликовать эти документы, просто скопировав файлы в домашний каталог по умолчанию IIS: C:\InetPub\wwwroot.

Примечание. Для FTP-сайтов каталогом по умолчанию является C:\Inetpub\ftproot.

Пользователи интранета могут получить доступ к этим файлам с помощью URL http://servername/filename. Интернет-пользователи будут вводить обычный URL для входа на вашу страницу.

Отведи меня домой

В интересах сайта и в ваших собственных следует создать домашние каталоги для каждого веб- и FTP-сайта. Домашний каталог содержит файл-указатель, приглашающий посетителей и соединяющий их ссылками с другими страницами сайта, и он обозначен либо именем домена (для интернет-посетителей), либо именем сервера (для интранет-посетителей).

Например, если вы размещаете веб-содержимое по поводу ежегодного праздника членов клуба автолюбителей, интернет-пользователи могут вводить http://www.mudtacular2002.com. Однако члены клуба воспользуются именем сервера (Mr.Mud), чтобы попасть на страницу (на языке интранета это будет выглядеть как http://mrmud). Каким бы образом визитеры ни заходили на сайт, они попадут прямо в домашний каталог. По умолчанию домашний каталог появляется после инсталляции IIS при создании нового веб-сайта.

Обходной путь

Сколько раз бывало, что вы заходили на веб-страницу только для того, чтобы прочитать сообщение, подобное этому:

We're sorry, the page you're looking for is no longer here.

We will redirect you in a moment.

(Просим извинения за то, что страница, которую вы, искали больше не существует. Сейчас мы вас перенаправим.)

Это раздражает, но этого нельзя избежать, особенно на больших сайтах со сложной файловой структурой. К сожалению, если вам приходится переносить страницы из одной папки в другую на своем сайте, не всегда удается отследить и исправить все ссылки. Вместо того чтобы менять все URL, просто дайте команду IIS сообщить браузеру, где находятся новые ссылки. Это называется переадресацией запроса браузера. Используя IIS, можно переадресовать запросы:

Когда браузер посетителя ищет файл в соответствии со старым URL, IIS сообщает браузеру местонахождение нового URL (т. е. переадресовывает).

С помощью следующих шагов можно переадресовать запросы на другой веб-сайт или в другой каталог.

  1. Откройте Диспетчер IIS и щелкните правой кнопкой мыши на веб-сайте или на каталоге, который нужно изменить.
  2. Выберите Properties (Свойства).
  3. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог). Результат показан на рис. 7.13.

    Переадресация запросов браузера в IIS


    Рис. 7.13.  Переадресация запросов браузера в IIS

  4. Выберите A redirection to a URL (Перенаправление на URL).
  5. В поле Redirect (Переадресовать) введите URL нового каталога.

Для переадресовки запросов на определенный файл:

  1. Откройте оснастку IIS MMC и щелкните правой кнопкой мыши на веб-сайте или каталоге, который нужно изменить.
  2. Щелкните на вкладке Home Directory (Домашний каталог), Virtual Directory (Виртуальный каталог) или Directory (Каталог).
  3. Выберите A redirection to URL (Перенаправление на URL).
  4. В поле Redirect to (Переадресовать) введите URL конечного файла.
  5. Выберите The exact URL (Существующий URL), введенный выше.
Вставки на стороне сервера

Часто посетителям веб-сайта будет требоваться предоставление пользовательской (модифицированной) веб-страницы. Настолько модифицированной, что это трудно заранее вообразить и иметь такую страницу на своем сайте. Например, когда вы заходите на Amazon.com и ищете определенное название, то конечная информация генерируется на странице, отвечающей этому запросу. Это называется динамическим содержимым.

IIS поддерживает динамическое содержимое с помощью вставок на стороне сервера (Server-Side Includes, SSI). Большую часть работы по управлению веб-сайтом можно выполнить посредством SSI. Так называемые директивы добавляются к веб-страницам во время разработки последних. При поступлении запроса на страницу IIS выполняет директивы, которые на них содержатся.

Наиболее распространенной директивой является include (включить), которая инкорпорирует содержимое файла на указанную веб-страницу. Например, если на странице есть баннер, который содержит ссылку на рекламу, то следует воспользоваться SSI для включения HTML-источника этого баннера на веб-страницу. Когда потребуется обновить баннер, не надо менять страницу целиком: просто обновите файл баннера.

Подключение SSI выполняется посредством следующих действий.

  1. Убедитесь в том, что файлы, содержащие SSI-директивы, имеют соответствующие SSI-расширения (.stm, .shtm, .shtml).
  2. Разместите SSI-файлы в каталоге с разрешениями доступа Scripts (Сценарии) и Execute (Выполнение).

Отключить SSI можно следующим образом.

  1. Откройте окно Диспетчера IIS и щелкните правой кнопкой мыши на веб-сайте или каталоге, который вы хотите изменить.
  2. Выберите Properties (Свойства).
  3. Щелкните на вкладке Home Directory (Домашний каталог) или Directory (Каталог).
  4. Выберите каталог, в котором запускается приложение.
  5. Щелкните на кнопке Configuration (Настройка) и затем щелкните на вкладке App Mappings (Добавить связи) (см. рис. 7.14).
  6. Выберите расширение и щелкните на кнопке Remove (Удалить).

IIS представляет собой весьма богатую тему для обсуждения и заслуживает гораздо большего внимания. Можно надеяться, что эта лекция даст вам общее представление о полезности, инсталляции и управлении IIS. Потратьте свое время на изучение IIS и вы обнаружите полезный инструмент интернета и интранета.

Отображение распределения приложений


Рис. 7.14.  Отображение распределения приложений

Лекция 8. Инструменты и методики решения проблем, возникающих в компьютерных соединениях

В сетевых соединениях могут с той или иной периодичностью возникать серьезные проблемы. В данной лекции обсуждается набор методов, сценариев и средств устранения неполадок, помогающих разрешить эти проблемы.

Полностью противостоящую сбоям компьютерную сеть еще предстоит разработать. Если это когда-нибудь случится, то члены мирового сообщества пожмут друг другу руки в знак всеобщего согласия. Однако до тех пор остается только молиться о том, чтобы ничего не стряслось с вашей сетью. Если у вас будут возникать проблемы со связью (а так будет), то Windows XP Professional предоставит ряд инструментов, которые помогут обнаружить причину затруднений.

В этой лекции сначала рассматриваются инструменты, пригодные для решения проблем, возникающих в самой системе Windows XP Professional. Далее мы поговорим об устранении неполадок в сетях (как в локальных, так и в сетях удаленного доступа). В конце мы рассмотрим некоторые инструменты, часто используемые в сетях TCP/IP, которые могут оказать неоценимую помощь при возникновении проблем в сетях Windows XP Professional.

Проблемы, возникающие в Windows XP Professional

Ряд инструментов и методик полезен при устранении проблем с Windows XP Professional-клиентом. Эти проблемы могут быть самыми разнообразными, от раздражающего зависания программ до самого худшего - невозможности загрузить компьютер. Из этого раздела вы узнаете, как с помощью Windows XP Professional выйти из затруднительного положения наиболее легким способом.

Режимы запуска

Если при попытке загрузить компьютер вы когда-нибудь обнаруживали, что он вообще не запускается, то вам знакомо возникающее при этом тошнотворное ощущение. Однако если на вашем жестком диске присутствует операционная система Windows XP Professional, то она предложит девять способов "поднять" компьютер и заставить его работать.

Windows XP Professional имеет более надежный набор режимов запуска, чем предыдущие версии, и может эффективно помочь в обнаружении проблем с установкой и настройками. Вы можете просмотреть список режимов запуска, нажав F8 во время загрузки. Вот эти режимы.

Каждый из этих режимов полезен по-своему. Но, скорее всего, вы будете пользоваться только четырьмя режимами.

Безопасный режим

Безопасный режим является одним из главных инструментов еще со времен Windows 95. В этом режиме загружается минимальный набор драйверов. Основные функции Windows сохраняются, но вы узнаете режим Safe Mode, поскольку система обращается к VGA-режиму экрана (640х480, 16 цветов). Единственными доступными в безопасном режиме устройствами являются клавиатура, мышь и жесткий диск. Этот режим используется тогда, когда компьютер не может корректно загружаться, например, после инсталляции некачественной программы.

Безопасный режим с загрузкой сетевых драйверов

Этот режим похож на безопасный режим и позволяет установить сетевое соединение. Его можно использовать, если вам требуется попасть в сеть для решения проблемы, связанной с Windows, например, найти в сети файл или воспользоваться Удаленным помощником (Remote Assistance).

Безопасный режим с поддержкой командной строки

В двух предыдущих режимах присутствует то качество Windows, которое делает эту систему столь популярной, а именно графический пользовательский интерфейс (GUI). Однако в безопасном режиме с поддержкой командной строки вы не сможете на него положиться. Вместо этого вы будете работать в окне команд и использовать команды DOS для достижения своих целей.

Этот режим можно запустить с установочного диска Windows XP Professional, и он называется консоль восстановления (Recovery Console). Для старта консоли восстановления загрузите компьютер с установочного компакт-диска и нажмите клавишу "R" в начале процесса установки. Более того, полезно сделать консоль восстановления частью инсталляции Windows XP Professional. Для этого вставьте компакт-диск в CD- или DVD-дисковод, выберите Start\Run (Пуск\Выполнить), введите d:\i386\winnt32.exe/cmdcons (где d: - обозначение CD-дисковода) и затем щелкните на ОК.

Складывается впечатление, что этот режим доставляет много хлопот. Однако если вы знаете имена и местоположение файлов, которые вызывают проблемы, то можете найти их и уничтожить без всякого сожаления.

Примечание. Для получения списка доступных команд введите HELP и нажмите Еnter.

Вот несколько основных команд DOS, которые помогут вам справиться с проблемой.

CD windows\desktop

покажет содержимое подкаталога рабочего стола в каталоге Windows. Для выхода из папки введите

CD ..

· DEL. Используется для удаления файлов. Просто введите DEL и имя файла - и пошлите ему прощальный поцелуй. Вы можете пользоваться командой DEL для удаления всех файлов (в выбранном каталоге) определенного типа. Например, если нужно избавиться от всех файлов Adobe Acrobat, введите

DEL * .PDF

· CHKDSK. Если необходимости уничтожать определенный файл нет, но проблемы с загрузкой остаются, и вы подозреваете неполадки с жестким диском, то инструмент Microsoft Check Disk проверит его. Он исследует целостность диска и определит количество использованного пространства. Для получения лучших результатов команду CHKDSK следует выполнять до запуска Windows - введите CHKDSK/F. Появится сообщение об ошибке и вопрос о том, нужно ли выполнить команду перед следующим запуском Windows. Нажмите на Y и затем нажмите на Enter.

Загрузка последней удачной конфигурации

Система Windows XP Professional может вернуть компьютер к тому времени, когда все работало нормально. Выбрав этот стартовый режим, вы, скорее всего, потеряете все приложения, которые пытались проинсталлировать, но заодно исчезнет и маленький злодей, вызвавший неприятности. В отличие от System Restore, на контрольно-пропускном пункте Last Known Good Configuration вы не создадите исходной конфигурации для восстановления системы. Вместо этого компьютер просмотрит реестр и выберет точку для восстановления из имеющихся конфигураций. Чаще всего это срабатывает, но можно и не получить ожидаемых результатов.

Дело в том, что ваше понимание того, что такое хорошая конфигурация, и точка зрения Windows являются субъективными и не обязательно совпадают. Например, если у вас возникли проблемы с приложением или драйвером, но система Windows работает, то ОС сочтет такую конфигурацию хорошей. Для вас же она будет плохой, так как не дает ожидаемых результатов.

Загрузочная дискета

Другой вид запуска осуществляется с помощью загрузочной дискеты. Это такая дискета, которую вы храните в безопасном месте и используете в случае аварии компьютера для его перезапуска. Утилита System Restore в Windows XP Professional предназначена для облегчения процесса восстановления, но на всякий случай хорошо иметь под рукой загрузочную дискету.

Чтобы сделать загрузочную дискету, выполните следующие действия.

  1. Вставьте в дисковод чистую дискету.
  2. Выберите Start\My Computer (Пуск\Мой компьютер)
  3. Щелкните правой кнопкой мыши на значке дисковода и выберите Format (Форматировать) (рис. 8.1).

    Создание загрузочной дискеты


    Рис. 8.1.  Создание загрузочной дискеты

  4. Отметьте флажок Сreate an MS-DOS startup disk (Создание загрузочного диска MS-DOS ).
  5. Щелкните Start (Начать).

Если вам придется загружать компьютер с помощью загрузочной дискеты, то у вас окажется еще более аскетический набор драйверов, чем тот, который доступен в безопасном режиме загрузки. Вы не сможете воспользоваться драйверами компакт-диска или DVD-диска. Более того, вы не увидите ни одного NTFS-диска, а только FAT-диски. Однако, если жесткий диск не в порядке, то это именно тот инструмент, который нужен для запуска компьютера.

Исправление инсталляции

Если вы столкнулись с проблемами во время инсталляции Windows XP Professional, то, возможно, придется провести некоторые восстановительные работы. Для этого воспользуйтесь мастером установки Windows XP Professional (Windows XP Professional Setup Wizard). Эта программа запускается следующим образом.

  1. Вставьте установочный диск Windows XP Professional в CD-дисковод и выберите Install Windows XP (Установка Windows XP ). Начнется процесс инсталляции и после первой перезагрузки будет указано на то, что инсталляция продолжается. Затем мастер спросит, хотите ли вы внести исправления в инсталляцию.
  2. Нажмите клавишу R для внесения исправлений. После завершения инсталляции перезагрузите компьютер.
  3. Нажмите F3 для перезагрузки - и вы вернетесь в программу установки Windows XP. На этом этапе завершите работу мастера, не выполняя повторную инсталляцию Windows.

"Зависание" программ

Даже с самыми лучшими из нас это случается. При выполнении программы компьютер останавливается, и данные становятся заблокированными. Это раздражает во время игры, и это - катастрофа, если вы работаете. Иногда, если повезет, можно снова все восстановить. В других случаях приходится начинать все с самого начала. На случай "зависания" программы система Windows XP Professional располагает двумя инструментами, которые помогут хотя бы частично сохранить данные.

Диспетчер задач

Каждому, кто работал в Windows, приходилось сталкиваться с "зависанием" программы, то есть с тем, что программа перестает реагировать. К сожалению, лучшее, что вы можете сделать - остановить работу программы, не вызывая сбоя в работе компьютера. Диспетчер задач (Task Manager) (рис. 8.2) поможет в этом.

Диспетчер задач включается с помощью нажатия клавиш CTRL-ALT-DEL. На вкладке Applications (Приложения) диспетчера задач имеется список текущих работающих приложений. Если программа "зависла", то в колонке Status (Состояние) появится Not Responding (Не отвечает). Для остановки работы приложения щелкните на нем и затем щелкните на кнопке End Task (Завершить задачу).

Если в системе действительно возникли проблемы, то возможно, придется полностью перезагрузить компьютер. Для этого включите диспетчер задач и выберите в меню Shut Down (Перезагрузка).

Диспетчер задач


Рис. 8.2.  Диспетчер задач

Регистрация ошибок

В лекции 2 мы говорили о последствиях обеспечения секретности при активации Windows XP. Обеспечение секретности может стать проблемой при зависании приложения. Если с вашим компьютером случилась неприятность, то система Windows XP Professional предлагает функцию регистрации ошибок для написания отчета об ошибке, который можно отправить в компанию Microsoft. Эта функция позволяет посылать информацию в Редмонд, где Microsoft на основании сообщения устанавливает причины сбоя.

Однако, в отличие от активации, эту функцию можно отключить. Если вы не хотите делиться информацией об ошибках с компанией Microsoft, то проделайте следующее.

  1. Выберите Start (Пуск) и щелкните правой кнопкой мыши на My Computer (Мой компьютер).
  2. В появившемся меню выберите Properties (Свойства).
  3. Щелкните на вкладке Advanced (Дополнительно).
  4. Нажмите кнопку Error Reporting (Отчет об ошибках ) для вызова диалогового окна Error Reporting (рис. 8.3).
  5. Выберите, какой уровень отчета об ошибке вам больше подходит:
    • никакой;
    • только Windows;
    • приложения.

Конфигурирование опций регистрации ошибок


Рис. 8.3.  Конфигурирование опций регистрации ошибок

Остановка запускающихся программ

При включении Windows XP Professional на компьютере может автоматически запуститься приложение, которое неправильно взаимодействует с остальными приложениями. К сожалению, Microsoft не разрешает легко отключить автозапуск программ. Если вы не хотите активировать какое-то конкретное приложение, то есть три подходящих способа для его отключения.

Папка автозагрузки

Проще всего это сделать в папке Startup (Автозагрузка). Для ее открытия выберите Start\All Programs\Startup (Пуск\Все программы\Автозагрузка). Если в этой папке находится ярлык приложения, то просто удалите его.

Утилита System Configuration

Утилита System Configuration является удобным инструментом для показа и редактирования различных элементов конфигурации системы. Для ее открытия (рис. 8.4) выберите Start\Run (Пуск\Выполнить) и введите MSCоnfig.

На вкладке General (Общие) выберите Selective Startup для включения режима выборочного запуска. Это режим, при котором Windows запрашивает конфигурацию перед запуском каждой программы.

На вкладке Startup (Автозагрузка) показан список программ, которые запускаются при загрузке Windows. Если вы отмените выбор любого элементов этой вкладки, то автоматически включится режим Selective Startup.

На вкладке Win.ini можно ознакомиться с файлом Win.ini. В этом файле содержится информация о конфигурации Windows. Проверьте наличие в нем строки, которая активирует запрос о запуске приложения. Обычно это строка начинается с "run=" или "load=".

Утилита System Configuration


Рис. 8.4.  Утилита System Configuration

Реестр

Реестр - это база установочных данных программ для операционной системы Windows XP Professional. Воспользуйтесь редактором реестра (выберите Start\Run и введите regedit) для поиска файла. Будет очень хорошо, если вы сделаете запасную копию журнала, перед тем как залезть в него. Исследуйте группу ключей HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RUN, чтобы найти список программ, которые запускаются автоматически.

Предупреждение. Файл Win.ini и реестр - это не место для опрометчивых поступков. Если вы поменяете строки местами, то это может вызвать серьезные проблемы с компьютером. Будьте предельно внимательны, работая в этих файлах.

Консоль MMC

Компания Microsoft создала консоль MMC, чтобы облегчить управление путем использования расширяемого, последовательного и интуитивного интерфейса для всех административных приложений. ММС - это многодокументный интерфейс системы Windows, похожий на веб-браузер Internet Explorer. Являясь всего лишь обрамлением, ММС не имеет собственных функций. Ему нужны оснастки, чтобы он мог работать по назначению. Такие оснастки существуют для многих современных административных инструментов, например Event Viewer.

Оснастки являются полностью модифицируемыми, могут быть созданы с нуля и включать в себя сетевые интерфейсы. Как только в ММС появляется нужная оснастка, вы можете сохранить ММС в качестве инструмента. Администратор включает в ММС все те оснастки, которые нужны ему для выполнения сложных административных заданий, и использует только ММС, а не переключается с одного приложения на другое.

Основная консоль выглядит так, как это показано на рис. 8.5.

Основной вид одинаков почти для всех оснасток ММС. В верхней части исходной структуры расположено главное меню и панель инструментов. Здесь вы найдете знакомые элементы, которые контролируют управление файлом или окном, такие как Properties (Свойства), View (Просмотр) и Help (Справка). Инструменты панели будут различаться, но, в основном, они предоставляют помощь при навигации или выполняют такие функции, как создание новых папок или удаление файлов.

Пустая консоль MMC


Рис. 8.5.  Пустая консоль MMC

Фреймы, расположенные внутри исходной структуры, называются дочерними (children frame) и могут сильно различаться, но чаще всего представляют собой два фрейма. Левый фрейм содержит специфическую иерархию организации оснастки, правый фрейм представляет данные, относящиеся к элементу, выделенному в левом фрейме.

Для добавления инструментов в меню Console (Консоль) щелкните на Add/Remove Snap-in (Добавить или удалить оснастку). Появится диалоговое окно Add/Remove Snap-in (рис. 8.6).

В диалоговом окне нажмите кнопку Add (Добавить) и щелкните на оснастке, которую вы хотите добавить (в данном случае это Event Viewer, показанный на рис. 8.7). Затем щелкните на Add. Таким способом вы можете добавить в ММС столько инструментов, сколько вам нужно.

Открытие диалогового окна Add/Remove Snap-in (Добавить или удалить оснастку)


Рис. 8.6.  Открытие диалогового окна Add/Remove Snap-in (Добавить или удалить оснастку)

Выберите оснастку из списка в диалоговом окне


Рис. 8.7.  Выберите оснастку из списка в диалоговом окне

Просмотр событий

Своим происхождением Event Viewer (Просмотр событий) обязан операционной системе Windows NT 3.1. В Windows XP Professional он является частью ММС. Event Viewer следит за всем, что происходит во время работы Windows. Это достаточно мощный инструмент, который может ответить на вопросы при возникновении затруднений в работе системы.

Для запуска Event Viewer в ММС откройте System Tools (Служебные программы) и щелкните на Event Viewer. В открывшемся окне (рис. 8.8) представлены три элемента, которые Event Viewer может отслеживать:

Event Viewer (Просмотр событий)


Рис. 8.8.  Event Viewer (Просмотр событий)

Двойной щелчок на определенном событии открывает окно, в котором со всеми деталями описывается событие и дается интернет-ссылка на описание этого события. Пример такого события приведен на рис. 8.9.

Команда меню Status (Состояние)

Если Windows XP Professional-клиент предназначен для приема входящих соединений с другими устройствами, то в папке Network Connections (Сетевые подключения) для каждого установленного соединения появляется значок с именем пользователя. Для просмотра всех входящих соединений щелкните правой кнопкой мыши на имени соединения и затем щелкните на Status (Состояние).

Команда Status (Состояние) выведет следующую информацию.

Свойства события


Рис. 8.9.  Свойства события

Этот инструмент показан на рис. 8.10.

Состояние сетевого соединения


Рис. 8.10.  Состояние сетевого соединения

Изучив эти параметры, вы сможете определить, имеются ли проблемы со связью. Например, если у вас имеется быстрое соединение Fast Ethernet, а показанная скорость составляет только 10 Мб/с, то что-то не в порядке. Указанием на более серьезную проблему является разрыв соединения (появление красного крестика рядом со значком и невозможность открытия меню состояния). Появившийся рядом со значком текст укажет верное направление действий для решения проблемы. Например, вы увидите "Network cable unplugged" (Сетевой кабель не подключен).

Помощь в поддержке работы сети

Открыв диалоговое окно Local Area Connection Status (Состояние локального сетевого соединения) и выбрав вкладку Support (Поддержка), вы увидите тип адреса, IP-адрес, маску подсети и адрес шлюза по умолчанию. Щелкните на кнопке Details и просмотрите подробную сводку о сетевом соединении (рис. 8.11), включающую в себя следующие пункты.

Подробная информация о сетевом соединении


Рис. 8.11.  Подробная информация о сетевом соединении

Диагностика сети

В Центре помощи и поддержки (Help and Support Center) системы Windows XP Professional вы можете воспользоваться инструментом Network Diagnostics (Диагностика сети) для проверки ряда сетевых настроек. Для доступа к этому инструменту откройте Help and Support Center в меню Start (Пуск) и щелкните на пункте Fixing a Problem (Устранение неполадок). В появившемся окне откроется список проблем, которые можно решить (рис. 8.12).

Например, система Windows XP Professional может просмотреть вашу сеть и провести серию автоматических тестов. Она проверит модемы и сетевые карты (помимо всего прочего) и укажет специфические параметры устройств, приложений и сервисов, которыми вы пользуетесь. Например, параметры сетевого адаптера включают в себя следующее:

Устранение проблем в Центре помощи и поддержки


Рис. 8.12.  Устранение проблем в Центре помощи и поддержки

Инструмент укажет и такие дополнительные подробности, как:

Другие инструменты устранения конфликтов будут выдавать инструкции о необходимых действиях, от вас потребуется нажать на Yes или No в зависимости от полученных результатов.

Восстановление соединения

Если вас беспокоит какое-либо соединение, то Windows XP Professional предлагает легкий способ восстановить его. Просто щелкните правой кнопкой мыши на соединении в окне Network Connections (Сетевые соединения) и затем щелкните на кнопке Repair (Восстановить).

Страница диагностики Центра помощи и поддержки системы Windows XP Professional


Рис. 8.13.  Страница диагностики Центра помощи и поддержки системы Windows XP Professional

Щелкнув на кнопке Repair, вы сможете установить ряд сетевых настроек, к которым относятся:

Восстановление системы

Если в компьютере возникли неполадки, то компания Microsoft предложит инструмент системного уровня, который поможет вернуться к нормальной работе. Инструмент System Restore (Восстановление системы) полезен в тех случаях, когда вы проинсталлировали программу, вызвавшую сбой компьютера или его некорректную работу. System Restore можно представить себе в виде гигантской кнопки Undo (Отменить).

Используя System Restore, вы сможете возвратить настройки своего компьютера к тому времени, когда он нормально работал. Более того, вы сами вручную можете установить точку восстановления. Точки восстановления создаются автоматически, либо по установленной схеме, либо в ответ на определенные события в системе, такие как инсталляция нового драйвера. Помимо этого, можно вручную создавать точки восстановления в любое время.

Если в компьютере произошел сбой, то можно вернуться к одной из точек восстановления, что, в свою очередь, переустановит драйверы и приложения в том виде, в каком они были во время создания точки восстановления. Точка восстановления содержит два типа информации:

Примечание. System Restore восстанавливает программы, а не файлы. Если вам приходится запускать System Restore, то это не изменит файлы Microsoft Office, веб-страницы или другие документы в папке My Documents.

Информация, хранящаяся в точке восстановления, включает в себя следующее:

Активизация восстановления системы

System Restore (Восстановление системы) подключается к системе во время инсталляции Windows XP Professional. Однако можно отключать или включать эту функцию по мере необходимости. Вы можете отключить инструмент, если на диске мало места. Но помните, что нельзя воспользоваться System Restore, если он не активизирован. Для включения и отключения проделайте следующие шаги.

  1. В панели управления откройте Performance and Maintenance (Производительность и обслуживание) и затем откройте System (Система).
  2. В диалоговом окне System Properties (Свойства системы) щелкните на вкладке System Restore (Восстановление системы) (рис. 8.14).
  3. Для того чтобы снова включить System Restore, очистите флажок Turn Off System Restore (Отключить восстановление системы).
  4. Помимо этого можно указать, какую часть пространства на жестком диске может использовать System Restore, установив ползунок Disk space (Объем диска) для каждого раздела.

Подключение System Restore (Восстановление системы)


Рис. 8.14.  Подключение System Restore (Восстановление системы)

Предупреждение. Отключение System Restore удаляет все точки восстановления, так что не делайте этого, не обдумав возможных последствий.

Откат к точке восстановления

Для отката настроек компьютера к точке восстановления проделайте следующие шаги.

  1. Щелкните на Help and Support Center (Центр помощи и поддержки). В поле Pick a task (Выбор задания) щелкните на Undo changes to your computer with System Restore (Отменить изменения с помощью System Restore).
  2. В окне приглашения щелкните на Restore my computer to an earlier time (Вернуть компьютер к точке восстановления) и затем щелкните на Next. (Появившееся диалоговое окно показано на рис. 8.15.)
  3. Выберите точку восстановления в окне Select a Restore Point и затем щелкните на Next.

    Примечание. Возвращайтесь назад не далее необходимого вам места. Если вы восстановитесь в слишком "старой" точке восстановления, то рискуете потерять часть корректно работающих программ, которые вы проинсталлировали позже точки восстановления.

    Выбор точки восстановления


    Рис. 8.15.  Выбор точки восстановления

  4. Щелкните на Next в окне Confirm Restore Point (Подтверждение точки восстановления).

При выборе точки восстановления System Restore исследует журнал System Restore change (Изменение записей System Restore) и создает карту восстановления, которую использует для возврата системы. Инструмент использует карту для удаления определенных файлов и внесения изменений в реестр. Если выяснится, что точка возврата не решает проблему, то можно повторно запустить System Restore и выбрать для возврата более раннюю точку.

Установка точки восстановления

При установке неподписанного драйвера устройства система Windows XP Professional предпринимает решительные действия и создает точку восстановления. Также Windows XP Professional будет создавать точки возврата в следующих случаях.

Однако вы можете создавать свои собственные точки восстановления, проделав следующие действия.

  1. Запустите System Restore (Восстановление системы).
  2. Щелкните на Create a restore point (Создать точку восстановления) и затем щелкните на Next (Далее).
  3. Введите описание точки восстановления (рис. 8.16).
  4. Щелкните на кнопке Create (Создать).

Создание точки восстановления вручную


Рис. 8.16.  Создание точки восстановления вручную

Отмена восстановления

Было бы прекрасно, если бы System Restore был настолько совершенным инструментом, что решал бы все ваши проблемы. Тем не менее, может случиться так , что вы не получите желаемых результатов с помощью операции восстановления. В таком случае можно отменить эту операцию. Щелкните на Undo my last restoration (Отменить последнее восстановление) в окне приглашения к восстановлению системы. Отмену точки восстановления можно применять, если нужно переместиться в более позднюю точку восстановления, чем первоначальная точка.

Доктор Ватсон

Dr. Watson входит в комплект программ системы Windows последние несколько лет. Dr. Watson (drwtsn32.exe) находит ошибки в программах, диагностирует ошибки и записывает информацию о диагностике в файл DRWTSN32.LOG. Этот файл можно послать всем работникам для проведения анализа и диагностики.

Dr.Watson запускается автоматически при появлении ошибки в программе. Вы можете запустить его вручную из меню Tools (Служебные программы) или из командной строки. На рис. 8.17. изображен инструмент Dr. Watson.

Программа Dr. Watson помогает диагностировать ошибки приложения


Рис. 8.17.  Программа Dr. Watson помогает диагностировать ошибки приложения

Если программа не работает, сразу же запускайте Dr. Watson. Этот инструмент создает мгновенный снимок состояния компьютера и пишет отчет о ходе проверки. Просматривая этот отчет, вы увидите ошибки, обнаруженные с помощью Dr. Watson.

Вы можете сохранить этот файл для использования в будущем в случае возникновения проблем. Если хотите разобраться в проблеме самостоятельно, то исследуйте первые несколько строк в регистрационной записи. Затем зайдите на страницу справки по адресу http://support.microsoft.com и запустите машину поиска для записанных имен. Возможно, вы получите несколько полезных советов.

Решение проблем

Проблемы могут возникать не только в отдельном компьютере. Компьютерные сети становятся все более обширными и сложными, и проблемы, возникающие в них, все труднее диагностировать. В этом разделе будут обсуждаться затруднения, связанные с работой сетей, и способы их решения.

Проблемы, связанные с LAN

Есть несколько весьма распространенных проблем со связью в локальных сетях LAN, с которыми вы можете столкнуться. Если локальная сеть не отвечает на ваши запросы, то, в первую очередь, проверьте два следующих элемента.

Поиск решения проблем, связанных с работой сети, может показаться достаточно трудной задачей (так оно и есть), но эта задача может быть в значительной степени упрощена, если вы знаете, что есть четыре основных слабых места сети.

Сужая круг поисков источника проблемы, вы значительно упростите свою задачу. Например, если вы в состоянии определить, что проблема кроется в работе сервера, то вы на 75% сделаете свою задачу проще. Но как найти место, в котором возникла проблема?

С чего следует начинать

Во-первых, нужно определить, на скольких клиентов влияет проблема. Изолирована ли она на одном устройстве или распространилась на несколько клиентов? Если проблема изолирована на одном компьютере, то вы знаете, с чего начинать поиски. Далее, если компьютер, который недавно работал, вдруг перестал это делать, то нужно проверить физическую надежность соединений, работоспособность кабеля и сетевой карты.

Если компьютер-клиент является новым, то, возможно, вы столкнулись с ошибкой конфигурации. Это можно легко проверить, включив в это соединение другой (работающий) компьютер. Этим вы заодно исключите проблемы с кабелем или неисправным коммутатором (концентратором).

Если проблема распространилась на несколько клиентов, то подумайте, что у всех этих клиентов есть общего. Если это новые устройства, то возможны проблемы с конфигурациями. Если раньше эти клиенты работали, то неисправность может заключаться в кабеле или в сетевом устройстве.

Если проблема охватывает соединения всех компьютеров в организации, то, скорее всего, причина заключается в работе сервера - и на нем нужно сосредоточить свои усилия.

Проблемы клиентов

Устранение неполадок в работе клиента может оказаться очень сложной задачей. Давайте рассмотрим наиболее часто встречающиеся источники проблем для Windows XP Professional-клиента. Самое первое и легкодоступное место, где можно искать решение проблемы - это протокол. Скорее всего, в вашей сети используется набор протоколов TCP/IP. Если клиент не видит некоторых устройств (или все устройства), то следует проверить, все ли устройства настроены на работу по протоколу TCP/IP.

Это делается в Windows XP Professional с помощью двойного щелчка на значке Network and Internet Connections (Сеть и подключения к интернету) в панели управления. Затем щелкните на Network Connections (Сетевые подключения) и правой кнопкой мыши щелкните на соединении, которое вы хотите исследовать. Выберите Properties (Свойства) - и вы увидите список протоколов этого соединения (рис. 8.18).

Проверка протоколов


Рис. 8.18.  Проверка протоколов

Сравните список протоколов с теми протоколами, которые используются в вашей сети. Они совпадают? Если нет, то вы нашли источник неприятностей.

При использовании TCP/IP можно протестировать свой собственный IP-адрес с помощью программы ping, используемой для проверки доступности адресата путем передачи ему определенного сигнала и ожидания ответа. Если пинг-запрос возвращается, то протокол работает нормально (но у вас все равно могут быть проблемы со связью).

Примечание. Если вы не знакомы с пинг-командой, то мы дадим объяснение позже в разделе "Ping".

Попробуйте проверить пингом адрес другого компьютера, своего шлюза и пары устройств в своем сетевом сегменте. Этим вы протестируете свою сетевую карту. Если посланный пинг-сигнал не возвращается, то проблема кроется в сетевой карте. Если пинг прошел удачно, то пробуйте повторить его для этого же компьютера, но на этот раз с именем компьютера. Если этот тест пройдет неудачно, то, возможно, проблема затрагивает WINS- или DNS-сервер.

Если пинг имени прошел успешно, то попробуйте протестировать компьютер в другом сегменте сети или в интернете. При неудачной попытке, скорее всего, у вас неправильно сконфигурирован шлюз, или проблема заключается в маршрутизаторе. Тем не менее, следует провести пинг-тесты с другими клиентами. Если им удается дозвониться до внешнего мира, то, вероятнее всего, у вас проблемы со шлюзом.

Коммутаторы и концентраторы

При наличии проблем со связью у целого ряда клиентов, скорее всего, дело заключается в коммутаторе или концентраторе. Рассмотрите сеть, изображенную на рис. 8.19.

Если клиенты с девятого по шестнадцатый не получают доступ в сеть, то что их всех объединяет? Все они соединены с одним и тем же концентратором. В таком случае надо проверить концентратор. Однако в этом примере имеется еще один источник потенциальных неприятностей. Так как концентраторы образуют цепь с портами коммутатора, то проблема может быть связана с вторым портом коммутатора.

Серверы

Если проблема заключена в сервере, не следует переоценивать его роль в работе сети. Для вас будет полезно пробежаться по тем основным вопросам, о которых мы говорили в связи с клиентами. Самое главное для серверов - использование правильного протокола и наличие функционирующих кабельных соединений.

Поиск источника ошибки в сети


Рис. 8.19.  Поиск источника ошибки в сети

Проблемы с удаленным доступом

Иногда невозможность установить связь с удаленным сервером может сводить с ума, так как вы не знаете, чья это проблема - ваша или удаленного сервера. Все перечисленное ниже должно дать вам некоторое представление о различных проблемах удаленного доступа.

Не работает модем

Если модем не работает, возможны следующие варианты.

Связь прерывается

Если соединение постоянно прерывается, проверьте следующие условия.

При попытке установить соединение компьютер выводит на экран сообщения

Если вы получаете сообщения о проблемах с устройствами при попытке установить соединение, проверьте следующие детали.

ISDN-соединения получают сообщение "No Answer" (Нет ответа)

Если возникли проблемы с ISDN-соединением, которое постоянно получает сообщение "No Answer" (Нет ответа), то проверьте следующее.

Полезные сетевые инструменты и сценарии

Существует несколько инструментов для отслеживания и решения проблем, связанных с применением протокола TCP/IP. Этими инструментами являются PING, ARP, IPCONFIG, TRACERT, NBTSTAT и PATHPING. Все они запускаются из командной строки и выдают результаты в формате DOS. В таблице 8.1 перечислены эти инструменты и дано их краткие описания.

PING

Подобно гидролокатору на подводной лодке, команда PING позволяет получать информацию о своих соседях. Правда, тут она применяется в сугубо мирных целях. Она может сообщить вам о том, как долго информационные пакеты идут из вашего компьютера на принимающий компьютер. Она делает это посредством отправки ICMP эхо-сигнала указанному устройству - будь то устройство локальной сети или сервер на другой стороне земного шара.

Таблица 8.1. Инструменты для решения проблем протокола TCP/IP
Инструмент командной строкиОписание
ARPПозволяет модифицировать таблицу протокола разрешения адресов.
IPCONFIGПоказывает текущую TCP/IP конфигурацию и позволяет обновлять эти значения.
NBTSTATПредоставляет NetBIOS-информацию о TCP/IP-соединениях, перезагружает кэш LMHost и определяет зарегистрированное имя и область действия ID.
PINGПосылает эхо-запрос на указанное устройство.
TRACERTПеречисляет количество переходов (изменений маршрута) до указанного устройства.
PATHPINGПоказывает степень потери информационных пакетов на любом маршрутизаторе или ссылке.

Если вы тестируете пинг-запросом устройство своей локальной сети, то устройство откликнется практически мгновенно. В этом случае вы узнаете, что оба компьютера работают нормально. При возникновении проблем следует выполнить следующие шаги.

1. Протестируйте пингом-запросом адрес локальной перемычки. Если этот адрес ответит, то на локальном компьютере имеется конфигурация протокола TCP/IP.

Ping 127.0.0.1

2. Протестируйте локальный IP-адрес и убедитесь, что нет конкуренции с другим устройством в сети.

Ping IP_адрес

3. Протестируйте IP-адрес шлюза по умолчанию. Так вы проверите возможность добраться до ближайшего маршрутизатора, который позволяет общаться с компьютерами в другой подсети.

Ping IP_адрес шлюза

4. Протестируйте пингом-запросом адрес указанного вами устройства в другой подсети. Так вы проверите возможность установки связи с устройством другой подсети.

Ping IP_адрес узла

5. Протестируйте пингом-запросом то же самое устройство, применив полное имя его домена. Если попытка закончится провалом, но шаг 4 работает, то это проблема разрешения имени. На этом этапе следует убедиться, что DNS-серверы доступны, таблицы Hosts и LMHosts точны, а WINS (если используется) правильно сконфигурирован.

Ping IP_имя узла

Инструмент PING используется следующим образом:

Ping [-t] [-a] [-n] [-l] [-f] [-I TTL] [-v TOS] [-r ] [-s ] [-j список узлов] [-k список узлов] [-w ] список адресатов

Аргументы PING включают в себя следующее.

ARP

Протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет компьютерам создавать соединения на физическом уровне. Независимо от того, используете ли вы NetBIOS или TCP/IP имена компьютеров в своей сети, они должны быть конвертированы в MAC-имена сетевой карты компьютера. Когда одна рабочая станция пытается установить связь с другой, она должна транслировать сигнал в соответствии с протоколом ARP, чтобы выяснить MAC-адрес. После того как Windows XP Professional компьютер определит МАС-адрес, он использует его для установки связи с устройством. Эта конверсия IP в МАС хранится в ARP-таблице компьютера.

Команда ARP позволяет просматривать и редактировать таблицу ARP. Этот инструмент полезен при решении проблем, связанных с разрешениями имен. Команда ARP записывается следующим образом.

ARP -s inet_addr eth_addr [if_addr] 
ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr]

В приведенных примерах атрибуты работают следующим образом.

Аргумент [if_addr] указывает IP-адрес, отличный от данного по умолчанию. Если вы хотите посмотреть на таблицу ARP компьютера, которым вы пользуетесь, то введите в командную строку arp -a.

Ниже проиллюстрирован результат применения команды ARP.

Interface: 192.168.1.101 on Interface 0x200003
	Internet Address        		Physical Address      			Type
	192.168.1.1.			00-04-5a-d0-b9-67     		dynamic
	192.168.1.100           			00-04-5a-69-cc-60    		dynamic
	192.168.1.102           			00-40-96-41-af-29       		dynamic
Листинг 8.1. (html, txt)

IPCONFIG

Инструмент IPCONFIG хорошо подходит для начала поисков источника проблемы, связанной с применением протокола TCP/IP. Команда записывается следующим образом.

Ipconfig [/all | /release [adapter] | /renew [adapter]]

При использовании без аргументов IPCONFIG представляет только основные настройки TCP/IP, включая IP-адрес, маску подсети и шлюз по умолчанию для каждой карты сетевого адаптера. Однако, добавив аргументы, можно повысить полезность IPCONFIG. Аргументы включают в себя следующее.

Примечание. Ввод ipconfig /? в командную строку сгенерирует полный список аргументов.

Windows IP Configuration

	Host Name 	: geonosis
	Primary Dns Suffix	:
	Node Type	: Unknown
	IP Routing Enabled	: No
	WINS Proxy Enabled	: No

Ethernet adapter Local Area Connection:

	Connection-specific DNS Suffix 	:
	Description	: Linksys NC100 Fast Ethernet Adapter
	Physical Address	: 00-04-5A-69-CC-60
	Dhcp Enabled	: Yes
	Autoconfiguration Enabled	: Yes
	IP Address	: 192.168.1.100
	Subnet Mask	: 255.255.255.0
	Default Gateway 	: 192.168.1.1
	DHCP Server	: 192.168.1.1
	DNS Servers 	: 192.168.1.1
	Lease Obtained	: Saturday, April 27, 2002 2:18:33 PM
	Lease Expires	: Saturday, April 27, 2002 2:23:33 PM
Листинг 8.2. (html, txt)

Использование инструмента IPCONFIG может дать огромное количество информации о TCP/IP-соединениях и их конфигурациях. Всегда полезно проверять маску подсети. Убедитесь в том, что она не записана как 0.0.0.0, что указывает на конфликт с другим устройством подсети.

TRACERT

Инструмент Trace Route (TRACERT) применяется для отслеживания перемещения пакета данных от устройства к устройству. Он работает посредством передачи пакета со значением времени жизни (TTL), равным 1. Обычно маршрутизаторы сокращают значение TTL на 1 и затем отправляют пакет дальше по пути следования. Если маршрутизатор получает TTL со значением 0, то он возвращает пакет отправителю как просроченный. Это позволяет узнать кое-что о маршрутизаторе. Инструмент TRACERT выполняет это действие для первого маршрутизатора на пути следования пакета, добавляет 1 к TTL и затем отправляет новый пакет. Следующий пакет доходит до второго маршрутизатора и становится просроченным. Этот маршрутизатор возвращает пакет вместе с информацией о самом себе. Процесс повторяется, пока пакет не дойдет до нужного устройства, или пока количество переходов не достигнет максимального значения.

Синтаксис команды TRACERT следующий.

Tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] имя конечного устройства

Некоторые аргументы команды TRACERT описаны ниже.

Вы можете применять команду TRACERT, просто вводя tracert и адрес конечного устройства. Например:

C:\WINDOWS>tracert http://www.velte.com
Tracing rout to http://www.velte.com (64.66.150.248)
Over a maximum of 30 hops:
1 	66	ms 	93 	ms 	63 	ms 	c6400-l-nrp-6.border.mpls.visi.com [209. 98.0.20]
2	73 	ms 	62 	ms 	59 	ms 	fa4-0-0.core-l.mpls.visi.com [209.98.3.222]	
3 	75 	ms 	59 	ms 	84 	ms 	fal-0-0.core-2.mpls.visi.com [209. 98.3.195]	
4 	68 	ms 	62 	ms 	58 	ms 	500.POS2-3.GW4.MSP1.ALTER.NET [157.130.98.1]
5 	65 	ms 	58 	ms 	63 	ms 	110.at-1-1-0.CL2.MSPl.ALTER.NET [152.63.67.102]
6 	69 	ms 	73 	ms 	69 	ms 	O.SO-7-0-O.XL2.CHI2.ALTER.NET [152.63.145.50]
7 	72 	ms 	67 	ms 	83 	ms 	POS7-0.BR2.CHI2.ALTER.NET [152.63.67.245]	
8 	99 	ms 	116 	ms 	101 	ms 	chi-brdr-03.inet.qwest.net [205.171.1.145]	
9	101 	ms 	101  	ms 	103 	ms 	chi-core-02.inet.qwest.net [205.171.20.137]	
10	100	ms	115	ms 	100	ms 	chi-edge-08.inet.qwest.net [205.171.20.114]	
11 	110  	ms 	109 	ms 	117 	ms 	pos-6-0.ons.siteprotect.com [65.112.64.146]	
12	122	ms	115	ms 	128	ms 	cO-feO.siteprotect.com [66.113.129.2]	
13	108	ms	107	ms 	109	ms 	www.velte.com [64.66.150.248]	
Trace complete.
Листинг 8.3. (html, txt)

Этот инструмент полезен, если вы не можете запустить ни одной утилиты из пакета протоколов TCP/IP. После того как вы убедились в том, что TCP/IP установлен, но нельзя использовать команды PING или TRACERT, следует удалить и заново проинсталлировать протокол TCP/IP, который мог повредиться.

NBTSTAT

Инструмент NBTSTAT помогает в решении проблем, связанных с разрешением NetBIOS-имен в TCP/IP-соединениях. Он показывает статистику протокола и текущие TCP/IP-соединения, используя NetBT (NetBIOS поверх TCP/IP). Когда сеть функционирует нормально, NetBT разрешает присваивать NetBIOS-имена IP-адресам.

Команда NBTSTAT имеет следующий синтаксис.

Nbtstat [-a Удаленное имя] [-A IP-адрес] [-c] [-n] [-r] [-R] [-s] [-S] [интервал]

Некоторые аргументы NBTSTAT означают следующее.

Примечание. Для получения более подробной информации о NBTSTAT введите nbtstat /? в окне команд.

Здесь приведен пример команды NBTSTAT.

C:\WINDOWS>nbtstat -n
Node IpAddress: [192.168.1.101] Scope Id: [] NetBIOS Local Name Table

	Name							Type		Status	 
CORUSCANT 		<00> 		UNIQUE	 	Registered 	
LAN 				<00> 		GROUP 		Registered 	
CORUSCANT 		<03> 		UNIQUE	 	Registered 	
CORUSCANT 		<20> 		UNIQUE 		Registered 	
LAN 				<1E> 		GROUP 		Registered 	
DEFAULT 			<03> 		UNIQUE 		Registered 	
Введите nbtstat -c и увидите следующий результат.
Node IpAddress: [192.168.1.101] Scope Id: [] NetBIOS Remote Cache Name Table
 Name							Type      		Host Address   		Life [sec]
ENDOR         				<00>  		UNIQUE     192.168.1.102,      	180 
ENDOR         				<20>  		UNIQUE     192.168.1.102      		 60
Листинг 8.4. (html, txt)

PATHPING

Инструмент PATHPING является комбинацией инструментов PING и TRACERT. Этот инструмент в упорядоченном режиме посылает информационные пакеты на каждый маршрутизатор по пути к месту назначения. Затем он рассчитывает результаты на основании пакетов, возвращенных каждым маршрутизатором. Так как PATHPING показывает степень потери пакетов в любом маршрутизаторе или соединении, администратор может определить, какие именно маршрутизаторы и соединения вызывают проблемы в работе сети.

Команда PATHPING записывается следующим образом.

Pathping [-n] [-h maximum_hops] [-g host-list] [-p period] [-q num_queries] [-w timeout] [-T] [-R] target_name

Некоторые аргументы PATHPING включают в себя следующее.

Следующий пример, в котором проверяется маршрут и путь от компьютера в Соединенных Штатах до Университета науки и технологии в Китае, дает вам представление о полезности и результативности инструмента PATHPING.

C:\pathping 202.38.64.2

Tracing route to www.ustc.edu.cn [202.38.64.2]
over a maximum of 30 hops:
	0 	Endor [65.103.23.213]
	1 	mplsapanas12poolC254.mpls.uswest.net [65.103.23.254]
	2 	www.ustc.edu.cn [207.225.140.29]
	3 	min-core-02.tamerica.net [205.171.128.25]
	4 	den-core-02.tamerica.net [205.171.8.97]
	5 	500.POS4-1.GW4.DEN4.ALTER.NET [157.130.172.41]
	6 	175.at-5-0-0.XR1.DEN4.ALTER.NET [152.63.93.202]
	7 	177.at-2-0-0.XR1.SLT4.ALTER.NET [152.63.94.46]
	8 	0.so-0-0-0.TL1.SLT4.ALTER.NET [152.63.9.70]
	9 	0.so-4-0-0.TL1.LAX9.ALTER.NET [152.63.0.165]
	10 	0.so-0-0-0.XL1.LAX9.ALTER.NET [152.63.115.137]
	11 	POS6-0.BR3.LAX9.ALTER.NET [152.63.115.1]
	12 	if-5-0-1.bb3.LosAngeles.Teleglobe.net [207.45.200.197]
	13 	if-2-1.core1.LosAngeles.Teleglobe.net [207.45.220.97]
	14 	if-6-0.core1.LosAngeles2.Teleglobe.net [64.86.83.134]
	15 	if-0-0-0.bb1.LosAngeles2.Teleglobe.net [64.86.80.38]
	16 	64.86.173.34
	17 	202.112.61.21
	18 	202.112.61.137
	19 	202.112.61.193
	20	whbj4.cernet.net [202.112.46.66]
	21 	hfwh3.cernet.net [202.112.46.130]
	22 	hef1.cernet.net [202.112.38.126]
	23 	* 		* 		*
Computing statistics for 575 seconds...
		Source to Here 		This Node/Link
Hop 	RTT 		Lost/Sent = Pct 		Lost/Sent = Pct 	Address 0	Endor [65.103.23.213]
											5/ 100 = 5% 	|
	1 	172ms 		6/ 100 = 6% 			1/ 100 = 1%
mplsapanas12poolC254.mpls.uswest.net [65.103.23.254]
											0/ 100 = 0% 	|
	2 	167ms 		6/ 100 = 6% 			1/ 100 = 1% 	207.225.140.29
											0/ 100 = 0%	|
	3 	166ms 		6/ 100 = 6% 			1/ 100 = 1%
min-core-02.tamerica.net [205.171.128.25]
											0/ 100 = 0% 	|
	4 	196ms 		6/ 100 = 6% 			1/ 100 = 1%
den-core-02.tamerica.net [205.171.8.97]
											0/ 100 = 0% 	|
	5 	215ms 		6/ 100 = 6% 			1/ 100 = 1%
500.POS4-1.GW4.DEN4.ALTER.NET [157.130.172.41]
											0/ 100 = 0% 	|
	6 	211ms 		6/ 100 = 6% 			1/ 100 = 1%
175.at-5-0-0.XR1.DEN4.ALTER.NET [152.63.93.202]
											0/ 100 = 0% 	|
	7 	215ms 		6/ 100 = 6% 			1/ 100 = 1%
177.at-2-0-0.XR1.SLT4.ALTER.NET [152.63.94.46]
											0/ 100 = 0% 	|
	8 	220ms 		6/ 100 = 6% 			1/ 100 = 1%
0.so-0-0-0.TL1.SLT4.ALTER.NET [152.63.9.70]
											0/ 100 = 0% 	|
	9 	295ms 		5/ 100 = 5% 			0/ 100 = 0%
0.so-4-0-0.TL1.LAX9.ALTER.NET [152.63.0.165]
											0/ 100 = 0% 	|
	10 	293ms 		5/ 100 = 5% 			0/ 100 = 0%
0.so-0-0-0.XL1.LAX9.ALTER.NET [152.63.115.137]
											0/ 100 = 0% 	|
	11 	295ms 		5/ 100 = 5% 			0/ 100 = 0%
POS6-0.BR3.LAX9.ALTER.NET [152.63.115.1]
											0/ 100 = 0% 	|
	12 	294ms 		5/ 100 = 5% 			0/ 100 = 0%
if-5-0-1.bb3.LosAngeles.Teleglobe.net [207.45.200.197]
											0/ 100 = 0% 	|
	13 	321ms 		5/ 100 = 5% 			0/ 100 = 0%
if-2-1.core1.LosAngeles.Teleglobe.net [207.45.220.97]
											0/ 100 = 0% 	|
	14 	280ms		5/ 100 = 5% 			0/ 100 = 0%
if-6-0.core1.LosAngeles2.Teleglobe.net [64.86.83.134]
											0/ 100 = 0% 	|
	15 	287ms		5/ 100 = 5% 			0/ 100 = 0%
if-0-0-0.bb1.LosAngeles2.Teleglobe.net [64.86.80.38]
											0/ 100 = 0% 	|
	16 	442ms 		5/ 100 = 5% 			0/ 100 = 0% 	64.86.173.34
											0/ 100 = 0% 	|
	17	 456ms 		5/ 100 = 5% 			0/ 100 = 0% 	202.112.61.21
											0/ 100 = 0% 	|
	18 	453ms 		5/ 100 = 5% 			0/ 100 = 0% 	202.112.61.137
											0/ 100 = 0% 	|
	19 	444ms 		5/ 100 = 5% 			0/ 100 = 0% 	202.112.61.193
											1/ 100 = 1% 	|
	20	426ms 		6/ 100 = 6% 			0/ 100 = 0% 	whbj4.cernet.net  [202.112.46.66]
											0/ 100 = 0% 	|
	21	 433ms 		6/ 100 = 6%			0/ 100 = 0% 	hfwh3.cernet.net [202.112.46.130]
											0/ 100 = 0% 	|
	22 	428ms 		6/ 100 = 6% 			0/ 100 = 0% 	hef1.cernet.net   [202.112.38.126]
											94/ 100 = 94% |
	23 	- 			100/ 100 =100% 		0/ 100 = 0% 	Endor [0.0.0.0]
Trace complete.
Листинг 8.5. (html, txt)

Устранение неполадок может оказаться трудной задачей. Но мы питаем надежду, что с помощью приемов и методов, представленных здесь, а также благодаря набору инструментов системы Windows XP Professional и сетевым протоколам TCP/IP, вы справитесь со всеми проблемами своей сети, и они не вызовут у вас слишком большого стресса.

Лекция 9. Безопасность при работе в сети

При cоздании сети на базе Windows XP Professional безопасность надо обеспечивать на двух уровнях: на уровне локального компьютера и на сетевом. В этой лекции рассматриваются оба варианта систем безопасности, как в Windows XP Professional, так и на сервере.

Система обеспечения безопасности в Windows XP Professional

ОС Windows XP Professional обеспечивает безопасность системы несколькими способами. Причем не только старыми проверенными способами, известными еще в ранних версиях Windows, но и с помощью совершенно новых свойств. Мы поговорим об управлении локальной политикой безопасности, регистрации, журналах безопасности Internet Connection Firewall, шаблонах безопасности, процессе ввода данных и, наконец, об анализе и конфигурации системы защиты. Инструменты защиты могут использоваться не только для обеспечения безопасности в системе Windows XP Professional, но и для управления настройками системы защиты домена. Начнем с обзора улучшения системы защиты Windows XP Professional.

Новое в Windows XP Professional

Система защиты в Windows не стоит на месте. При выходе каждой новой версии Windows вы можете ожидать улучшения свойств обеспечения безопасности. Windows XP Professional не является исключением.

В ней содержатся все основные средства защиты, которые имелись в Windows NT и Windows 2000, но есть и новые свойства.

В следующих разделах некоторые из этих тем рассматриваются более подробно, а другие не требуют объяснений и запускаются в Windows XP Professional по умолчанию.

Локальная политика безопасности

Возможность создавать и управлять политикой безопасности на локальном компьютере осуществляется посредством оснастки MMC. Это приложение позволяет вам не только просматривать локальную систему безопасности, но и вносить в нее изменения.

Просмотр

Для просмотра политики безопасности выберите Start\Control Panel\ Performance and Maintenance\Administrative Tools (Пуск\Панель управления\Производительность и обслуживание\Администрирование). Щелкните дважды на Local Security Policy (Локальная политика безопасности). Появится окно, изображенное на рис. 9.1.

Примечание. Вы можете запустить этот инструмент из командной строки, введя secpol.msc.

Просмотр локальной политики безопасности


Рис. 9.1.  Просмотр локальной политики безопасности

Управление локальной политикой

Для просмотра отдельной политики безопасности щелкните дважды на значке нужной политики. В качестве примера рассмотрим, как управлять настройками системы безопасности в папке Security Options (Параметры безопасности). После того как вы щелкните дважды на Security Options, появится список настроек системы безопасности (рис. 9.2). Затем щелкните на настройке Devices: Unsigned driver installation behavior (Устройства: поведение при установке неподписанного драйвера). Из рис. 9.3 видно, что можно выбрать один из трех вариантов настройки.

Журнал безопасности

В лекции 5 мы говорили об основах использования и управления межсетевым экраном ICF (Internet Connection Firewall) системы Windows XP Professional. Несколько дополнительных сведений о безопасности в области регистрации сделают знакомство с ICF еще более полезным. Журнал безопасности ICF позволяет создавать список действий системы защиты, а именно установку запрета или разрешения на трафик со стороны ICF. Вы можете модифицировать действия межсетевого экрана с помощью различных правил протокола ICMP. Например, ICMP позволяет разрешить (или запретить) следующее.

Настройки безопасности, содержащиеся в папке локальной политики Security Options (Параметры безопасности)


Рис. 9.2.  Настройки безопасности, содержащиеся в папке локальной политики Security Options (Параметры безопасности)

Детали настройки


Рис. 9.3.  Детали настройки

На основании требований протокола ICMP в ICF журнале безопасности будут регистрироваться различные виды информации. Правила протокола ICMP хороши тем, что они не отсекают сеть от остального мира, но, в то же время, строго ограничивают доступ к ней.

Запись в журнал безопасности ICF

Журналы ICF имеют свой уникальный формат. Во-первых, в заголовке указываются версия используемого межсетевого экрана ICF, имя журнала безопасности, примечание о том, что вход в систему регистрируется по локальному времени, и список доступных полей для регистрационных записей. В таблице 9.1 показаны поля для ввода данных в журнале безопасности ICF.

Таблица 9.1. Поля ввода данных в журнале безопасности ICF
ПолеОписание
actionОперация, перехваченная межсетевым экраном. Входящие данные включают в себя OPEN CLOSE DROP INFO-EVENTS-LOST (здесь указывается количество произошедших событий, не сохраненных в журнале).
dateДата ввода файла в формате YY-MM-DD (год-месяц-день).
Dst-ipIP-адрес конечного пункта доставки пакета.
Dst-portНомер порта конечного пункта доставки пакета.
icmpcodeЧисло, обозначающее поле кода в ICMP-сообщении.
icmptypeЧисло, обозначающее поле ввода текста в ICMP-сообщении.
infoПоле для ввода информации о событии, которое зависит от типа действия.
protocolПротокол связи. Если это не TCP, UDP или ICMP, то здесь указывается цифра.
sizeРазмер пакета.
Src-ipIP-адрес устройства-отправителя.
Src-portНомер порта отправителя.
tcpackTCP-номер подтверждения пакета.
tcpflagsTCP-флаг, указываемый в начале пакета: A-Ack (важность поля подтверждения); F-Fin (последний пакет); P-Psh (функция "проталкивания" пакета); S-Syn (синхронизация последовательности номеров); U-Urg (важность поля указателя срочности).
tcpsynTCP-последовательность номеров пакетов.
tcpwinTCP-размер окна (байт).
timeВремя регистрации файла в формате HH:MM:SS (часы:минуты:секунды).

Польза журнала безопасности ICF состоит в том, что после его просмотра можно обнаружить попытки несанкционированного доступа к сети. Изучив поля action, scr-ip и dst-ip, можно определить, пытается ли кто-то повредить сеть в целом или вывести из строя какое-то определенное устройство.

Теперь, когда вы знаете, что должно содержаться в журнале безопасности, давайте подробнее разберемся с тем, как можно применять запись в журнал и настраивать различные служебные функции, облегчающие управление межсетевым экраном ICF.

Включение и отключение ведения журнала

В связи с тем, что ведение журнала ICF не активировано по умолчанию при инсталляции ICF, его необходимо включать. Для этого выполните следующие действия.

  1. Выберите Start\Control Panel (Пуск\Панель управления).
  2. Щелкните на Network and Internet Connections (Сеть и подключения к интернету), а затем - на Network Connections (Сетевые подключения).
  3. Щелкните на соединении, которое использует ICF, а затем в Network Tasks (Сетевые задачи) щелкните на Change settings of this connection (Изменение настроек подключения).
  4. На вкладке Advanced (Дополнительно) щелкните на Settings (Параметры).
  5. На вкладке Security Logging (Ведение журнала безопасности) (рис. 9.4) выберите опции:
    • регистрация пропущенных пакетов;
    • регистрация всех входящих попыток установить соединение, которому отказано в доступе;
    • регистрация успешных соединений;
    • регистрация всех успешных попыток исходящих соединений.

Разумеется, если вы решите больше не отслеживать работу ICF, то можете отключить ведение журнала. Для этого просто очистите флажки рядом с опциями Log dropped packets (Записывать пропущенные пакеты) и Log successful connections (Записывать успешные подключения).

Опции ведения журнала ICF


Рис. 9.4.  Опции ведения журнала ICF

Управление файлом журнала ICF

Вы можете переименовать журнал ICF или указать для него путь, отличный от пути по умолчанию. Это удобно, если нужно получать несколько отчетов (время дня, день недели и т. д.). Для изменения пути или имени файла на вкладке Security Logging (Ведение журнала безопасности) (рис. 9.4) в разделе Log file options (Параметры файла журнала) щелкните на Browse (Обзор) и перейдите в то место, где нужно разместить файл журнала. Введите выбранное имя в поле File name (Имя файла) и нажмите на Open (Открыть).

Примечание. Если вы оставите поле имени файла пустым, то система Windows XP Professional по умолчанию назовет файл журнала pfirewall.log.

Просматривать журнал регистраций ICF так же несложно, как и выполнять другие задачи. На вкладке Security Logging (Ведение журнала безопасности) в области Log file options(Параметры файла журнала) в разделе Name (Имя) щелкните на Browse (Обзор) и найдите журнал. Если вы не сохранили его под определенным именем, то он называется pfirewall.log. Щелкните на нем правой кнопкой мыши и затем выберите Options (Параметры) для просмотра содержания.

Изменение размера журнала ICF

Вы можете решить, что размер файла журнала ICF слишком мал, что не соответствует вашим нуждам. Размеры файла, в свою очередь, зависят от размеров организации, количества регистрируемых соединений и времени использования журнала ICF. Если нужно сделать журнал побольше (или поменьше, если он занимает слишком много места на жестком диске), то войдите на вкладку Security Logging (Параметры файла журнала), как это было описано выше. Затем в разделе Log file options в Size limit (Ограничение размера журнала) используйте кнопки со стрелками для изменения размера журнала. По умолчанию размер журнала составляет 4 Мб, а максимальный размер - 32 Мб.

Примечание. Если журнал (например, используемый по умолчанию) будет заполнен, то регистрация не прекратится. Более того, будут сгенерированы новые файлы журналов с именами pfirewall.log.1 и т. д.

Шаблоны безопасности

Используя оснастку Security Templates (Шаблоны безопасности), вы можете создавать текстовые файлы, которые содержат в себе все настройки безопасности для безопасных областей, поддерживаемых локальной политикой безопасности. Это удобно для использования всех элементов системы защиты, доступных в Windows XP Professional. В этом разделе мы расскажем о том, как создавать шаблон, модифицировать существующий шаблон и применять его в системе Windows XP Professional.

Создание шаблона

Для запуска оснастки Security Templates (Шаблоны безопасности) и просмотра настройки политики безопасности проделайте следующие шаги.

  1. Откройте ММС.
  2. В меню File (Файл) щелкните на Add/Remove Snap-in (Добавить или удалить оснастку) и затем щелкните на Add (Добавить).
  3. В списке Available Standalone Snap-ins (Доступные изолированные оснастки) выберите Security Templates (Шаблоны безопасности).
  4. Щелкните на Add (Добавить) и затем нажмите Close (Закрыть).
  5. Нажмите ОК. Оснастка Security Templates показана на рис. 9.5.
  6. В правом окне щелкните на значке '+', чтобы развернуть Security Templates (Шаблоны безопасности).
  7. Разверните C:\Windows\security\templates (С: - это обозначение диска, на котором хранится система Windows).
  8. Для создания шаблона щелкните дважды на Security Templates, правой кнопкой мыши щелкните на папке шаблонов по умолчанию и затем щелкните на New Template (Новый шаблон).

Таким образом вы создадите пустой шаблон, в который можно внести все, относящееся к политике безопасности организации. Для сохранения шаблона откройте меню File (Файл) и щелкните на Save As (Сохранить как).

Оснастка Security Templates (Шаблоны безопасности)


Рис. 9.5.  Оснастка Security Templates (Шаблоны безопасности)

Редактирование существующих шаблонов

Система Windows XP Professional изначально включает в себя ряд шаблонов. Они создают хороший фундамент для построения собственной политики безопасности. У вас может быть готовая политика безопасности, которую вы захотите улучшить и применить позже. Для открытия и редактирования любого шаблона дважды щелкните на нем в левом окне оснастки Security Templates (Шаблоны безопасности).

Примечание. Хотя в Security Templates имеются уже готовые шаблоны, неплохо внимательно изучить их заранее и убедиться, что они подходят для нужд вашей организации.

Существует четыре основных типа шаблонов:

Эти шаблоны представляют диапазон средств безопасности, начиная со стандартных (Basic) и заканчивая средствами повышенной безопасности (High Secure). Шаблоны Miscelleneous (смешанные) предоставляют настройки безопасности для некоторых категорий, для которых трудно определить место в рамках иерархии Basic, Secure и High Secure. Они содержат настройки для таких опций как Terminal Services (Службы терминалов) и Certificate Services (Службы сертификации). Ниже перечислены некоторые шаблоны, содержащихся в рамках каждой категории.

Любой из десяти образцов шаблонов хорошо подходит для начала разработки сетевой безопасности. Однако при модификации шаблона имеет смысл сохранить его под новым именем, чтобы старый шаблон не был переписан.

Применение шаблонов безопасности

Создание или редактирование уже существующего шаблона не вносит изменений в настройки системы безопасности. Чтобы произвести такие изменения, следует применить шаблон к своему компьютеру. Для применения вновь созданного или отредактированного шаблона проделайте следующее.

  1. В оснастке Group Policy (Групповая политика) щелкните дважды на Computer Configuration (Конфигурация компьютера) и разверните Windows Settings (Конфигурация Windows).
  2. Щелкните правой кнопкой мыши на Security Settings (Параметры безопасности) и затем щелкните на Import Policy (Импорт политики) (рис. 9.6).
  3. Выберите шаблон, которым вы хотите воспользоваться.
  4. Нажмите на ОК.

Аудит безопасности

Так как компьютерные сети постоянно конфигурируются, реконфигурируются и настраиваются, то может случиться так, что уже существующие рабочие настройки безопасности не будут работать корректно после изменений, внесенных в сеть. Чтобы держать под контролем систему обеспечения безопасности сети, полезно использовать инструменты проверки (аудита) безопасности, предоставляемые Windows XP Professional. К таким инструментам относятся:

Применение шаблонов безопасности


Рис. 9.6.  Применение шаблонов безопасности

Проверка проводится посредством оснастки групповой политики ММС. Вы можете увидеть различные элементы, проверка которых возможна в Windows XP Professional, открыв папку Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy в оснастке Group Policy.

Что можно проверить

Ввод учетной записи регистрируется всякий раз, когда пользователь пытается войти в сеть. Регистрируются как удачные, так и неудачные попытки. Неудачные попытки впоследствии делятся на те, для которых учетная запись устарела, пользователь пытался войти локально, был введен неправильный пароль или другие случаи. Можно проверить следующие элементы.

Перед тем как заняться аудитом, следует составить четкий план, включающий в себя все, что нужно проверять, и то, как использовать эту информацию для позитивных изменений. Аудит в значительной степени расходует ресурсы системы - надо точно знать, что проверять, чтобы не переборщить.

Например, если в сети наблюдаются проблемы с выполнением, то начать следует с отслеживания процессов. Сравнив регистрационную запись об отслеживании процессов с общей работой системы, вы сможете определить, отвечают ли конкретные приложения за замедление работы сети. Если вы обнаруживаете избыточный расход тонера (краски для принтера), то аудит доступа к объектам поможет определить, кто из работников использует принтер и для каких целей. Вы сможете решить, нужно ли ограничить разрешение на доступ к принтеру некоторым пользователям.

Включение

Для включения аудита проделайте следующие шаги.

  1. Щелкните правой кнопкой мыши на объекте, который вы хотите проверить, и затем щелкните на Properties (Свойства).
  2. На вкладке Security (Безопасность) нажмите кнопку Properties.
  3. Появятся расширенные настройки безопасности для страницы Shared Documents (Общие документы). Щелкните на вкладке Auditing (Аудит) (рис. 9.7).
  4. Щелкните на кнопке Add (Добавить). Появится список пользователей и групп. Выберите пользователя или группу, чьи действия вы хотите проверять.
  5. Можете выбрать несколько пользователей или групп. Для каждого из них решите, что нужно отслеживать: успешные действия, неудачные или оба вида (см. рис. 9.8).
  6. Выберите, будет ли аудит проводиться только в отношении этого объекта, или будет включать в себя и дочерние объекты. Например, если выбрана папка Documents, в которой содержатся подкаталоги Administration Documents и Accounting Documents, и требуется мониторинг их использования, выберите опцию применения аудита к объектам и/или контейнерам внутри этого контейнера (Apply auditing entries to objects and/or containers within this container only).
  7. Выполните все настройки для мониторинга выбранных пользователей, компьютеров или групп и нажмите на ОК.

    Аудит папки в Windows XP Professional


    Рис. 9.7.  Аудит папки в Windows XP Professional

    Выбор объектов для мониторинга


    Рис. 9.8.  Выбор объектов для мониторинга

  8. Откройте оснастку Group Policy (Групповая политика) ММС. Перейдите в Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
  9. Щелкните дважды на Audit objects access (Аудит доступа к объектам).
  10. Отметьте или очистите флажки "successful" (успех) или "failed" (неудача) в соответствии с требованиями проверки.
  11. Нажмите на ОК.

Аудит может интенсивно поглощать время и ресурсы. Однако, решив, какие именно свойства следует проверить, и составив четкий план их анализа, вы сможете убедиться в том, что безопасность системы настроена должным образом.

Оснастка Security Configuration and Analysis (Анализ и настройка безопасности)

Оснастка Security Configuration and Analysis (Анализ и настройка безопасности) ММС является хорошим инструментом для анализа текущих настроек безопасности и сравнения их с базовым шаблоном безопасности. Учитывая, что в системе Windows XP Professional имеется огромное количество настроек безопасности, отслеживать каждую из них представляется достаточно сложной задачей. Анализ же позволяет обнаруживать дыры в системе безопасности, тестировать влияние множественного изменения настроек безопасности в системе без реализации этого изменения и обнаруживать любые отклонения в политике безопасности, существующей в сети.

Например, если вы создали шаблон безопасности и хотите сравнить его (то есть идеальные настройки безопасности) с текущими настройками безопасности системы, воспользуйтесь инструментом Security Configuration and Analysis. Если ваш шаблон безопасности окажется более строгим, чем текущий, то инструмент укажет те области, которые следует укрепить, чтобы они соответствовали новым настройкам. Более того, инструмент сообщит, что произойдет с системой в случае реализации этих новых настроек.

Для запуска инструмента Security Configuration and Analysis проделайте следующее.

  1. Введите в командную строку MMC/s.
  2. В меню File (Файл) щелкните на Add/Remove Snap-in (Добавить или удалить оснастку).
  3. Щелкните на Add (Добавить).
  4. В Available Standalone Snap-ins (Доступные изолированные оснастки) найдите Security Configuration and Analysis (Анализ и настройка безопасности) и сделайте двойной щелчок.
  5. Нажмите на Close (Закрыть), затем на ОК.

Теперь инструмент Security Configuration and Analysis доступен вам (рис. 9.9), но еще предстоит его сконфигурировать.

Инструмент Security Configuration and Analysis (Анализ и настройка безопасности)


Рис. 9.9.  Инструмент Security Configuration and Analysis (Анализ и настройка безопасности)

Создание базы данных

Работа инструмента Security Configuration and Analysis (Анализ и настройка безопасности) основана на использовании базы данных. Вам надо ее создать. Инструмент позволяет создать базу данных конфигураций и анализа безопасности, также называемую локальной базой данных политики компьютера.

Изначально база данных создается во время инсталляции Windows XP Professional. В ней содержатся конфигурации безопасности системы по умолчанию. При необходимости можно сразу же после инсталляции экспортировать эту базу данных и держать ее всегда под рукой на случай восстановления первоначальных настроек.

База данных определяет локальную политику безопасности компьютера, работающего при той конфигурации, которая определена требованиями политики безопасности. Однако политика безопасности может оказаться недостаточной для определения всей конфигурации в целом. Например, у вас может не оказаться предписаний безопасности для определенных папок или файлов. Запустив Security Configuration and Analysis, вы сможете найти такого рода ошибки.

Можно создать столько баз данных безопасности, сколько нужно. Для создания базы данных конфигураций безопасности проделайте следующее.

  1. В левом окне ММС щелкните правой кнопкой мыши на Security Configuration and Analysis (Анализ и настройка безопасности).
  2. Щелкните на Open Database (Открыть базу данных).
  3. В диалоговом окне Name (Имя) введите имя, которое вы хотите дать новой базе данных, и щелкните на Open (Открыть).
  4. Выберите имеющийся шаблон безопасности для импорта в базу данных.
  5. Щелкните на Open.
Анализ базы данных

Для анализа конфигураций базы данных проделайте следующие шаги.

  1. В левом окне ММС щелкните правой кнопкой мыши на Security Configuration and Analysis (Анализ и настройка безопасности).
  2. Щелкните на Analyze Computer Now (Анализ компьютера).
  3. В появившемся диалоговом окне Error log file path (Путь к файлу журнала ошибок) введите место, в котором будут сохранены результаты анализа, например, c:\logs\securitylog.log.
  4. Щелкните на Open (Открыть) и затем нажмите ОК. По мере проверки инструментом настроек безопасности компьютера в окне состояния будет отображаться процесс выполнения задания

После того как задание будет выполнено, просмотрите результаты анализа:

  1. В левом окне ММС щелкните правой кнопкой мыши на Security Configuration and Analysis (Анализ и настройка безопасности).
  2. Щелкните на View (Просмотр) и затем щелкните на Customize (Настроить).
  3. Выберите описание для отображения базы данных, над которой вы работаете, и щелкните ОК.
  4. В левом окне щелкните на Security Configuration and Analysis.
  5. В правом окне щелкните дважды на любой записи для получения подробного объяснения (см. рис. 9.10).

Здесь представлены результаты анализа конфигурации следующих областей.

Исследование результатов анализа


Рис. 9.10.  Исследование результатов анализа

Другие записи включают в себя сервисы системы, журнал и файловую систему. Проанализировав свою систему безопасности, возможно, вы захотите внести изменения в ее настройки. Если вы считаете настройку актуальной, то отметьте флажок Define this policy (Определить следующую политику в базе данных) во время исследования системы безопасности. Если очистить флажок, то данная политика будет удалена из конфигурации.

В будущем для использования различных видов конфигурации и анализа просто щелкните на элементе управления Еdit Security Settings (Изменить параметры безопасности), чтобы изменить текущее определение безопасности, содержащееся в базе данных.

Обеспечение безопасности серверов

Хотя Windows XP Professional не имеет версии, предназначенной специально для серверов, тем не менее, следует предпринять несколько важных шагов по обеспечению безопасности сервера (Windows NT, 2000 или .NET) во время постройки и конфигурирования Windows XP Professional сети. Так же следует обдуманно настраивать соединения сервера с Windows XP Professional-клиентами. В этом разделе рассматриваются такие методы обеспечения безопасности сервера, как IPSec, протоколы безопасности, групповая политика, аутентификация и списки управления доступом.

IPSec

Windows XP Professional обеспечивает безопасность передачи пакетов в сетях TCP/IP с помощью протокола IPSec. IPSec можно использовать для создания сквозных безопасных решений, основанных на применении шифрованной передачи данных. IPSec-решение предлагает следующее.

Как работает протокол IPSec

На рис. 9.11 схематически изображена работа протокола IPSec. Хост с активной политикой безопасности хочет установить соединение с другим компьютером, использующим политику безопасности.

  1. Хост А пытается передать данные. IPSec-драйвер хоста А связывается с IPSec-драйвером хоста В для установления ассоциированной безопасности (SA) , о которой пойдет речь в следующем разделе.
  2. Два компьютера производят обмен секретными ключами проверки подлинности, создавая секретные ключи совместного пользования.
  3. Используя методику безопасности, согласованную в SA, хост А подписывает и шифрует пакеты, предназначенные для хоста В.
  4. Хост В получает пакеты, и драйвер IPSec проверяет подпись и ключ пакетов. После аутентификации данные передаются по стеку в хост В.

Разумеется, весь процесс происходит быстро и незаметно для пользователей компьютеров А и В. Однако на шифрование и дешифрование этих пакетов расходуются дополнительные циклы работы процессора.

Согласование протоколов IPSec

На каждом компьютере в Windows XP/2000/.NET сетях имеется агент IP-политики. Является он активным или нет, решает администратор. Если агент активен, то он извлекает IPSec-политику, которая описывает согласование методов локальной защиты, и внедряет ее на локальном компьютере.

Для обмена информацией два хоста устанавливают связь посредством протокола IPSec


Рис. 9.11.  Для обмена информацией два хоста устанавливают связь посредством протокола IPSec

SA является контрактом, заключаемым между двумя компьютерами до начала обмена данными. В этом соглашении определены следующие особенности обмена данными.

Установка IPSec-политики

По умолчанию Windows XP Professional предоставляет три вида заранее определенной политики безопасности, которые подходят для большинства случаев. Вы также можете начать с одного из этих видов политики и модифицировать его в соответствии со своими нуждами. Ниже дается описание этих политик.

Выбор правильной политики основывается на тщательной оценке данных. Необдуманное предписание самого высокого уровня безопасности для всех пользователей и серверов создаст огромную и ненужную нагрузку на серверах и клиентских рабочих станциях. Это связано с дополнительной работой компьютеров по шифрованию и дешифрованию всего сетевого трафика. Однако разрешение любому клиенту устанавливать связь с безопасным сервером открывает широкий доступ для потока небезопасной информации.

Создание и применение IPSec-политики

Консоль Microsoft Management Console (MMC) используется для создания и конфигурирования IPSec-политики. Для этого в ММС надо добавить оснастку IPSec Policy Management (рис. 9.12).

Оснастка IPSec Policy Management


Рис. 9.12.  Оснастка IPSec Policy Management

Примечание. Добавление IPSec в ММС происходит аналогично добавлению других оснасток, упомянутых в этом курсе. Просмотрев список доступных оснасток, выберите IP Security Policy Management.

После добавления IPSec в консоль ММС появится запрос, каким компьютером эта оснастка будет управлять. Можно выбрать следующие опции:

Когда вы в первый раз откроете оснастку IPSec, то увидите три вида политик, предоставленных по умолчанию, чтобы вы могли модифицировать их так, как нужно. Вы можете создать собственную политику, используя мастер политики IP-безопасности. Мастер запускается правым щелчком мыши на оснастке IPSec в левом окне с последующим выбором Create IP Security Policy (Создать политику безопасности IP).

При запуске мастер запросит следующую информацию.

Фрагмент готовой IPSec-политики показан на рис. 9.13.

Можно также регулировать настройки, относящиеся к работе с ключами и к ограничениям информации, которой вы будете обмениваться. Например, щелкнув дважды на All IP Traffic (Весь IP-трафик), можно уточнить настройки данной характеристики. Как показано на рис. 9.14, эта специфическая деталь IPSec указывает на фильтрацию всего IP-трафика, ICMP-трафика или трафика обоих видов.

Можно импортировать другие доступные методы обеспечения безопасности по мере их появления, чтобы не привязываться к устаревшей технологии. После внесения изменений политика будет добавлена к списку политик безопасности по умолчанию, так что вы всегда сможете воспользоваться ей или модифицировать ее позже.

Дальше IPSec-политика может быть присвоена групповой политике (Group Policy). Здесь она будет применяться ко всем компьютерам, которые являются членами группы, и ко всем пользователям. В отличие от других видов политики, локальная политика безопасности имеет приоритет над политиками, стоящими выше с иерархической точки зрения. Например, локальная IPSec-политика организационной единицы аннулирует политику, присвоенную домену.

Конфигурирование IPSec-политики в ММС


Рис. 9.13.  Конфигурирование IPSec-политики в ММС

Редактирование правил IPSec


Рис. 9.14.  Редактирование правил IPSec

Вход в систему

Впервые пользователь сталкивается с политикой безопасности при входе в систему. Когда он усаживается за свой компьютер и нажимает на CTRL-ALT-DEL, то видит приглашение ко вводу имени пользователя и пароля. В этом разделе мы подробно рассмотрим, что представляет собой процесс входа в системе Windows XP Professional, и как осуществляется переход от одной учетной записи пользователя к другой.

Типы процессов входа в систему

При использовании Windows 2000 в качестве операционной системы сервера, Windows XP Professional использует четыре типа процессов входа.

При входе в систему Windows XP Professional с использованием интерактивного процесса данные, удостоверяющие личность пользователя, сверяются с данными, хранящимися на локальном компьютере или на контроллере домена. Эти процессы будут различаться в зависимости от того, где хранятся данные о пользователе.

Примечание. При входе в домен Windows 2000 в диалоговом окне должна появится надпись Logon domain (Домен входа). Если этого не произошло, щелкните на кнопке Options (Параметры) и выберите домен или введите имя пользователя в следующем формате: username@ mycomputer.myorganization.com.

Интерактивный вход

Для конечного пользователя процесс входа представляется достаточно простым. Надо вписать свое имя пользователя и пароль и нажать на Enter. Однако большая часть событий, необходимых для осуществления интерактивного входа, происходит "за кулисами". В процессе входа задействованы следующие компоненты.

Запуск от имени

Если вы в своей Windows-сети выполняете всю работу, используя свои администраторские данные для удостоверения личности, то подвергаете сеть необоснованному риску. Например, вы можете неумышленно занести вирус, который распространится по всей сети. Наилучшим способом минимизировать риск является использование для входа прав обычного или опытного пользователя и своей учетной записи администратора, только если этого требует работа.

К сожалению, выходить из системы в качестве пользователя и снова входить в нее в качестве администратора - дело достаточно нудное и неэффективное. Поэтому в Windows XP Professional есть инструмент под названием Run As (Запуск от имени). Он позволяет пользователю входить в систему с одним набором данных, удостоверяющих его личность, а затем запускать приложения, используя другой набор привилегий. Например, используя данные удостоверения личности обычного пользователя, вы можете выполнять свою ежедневную работу, заходить на сайты в интернете и т. д. Затем, если потребуется управление группой пользователей, вы обращаетесь к Run As, выполняете свои административные задачи и закрываете Run As.

Запуск от имени позволяет запускать:

Для запуска Run As проделайте следующие шаги.

  1. Определите место расположения элемента, который вы хотите открыть, в Windows Explorer, и затем щелкните на нем.
  2. Нажмите на SHIFT, щелкните правой кнопкой мыши на элементе и выберите Run As (Запуск от имени).
  3. В открывшемся диалоговом окне (рис. 9.15) щелкните на кнопке The following user (Учетная запись указанного пользователя).

    Диалоговое окно Run As (Запуск от имени)


    Рис. 9.15.  Диалоговое окно Run As (Запуск от имени)

  4. Введите свое имя пользователя и пароль или учетную запись, которую вы хотите использовать для доступа к элементу.
  5. В окне Domain (Домен) выполните одно из действий:
    • введите имя своего компьютера для использования данных удостоверения личности администратора локальной сети;
    • введите имя своего домена для использования данных удостоверения личности администратора домена.

Если инструмент Run As (Запуск от имени) не работает, убедитесь в том, что сервис Run As подключен, используя оснастку Services (Службы) ММС.

Протоколы

Существует много протоколов обеспечения безопасности, и система Windows XP Professional использует два наиболее распространенных: Kerberos и NTLM. NTLM используется по умолчанию как протокол входа в систему в сетях Windows NT. Kerberos применяется как протокол по умолчанию для доменов Windows 2000.

Протокол Kerberos применяется в том единственном случае, когда контроллеры доменов используют Windows 2000 или .NET, а клиенты используют Windows XP Professional. В остальных сценариях применяется протокол NTLM. В следующих разделах рассматривается работа этих протоколов безопасности.

Kerberos

Мы уже упоминали Kerberos ранее. Но в связи с его важностью для Windows 2000 доменов (и их взаимодействия с Windows XP Professional) он заслуживает более подробного рассмотрения. Kerberos - это протокол аутентификации по умолчанию, используемый в системах Windows 2000 и Windows XP Professional.

Протокол Kerberos был разработан в Технологическом институте (Массачусетс) в 1999 г. Этот протокол предоставляет быстрый одноразовый вход в систему Windows-сети, а также в сети с другими операционными системами, поддерживающими Kerberos. Протокол Kerberos обеспечивает следующие возможности:

Протокол Kerberos обеспечивает взаимно-секретную аутентификацию. Это означает, что знают пароли только клиент и другой компьютер (называемый центром распространения ключей - KDS). Kerberos предоставляет быструю аутентификацию, поскольку снимает бремя этой задачи с сервера и передает его клиенту и KDS.

Примечание. Вход с систему в соответствии с протоколом Kerberos описан в лекции 2.

NTLM

Протокол NTLM осуществляет аутентификацию компьютеров и клиентов по принципу вызов/ответ. При работе по протоколу NTLM исходный сервер должен контактировать с контроллером домена для подтверждения подлинности пользователя или компьютера.

Примечание. Протокол NTLM можно использовать не только в окружении домена, но также при взаимодействии двух устройств одного ранга и в групповой работе.

Следующие шаги поясняют, что происходит при интерактивном входе в систему в соответствии с протоколом NTLM.

  1. Пользователь инициирует вход, нажимая клавиши CTRL+ALT+DEL. Это называется SAS (Secure Attention Sequence).
  2. Далее Winlogon вызывает библиотеку GINA.DLL - появляется диалоговое окно входа.
  3. После того как пользователь ввел свое имя и пароль, Winlogon посылает информацию в LSA.

    Примечание. LSA - это объект, который получает имя пользователя и пароль от Winlogon и принимает решение о разрешении входа в систему локального компьютера или сети.

  4. Если учетная запись пользователя хранится на локальном компьютере, то LSA использует пакет аутентификации MSV1_0 , сравнивая информацию для входа с данными, хранящимися в базе данных SAM компьютера. Если учетная запись пользователя хранится в сети, то LSA использует MSV1_0 и службу Сетевой вход в систему (Net Logon) для проверки SAM на Windows NT-контроллере домена.
  5. Если информация подтверждается, то SAM сообщает об этом LSA, высылая пользовательский идентификатор защиты (SID). Более того, SAM высылает идентификаторы защиты (SID) всех групп, к которым принадлежит пользователь. Эта информация используется локальным администратором безопасности (LSA) для создания маркера доступа, который включает в себя идентификатор защиты пользователя.
  6. Сеанс работы пользователя начинается после получения службой Winlogon этого маркера.

Аутентификация

Не путайте вход в систему с аутентификацией. В то время как вход позволяет пользователю получать доступ к компьютеру (локально или с сетевыми полномочиями), процесс аутентификации позволяет пользователям иметь определенные разрешения на работу и членство в группах.

Создание, управление и удаление учетных записей пользователей и создание и поддержка групп безопасности являются важнейшими задачами управления безопасностью. Именно от этих функций зависит уровень доступа пользователей и их возможность работать с сетевыми ресурсами.

Учетная запись пользователя

Каждый пользователь в сети имеет свою учетную запись. Учетные записи могут создаваться локально или как часть домена. Если у пользователя имеется локальная учетная запись, то он не может получить доступ к сетевым ресурсам (если в сети нет разрешенного анонимного доступа). Если у пользователя есть учетная запись на уровне домена, то со своего локального компьютера он может получать доступ к ресурсам сети.

При инсталляции Windows XP Professional создаются две учетные записи пользователя.

Примечание. Хорошей практикой в обеспечении безопасности является отключение учетной записи администратора и использование для повседневной работы учетной записи пользователя.

Помимо этих учетных записей, Windows XP Professional позволяет создавать еще ряд учетных записей.

Если для локального компьютера нужен определенный тип учетной записи, то администратор должен войти в систему и создать эту учетную запись. Никто, кроме него, не имеет права создавать учетные записи.

Для создания, управления и удаления учетной записи проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск\Панель управления).
  2. Щелкните на User Accounts (Учетные записи пользователей). Появится окно, показанное на рис. 9.16.

Вы также можете управлять дополнительными характеристиками пользователей, о чем пойдет речь в следующих разделах.

Управление паролем

Работники приходят и уходят (некоторым даже предлагается это сделать). Поэтому Windows XP Professional обеспечивает возможность управления паролями служащих вашей организации. Есть два способа управления паролями.

Управление учетными записями пользователей


Рис. 9.16.  Управление учетными записями пользователей

Задачи, связанные с паролем

Для изменения пароля пользователя проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск\Панель управления) и затем щелкните дважды на User Accounts (Учетные записи пользователя).
  2. В появившемся диалоговом окне (рис. 9.17) щелкните на имени пользователя и затем щелкните на Change Password (Смена пароля).
  3. Впишите новый пароль два раза в диалоговом окне Reset Password (Смена пароля).
  4. Вы можете ввести подсказки для пароля, если считаете, что это поможет пользователю вспомнить забытый пароль.

Windows XP Professional позволяет устанавливать определенные правила для управления паролями. Например, можно заставить пользователя изменять свой пароль при каждом входе в систему, отключить учетную запись и т. д. Для установки правил проделайте следующее.

Изменение пароля пользователя


Рис. 9.17.  Изменение пароля пользователя

  1. Откройте ММС и добавьте оснастку Local Users and Groups (Локальные пользователи и группы).
  2. Щелкните дважды на папке Users (Пользователи).
  3. Щелкните правой кнопкой мыши на имени пользователя, учетной записью которого вы собираетесь управлять, и затем выберите Properties (Свойства).
  4. На странице свойств (рис. 9.18) можно установить следующие правила:
    • User must change password at next logon (Пользователь должен сменить пароль при следующем входе);
    • User cannot change password (Пользователь не может менять пароль).
    • Password never expires (Время действия пароля не ограничено);
    • Account is disabled (Учетная запись отключена);
    • Account is locked out (Учетная запись заблокирована).

Примечание.Установить более сложные правила для использования пароля можно с помощью оснастки Group Policy (Групповая политика): установить минимальную длину пароля или определить время смены пароля. Групповая политика будет обсуждаться в одном из следующих разделов этой лекции.

Управление правилами пароля


Рис. 9.18.  Управление правилами пароля

Сохранение имен пользователей и паролей. Исходя из сложности и конфигурации сети, вы можете не захотеть, чтобы пользователь применял одни и те же реквизиты для доступа к различным ресурсам. Например, пользователь будет иметь доступ на уровне опытного пользователя для сети, но только уровень обычного пользователя для доступа к серверу. В любом случае Windows XP Professional будет отслеживать реквизиты пользователя с помощью опции Stored User Names and Passwords (Сохранение имен пользователей и паролей), находящейся в панели управления.

Примечание. Возможности сохранения имен пользователей и паролей не ограничиваются только именами пользователей и паролями. Также можно отслеживать сертификаты безопасности, смарт-карты и мандаты Passport.

Если пользователь пытается получить доступ к сетевому ресурсу, защищенному паролем, то будут использованы его реквизиты входа. Если эти реквизиты окажутся недостаточными, то будет послан запрос в файл Stored User Names and Passwords (Сохранение имен пользователей и паролей). Если реквизиты пользователя окажутся на месте, то пользователь получит доступ к ресурсу. Если реквизитов на месте не окажется, то пользователю порекомендуют ввести корректные реквизиты, которые будут сохранены для использования в будущем.

При создании нового имени пользователя и пароля для доступа к защищенному паролем ресурсу сети проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск\Панель управления) и дважды щелкните на User Accounts (Учетные записи пользователей).
  2. Если вы являетесь частью домена, щелкните на вкладке Advanced (Дополнительно) и затем щелкните на Manage Passwords (Управление паролями). На компьютерах, не являющихся часть домена, надо щелкнуть на значке, аналогичном учетной записи, и затем в области Related Tasks нажать на Manage your stored passwords (Управление сохраненными паролями).
  3. Щелкните на Add (Добавить).
  4. Введите необходимую информацию.

Восстановление паролей. Если вы когда-нибудь забывали свой пароль, то вам знакомо ощущение тревоги и неудобства, связанное с его восстановлением. Для решения этой проблемы Windows XP Professional включает в себя мастер сброса пароля (Password Reset Wizard), который позволяет создавать запасную дискету для восстановления пароля.

Примечание. Мастер сброса пароля работает только на локальном компьютере. Программу нельзя использовать для сетевых учетных записей. Более того, на дискете на самом деле нет пароля, а вместо этого она содержит пару секретных ключей - общий и личный. Так как ваш пароль не хранится на дискете, то нет необходимости создавать новую запасную дискету всякий раз при смене пароля.

Для создания запасной дискеты проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск\Панель управления).
  2. Выберите User Accounts (Учетные записи пользователей) и в списке выберите свою учетную запись.
  3. В окне Related Tasks (Связанные задачи) щелкните на Prevent a forgotten password. Этим приводится в действие мастер сброса пароля.
  4. Щелкните на Next (Далее).
  5. Вставьте дискету в дисковод.
  6. В поле Current User Account Password (Пароль текущей учетной записи) введите свой пароль и нажмите Next (Далее).
  7. Когда индикатор выполнения задания покажет, что задание выполнено, нажмите на Finish (Готово) и уберите дискету в безопасное место.

Примечание. Лучше не снабжать дискету наклейкой с надписью "Запасная копия пароля".

Теперь при вводе неверного пароля система Windows XP Professional будет запрашивать дискету с запасной копией. Мастер задаст вопрос, в каком дисководе находится запасная дискета, и попросит ввести новый пароль.

Групповая безопасность

Учетные записи пользователей являются строительными блоками для построения безопасности групп. Группы можно создавать и управлять ими в зависимости от нужд организации. Например, можно разбить всех пользователей на группы, состоящие из руководителей высшего звена, среднего звена и простых служащих. Такая структура будет полезна, если вы хотите дать (или отобрать) разрешение определенной группе пользователей, не затрагивая всей организации. Например, в организации только что установили новый цветной принтер, но вы хотите, чтобы к нему имело доступ только руководство. Дав разрешение на доступ к принтеру только группам, включающим в себя руководителей высшего и среднего звена, вам не придется беспокоиться по поводу того, что все служащие компании будут пользоваться принтером. Более того, надо выдать всего два разрешения (по одному каждой группе пользователей), а не возиться целый день с учетными записями пользователей сети, чтобы выдавать разрешения каждому по отдельности.

Группы безопасности могут быть любого размера. Они включают от одного компьютера или пользователя до всего домена или леса. Все группы безопасности системы Windows XP Professional подпадают под одну из следующих категорий.

Встроенные принципы безопасности применяются к любой учетной записи, которая использует компьютер определенным образом, по сути, не являясь группой безопасности, но подчиняясь тем же правилам. Например, встроенные принципы безопасности могут применяться к каждому, кто использует соединение наборного доступа, или к любому, кто входит в компьютер из сети.

В основном группы определяются на основании того, в какой части сети они могут использовать разрешения, и по количеству трафика, который генерирует группа. Другим преимуществом использования групп является то, что если они хорошо спланированы и реализованы, то сетевая нагрузка снижается в связи с отсутствием необходимости в обширной репликации контроллера домена.

Whoami

Нет, Whoami - это не группа мирового класса по брэйк-дансу начала 1980-х. Это инструмент командной строки системы Windows XP Professional, который позволяет просматривать разрешения и права, выданные пользователю.

Whoami находится на диске с Windows XP Professional в каталоге Support\Tools. Этот инструмент возвращает имя домена или компьютера наряду с именем текущего пользователя и компьютера, в системе которого работает Whoami. Он показывает имя пользователя и его SID, группы и их идентификаторы защиты, привилегии и статус.

Для инсталляции Whoami щелкните дважды на инструменте SETUP.EXE в каталоге Support/Tools на компакт-диске Windows XP Professional. Затем выполните действия в мастере установки (Support Tools Setup Wizard) для завершения инсталляции Whoami.

Для запуска Whoami в окне команд введите whoami.

Ниже перечислены опции команды Whoami для получения необходимых результатов:

Далее следуют два примера применения Whoami.

C:\Documents and Settings\Robert Elsenpeter>whoami /user /priv
[User] = "GEONOSIS\Robert Elsenpeter"
(X) 	SeChangeNotifyPrivilege 			= Bypass traverse checking
(O) SeSecurityPrivilege 				= Manage auditing and security log
(O) SeBackupPrivilege 					= Back up files and directories
(O) SeRestorePrivilege 					= Restore files and directories
(O) SeSystemtimePrivilege 				= Change the system time
(O) SeShutdownPrivilege 				= Shut down the system
(O) SeRemoteShutdownPrivilege 		= Force shutdown from a remote system
(O) SeTakeOwnershipPrivilege 			= Take ownership of files or other objects
(O) SeDebugPrivilege 					= Debug programs
(O) SeSystemEnvironmentPrivilege 	= Modify firmware environment values
(O) SeSystemProfilePrivilege 			= Profile system performance
(O) SeProfileSingleProcessPrivilege 	= Profile single process
(O) SeIncreaseBasePriorityPrivilege 	= Increase scheduling priority
(X) SeLoadDriverPrivilege 				= Load and unload device drivers
(O) SeCreatePagefilePrivilege 			= Create a pagefile
(O) SeIncreaseQuotaPrivilege 			= Adjust memory quotas for a process
(X) SeUndockPrivilege 					= Remove computer from docking station
(O) SeManageVolumePrivilege 			= Perform volume maintenance tasks

Для вывода SID используйте параметры /user и /sid вместе:

C:\Documents and Settings\Robert Elsenpeter>whoami /user /sid
[User] = "GEONOSIS\Robert Elsenpeter" S-1-5-21-606747145-113007714-17085377
68-1003
Листинг 9.1. (html, txt)

Списки контроля доступа

В последнем разделе мы поверхностно рассмотрели учетные записи пользователей и управление ими с помощью групп. Для управления группами (добавления и удаления пользователей и разрешений) администраторы применяют списки контроля доступа (ACL).

В Windows XP Professional имеется два вида ACL.

Списки контроля доступа являются удобным инструментом определения того, кто имеет доступ к конкретному объекту, и предоставляют возможность редактировать разрешения. Например, если вы считаете, что новый лазерный принтер не должен использоваться никем, кроме работников отделения маркетинга, то для приведения в действие этих ограничений можно использовать ACL.

Просмотр

Для просмотра ACL щелкните правой кнопкой мыши на значке объекта (папки, принтера и т. д.) и выберите Properties (Свойства). Щелкните на вкладке Security (Безопасность) - и увидите группы и пользователей, имеющих доступ к этому объекту, а также перечень разрешений, выданных этой группе.

Примечание. Компьютеры с системой Windows XP Professional, как отдельные, так и в составе рабочей группы, не смогут увидеть вкладку Security (Безопасность), если работают в режиме простого обмена информацией. Для отключения Simple Sharing откройте My Computer (Мой компьютер). В меню Tools (Параметры) щелкните на Folder Options (Свойства папок). Затем щелкните на вкладке View (Просмотр) и очистите флажок Use simple file sharing (Использовать простой обмен файлами).

На вкладке Security (Безопасность) расположены два окна.

Примечание. Только пользователи, имеющие разрешения доступа к определенному объекту, могут просматривать ACL данного объекта.

Кнопки Add (Добавить) и Remove (Удалить) выполняют те действия, на которые указывают их названия, а именно добавление или удаление пользователей или группы из списка.

Расширенные настройки

Щелкнув на кнопке Advanced (Дополнительно), можно изучить детали настроек определенного пользователя или группы. На странице Advanced Security Settings (Дополнительные параметры безопасности) можно установить большее количество расширенных свойств выдачи разрешений:

При своем появлении страница Advanced Security Settings автоматически выводит на экран вкладку Permissions (Разрешения). На ней показаны разрешения, которые были установлены в явном виде для данного объекта. Другая вкладка с разрешениями, называемая Effective Permissions (Действующие разрешения), позволяет просматривать все разрешения, которые применяются к пользователю или группе в отношении данного объекта, включая разрешения, являющиеся частью разрешений определенной группы или установленные для определенного пользователя.

Групповая политика

Одним из наиболее сильных инструментов администрирования в Windows XP Professional является Group Policy (Групповая политика). Разумное использование этого инструмента может уменьшить TCO (Total Cost of Ownership - полная стоимость владения) посредством блокировки системы пользователя и снижения вероятности взлома ее каким-нибудь пользователем. Group Policy является оснасткой ММС и может применяться практически к любому объекту. Вы могли бы создать и применить групповую политику к домену, подразделению и группе внутри подразделения. Применение политики иерархически распространяется по всему дереву домена. Следовательно, если политика на более высоких уровнях дерева конфликтует с политикой нижележащих уровней, то по умолчанию приоритет остается за политикой верхних уровней.

Примечание. В целом Group Policy используется для доменов Active Directory. Для применения групповой политики на своем локальном компьютере вы должны использовать инструмент Local Group Policy (Локальная групповая политика). Вы применяете эту политику примерно так же, как и групповую политику. Однако при подключении оснастки Group Policy задается вопрос, каким компьютером вы намерены управлять - следует выбрать Local Computer (Локальный компьютер).

Оснастка

Оснастка Group Policy (Групповая политика) (рис. 9.19) включает в себя две основные группы: Computer Configuration (Настройка компьютера) и User Configuration (Конфигурация пользователя). Они соответствуют System Policy Editor (Редактор системной политики) и User Policies (Политики пользователей). Каждая из этих групп содержит в себе еще три подгруппы.

После выбора политики, требующей изменения, щелкните правой кнопкой мыши на ней и выберите Properties (Свойства). Вы можете подключить или отключить политику. Допустим, мы подключили меню Remove Documents (Удалить меню (Документы)) из главного меню. Теперь ни один пользователь во всем домене не будет видеть элемент Documents (Документы) в своем меню Start (Пуск).

Управление группами

В организации с тысячами работников не представляется возможным отдельно управлять каждой учетной записью пользователя. Именно здесь полезны и необходимы группы. Вы можете присваивать атрибуты широкому диапазону пользователей двумя щелчками мыши.

Оснастка Group Policy (Групповые политики)


Рис. 9.19.  Оснастка Group Policy (Групповые политики)

Создание группы. Первым шагом является создание OU (Organizational Unit - организационная единица). Это можно сделать на Windows 2000 или .NET сервере или с помощью пакета инструментов Windows .NET Server Administration Tools Pack (см. гл. 6 и приложение). OU являются основными строительными блоками Active Directory. Откройте инструмент Active Directory Users and Computers (Active Directory - пользователи и компьютеры), выбрав Start\Administrative Tools\ Active Directory Users and Computers (Пуск\Администрирование\Active Directory - пользователи и компьютеры). Выберите домен, в котором вы хотите разместить OU. Выберите Action\New\Organizational Unit (Действие\Создать\Подразделение). Введите имя для новой организационной единицы и нажмите на ОК.

Для добавления пользователя во вновь созданную OU вернитесь к оснастке Active Directory Users and Computers и выберите OU, куда необходимо поместить пользователя. В панели выберите Action\New\User (Действие\Создать\Пользователь).

Появится окно New Object-User (Новый объект - пользователь), в котором следует ввести необходимую информацию о пользователе и затем щелкнуть на Next (Далее). Вас попросят ввести пароль пользователя, который может быть изменен при следующем входе пользователя в систему.

Добавление новой группы в OU происходит аналогичным образом. Снова воспользуйтесь оснасткой Аctive Directory Users and Computers, выберите Action\New\Group (Действие\Создать\Группа) и введите информацию в диалоговые окна для установки группы и ее атрибутов.

Следует обратить особое внимание на то, где создается новый объект, так как новый объект можно добавить практически в любое место иерархии. Можно и даже нужно создавать OU внутри других OU. Если это то, что вы хотели сделать, а на самом деле создали новую OU внутри домена, то результат будет совершенно другой и это почувствуют все члены OU. То же самое можно сказать о пользователях и группах. Место их размещения в иерархии Active Directory имеет существенное влияние на их свойства. Например, создание нового пользователя внутри домена будет давать этому пользователю права на доступ ко всем объектам, иерархически расположенным ниже, включая все организационные единицы, являющиеся членами домена. Это существенно отличается от размещения нового пользователя в OU с весьма ограниченными правами.

Примечание. Вы легко можете перемещать пользователей, группы и OU по дереву домена, используя эту оснастку. Но помните, что простое перемещение может оказать влияние на многих пользователей.

Редактирование группы. Информация о группе редко остается неизменной со времени ее создания. Active Directory обеспечивает вас необходимыми инструментами для редактирования группы и ее атрибутов. Воспользуйтесь оснасткой Active Directory Users and Computers, щелкните правой кнопкой мыши на учетной записи пользователя или группы и выберите Properties (Свойства). Откроется окно свойств, в котором содержатся все атрибуты пользователя или группы.

Как видно на примере групповой политики, управление безопасностью в Windows XP Professional сетях может быть весьма детализированным. Вы должны осознать всю важность управления безопасностью, а также и то, что к этой задаче нельзя подходить легкомысленно.

Лекция 10. Обеспечение безопасности в файловой системе NTFS

Windows XP Professional предназначена для работы с файловой системой NTFS, обеспечивающей широкие возможности управления данными и их защитой. В данной лекции обсуждаются возможности и использование NTFS.

Файловая система NTFS появилась еще в Windows NT. Но пусть ее возраст не приводит вас в замешательство. Эта файловая система обладает целым рядом качеств, которые могут обеспечить безопасную, стабильную и надежную работу жестких дисков.

NTFS обеспечивает безопасность на уровне файлов, в отличие от общей безопасности файловой системы FAT. При использовании FAT вы можете запретить или разрешить доступ из сети к части дискового пространства. А с помощью NTFS можно установить доступ к конкретным папкам и файлам. При работе с FAT любой пользователь, расположившийся за компьютером, независимо от способа его регистрации, имеет доступ ко всем вашим файлам.

NTFS является частью сетевой и Windows XP Professional-систем безопасности. В этой лекции рассматриваются методы обеспечения безопасности и использование системы NTFS в Windows XP Professional. Сначала мы рассмотрим отличительные черты NTFS, затем обсудим применение разрешений NTFS. Наконец, если NTFS - это то, что вам подходит, мы поговорим о конвертации FAT в NTFS на вашем жестком диске.

Отличительные черты NTFS

Термины FAT и NTFS являются общими названиями, каждое из которых заключает в себе несколько различных версий этих форматов. Например, существует несколько разновидностей FAT: FAT12, FAT16 и FAT32. Для простоты изложения в этом курсе мы будем их называть просто FAT. С другой стороны, существуют две версии NTFS, а именно версия 4.0 и 5.0.

В этом разделе мы поговорим об отличительных особенностях NTFS, и почему эта система лучше подходит вашей организации, чем FAT. Мы рассмотрим сжатие, шифрование, квоты, а также работу системы в целом. Но сначала давайте разберемся, в чем состоит отличие версии 4.0 файловой системы NTFS от версии 5.0.

4.0 и 5.0

Windows XP Professional предлагает самую свежую версию NTFS. В Windows NT использовалась версия 4.0 NTFS. Система Windows XP Professional пользуется версией 5.0, представленной в Windows 2000. Хотя файловые системы обеих версий приспособлены к взаимному чтению и записи, в Windows XP Professional есть ряд новых качеств, которыми Windows NT не может пользоваться при доступе к жесткому диску с NTFS 5.0.

Эти добавления делают NTFS v.5.0 мощным инструментом со встроенными возможностями управления, который при правильном применении сделает организацию более продуктивной и эффективной.

Сжатие

Жесткие диски компьютеров становятся все более вместительными. Это происходит потому, что цены на жесткие диски падают, а потребность в дисковом пространстве для хранения файлов растет. Что бы вы ни сохраняли, будь то приложения или мультимедийные файлы, всегда требуется дополнительное место на диске. Но вместо добавления или обновления жестких дисков Windows XP Professional предлагает механизм, который поможет использовать пространство жесткого диска самым оптимальным образом. Это - сжатие папок.

Типы сжатия Windows XP Professional

Windows XP Professional предлагает два типа сжатия папок: NTFS-сжатие и ZIP-сжатие. Выбор метода сжатия будет зависеть от цели, которую вы преследуете, применяя этот метод. Если надо заархивировать данные, то лучше всего применить zip-сжатие. С другой стороны, если файлы, которые вы постоянно используете, захватывают все большее пространство (или есть файлы, которые вы хотите сохранять на жестком диске, но редко ими пользуетесь), то следует обратиться к NTFS-компрессии. Ниже мы рассмотрим особенности этих двух видов сжатия.

ZIP. ZIP-компрессия является популярным форматом сжатия, который годами реализовывался с помощью инструмента от сторонних разработчиков. При ZIP-сжатии несколько файлов архивируются в одной большой ZIP-папке. Для выполнения компрессии или декомпрессии папки пользователь должен явно выполнить это действие. Поэтому такой тип компрессии нельзя применить незаметно. Более того, в связи с тем, что ZIP-файлы выглядят как файлы уникального типа, приложения не могут получить к ним доступ. ZIP-компрессия подходит для тех случаев, когда вы хотите переслать несколько файлов во вложении к письму и надо учитывать размер вложения, или при создании архива данных.

Примечание. ZipMagic является инструментом сторонних разработчиков, который позволяет работать с ZIP-файлами, как если бы они были системными файлами. Для получения более подробной информации о ZipMagic зайдите на http://www.ontrack.com/zipmagic.

NTFS. Сейчас нас больше интересует NTFS-сжатие. Этот вид компрессии подходит как для папок, так и для файлов, но работает только при NTFS-делении дискового пространства (еще один повод конвертировать диск в NTFS). Кроме того, NTFS-компрессия совершенно "прозрачна" (незаметна) для приложений и пользователей. Когда приложение открывает сжатый файл, то NTFS выполняет декомпрессию только той части файла, которая читается в данный момент, и копирует ее в память. Так как порция данных в памяти находится в сжатом состоянии, то работе системы ничто не мешает. Если данные нужно сохранить в файле, то компьютер должен сжать файл. В NTFS это выполняется достаточно легко. Просто включите компрессию в меню Properties (Свойства) файла или папки.

Размер сжатого файла или папки будет зависеть от типа файла. Например, при сжатии документа Word можно ожидать довольно значительного сжатия - со 120 Кб до 50 Кб. С другой стороны, при сжатии графического файла вы не достигнете такого же уровня компрессии. Изображение вашей тети Матильды, составляющее 120 Кб, после сжатия будет занимать на диске около 90 Кб.

Обращаясь к компрессии, вы также должны подумать о том, что она затронет процесс доступа к файлу (хотя и не так сильно, как об этом упоминалось ранее в связи с NTFS-сжатыми файлами). Это особенно заметно, когда сжат весь диск целиком, а не отдельный файл или папка. Компьютеру приходится выполнять задание по сжатию и декомпрессии файла, так что, если таких файлов много, то система будет загружена работой.

Тома

Если вы хотите выжать из своего жесткого диска все пространство "до последней капли", то можете подвергнуть сжатию весь том. В зависимости от величины тома, количества файлов, содержащихся в нем, и скорости компьютера процесс может занять несколько минут. По сравнению со сжатием файлов или папок выполнение этого задания занимает больше времени, потому что Windows XP Professional должна пройтись по всем папкам и изменить уровень сжатия, а затем сжать (или наоборот) каждый файл в папке.

Для сжатия полного тома проделайте следующие шаги.

  1. Используя Windows Explorer или через меню My Computer (Мой компьютер), найдите том, который надо сжать.
  2. Щелкните правой кнопкой мыши на томе и выберите Properties (Свойства).
  3. На вкладке General (Общие) (рис. 10.1) отметьте (или снимите отметку, если вы хотите декомпрессировать том) флажок Compress drive to save disk space (Сжать диск для экономии места).
  4. Нажмите на ОК.
  5. Далее вы увидите диалоговое окно Confirm Attribute Changes (Подтверждение изменения атрибутов). Выберите либо сжатие всего тома, либо корневой папки.

Сжатие полного тома


Рис. 10.1.  Сжатие полного тома

Файлы и папки

В зависимости от потребностей и желаний вы можете выбрать только несколько папок или файлов, которые надо компрессировать. Система NTFS позволяет сжимать отдельные папки и файлы. Для выполнения компрессии отдельных файлов и папок проделайте следующие действия.

  1. Используя Windows Explorer или через меню My Computer (Мой компьютер), найдите файл или папку, который вы хотите компрессировать.
  2. Щелкните правой кнопкой мыши на объекте и выберите Properties (Свойства).
  3. На вкладке General (Общие) щелкните на кнопке Advanced (Дополнительно).
  4. В диалоговом окне Advanced Attributes (Дополнительные атрибуты) (рис. 10.2) выберите (или очистите, если вы хотите провести декомпрессию раздела) флажок Compress contents to save disk space (Сжать содержимое для экономии места).

    Сжатие файла или папки


    Рис. 10.2.  Сжатие файла или папки

  5. Щелкните на ОК.
  6. В окне свойств щелкните на ОК.
  7. При сжатии папки Windows XP Professional спросит, нужно ли сжать только папку или сжать папку со всеми подкаталогами и файлами. Сделайте свой выбор и нажмите на ОК.

Когда вы посмотрите на Windows Explorer, то заметите, что сжатые файлы и папки выглядят несколько иначе. Имена сжатых файлов и папок напечатаны синим шрифтом. Это служит напоминанием о том, какие папки и файлы являются сжатыми, а какие нет.

COMPACT.EXE

Как и при работе с другими инструментами Windows XP Professional, вы можете сжимать файлы и папки из командной строки. Командная строка бывает предпочтительнее, если нужно провести пакетное сжатие. Команда COMPACT записывается следующим образом:

Compact /c

COMPACT.EXE содержит несколько ключей, которые помогают модифицировать сжатие. Помимо ключа /c (который означает простое сжатие файла), вы можете воспользоваться ключом /f на случай сбоя в работе компьютера во время проведения сжатия, так как этот ключ позволяет закончить компрессию.

Более того, команда COMPACT пригодится для сжатия файла определенного типа по шаблону. Например, если требуется сжать все Adobe Acrobat файлы, то команда выглядит следующим образом:

Compact /c*.pdf

Из корневой папки вы можете сжать полный том:

Compact /c/I s:\

В данном случае ключ /I не позволяет посылать сообщения об ошибке, прерывающие процесс сжатия. Полный список ключей команды COMPACT можно получить, введя в командную строку следующее:

Compact /?

Выполнение

Компьютеры-клиенты являются подходящим местом для проведения сжатия, так как компрессия и декомпрессия должны проводиться локально. И наоборот, при размещении сжатых файлов на сервере он будет тратить дополнительное время на компрессию и декомпрессию файлов. Это вызовет перебои в работе сервера, которые распространятся по всей сети, так как пакеты не будут передаваться с положенной им скоростью.

С другой стороны, серверы, на которых размещена информация только для чтения (или файлы, которые редко требуются) будут приемлемыми кандидатами для проведения компрессии из-за их редкой посещаемости.

Квоты на дисковое пространство

В век МР3, видеоклипов и других ресурсоемких файлов хорошо иметь под рукой инструмент, ограничивающий пространство на жестком диске, предоставляемое пользователю. В системе NTFS можно устанавливать квоты для пользователей на пространство жесткого диска. Но к введению квот подталкивает не только безответственное поведение работников. Если свободное пространство на диске ограничено, квоты помогут избежать потери исключительно важных данных, которые просто могут не уместиться на заполненный до отказа диск.

В системе Windows XP Professional квотирование дискового пространства позволяет выполнять следующие действия.

Квотирование диска в Windows XP Professional работает индивидуально в отношении каждого пользователя и каждого тома. Дисковое пространство выделяется каждому пользователю, чье право собственности на файл отслеживается по его идентификатору безопасности (SID). Если пользователь переносит данные из одной папки в другую папку на том же томе, то количество пространства на жестком диске, которое занимает пользователь, не меняется. Если пользователь копирует файлы одной папки в другую в одном и том же томе, то ему придется дважды платить за эти данные, так как они существуют в двух местах одного тома.

Квоты диска "прозрачны" для пользователя. Когда он смотрит на доступное пространство диска, то видит, сколько осталось от выделенной ему части. Как и для полностью заполненного диска, после того как квота исчерпана, на диске нельзя сохранить ни одного файла. Если пользователю требуется больше пространства на жестком диске, то он может проделать следующее.

Примечание. Пользователи не могут схитрить, применяя компрессию файлов в надежде получить больше дискового пространства.

При установлении квот следует помнить о двух величинах.

Например, если вы решите, что квота каждого пользователя должна составлять 1 Гб, и установите порог выдачи предупреждения на 900 Мб, то, когда пользователь израсходует 900 Мб объема, в регистрационном журнале будет сделана запись. Когда пользователь превысит порог в 1 Гб, вы посредством инструмента квотирования можете запретить пользователю получение дополнительного пространства на жестком диске, сделать запись в журнале регистрации, или выполнить и то, и другое.

Включение квотирования

Для установки квот диск должен быть отформатирован под NTFS, и квоты должны устанавливаться лицом, имеющим полномочия администратора. Для включения квот проделайте следующие шаги.

  1. Щелкните правой кнопкой мыши на томе, для которого вы хотите установит квоты.
  2. Выберите Properties (Свойства).
  3. Щелкните на вкладке Quota (Квота) (рис. 10.3). Вы можете ввести следующие настройки.
    • Включить или выключить квотирование диска.
    • Запретить использование диска лицам, израсходовавшим свои квоты.
    • Установить по умолчанию порог выдачи предупреждения и границу квоты для новых пользователей объема.
    • Делать запись в журнале регистации событий о том, что пользователь превысил квоту или порог выдачи предупреждения.

    Установление квот на пространство диска


    Рис. 10.3.  Установление квот на пространство диска

  4. В заключение нажмите на ОК, чтобы установить квоты.
Управление квотами

После того как квоты установлены, вы можете отслеживать пороги квот, статус предупреждения или реально использованное пространство. На рисунке 10.4 показано окно Quota Entries (Записи квот), в котором перечислены пользователи, имеющие доступ к компьютеру с именем GEONOSIS.

Окно записей квот


Рис. 10.4.  Окно записей квот

Как можно видеть, из пяти пользователей четыре находятся в рамках границы квоты и порога выдачи предупреждения. Однако третий пользователь превысил порог выдачи предупреждения. Это отражено предупреждающим значком в поле статуса.

Давайте предположим, что этому пользователю требуется дополнительное пространство на диске. Для изменения его квоты (увеличения или уменьшения) проделайте следующие шаги.

  1. Щелкните правой кнопкой мыши на соответствующем томе
  2. Выберите Properties (Свойства).
  3. Щелкните на вкладке Quota (Квота) и затем щелкните на Quota Entries (Записи квот), что вызовет появление окна, показанного на рис. 10.4.
  4. Щелкните правой кнопкой мыши на пользователе и затем - на Properties (Свойства) для изменения границы квоты данного пользователя.

Когда вы откроете окно Quotas Entries в первый раз, то обнаружите там чистую консоль. Перед установкой квот следует заполнить список пользователей. Это выполняется щелчком на Quota (Квота) в строке меню и последующим выбором New Quota Entry (Создать запись квоты). Появляется окно с вопросом о том, для какого объекта требуется устанавливать квоту. Введите имя пользователя - появится окно, изображенное на рис. 10.5.

В окне Add New Quota Entry вы будете устанавливать свои квоты. Их размер колеблется в диапазоне от 1 Кб (по умолчанию) до максимального размера в 6 Кб.

Установка квот


Рис. 10.5.  Установка квот

EFS

Когда вы стираете файл с жесткого диска, на самом деле вы не удаляете его, а просто сообщаете компьютеру о том, что часть диска, на которой находится файл, теперь доступна для использования. Файл исчезает только тогда, когда вы что-то записываете поверх него. Однако пока этого не произошло, файл продолжает существовать на диске и может быть легко восстановлен.

Использование файловой системы EFS (Encrypting File System - шифрованная файловая система) в Windows XP Professional позволяет защитить данные. При применении EFS сохраняемые на диске файлы шифруются, и их нельзя прочитать, пока к ним не будет корректного доступа.

Примечание. EFS можно применять только в NTFS-томе.

EFS представляет собой трехступенчатый процесс.

  1. Для шифрования и расшифровки данных применяется пара ключей: открытый/закрытый и ключ шифрования файлов. Когда пользователь в первый раз шифрует файл, EFS создает ключ шифрования файлов (FEK). FEK шифруется с помощью открытого ключа пользователя и в зашифрованном состоянии хранится вместе с файлом.
  2. Существует несколько способов пометить файл, предназначенный для шифрования:
    • вручную настроить EFS путем изменения расширенных свойств файла;
    • сохранить файл в папке, предназначенной для шифрования;
    • использовать команду CIPHER.EXE в командной строке.
  3. Для расшифровки файла пользователь должен открыть его и удалить шифрование, используя команду CIPHER.EXE. При дешифровке файла система EFS сначала декодирует FEK с помощью закрытого ключа пользователя, а затем расшифровывает данные, используя FEK.
EFS в Windows XP Professional

Система EFS известна со времени появления Windows 2000, но Windows XP Professional добавила в нее новые свойства, повысив ее функциональность. Эти новые качества включают в себя следующее.

В Windows XP Professional система EFS включается по умолчанию. Однако тут надо соблюсти некоторые предварительные условия. Во-первых, пользователи должны иметь открытый и закрытый ключи и открытый сертификат шифрования. Однако EFS может использовать самоподписываемые сертификаты, которым для работы не нужна подпись администратора.

Шифрование и расшифровка

При работе с EFS лучше всего зашифровывать целую папку, а не отдельные файлы. Это ускоряет процесс и делает его более эффективным. Вместо шифрования разрозненных файлов вы сможете одним движением руки создать защиту множества файлов. Более того, при шифровании папки целиком все запасные копии файлов тоже шифруются.

Примечание. Разумеется, будут зашифрованы только те копии, которые хранятся в зашифрованной папке.

Для шифрования файла или папки проделайте следующие шаги.

  1. В My Computer (Мой компьютер) выберите файл или папку, которые нужно зашифровать.
  2. Щелкните правой кнопкой мыши на файле или папке и выберите Properties (Свойства).
  3. На вкладке General (Общие) щелкните на кнопке Advanced (Дополнительно). Появится экран, показанный на рис. 10.6.
  4. Отметьте флажок Encrypt contents to secure data (Шифровать содержимое для защиты данных) и затем нажмите ОК.

Если вы решили зашифровать только файл, то Windows XP Professional выдаст запрос, хотите ли вы зашифровать один этот файл или всю папку. Как упоминалось ранее, лучше зашифровать целую папку, но, тем не менее, можно зашифровать и отдельный файл. После шифрования имя файла будет показано зеленым цветом.

Шифрование файла или папки


Рис. 10.6.  Шифрование файла или папки

Примечание. Сжатые файлы представлены шрифтом синего цвета. Файл не может быть одновременно зашифрованным и сжатым.

Дешифрование файлов и папок проводится аналогичным образом. В данном случае вам потребуется очистить флажок Encrypt contents to secure data.

Команда CIPHER

По желанию для шифрования папок и файлов можно использовать инструмент командной строки CIPHER. Использование команды CIPHER в чистом виде просто показывает атрибуты файлов и папок, содержащихся в данной папке. Однако эту команду можно применять с набором ключей. Перечисленные ниже являются наиболее полезными.

Ниже показаны два файла, которые были предварительно зашифрованы с помощью Windows XP Professional GUI, каждый из которых содержит очень секретную информацию: Top Secret Plans For World Domination.txt и Aunt Barb's Apple Brown Betty Recipe.txt. Воспользовавшись командой CIPHER, мы можем увидеть EFS-атрибуты файлов в этой папке. Оба файла были зашифрованы, о чем свидетельствует буква "E" рядом с именами файлов. Незашифрованные папки помечены буквой "U".

C:>cipher

	Listing C:\Documents and Settings\Robert Elsenpeter\My Documents\
	New files added to this directory will not be encrypted.

E Aunt Barb's Apple Brown Betty Recipe.txt
U My Music
U My Pictures
E Top Secret Plans For World Domination.txt

Для расшифровки этих файлов введите:

C:>cipher /d /a
	Decrypting files in C:\Documents and Settings\Robert Elsenpeter\My Documents\
Aunt Barb's Apple Brown Betty Recipe.txt [OK]
Top Secret Plans For World Domination.txt [OK]
2 file(s) [or directorie(s)] within 1 directorie(s) were decrypted.
Листинг 10.1. (html, txt)

Оптимизация NTFS

Хотя Windows XP Professional и NTFS включают в себя множество функций, облегчающих хранение и управление файлами, за всю эту легкость приходится платить. Если вы хотите повысить эффективность работы своего жесткого диска, то проверьте ряд элементов.

Размер кластеров

Решение конвертировать свой жесткий диск в NTFS требует некоторого планирования (о чем мы будем говорить в разделе "Конвертирование/Форматирование жесткого диска с помощью NTFS"). Необходимо заранее обдумать величину кластеров. Если все файлы будут преимущественно одного размера, меньше размера кластера по умолчанию, равного 4Кб, то, возможно, вы сочтете нужным изменить размер кластеров по умолчанию при конвертировании жесткого диска.

Представьте себе, что жесткий диск составлен из миллиардов крошечных блоков. Это - кластеры. Допустим, что каждый кластер содержит 4 Кб информации. Если файл вмещает в себя только 3 Кб данных, то в каждом кластере будет напрасно расходоваться пространство. Конечно, это только 1 Кб, но в сумме получится много. В таблице 10.1 содержатся размеры кластеров по умолчанию для NTFS-дисков различного размера.

С другой стороны, уменьшение размера кластеров приводит к увеличению фрагментации. Это означает, что после удаления информации из блока кластеров, если вы хотите снова им воспользоваться для записи файла, то он должен быть равен (или меньше) файла, ранее располагавшегося в этом блоке. При добавлении новых файлов, записываемых на неиспользованные кластеры, начинает проявляться фрагментация, поскольку, хотя на диске и есть свободное пространство, оно разбито на такие мелкие кусочки, что им нельзя воспользоваться. Если вы сохраняете большие файлы, или они имеют тенденцию к росту, лучше по умолчанию установить величину кластеров, равную 16 - 32 Кб.

Таблица 10.1. Размер NTFS кластеров по умолчанию
Размер жесткого дискаРазмер кластера
512 Мб или меньше512 б
513 Мб - 1 Гб1 024 б
1 Гб - 2 Гб2 048 б
2 Гб и больше4 069 б

О размере кластеров следует подумать и при преобразовании томов из формата FAT в NTFS в Windows 2000 и в более ранних версиях. Это связано с тем, что по умолчанию размер кластеров составляет 512 байтов, что, естественно, ведет к фрагментации. Лучше всего скопировать все содержимое жесткого диска, переформатировать его, указать нужный размер кластеров, и затем вернуть все данные на том.

Если жесткий диск стал фрагментированным, то было бы хорошо провести дефрагментацию с помощью инструмента, предоставляемого Windows XP Professional. Этот инструмент мы обсудим в разделе "Дефрагментация" далее в лекции.

Организация

Хорошая организация украшает не только медицинский кабинет. Система NTFS тоже должна быть организована соответствующим образом. На самом деле решение нескольких "хозяйственных вопросов" для жесткого диска во многом улучшит работу NTFS.

Файловая система. Хотя NTFS поддерживает папки с огромным количеством файлов, будет неразумно складывать все документы в одну папку. Это особенно актуально, если вы часто читаете и удаляете файлы из этой папки. При каждом открывании папки Windows XP Professional тратит время на поиск имени и статистики каждого файла. Наилучшим решением в этом случае будет создание подкаталогов всегда, когда это возможно, чтобы свести количество считываний к минимуму.

Индексация. Если пользователи регулярно просматривают жесткие диски в поисках файлов и папок, то вам следует подключить службу индексации - Indexing Service. Это в значительной степени сократит время поиска. Indexing Service также помогает сократить время поиска внутри документа.

При подключенной службе индексации NTFS заносит все изменения файловой системы в журнал изменений. Необходимость проводить обновления журнала изменений неизбежно вызывает замедление в работе системы, но эти издержки полностью покрываются за счет конечного повышения скорости поиска файлов и папок.

Антивирусные программы

Нет нужды говорить о том, что у вас должна быть установлена одна из антивирусных программ, чтобы поддерживать безопасность и чистоту в компьютере. Эти программы, хотя и служат защитой, но несут с собой и дополнительные затраты. Мы не предлагаем отказываться от использования антивирусных программ, а советуем испытать несколько антивирусных приложений и оценить их с учетом влияния на скорость работы всей системы. Более того, разработчики программ могут предложить настроить их таким образом, чтобы свести дополнительные затраты к минимуму.

Сжатие

Ранее мы уже говорили о достоинствах и недостатках сжатия. Вы, возможно, и сэкономите несколько долларов, отказавшись от установки жесткого диска большего объема, но если тома сжаты, то, скорее всего, вы столкнетесь с некоторыми проблемами выполнения. Мы рекомендуем не проводить сжатие жесткого диска на сервере. В то же время разумное сжатие данных на клиентских компьютерах является неплохой идеей.

Разреженные файлы

Если у вас есть файлы, которые содержат множество нулей, то Windows XP Professional позволяет сохранять пространство диска, давая таким файлам определение sparse (разреженный). Если NTFS файл имеет пометку sparse, то NTFS выделяет кластеры только для данных, специально объявленных приложением. Под диапазон необъявленных данных кластеры не выделяются, и при считывании файла с диска распределенные файлы будут возвращаться, а не распределенные - заполняться нулями. Например, Windows Indexing Service использует sparse-файлы на NTFS-дисках.

Разреженные файлы конвертируются с помощью следующей команды.

fsutil sparse

За SPARSE следуют такие аргументы:

За этими аргументами записывается путь к файлу, например:

fsutil sparse setflag c:\sparsesample.txt

Sparse-файлы работают только на дисках, подключенных к компьютерам под управлением операционных систем Windows XP Professional и Windows 2000. Если вы перемещаете файл на диск с системой FAT или NTFS, который был подключен к другой операционной системе, то файл вернется к своему исходному размеру. Если на диске не окажется достаточно свободного пространства для размещения файла с таким размером, то операция будет отменена.

Разрешения NTFS

В предыдущей лекции мы рассказывали о сетевой безопасности и о таком понятии, как разрешения, но к этому стоит вернуться сейчас, так как разрешения доступны только на жестких дисках в формате NTFS. В этом разделе мы будем говорить о возможностях NTFS оберегать ваши файлы от посторонних глаз. В отличие от системы FAT доступ к общим ресурсам нельзя включать и отключать. NTFS обеспечивает такой уровень детализации отбора, что пропускает только тех, кому вы хотите предоставить доступ, и отсеивает всех остальных.

Разрешения отдельного пользователя

Перед тем как обсуждать разрешения пользователей и групп, а также самих файлов важно рассмотреть основы работы разрешений. Сначала мы покажем, что представляет собой наследование, а затем рассмотрим инструмент Windows XP Professional, который должен вам помогать, но может превратиться в камень преткновения, если вы не разберетесь в его функциях.

Наследование

В сети может быть всего пара пользователей, а могут быть и тысячи. При установке пользовательских разрешений для NTFS-томов и папок эта задача может быть сравнительно простой в организации, состоящей из шести человек. Как уже отмечалось в лекции 9, если организация начинает расти, то деление пользователей на специфические группы делает управление разрешениями значительно легче.

Сначала вам следует создать набор разрешений для определенной группы, например для инженеров. В таком случае, при появлении нового инженера в организации он автоматически добавляется в эту группу. Одновременно ему по наследству переходят и разрешения для данной группы.

Примечание. Наследование имеет отношение и к другим объектам NTFS-тома. Например, если вы установили разрешения для определенной папки, а затем создали в ней подпапку, то право наследования освобождает вас от создания нового набора разрешений для этой подпапки, так как она наследует разрешения родительской папки.

Если вы считаете, что группе инженеров нужно выдать или возобновить определенное разрешение, то это легко сделать. После изменения (о чем мы поговорим в этой лекции позже) новое разрешение присваивается каждому члену этой группы.

С другой стороны, какому-то конкретному инженеру может потребоваться разрешение, в котором не нуждаются остальные. Вы можете, войдя в группу инженеров, внести изменения, необходимые данному пользователю, и он получит новое разрешение, которое не будет унаследовано им по принадлежности к этой группе. В этом случае разрешение не будет распространяться на других членов группы.

Новым качеством в Windows XP Professional является простое совместное использование файла (simple file sharing). Эта функция включается при первичной инсталляции Windows XP Professional или при совместном использовании тома или папки. Чтобы подключить большее количество инструментов управления доступами пользователей, простое совместное использование файла надо отключить.

Вы можете задать вопрос, зачем же нужно простое совместное использование файлов, если эту функцию надо отключать. Только затем, чтобы облегчить процесс совместного использования файлов и папок. При включенном простом совместном использование файлов нет и множества конфигураций для осуществления доступа пользователей к файлам, принтерам и т. д. Этим обеспечивается легкий способ совместного использования файлов. Однако если вы хотите управлять тем, кто именно может получать право доступа к файлам, то простое совместное использование файлов следует отключить. Для этого проделайте следующие шаги.

  1. Выберите Start\My Computer (Пуск\Мой компьютер), затем щелкните на Tools (Сервис) и выберите Folder Options (Свойства папки) .
  2. В диалоговом окне Folder Options щелкните на вкладке View (Просмотр).
  3. Просмотрите до конца перечень настроек в окне Advanced Settings (Дополнительные параметры) и либо установите, либо очистите флажок Use simple file sharing (Использовать простой общий доступ к файлам).
  4. Нажмите на ОК.

Примечание. Само по себе отключение простого совместного использования файла не позволит вам устанавливать разрешения для файлов. Вы должны также разместить все свои файлы и папки в NTFS-томе или разделе.

Разрешения для папок и томов

Разрешения осуществляют контроль над тем, что пользователь или группа могут делать с объектом в сети или на своем локальном компьютере. Разрешения поддерживаются только при отключении простого совместного использования файла и на жестком диске в формате NTFS. В таблице 10.2 перечислены разрешения, назначаемые для папок, а в таблице 10.3 - для файлов.

Таблица 10.2. Разрешения папок
РазрешениеРазрешает или запрещает это действие
Change PermissionsИзменение разрешений папки.
Create FilesСоздание новых файлов в данной папке.
Create FoldersСоздание подкаталогов в данной папке.
DeleteУдаление папки.
Delete subfolders and filesУдаление файлов и подкаталогов, даже если у вас нет разрешения на их создание.
List FolderПросмотр содержимого папки.
Read AttributesПросмотр атрибутов папки.
Read PermissionsПросмотр разрешений папки.
Take OwnershipПрисвоение себе прав другого пользователя на владение папкой.
Traverse FolderОткрытие папки для просмотра подкаталогов и родительских папок.
Write AttributesВнесение изменений в свойства папки.
Таблица 10.3. Разрешения файла
РазрешениеРазрешает или запрещает это действие
Append DataДобавление информации в конец файла без изменения существующей информации.
Change PermissionsВнесение изменений в разрешения файла.
DeleteУдаление файла.
Execute FileЗапуск программы, содержащейся в файле.
Read AttributesПросмотр атрибутов файла.
Read DataПросмотр содержимого файла.
Read PermissionsПросмотр разрешений файла.
Take OwnershipПрисвоение себе прав собственности на этот файл у другого владельца.
Write AttributesИзменение атрибутов файла.
Write DataИзменение содержания файла.
Создание и управление разрешениями

Создавая разрешения для отдельных файлов, папок и NTFS-томов, вы можете воспользоваться гораздо большим количеством опций безопасности, чем предлагает файловая система FAT. Вкладка Properties (Свойства) выбранной папки или тома включает в себя вкладку Security (Безопасность). Щелкнув на ней, вы можете увидеть ряд опций для управления доступом.

Для настройки разрешений данной папки или тома проделайте следующие шаги.

  1. Укажите том или папку, для которых вы собираетесь устанавливать разрешения.
  2. Щелкните правой кнопкой мыши на нем и выберите Properties (Свойства).
  3. Выберите вкладку Security (Безопасность).

Примечание. Если NTFS-том находится в совместном использовании, то необходимо устанавливать разрешения посредством вкладки Security (Безопасность), а не используя для этого кнопку Permissions (Разрешения) на вкладке Sharing (Общий доступ).

В появившемся окне свойств вы увидите два окна. В верхнем окне содержится список пользователей и групп (рис. 10.7). В нижнем - список разрешений для пользователя, которые можно устанавливать и регулировать. Опять же, эта вкладка доступна только для томов в формате NTFS.

Вкладка Security (Безопасность) диалогового окна свойств


Рис. 10.7.  Вкладка Security (Безопасность) диалогового окна свойств

Щелкнув на определенном пользователе или группе, вы можете установить разрешения для них в нижнем окне. Доступны следующие разрешения.

Ограничение количества пользователей

В зависимости от размера и структуры организации, вы можете не разрешить одновременный доступ для всех желающих к одному и тому же тому. Если нужно установить ограничение на количество пользователей, имеющих одновременный доступ к тому или папке, откройте диалоговое окно Permissions (Разрешения) и выберите вкладку Sharing (Общий доступ) (рис. 10.8).

Вкладка Sharing (Общий доступ) используется для управления количеством пользователей, которые одновременно получают доступ к тому


Рис. 10.8.  Вкладка Sharing (Общий доступ) используется для управления количеством пользователей, которые одновременно получают доступ к тому

В секции User limit (Предельное число пользователей) укажите один из следующих вариантов.

Более подробно о разрешениях можно узнать в гл. 9.

Конвертирование/форматирование жестких дисков в формат NTFS

Чтобы воспользоваться всеми описанными преимуществами, жесткие диски должны использовать формат NTFS. Это несложно, когда компьютер попадает к вам с заранее установленной системой Windows XP Professional, так как жесткий диск уже имеет формат NTFS. Однако при миграции с компьютера, использующего систему FAT (Windows 95 или Windows 98), необходимо конвертировать жесткий диск или его часть.

В этом разделе рассматриваются шаги, которые необходимо предпринять при переводе жесткого диска в систему NTFS или при форматировании жесткого диска. Сначала мы обсудим ряд вопросов, связанных с FAT-NTFS-конверсией, затем поговорим об инструменте командной строки CONVERT.EXE и ключах, которые можно использовать при преобразовании жесткого диска.

Замечания

Хотя по сравнению с FAT файловая система NTFS обеспечивает гораздо более высокую функциональность, перед принятием решения о конверсии следует рассмотреть ряд замечаний.

Примечание. Существует несколько продуктов других разработчиков, которые позволят конвертировать диск обратно в FAT, но лучше придерживаться одного формата, а не переключаться с одного на другой.

Примечание. Независимо от того, какую операционную систему вы используете, гибкие диски всегда используют систему FAT.

Защита данных

Переход от FAT к NTFS может быть достаточно напряженным процессом, особенно если дело касается сохранения целостности данных. Мы всегда рекомендуем делать запасные копии перед выполнением подобного преобразования формата, а Windows XP Professional предпринимает следующие шаги для защиты данных от повреждений.

Во-первых, CONVERT.EXE запускает инструменты CHKDSK или AUTOCHK, чтобы проверить целостность файловой системы. При обнаружении поврежденных файлов следует использовать команду CHKDSK/F для устранения этих проблем, а затем снова запустить конверсию. Инструмент AUTOCHK старается устранить проблемы самостоятельно и продолжает конверсию. Далее, существующие FAT кластеры удаляются (чтобы "проложить путь" для новой NTFS-структуры), после чего таблица размещения файлов перестраивается. В нечитаемых секторах процесс конверсии прерывается, и FAT-том остается таким, каким был до конверсии.

Элементарная NTFS-структура формируется на свободном от FAT месте. Эта структура представляет собой таблицу фиксированного размера, которая используется во всех NTFS-томах. Вслед за элементарной структурой на свободном от FAT пространстве генерируются главная NTFS-таблица файлов и каталог. Необходимое для этого пространство будет различным в зависимости от общего количества файлов и папок, которые подлежат конверсии. Следующим шагом является указание в карте NTFS, что FAT-кластеры, использовавшиеся в процессе конверсии, теперь свободны. Пространство диска, занятое FAT-метаданными, освобождается и используется как свободное NTFS-пространство.

В самом конце записывается загрузочный сектор NTFS. Именно это действие заставляет диск принимать вид NTFS-тома. Если в этот момент произойдут какие-либо ошибки конверсии, то диск будет по-прежнему определяться как FAT-диск. В этом процессе все записи выполняются на свободном пространстве. При возникновении проблем с конверсией FAT-данные останутся пригодными к применению.

Дефрагментация

Регулярная дефрагментация жесткого диска при работе с файловой системой NTFS в среде Windows XP Professional должна быть обычной рабочей процедурой. Есть два способа дефрагментации NTFS диска.

Во-первых, можно воспользоваться оснасткой Disk Defragmenter (Дефрагментация диска), показанной на рис. 10.9.

Оснастка Disk Defragmenter (Дефрагментация диска)


Рис. 10.9.  Оснастка Disk Defragmenter (Дефрагментация диска)

Во-вторых, можно использовать новинку Windows XP Professional - инструмент командной строки DEFRAG. Это делается следующим образом:

Defrag "volume" [-a] [-f] [-v] [-?]

Используются следующие атрибуты:

Оба метода дефрагментации демонстрируют новые функциональные возможности Windows XP Professional. Во-первых, Windows XP Professional позволяет дефрагментировать NTFS-тома с кластерами любого размера. Это серьезное отличие от Windows 2000, где можно дефрагментировать только кластеры размером до 4 Кб. Также можно дефрагментировать файлы, содержащиеся менее чем в 16 кластерах. В Windows 2000 это игнорируется.

Конвертирование

Существует три способа преобразования дисков в NTFS-формат.

Форматирование в процессе инсталляции Windows XP Professional

Легче всего конвертировать жесткий диск в формат NTFS во время инсталляции Windows XP Professional. Конверсия выполняется как часть миграции. Как можно догадаться, проще всего проводить конверсию в чистой системе, то есть в системе без файлов, с которых надо делать запасные копии. Но идеальное редко достижимо.

Конвертирование с помощью оснастки Disk Management

Если вы уже установили Windows XP Professional, но по каким-либо причинам не перешли к файловой системе NTFS, вы все еще можете провести конверсию. Windows XP Professional включает в себя оснастку Disk Management (Управление дисками), которая позволяет проводить процесс в GUI-окружении.

Примечание. Disk Management поддерживает конвертирование любого жесткого диска или его части, за исключением дисков CD-ROM, DVD-ROM и системного диска.

Запустив оснастку (рис. 10.10), выберите диск или часть диска, которые вы собираетесь переформатировать. Щелкните правой кнопкой мыши на нем и выберите Format (Форматирование). Появится новое диалоговое окно, в котором можно выбрать следующие детали:

Оснастка Disk Management (Управление дисками)


Рис. 10.10.  Оснастка Disk Management (Управление дисками)

В нижней части диалогового окна располагаются два флажка: Perform quick format (Быстрое форматирование) и Enable file and folder compression (Включить сжатие файлов и папок). Флажок быстрого форматирования лучше оставить пустым (так как быстрое форматирование приводит к ошибкам) и отметить другой флажок, если вы хотите использовать сжатие файлов и папок.

Примечание. Самое большое ограничение при конвертировании жесткого диска в NTFS-формат состоит в том, что конверсию нельзя проводить на текущем системном диске.

Конвертирование с использованием окна команд

Третий способ преобразовать раздел диска в NTFS-формат похож на второй, но использует окно команд. Это хорошо подходит, когда у вас нет устройства для хранения копий, и имеются большие файлы, которые не помещаются на других дисках. Инструмент, используемый в Windows XP Professional, называется CONVERT.EXE. Команда CONVERT записывается следующим образом:

Convert volume: /fs:ntfs [/v] [/x] [/cvtarea: filename] [/nosecurity] [/?]

где volume - обозначение диска или имя тома, который вы собираетесь конвертировать.

С командой CONVERT используются следующие ключи:

Вы можете получить сообщение о том, что текущий диск является рабочим и не может быть отформатирован. Не беспокойтесь. Это не означает, что конверсию вообще нельзя провести. Более того, Windows XP Professional спросит о вашем желании выполнить конверсию после перезагрузки. Если вы нажмете ОК, то следует перезагрузить компьютер для завершения конверсии.

NTFS обеспечивает возможность управления файлами. Если вам нужно сжать, зашифровать или создать квоты файлов, то NTFS предоставляет средства для достижения этих целей. Если вы используете систему FAT, то конверсия является легкой операцией. Хотя Windows XP Professional включает в себя ряд инструментов, повышающих безопасность (таких как Internet Connection Firewall и Group Policy), NTFS позволяет управлять ресурсами отдельных файлов.

Лекция 11. Совместное использование сетевых ресурсов

С помощью Windows XP Professional можно предоставлять пользователям сети доступ практически к любым данным. В этой лекции рассказывается о совместном доступе к данным и его настройке.

Операционная система Windows XP Professional позволяет совместно использовать практически все, что находится в сети - файлы и папки, принтеры и даже приложения. В этой лекции мы поговорим о том, как совместно пользоваться сетевыми ресурсами.

Во-первых, мы охватим особенности совместного использования приложений, файлов и папок, жестких дисков и принтеров. Затем обсудим управление совместными ресурсами и, наконец, вернемся к вопросу сетевой безопасности и поговорим о специфике методов обеспечения защиты открытых сетевых ресурсов, будь то защита посредством управления разрешениями или административная работа с пользователями, имеющими доступ к ресурсам сети.

Представление о совместном использовании

В Windows XP Professional можно реализовать совместное использование файлов, папок, принтеров и других сетевых ресурсов. С этими ресурсами могут работать либо другие пользователи локального компьютера, либо пользователи, находящиеся в сети. В этом разделе дается объяснение того, как настроить совместное использование в Windows XP Professional-системе.

Сначала мы обсудим совместное использование папок и жестких дисков, затем обратимся к использованию принтеров, а в конце на примере приложения Windows Messenger обсудим совместное использование приложений.

Совместное использование папок и жестких дисков

Основное назначение сетей состоит в совместном использовании информации. Если бы не было возможности общего доступа к файлам и папкам, то не было бы и причин для создания сетей. Windows XP Professional разрешает совместное использование папок и жестких дисков несколькими способами. Реализовать совместное использование достаточно просто. То, каким образом ресурсы используются совместно, будет зависеть от настройки системы Windows XP Professional.

Совместное использование на уровне папок является базовым (исходным) уровнем, на котором вы можете осуществлять управление. Вы не можете реализовать совместное использование одного файла. Он должен быть перенесен или создан внутри папки, предназначенной для совместного использования.

Реализация совместного использования

Если необходимо ввести совместное использование файлов, то сделать это будет достаточно просто. Осуществите навигацию к нужной папке, щелкните на ней правой кнопкой мыши и выберите Properties (Свойства) в появившемся меню. Щелкните на вкладке Sharing (Общий доступ) и проведите настройку реквизитов. Настройки, которые вы выберете, зависят от нескольких факторов: во-первых, включение или отключение Simple File Sharing (Простой общий доступ к файлам) предоставляет разные возможности. Файловая система, которой вы пользуетесь - NTFS или FAT - также влияет на возможности совместного использования. Мы обсудим варианты этих настроек позже в лекции.

Для совместного использования ресурсов сети сначала надо инициировать File and Printer Sharing for Microsoft Networks (Служба доступа к файлам и принтерам сетей Microsoft) в сетевом диалоговом окне. Если вы не видите вкладку Sharing в диалоговом окне свойств папки, то, значит, этот сервис не подключен. Обычно этот сервис автоматически инсталлируется мастером установки сети (Network Setup Wizard). Если требуется его проинсталлировать, проделайте следующие шаги.

Примечание. File and Printer Sharing for Microsoft Networks (Службу доступа к файлам и принтерам сетей Microsoft) нужно инсталлировать только в сетях, состоящих из устройств одного ранга, представленных компьютерами, работающими в среде Windows.

  1. Щелкните на Start (Пуск), правой кнопкой мыши щелкните на My Network Places (Сетевое окружение), выберите Properties (Свойства), щелкните правой кнопкой мыши на Local Area Connection (Локальные сетевые подключения) и выберите Properties.
  2. Щелкните на вкладке General (Общие).
  3. Нажмите кнопку Install (Установить). Появится диалоговое окно Select Network Component Type (Выбор типа сетевого компонента).
  4. Выберите Service (Службы) и щелкните на кнопке Add (Добавить).
  5. Выберите File and Printer Sharing for Microsoft Networks (Служба доступа к файлам и принтерам сетей Microsoft) и нажмите ОК.
  6. Вы вернетесь в окно Local Area Connection и, возможно, появится запрос вставить компакт-диск Windows XP Professional.
  7. Нажмите на ОК для сохранения изменений.
  8. Возможно, потребуется перезагрузка компьютера.
Уровни доступа

Windows XP professional предлагает пять уровней доступа к файлам и папкам. Их полезно знать, чтобы настраивать реквизиты в соответствии с потребностями организации в совместном использовании ресурсов. Вот эти уровни.

Примечание. Файлы уровней 1, 2 и 3 доступны только для локально зарегистрированных пользователей.

В следующих параграфах особенности этих уровней рассматриваются более подробно. Для пояснения создания конфигураций этих уровней доступа процесс установления уровня безопасности показан на примере системы с подключенной опцией Simple File Sharing (Простой общий доступ к файлам).

Уровень 1. Этот уровень является самым строгим в плане защиты. На уровне 1 только владелец файла может читать и записывать в свой файл. Даже сетевой администратор не имеет доступа к таким файлам. Все подкаталоги, существующие в папке уровня 1, сохраняют тот же уровень секретности, что и родительская папка. Если владелец папки хочет, чтобы некоторые файлы и подкаталоги стали доступны для других лиц, то изменяет настройки безопасности.

Возможность создания папки уровня 1 доступна только для учетной записи пользователя и только в рамках его собственной папки My Documents (Мои документы). Для создания папки уровня 1 проделайте следующие шаги.

  1. Щелкните правой кнопкой мыши на нужной папке и затем щелкните на Sharing and Security (Общий доступ и безопасность).
  2. Щелкните на окошке Make this folder private (Отменить общий доступ к этой папке).
  3. Нажмите ОК.

Уровень 2. На уровне 2 владелец файла и администратор имеют права на чтение и запись в файле или папке. В Windows XP Professional это является настройкой по умолчанию для каждого пользовательского файла в папке My Documents (Мои документы).

Для установки уровня 2 безопасности папки, ее подкаталогов и файлов проделайте следующие шаги.

  1. Щелкните правой кнопкой мыши на нужной папке и затем щелкните на Sharing and Security (Общий доступ и безопасность).
  2. Очистите флажки Make this folder private (Отменить общий доступ к этой папке) и Share this folder on the network (Открыть общий доступ к этой папке).
  3. Нажмите ОК.

Уровень 3. Уровень 3 позволяет совместно использовать файлы и папки пользователям, входящим в компьютер в рамках локальной сети. В зависимости от типа пользователя (за более подробной информацией о типах пользователей обратитесь к лекции 9) он может (или не может) выполнять определенные действия с файлами уровня 3 в папке Shared Documents (Общие документы).

Установка разрешений уровня 3 требует перемещения желаемых папок и файлов в папку Shared Documents (Общие документы).

Уровень 4. На четвертом уровне файлы доступны для чтения всем удаленным пользователям. Локальные пользователи имеют доступ на чтение (это касается и учетных записей Гость), но не имеют права записи и модификации файлов. На этом уровне каждый имеющий доступ к сети может читать файлы.

Для создания разрешений уровня 4 для папки проделайте следующие шаги.

Уровень 5. Наконец, уровень 5 является наиболее разрешенным уровнем с точки зрения безопасности файлов и папок. Любой пользователь сети имеет карт-бланш для доступа к файлам и папкам уровня 5. Так как каждый может читать, записывать или удалять файлы и папки, то такой уровень безопасности следует вводить только в закрытых, надежных и защищенных сетях. Для установки разрешений уровня 5 проделайте следующие шаги.

  1. Щелкните правой кнопкой мыши на папке и затем щелкните на Sharing and Security (Общий доступ и безопасность).
  2. Отметьте флажок Share this folder on the network (Открыть общий доступ к этой папке).
  3. Нажмите ОК.

Подключение жесткого диска

Если вы часто заходите на определенный диск, то можете упростить процесс с помощью опции подключения жесткого диска. Эта операция присваивает совместно используемому жесткому диску букву, аналогичную тем, которые имеются у локальных дисков. В этом случае не придется тратить неоправданно много времени, осуществляя навигацию по окнам My Network Places (Сетевое окружение), чтобы найти часто посещаемый диск.

Например, жесткий диск вашего компьютера определяется как диск С:. Если вы постоянно заходите на диск С: сервера бухгалтерии, то, использовав опцию подключения жесткого диска, можете присвоить этому диску обозначение Z: (или любую другую букву). После этого диск начинает отображаться как диск вашего компьютера, несмотря на то, что является сетевым ресурсом.

Применение подключения диска

Для подключения диска проделайте следующие шаги.

  1. Выберите Start\My Computer (Пуск\Мой компьютер).
  2. Из строки меню выберите Tools\Map Network Drive (Сервис\Подключить сетевой диск). Появится окно, показанное на рис. 11.1.
  3. Из ниспадающего списка выберите желаемую букву для обозначения диска. В списке будут указаны только доступные для обозначения буквы. Буквы, которыми уже отмечены диски вашего компьютера (А:, С: и т. д.) не будут указаны в списке. Буквы, уже присвоенные сетевому диску, также указаны в списке, но с последующими именами ресурсов совместного использования.
  4. Нажмите кнопку Browse (Обзор) рядом с окошком Folder (Папка) и найдите ресурс, который вы хотите подключить. Список будет представлен в формате UNC (Universal Naming Convention) и покажет все ресурсы совместного использования в сети.
  5. Перезагружая Windows всякий раз для активизации обозначения, включайте флажок Reconnect at logon (Восстанавливать при входе в систему).
  6. Щелкните на Finish (Готово) для завершения операции. Если ресурсу требуется пароль, то вы получите подсказку о том, что его надо создать.

Подключение сетевого диска


Рис. 11.1.  Подключение сетевого диска

Совет. Вы можете разместить кнопку Map Drive (Подключить диск) на панели инструментов Проводника Windows. Для этого щелкните правой кнопкой мыши на панели инструментов, выберите Customize (Настройка) из меню и затем щелкните на Map Drive (Подключить диск) из списка Available Toolbar Buttons (Доступные кнопки панели инструментов). Щелкните на Add (Добавить) и затем нажмите Close (Закрыть).

После того как вы подключите диск, он будет отображен значком в Windows Explorer и в окне My Computer. При присвоении обозначения диску все настройки будут действительны только в локальном компьютере. Они не касаются всех устройств сети. Если вы хотите, чтобы обозначение диска было на каждом компьютере организации, то надо будет реализовывать это на каждой машине отдельно.

Отключение диска

Процесс отмены обозначения диска несложен. Проделайте следующие шаги.

  1. В Windows Explorer щелкните правой кнопкой мыши на диске, который вы хотите отключить.
  2. Выберите Disconnect (Отключить) в меню ярлыков (в строке меню можно выбрать Tools\Disconnect Network Drive [Сервис\Отключить сетевой диск] и затем выбрать диск, соединение с которым следует прервать).

У вас по прежнему останется доступ к сетевому ресурсу, но буква, обозначавшая жесткий диск, уже не будет ассоциирована с ним.

Подключение диска с помощью команды

Если вы хотите воспользоваться командой для введения обозначения диска, то для этого подойдет команда NET USE. Она особенно полезна при проведении пакетной операции, в которой обозначения одновременно присваиваются нескольким дискам. Команда записывается следующим образом:

Net use d: \\computername\sharename

Здесь d должно быть заменено буквой, которую следует применить для обозначения, с последующим UNC сетевого ресурса совместного использования.

Совместное использование принтера

Хотя принтер можно купить и за очень небольшую цену, по-настоящему хорошие принтеры все еще стоят очень дорого. Если такой элемент оборудования используется только время от времени, то имеет смысл ввести его совместное использование в вашей сети.

К тому же разные принтеры могут выполнять в организации различные функции. Например, нежелательно, чтобы 250-страничные отчеты печатались на цветном принтере, расходуя цветные чернила. С другой стороны, лазерный принтер (даже с высокой скоростью печати) не сможет создать цветных отпечатков, требующихся работникам отделения маркетинга. Поэтому разумно, чтобы у каждого пользователя был свой собственный принтер (или даже два - в зависимости от роли данного пользователя в организации). Решение (как вы уже догадываетесь) заключается в превращении принтеров в ресурс совместного использования.

Выполнение этого задания состоит из двух этапов.

  1. Конфигурирование компьютера, имеющего принтер, для совместного использования этого устройства.
  2. Конфигурирование других сетевых устройств, чтобы они видели принтер
Превращение принтера в ресурс совместного использования

Первым шагом в выполнении этой задачи является подтверждение того, что принтер правильно подключен для работы в качестве локального принтера. Plug and Play решает эту задачу легко. В идеале, вам надо только подключить принтер и ждать, пока система Windows XP professional заметит, что новый принтер доступен, и, возможно, ответить на несколько вопросов и вставить компакт-диск с драйвером принтера для завершения инсталляции.

Plug and Play-принтеры. Все современные принтеры поддерживают режим Plug and Play. Более того, если Windows XP Professional имеет копию драйвера вашего принтера, то установка становится исключительно легкой. Если система Windows не может идентифицировать принтер (или найти его драйвер), то она запускает мастер установки нового оборудования (Found New Hardware Wizard). Просто отвечайте на все вопросы и держите наготове компакт-диск с драйвером устройства.

Если Windows XP Professional не видит нового принтера, то, скорее всего, принтер не поддерживает режим Plug and Play. Всегда полезно заглянуть в инструкцию производителя и убедиться в том, что в принтере нет ничего уникального, что мешало бы подключить его.

Примечание. Если в принтере не предусмотрено подключение Plug and Play, то рекомендуется посетить веб-сайт производителя этого принтера и поискать там свежую копию драйвера.

Принтеры, не поддерживающие Plug and Play. Если принтер не поддерживает режим установки Plug and Play, то вам придется выполнить больше ручной работы. Для подключения такого принтера выполните следующие действия.

  1. Подключите принтер к источнику питания и включите его.
  2. Соедините принтер с компьютером (с помощью USB- или параллельного порта).
  3. Выберите Start\Printers and Faxes\Add Printer (Пуск\Принтеры и факсы\Добавить принтер).
  4. Выберите Add a Printer из списка Printer Tasks (Задачи печати) и щелкните на Next (Далее).
  5. Система Windows XP Professional задаст вам ряд вопросов о принтере:
    • порт, с которым устанавливается соединение;
    • производитель принтера и номер модели,
  6. Если производитель и номер модели не названы, то щелкните на кнопке Have Disk (Установить с диска), вставьте диск с драйвером принтера и используйте драйвер, предоставленный производителем.

Настройка совместного использования. После подключения принтера его можно использовать совместно. Компьютер, соединенный с принтером, называется сервером принтера. В зависимости от размеров организации сервер принтера может располагаться на одном из рабочих компьютеров, а в крупных организациях ему отводится отдельный компьютер.

Принтеру надо дать имя ресурса совместного использования (аналогично присвоению имени компьютеру-клиенту, добавляемому к сети). После того как принтер получит это имя, все остальные устройства сети смогут видеть и распознавать его. Имя можно выбрать любое; оно может отражать модель принтера (BROTHER в нашем примере) или быть частью системы имен.

Для настройки совместного использования принтера проделайте следующие шаги.

  1. Выберите Start\Printers and Faxes (Пуск\Принтеры и факсы).
  2. Щелкните правой кнопкой мыши на принтере, которым вы хотите пользоваться совместно, и выберите Sharing (Общий доступ) в меню (диалоговое окно Properties с выбранной вкладкой Sharing показано на рис. 11.2).

    Открытие общего доступа к принтеру


    Рис. 11.2.  Открытие общего доступа к принтеру

  3. Выберите кнопку Share this printer (Совместный доступ к принтеру).
  4. Введите имя принтера, чтобы его видели в сети.
  5. Если вы дезактивировали Simple File Sharing (более подробно см. гл. 10), то в диалоговом окне Properties будет показана вкладка Security (Безопасность). Выбор этой вкладки позволяет управлять доступом пользователя к принтеру. На вкладке нас интересуют два вида настроек.
    • Manage Printers (Управление принтерами) дает пользователю административный контроль за принтером.
    • Manage Documents (Управление документами) позволяет пользователю запускать, останавливать и менять порядок выполнения заданий принтером.
  6. Нажмите на ОК. Теперь принтер стал ресурсом для совместного использования, на что указывает маленькая рука над его иконкой.

Для отключения совместного использования принтера надо проделать те же действия, но на этот раз в вкладке Sharing следует щелкнуть на кнопке Do not share this printer (Нет общего доступа к данному принтеру).

Использование принтера сетевыми устройствами

Следующим шагом будет настройка принтера, чтобы его могли видеть другие компьютеры локальной сети. Когда система Windows XP Professional видит принтер, находящийся в совместном использовании, на другом компьютере внутри данной локальной сети, то она старается автоматически установить драйвер этого принтера. Следовательно, попытки пользователей получить доступ к принтеру сводятся к простому просмотру списка принтеров, доступных приложению.

В Windows XP Professional для проверки доступности принтера выберите Start\Printers and Faxes (Пуск\Принтеры и факсы), чтобы показать папку Printers and Faxes. Если принтер является общим ресурсом, то под ним изображен кабель. Если совместно используемый принтер не занесен в список и требуется установить драйвер, то проделайте следующее.

  1. Откройте папку Printers and Faxes (Принтеры и факсы).
  2. Щелкните на Add a printer (Установка принтера). Будет инициирован мастер установки принтеров (Add Printer Wizard), который задаст вам следующие вопросы.
    • Инсталлируете ли вы локальный или сетевой принтер. Выберите сетевой принтер.
    • Путь к принтеру в сети. Используя кнопку обзора, найдите принтер в своей сети.
    • Какой драйвер следует инсталлировать. Позволяет использовать ранее установленный драйвер, обновить его более свежей версией или проинсталлировать новый драйвер.
    • Какое имя вы хотите дать принтеру. Описательное имя хорошо подходит, если в сети имеется несколько принтеров.
    • Хотите ли вы, чтобы принтер стал принтером по умолчанию. Если вы выберите утвердительный ответ, то все задания, связанные с печатью, будут посылаться на этот принтер.

После выполнения этих действий принтер можно считать успешно установленным и готовым к работе в любое время (при условии, что сервер печати включен).

Совместное использование приложений

В Windows XP Professional можно совместно использовать не только файлы, папки и принтеры. Сюда можно также отнести и приложение Windows Messenger, входящее в пакет программ Windows XP Professional и бесплатно доступное на сайте компании Microsoft. Это приложение обычно используется для организации чатов в интернете. Однако оно включает в себя несколько функций, позволяющих реализовывать совместное использование приложений как в локальных сетях, так и в интернете.

Для работы с Windows Messenger вы должны иметь учетную запись .NET Passport. При первоначальном запуске Windows Messenger мастер паспорта .NET (.NET Passport Wizard) создаст такую учетную запись.

Мы не будем слишком глубоко погружаться в механизм работы Windows Messenger, а только покажем, как совместно пользоваться приложениями с помощью этой программы, а точнее, одного из ее инструментов - Application Sharing (Общий доступ к приложению). Он позволяет использовать приложение в то время, когда другие наблюдают за вашими действиями, или, наоборот, другие пользователи из сети управляют приложением, а вы наблюдаете. Более того, этот инструмент обеспечивает совместную работу с приложением, не требуя от всех участников общения наличия приложения.

Примечание. Несмотря на то, что каждому участнику дискуссии не обязательно использовать для этого приложение, у них должна быть версия Windows Messenger, которая осуществляет поддержку общего пользования приложением. Мы советуем посетить сайт http://www.microsoft.com, чтобы приобрести последнюю версию Windows Messenger.

Подключение общего доступа к приложению

Перед тем как приступить к совместному использованию приложения, необходимо подписаться для работы с Windows Messenger, добавить пользователей, с которыми вы собираетесь пользоваться приложением, и т. д. После запуска инсталляции Windows Messenger программа проведет вас через все этапы, необходимые для создания этих настроек.

Для реализации совместного использования приложения в окне Windows Messenger Conversation (рис. 11.3) выберите Actions\Start Application Sharing (Действия\Запуск общего доступа к приложению).

После этого Windows Messenger посылает приглашения всем участникам дискуссии для совместного использования приложения. Если они щелкнут на Accept (Принять), то откроется окно сеанса общего доступа (рис. 11.4).

В появившемся окне выберите приложение для совместного использования с другими участниками. Например, если вы хотите совместно использовать электронную таблицу Excel, то нужно открыть Excel и загрузить электронную таблицу. Затем следует щелкнуть на Share. Это заставит приложение появиться на экранах всех участников дискуссии.

Примечание. Убедитесь, что экран совместно используемого приложения является активным. В противном случае он может быть заблокирован другим окном. Заблокированный вид будет передаваться всем пользователям приложения.

Окно Windows Messenger Conversation


Рис. 11.3.  Окно Windows Messenger Conversation

Окно сеанса общего доступа программы Windows Messenger


Рис. 11.4.  Окно сеанса общего доступа программы Windows Messenger

Если вы решите совместно использовать приложение, то неплохо убедиться в том, что у всех пользователей установлено одинаковое разрешение экрана. Это предохранит экран от подергивания при движении курсора мыши. В локальных сетях не возникает проблем со скоростью при совместном использовании приложения. Однако при совместном использовании приложения с пользователями, подключенными по dial-up-соединению, загрузка экрана приложения на их рабочие столы потребует некоторого времени.

Разрешение другим пользователям контролировать приложение

После того как вы установили сеанс совместного использования приложения, можно передать контроль над ним другому пользователю, переключившись в окно Sharing и щелкнув на Allow Control (Разрешить управление) (см. рис. 11.5).

Подключение пользователя для управления приложением


Рис. 11.5.  Подключение пользователя для управления приложением

Если пользователь дважды щелкнет на окне, в котором отображается приложение, то у вас на экране появится окно Request Control (Запрос на управление), указывающее, кто именно желает управлять приложением. Вы можете нажать либо на Accept (Принять), либо на Reject (Отклонить) в зависимости от того, нужно ли передавать управление или нет.

Если вы укажете Accept, то у этого пользователя появляется возможность управления приложением с помощью мыши и клавиатуры. Вы можете прервать его, нажав любую клавишу. Когда вы закончите совместное управление приложением, то перейдите в окно Sharing и щелкните на кнопке Prevent Control (Запретить управление). По окончании сеанса совместного использования приложения просто закройте приложение.

Можно управлять правилами контроля над приложением, отметив флажок Automatically accept requests for control (Автоматически принимать запросы на управление). После этого вас не будут отвлекать запросы на разрешение управления. Если вы не хотите, чтобы вас донимали запросами об управлении и не намерены прекращать управление, отметьте флажок Do not disturb with requests for control right now (В данный момент не беспокоить запросами на передачу управления).

Примечание. Имейте в виду, что при совместном использовании Windows Explorer все окна Windows Explorer будут открыты для всех членов обсуждения.

Управление общим доступом

Вы можете управлять доступом к общим ресурсам Windows XP Professional двумя способами: с помощью настроенной политики безопасности и посредством оснастки Computer Management (Управление компьютером) консоли ММС. В этом разделе мы обсудим способы контроля над доступом к совместно используемым ресурсам.

С помощью правильных настроек системы безопасности можно запретить неавторизованным пользователям доступ к ресурсам для совместного использования или установить различные уровни авторизации для пользователей. Используя оснастку Computer Management, можно реагировать на события доступа, то есть просматривать доступ текущего пользователя, прерывать сеанс связи пользователей или посылать сообщения, если это необходимо.

Безопасность

В предыдущих двух лекциях мы уже говорили о безопасности. Однако когда дело касается ресурсов для совместного использования, то к вопросу обеспечения безопасности стоит вернуться. При настройке системы защиты ресурсов общего пользования надо учесть ряд факторов. Ваши возможности зависят от типа файловой системы, а также от использования Simple File Sharing системы Windows XP Professional. В этом разделе мы рассмотрим эти компоненты применительно к обеспечению безопасности сетевых ресурсов общего доступа.

Простой общий доступ к файлам

Как мы уже говорили ранее, Simple File Sharing (Простой общий доступ к файлам) является системой настроек, которые позволяют регулировать уровни совместного использования файлов. Simple File Sharing предоставляет различные сценарии для обеспечения безопасности совместно используемых ресурсов, и стоит разобраться в его работе более подробно.

Примечание. Инструкции по подключению и отключению Simple File Sharing можно найти в гл. 10.

При включении простого общего доступа к файлам совместное использование ресурсов упрощается. Однако за это приходится платить снижением гибкости системы безопасности. С другой стороны, если отключить Simple File Sharing, то Windows XP Professional предоставляет ряд возможностей для обеспечения безопасности. Эти возможности зависят от того, какой файловой системой вы пользуетесь - FAT или NTFS. При выборе файла или папки для совместного использования появятся разные окна в зависимости от того, включена или отключена опция Simple File Sharing. На рис. 11.6 и 11.7 показана вкладка Sharing (Общий доступ) для папок на компьютере с включенным и отключенным Simple File Sharing.

Посмотрев на эти рисунки, вы поймете, почему Simple File Sharing называется "simple", то есть "простой". В окне с подключенным Simple File Sharing задается только три вида настроек, да и те представляют собой флажки, которые надо отметить. При отключенном Simple File Sharing, напротив, можно сделать гораздо больше настроек для управления совместным использованием ресурсов.

Совместное использование папки с включенным Simple File Sharing


Рис. 11.6.  Совместное использование папки с включенным Simple File Sharing

Совместное использование папки с отключенным Simple File Sharing


Рис. 11.7.  Совместное использование папки с отключенным Simple File Sharing

Примечание. Более подробно о работе с файлами в режиме офлайн мы поговорим в гл. 12.

Разрешения

При включении простого общего доступа к файлам на самом деле есть только одна возможность для обеспечения безопасности, а именно: разрешить или не разрешить пользователям изменять содержимое файлов. Так как Simple File Sharing позволяет любому пользователю получить доступ к файлам, то вам не придется выбирать тех, кто их просматривает, но можно запретить внесение изменений.

Отключив Simple File Sharing, вы получаете гораздо больше возможностей. Щелкнув на кнопке Permissions (Разрешения) на вкладке Sharing (Общий доступ), можно устанавливать разрешения для своего ресурса. В зависимости от файловой системы жесткого диска (FAT или NTFS) настройки, которые вы устанавливаете и регулируете, будут разными.

Жесткие диски с файловой системой FAT. Если вы пытаетесь установить разрешения на FAT-диске (или разделе диска), то ваши возможности ограничены по сравнению с возможностями NTFS-диска. Разрешения устанавливаются и регулируются в диалоговом окне Permissions (рис. 11.8).

В диалоговом окне Рermissions (Разрешения) выберите группу или отдельного пользователя, а затем используйте флажки в нижней части окна для настройки разрешений. Для файловой системы FAT имеется только три типа разрешений, которыми вы можете управлять.

Настройка разрешений для совместно используемого ресурса


Рис. 11.8.  Настройка разрешений для совместно используемого ресурса

Имейте в виду, что на самом деле у вас не шесть видов настроек, а только три. Запрещая один из типов доступа, вы автоматически изменяете два остальных вида настройки. Например, при отмене полного контроля разрешения на внесение изменений и чтение отменяются автоматически.

Примечание. Можно добавлять или удалять группы и отдельных пользователей этого ресурса с помощью кнопок Add и Remove.

Жесткие диски с файловой системой NTFS. Если вы управляете разрешениями доступа к совместно используемому ресурсу, находящемуся на диске (или разделе диска) в формате NTFS, то имеете больше возможностей по сравнению с FAT-диском. Как показано на рис. 11.9, NTFS-диски добавляют вкладку Security (Безопасность) в окно свойств файла или папки.

Примечание. При управлении доступом к совместно используемым файлам на NTFS-томе с точки зрения безопасности лучше пользоваться вкладкой Security (Безопасность) вместо вкладки Sharing (Общий доступ).

Вкладка Security (Безопасность) диалогового окна свойств в файловой системе NTFS


Рис. 11.9.  Вкладка Security (Безопасность) диалогового окна свойств в файловой системе NTFS

Элементы управления безопасностью во вкладке Security аналогичны элементам диалогового окна Permissions (Разрешения) в FAT-системе. Сначала выбирается пользователь или группа, а затем устанавливается или регулируется разрешение. В файловой системе NTFS доступны следующие разрешения.

Использование оснастки Computer Management (Управление компьютером)

Совместное использование файлов, папок и других ресурсов является удобным способом разрешить доступ многочисленным пользователям к сетевым ресурсам. Однако иногда требуется проследить за тем, кто посещает ресурсы. Например, если вы отвечаете за работу сервера, то неплохо было бы узнать, кто пользуется сервером, до того как работа сервера прервется. Также хорошо бы послать пользователям сообщение, предупреждающее о том, что им следует выйти из системы, вместо того чтобы бесцеремонно перезагрузить их систему. Есть еще ряд моментов, связанных с безопасностью и требующих проверки, кто чем пользуется. Кроме того, необходимость проверки использования ресурса может возникнуть в связи с планированием расширения сети. В любом случае система Windows XP Professional предоставит вам полезный инструмент мониторинга совместно используемых ресурсов, который называется Computer Management (Управление компьютером).

Что он содержит

Посмотрев на оснастку Computer Management (Управление компьютером), вы сразу поймете, что этот инструмент способен на большее, чем простое отключение пользователей. Давайте более детально рассмотрим папки, находящиеся в разделе Shared Folders (Общие папки) этого инструмента. В разделе содержатся три подкаталога:

Используя инструмент Computer Management, можно контролировать доступ пользователя к открытым ресурсам путем отслеживания файлов, к которым осуществляется доступ, сессии отдельного пользователя, а также ресурса как такового.

Совместно используемые ресурсы. В папке Shares содержится список ресурсов совместного использования. Сюда входят следующие рубрики и данные.

На рис. 11.10 показан пример такого обзора.

Отображение ресурсов в оснастке Computer Management (Управление компьютером)


Рис. 11.10.  Отображение ресурсов в оснастке Computer Management (Управление компьютером)

Сеансы. Сессия содержит информацию обо всех сетевых пользователях, имеющих соединение с компьютером. Информация в папке Sessions включает в себя следующее.

На рис. 11.11 представлен пример такого списка.

Открытые файлы. В папке Open Files содержится информация о файлах, открытых на вашем компьютере. Эта информация включает в себя следующее.

Отображение сеансов в оснастке Computer Management (Управление компьютером)


Рис. 11.11.  Отображение сеансов в оснастке Computer Management (Управление компьютером)

На рис. 11.12 приведен пример открытых ресурсов.

Отображение открытых ресурсов в оснастке Computer Management (Управление компьютером)


Рис. 11.12.  Отображение открытых ресурсов в оснастке Computer Management (Управление компьютером)

Использование оснастки Computer Management (Управление компьютером)

Оснастку Computer Management можно активировать несколькими способами.

После запуска инструмента Computer Management (рис. 11.13) для управления ресурсами совместного пользования перейдите в Computer Management\System Tools\Shared Folders\Shares (Управление компьютером\Служебные программы\Общие папки\Общие ресурсы). В этом разделе консоли показаны все совместно используемые ресурсы компьютера: имя ресурса, физическое местонахождение папки и комментарии, относящиеся к ресурсам. Важно то, что в столбце # Client Connections отображено, сколько клиентов закреплено за ресурсом.

Инструмент Computer Management (Управление компьютером)


Рис. 11.13.  Инструмент Computer Management (Управление компьютером)

При возникновении проблем с каким-нибудь ресурсом можно посмотреть, сколько клиентов имеет доступ к этому ресурсу. Затем, щелкнув правой кнопкой мыши на ресурсе, выбрать Properties (Свойства) из появившегося контекстного меню - появится перечень свойств ресурса. В этом окне наряду с основной информацией вы увидите максимальное количество клиентов, которым разрешен доступ к данному файлу. Возможно, вы придете к выводу, что проблемы с ресурсом возникают из-за слишком большого числа лиц, использующих его. Можно использовать этот список для проверки настроек системы безопасности и кэша данного ресурса.

Как послать сообщение

В начале этого раздела говорилось о том, что полезно посылать пользователям, имеющим доступ к общим ресурсам, сообщения, предупреждающие о том, что вы собираетесь отключить их от ресурса.

Для отправки сообщения пользователю совершите навигацию в консоли Computer Management\System Tools\Shared Folders и затем щелкните правой кнопкой мыши на Shared Folders. Затем выберите All Tasks\Send Console Message (Все задачи\Сообщение консоли). Откроется диалоговое окно, в котором вы можете написать свое сообщение (рис. 11.14). Конечный вид сообщения, появляющийся на экране пользователя, показан на рис. 11.15.

Отправка сообщения пользователю


Рис. 11.14.  Отправка сообщения пользователю

Сообщение, отображаемое пользователю


Рис. 11.15.  Сообщение, отображаемое пользователю

Если сообщение пользователю с требованием прервать соединение не работает (например, пользователь отошел от компьютера), а вам необходимо, чтобы он прервал связь немедленно, то вам придется отключить его в принудительном порядке. Это можно выполнить, совершив навигацию в Computer Management\System Tools\Shared Folders\Open Files. Щелкните правой кнопкой мыши на Open Files и выберите All Tasks\ Disconnect All Open Files (Все задачи\Отключить все открытые файлы).

Совместное использование ресурсов занимает центральное место в работе компьютерных сетей. Система Windows XP Professional не только обеспечивает вам легкий способ совместного использования файлов и папок (посредством Simple File Sharing), но предлагает и средства управления этими ресурсами. Вы можете не только предпринимать превентивные действия для управления ресурсами, но и отслеживать то, что происходит, когда пользователи начинают совместно использовать свои ресурсы.

Лекция 12. Автономные файлы и папки

Windows XP Professional поддерживает автономные файлы и папки, что позволяет пользователям локально сохранять файлы и папки на жестком диске и затем синхронизировать их с оригинальной версией, находящейся в сети.

Представьте себе, что сейчас воскресенье, половина одиннадцатого вечера. Один из ваших сотрудников провел большую часть уикенда в офисе, заканчивая отчет, который необходимо сдать в понедельник утром. Во время работы над решающей частью отчета вдруг появляется окно, сообщающее этому пользователю, что его работа в сети прервана. Это означает, что ваш сотрудник не может закончить отчет, не говоря уже о том, чтобы получить доступ к базе данных, где хранится вся финансовая информация за этот квартал. Все попытки установить соединение терпят неудачу. Как в таком случае поступить пользователю?

К сожалению, пользователю из этого сценария придется пережить неприятную ситуацию, когда надо будет представить отчет. Однако ее можно было бы избежать, если бы пользователь применил инструмент Offline Files (Автономные файлы). Это свойства Windows XP Professional позволяет продолжать работу над сетевым файлом, даже если связь с сетью потеряна.

Как показано в предыдущей лекции, компьютерные сети в системе Windows XP Professional обеспечены великолепными средствами для совместного использования файлов, папок и приложений. Пользователь может получать доступ к папкам, находящимся на сервере или в общих папках другого пользователя, что дает замечательную возможность для взаимодействия при работе над документами или для доступа к хранилищу общей информации. Однако бывают случаи, когда пользователь просто не может установить соединение с локальной сетью (LAN). Отсутствие сетевого соединения, тем не менее, не означает, что пользователь не может получить доступа к своим файлам.

Инструмент Offline Files (Автономные файлы) в Windows XP Professional является одним из способов обеспечения связи для пользователей, которым необходимо получить доступ к централизованно хранящимся ресурсам общего пользования. Offline Files разрешает получить доступ к файлам пользователям, которые вынуждены отключить свой компьютер от сети (например, во время поездки), или тем, кто подключается к сети периодически. Также этот инструмент полезен при отключении сервера, при потере связи пользователем и в других случаях.

Люди, находящиеся в пути, могут получить доступ к своим сетевым файлам, однако им не надо устанавливать физическое соединение с сетью для работы с этими файлами. Очевидно, что в этом случае возникает проблема сохранения целостности данных. Когда одни файлы находятся в сети, а другие - на локальных компьютерах пользователей, то должно быть средство для сверки этих документов. Во избежание появления нескольких версий одних и тех же файлов, что может привести к путанице, система Windows XP Professional разрешает пользователям, работающим с инструментом Offline Files (Автономные файлы), устанавливать повторное соединение с сетью для синхронизации своих файлов. Это можно сделать после прихода пользователя в офис или удаленно (например, установив dial-up-соединение).

В этой лекции рассматриваются вопросы, относящиеся к работе с автономными файлами и папками. Мы обсудим настройку автономных файлов и папок, управление этими файлами и синхронизацию. Мы также рассмотрим Windows Briefcase (Портфель Windows), являющийся еще одним инструментом для работы с автономными файлами. Наконец, обсудим способы решения проблем, возникающих при работе с файлами и папками в режиме офлайн.

Использование автономных файлов и папок

Инструмент Offline Files (Автономные файлы) полезен не только для тех, кто продолжает работать во время поездок. Для пользователя, о котором шла речь в начале лекции, этот инструмент может стать просто спасителем. Например, если для проведения работ сервер требуется отключить от сети, а пользователям необходим доступ к сетевым файлам, то они могут обозначить свои файлы как Offline Files и продолжить работу. После повторного соединения эти файлы надо будет синхронизировать.

Для повышения доступности Offline Files можно использовать в паре с Folder Redirection (Перенаправление папки). Например, если пользователь пытается войти в папку на компьютере другого пользователя, то с помощью Folder Redirection он может перенести содержание папки на сервер. По умолчанию Windows XP Professional делает любую переадресованную папку доступной в автономном режиме. Поэтому, если Дейв из бухгалтерии пытается войти в папку на компьютере Ларри из производственного отдела, но Ларри выключил компьютер, то Дейв все же может получить доступ к папке Ларри, если она была перенаправлена, и ее копия находится на сервере.

Примечание. Если вы решите отключить Folder Redirection (Перенаправление папки) в своей организации, то воспользуйтесь оснасткой Group Policy консоли ММС и измените настройки опции Do not automatically make redirected folders available offline (Не делать перенаправляемые папки доступными в автономном режиме автоматически).

В Active Directory настройки Group Policy используются для управления инструментом Offline Files (Автономные файлы). Об этих настройках мы будем говорить позже.

Подключение

Первым шагом в использовании Offline Files (Автономные файлы) является подключение этого инструмента на локальном компьютере. Настройка конфигурации компьютера для работы с автономными файлами требует выполнения следующих действий.

  1. Выберите Start\My Computer (Пуск\Мой компьютер).
  2. В меню Tools (Сервис) выберите Folder Options (Свойства папки).
  3. Щелкните на вкладке Offline Files (Автономные файлы) (рис. 12.1).
  4. Отметьте флажок Enable Offline Files (Использовать автономные файлы) и затем нажмите ОК.

Подключение инструмента Offline Files (Автономные файлы)


Рис. 12.1.  Подключение инструмента Offline Files (Автономные файлы)

Примечание. Вы не сможете использовать автономные файлы, если на компьютере задействована опция Fast User Switching (Быстрая смена пользователей). Для ее отключения войдите в User Accounts (Учетные записи пользователя) в панели управления. Выберите Change the way users log on or off (Изменение входа пользователей в систему) и отключите флажок Use Fast User Switching (Использовать быструю смену пользователей).

Как сделать файлы и папки доступными в автономном режиме

После подключения инструмента Offline Files (Автономные файлы) вы можете выбрать файлы и папки для работы в автономном режиме. Как и при выполнении многих других заданий в Windows XP Professional, можно вызвать соответствующего мастера (в данном случае Offline File Wizard) для помощи в отборе файлов и папок, которыми нужно управлять. Доступ к файлам и папкам, отобранным для работы в автономном режиме, осуществляется особым образом, чтобы они были корректно синхронизированы после восстановления сетевого соединения. Эти процедуры описаны в следующих лекциях.

Мастер автономных файлов

Чтобы использовать файл или папку в автономном режиме, проделайте следующие шаги.

  1. В Проводнике Windows совершите навигацию к файлу или папке сети, с которыми нужно работать автономно.
  2. Щелкните правой кнопкой мыши на этом файле или папке и затем выберите в меню ярлыков Make Availablе Offline (Сделать доступной автономно). Активируется мастер автономных файлов (Offline File Wizard) (рис. 12.2).

    Мастер автономных файлов


    Рис. 12.2.  Мастер автономных файлов

  3. Щелкните на Next (Далее). Мастер спросит, желаете ли вы автоматически синхронизировать файлы при следующем входе или выходе из сети. Сделайте свой выбор и щелкните на Next.
  4. Далее мастер предоставит вам две опции. Первая - Enable Reminders (Включить уведомления) - при работе в автономном режиме будет уведомлять вас об этом сообщением в окне уведомлений. Вторая спрашивает о создании ярлыка к автономным файлам на рабочем столе. С его помощью можно быстро переходить к этим файлам. Сделайте свой выбор и нажмите на Finish (Готово).

    Примечание. Наличие ярлыка к автономным файлам упрощает доступ к ним.

  5. Если вы выбрали папку, в которой имеются подкаталоги, то появится диалоговое окно с запросом на преобразование этих подкаталогов в автономные. Сделав выбор, нажмите ОК.

В то время, когда Windows XP professional перемещает файлы и папки в папку Offline Files (Автономные файлы), на экране появляется диалоговое окно Synchronizing (Синхронизация). Автономные файлы доступны с Windows-серверов. Если сервер от стороннего производителя использует протокол SMB (Server Message Block), то к автономным файлам можно получить доступ с серверов другого типа, таких как UNIX-серверы.

Для того чтобы использовать эту особенность серверов от сторонних производителей, убедитесь, что на сервере установлен протокол SMB. После подключения этого протокола можно использовать Windows XP для установки соединения с файлами и обеспечения их доступности в автономном режиме.

Использование автономных файлов

Использование автономных файлов представляется достаточно простым (и, до некоторой степени, так оно и есть), но вы должны быть уверены в том, что пользуетесь этими файлами правильно. Это убережет вас от потери данных, что и является основной задачей Offline Files.

Если при работе мастера вы создали ярлык к своим автономным файлам и папкам, то их использование сильно упрощается. Просто щелкайте дважды на этом ярлыке и затем открывайте свои файлы в появившемся окне.

Если вы не создали ярлыка, то сможете найти файлы, открыв Windows Explorer и выбрав Tools\Folder Options (Сервис\Свойства папки). Затем следует щелкнуть на вкладке Offline Files (Автономные файлы) и на View Files (Просмотр файлов). На рис. 12.3 показано окно, которое открывается независимо от вида доступа к этим файлам.

Используя автономные файлы, не забывайте сохранять их в папке Offline Files для правильной синхронизации при установлении соединения с совместно используемым сетевым ресурсом.

Загрузка файлов для работы в автономном режиме

После того как вы выбрали файлы и папки для работы с ними в автономном режиме, Windows XP Professional может загрузить их на локальный компьютер двумя способами. Способ загрузки зависит от того, как вы указали системе Windows XP Professional файлы, которыми хотите пользоваться. К тому же, при выполнении некоторых условий файлы могут быть загружены на локальный компьютер при восстановлении сетевого соединения.

Автономные файлы в папке Offline Files


Рис. 12.3.  Автономные файлы в папке Offline Files

Автономные файлы

Существует два способа получения файлов для использования их в автономном режиме. Можно указать Windows XP Professional, какие именно файлы нужно использовать автономно, либо можно создать что-то вроде общего указания и надеяться на то, что система займется этими файлами при выполнении служебных заданий. Указать файлы для автономного использования можно двумя способами.

Вы можете установить автоматический захват избранных файлов или папок, щелкнув правой кнопкой мыши на папке, затем выбрав Properties (Свойства), щелкнув на вкладке Sharing (Общий доступ) и затем щелкнув на Catching. В появившемся окне настроек щелкните на Automatic Catching of Documents. Этим же способом вы можете отменить захват файлов.

По умолчанию под автономные файлы отводится 10 % пространства на жестком диске. Этот объем можно регулировать в диапазоне от 0 до 100 %. На размер этого пространства не влияют файлы, захваченные вручную, а также файлы, выбранные администратором. В целом файлы, захваченные вручную, могут использовать все доступное дисковое пространство.

Условия для восстановления соединения

Сетевой ресурс становится доступным после того, как он находился в автономном режиме, при выполнении трех условий.

Примечание. Slow link - это ограничение, которое вы устанавливаете для скорости соединения. Если скорость соединения опускается ниже этой отметки, то соединение считается медленным.

Если эти три условия удовлетворены, то пользователь может открыть файл и начать с ним работать. Файл будет сохраняться как в сетевом ресурсе, так и в папке Offline Files (Автономные файлы). При отсутствии одного из условий пользователь может войти в автономный файл, даже если доступна его версия на сетевом ресурсе общего пользования. Любые изменения, внесенные в файл, необходимо синхронизировать с версией на сетевом ресурсе.

Примечание. Более подробно мы поговорим об этом в разделе "Синхронизация".

Удаление автономных файлов

При переезде в новый дом всегда остаются не распакованными несколько коробок. Там могут находиться елочные украшения или хлам, который вы планируете однажды разобрать и рассортировать. В любом случае эти коробки будут валяться на чердаке или в углу гаража. Со временем таких коробок становится все больше. Вы даже не можете вспомнить, когда их туда положили. Автономные файлы создают такую же проблему. Только они загромождают не чердак, а жесткий диск компьютера.

По прошествии некоторого времени в папке Offline Files (Автономные файлы) появляется много файлов, которыми вы больше не пользуетесь. Такая перегруженность не только мешает работать, но и поглощает пространство жесткого диска. Разумнее будет удалять из системы те файлы, которые больше не нужны.

Удалить автономные файлы можно одним из способов: либо удалить файл или файлы из папки Offline Files, либо удалить все файлы, имеющие отношение к определенному ресурсу, используя инструмент Delete Files (Удаление файлов) на странице свойств автономных файлов.

Предупреждение. Никогда не удаляйте, не перемещайте и не изменяйте файлы, находящиеся в папке systemroot\CSC.

Не беспокойтесь: при удалении автономные файлы удаляются только из кэша локального компьютера, а не из их исходного места расположения в сети.

Использование папки Offline Files (Автономные файлы)

Чтобы удалить автономные файлы из кэша компьютера, используя папку Offline Files (Автономные файлы), проделайте следующие шаги.

  1. Совершите навигацию к нужной папке в Проводнике Windows, а затем в меню Tools (Сервис) выберите Folder Options (Свойства папки).
  2. Щелкните на вкладке Offline Files (Автономные файлы).
  3. Щелкните на View Files (Просмотр файлов).
  4. Выберите файлы, которые нужно удалить, а затем в меню File (Файл) щелкните на Delete (Удалить).
Удаление из кэша сетевого ресурса

Для удаления файлов из кэша сетевого ресурса проделайте следующие шаги.

  1. Используя Проводник Windows, совершите навигацию к папке сетевого ресурса и в меню Tools (Сервис) выберите Folder Options (Свойства папки).
  2. Щелкните на вкладке Offline Files (Автономные файлы).
  3. Щелкните на Delete files (Удалить файлы).
  4. Появится диалоговое окно с запросом на подтверждение удаления. Можно выбрать только удаление временных версий автономных файлов (то есть файлов, которые кэшируются автоматически). Можно также выбрать удаление и временных версий, и версий, доступных в автономном режиме.
Очистка кэша

Вы можете обнаружить, что попытки удаления файлов из кэша оказались тщетными. В этом случае вы можете позволить себе более агрессивное действие и полностью очистить кэш, инициализировав его заново. Имейте в виду, что таким образом вы удалите все, что находится в кэше. Поэтому, если там находятся не синхронизированные файлы, то их надо сначала синхронизировать. Чтобы заново инициализировать кэш, проделайте следующие шаги.

  1. В Windows Explorer совершите навигацию к нужной папке, а затем в меню Tools (Сервис) выберите Folder Options (Свойства папки).
  2. Щелкните на вкладке Offline Files (Автономные файлы).
  3. Нажмите CTRL+SHIFT и затем щелкните на Delete Files (Удалить файлы).
  4. Для выполнения повторной инициализации перезапустите компьютер.

Примечание. Перезагрузка компьютера отнимает время и снижает продуктивность работы. Поэтому хорошей практикой считается наблюдение за своими кэшированными файлами и удаление их по мере необходимости. Однако если вы затеяли генеральную уборку и хотите удалить из кэша все, то лучше сделать это тогда, когда у вас действительно есть свободное время, и его можно потратить на перезагрузку компьютера.

Безопасность

Автономные файлы кэшируются в папке Offline Files (Автономные файлы). На каждом компьютере существует только одна папка Offline Files, независимо от того, сколько человек имеют доступ к этому компьютеру. Для предотвращения неавторизованного доступа эта папка защищена разрешениями администратора. Как вы помните из нашего обсуждения NTFS-файлов, такой уровень разрешения доступен только в формате NTFS. Защитить автономные файлы и папки можно также с помощью разрешений, оснастки Group Policy и шифрования.

Разрешения

Автономные файлы можно защищать с помощью разрешений, как и любые другие файлы в системе NTFS, т. е. для папки Offline Files поддерживаются такие же разрешения, как и для сетевого ресурса, где они находились изначально. Допустим, что Ларри и Дейв пользуются одним компьютером для входа в сеть. Ларри создал в сетевом ресурсе электронную таблицу, установив для этого файла разрешения, чтобы никто, кроме него, не мог получить доступа к этой таблице. После переноса автономной копии этого файла в компьютер Ларри уезжает на один день. Когда Дейв, в свою очередь, садится за компьютер, то электронная таблица находится в общей папке Offline Files. Однако Дейв не может получить доступ ни к варианту, находящемуся в сетевом ресурсе общего пользования, ни к версии в папке Offline Files, так как на них распространяется действие разрешений, установленных Ларри.

Установка и перенос действия разрешений имеют место независимо от типа файловой системы на жестком диске. Если вы установили разрешения на доступ к сетевому ресурсу, используя NTFS, а затем сделали этот файл доступным автономно на FAT-диске, то в системе Windows XP Professional разрешения будут сохранять свою силу, даже если диск не использует формат NTFS.

Управление посредством настроек в групповой политике

Как мы уже говорили ранее, разрешениями и настройками автономных файлов можно управлять с помощью оснастки Group Policy (Групповая политика) консоли ММС (рис. 12.4). Настройки, управляющие безопасностью автономных файлов, регулируются в двух разделах оснастки Group Police в зависимости от того, какой тип управления необходимо настроить.

Оснастка Group Policy (Групповая политика) для управления автономными файлами


Рис. 12.4.  Оснастка Group Policy (Групповая политика) для управления автономными файлами

На рис. 12.5 показано диалоговое окно для специальной настройки автономного файла.

В таблице 12.1 перечислены настройки папки автономных в оснастке Group Policy и дано краткое описание их функций.

Установление политики автономных файлов


Рис. 12.5.  Установление политики автономных файлов

Таблица 12.1. Настройки групповой политики для автономных файлов
НастройкаОписание
Allow or Disallow use of Offline Files features (Разрешить или запретить использование автономных файлов)Устанавливает подключение или отключение автономных файлов.
Prohibit user configuration of Offline Files (Запретить пользовательскую настройку автономных файлов)Устанавливает возможность для пользователя управлять настройками автономных файлов.
Synchronize all offline files when logging off (Синхронизовать автономные файлы при выходе из системы)Синхронизирует файлы при выходе пользователя из системы.
Synchronize all offline files before logging on (Синхронизовать автономные файлы при входе в систему)Синхронизирует все автономные файлы перед входом пользователя в систему.
Synchronize offline files before suspend (Синхронизовать автономные файлы перед приостановкой)Синхронизирует все файлы при входе компьютера в ждущий режим.
Default cache size (Размер кэша по умолчанию)Устанавливает границы пространства на жестком диске, отведенного для автономных файлов.
Action on server disconnect (Действия при отключении от сервера)Определяет, следует ли оставлять автономные файлы доступными при неожиданном разрыве связи компьютера с сетью.
Non-default server disconnect actions (Нестандартные действия при отключении от сервера)Устанавливает реакцию компьютеров на разрыв связи с серверами. В зависимости от имени сервера могут быть назначены разные действия.
Remove "Make Available Offline" tab (Удалить вкладку "Сделать доступным автономно")Запрещает пользователям делать файл или папку доступными в автономном режиме путем удаления вкладки Make Available Offline из меню файла и меню всех ярлыков.
Prevent use of Offline Files folder (Запретить использование папки "Автономные файлы")Дезактивирует кнопку View Files (Просмотр файлов) на вкладке Offline Files (Автономные файлы). Этим создается запрет для пользователей на просмотр или открытие файлов с помощью папки Offline Files. Однако это не мешает им работать с автономными файлами или использовать Windows Explorer для навигации к своим автономным файлам.
Files not cached (Некэшируемые файлы)Исключает кэширование файлов определенного типа. Эта настройка нужна при наличии файлов, которые нельзя отделять друг от друга, например компонентов базы данных.
Administratively assigned offline files (Административно назначенные автономные файлы)Позволяет администраторам устанавливать доступность файлов и папок для работы в автономном режиме.
Turn off reminder balloons (Отключить всплывающие напоминания)Включает или отключает сообщения, появляющиеся в связи с потерей соединения, чтобы поставить пользователей в известность о том, что они работают с локальной копией файла.
Reminder balloon frequency (Частота появления всплывающих напоминаний)Устанавливает частоту появления сообщений (мин).
Initial reminder balloon lifetime (Длительность отображения первого всплывающего напоминания)Устанавливает время (с), в течение которого первоначальное сообщение находится на экране пользователя.
Reminder balloon lifetime (Длительность отображения всплывающих напоминаний)Устанавливает время (с), в течение которого последующие сообщения находятся на экране пользователя.
At logoff, delete local copy of user’s offline files (При выходе из системы удалять локальную копию автономных файлов пользователя)Удаляет файлы из кэша при выходе локального пользователя из системы. (Примечание. Эта настройка не синхронизирует файлы автоматически. Если локальный пользователь не синхронизирует свои файлы, то они будут потеряны при очистке кэша.)
Event logging level (Уровень регистрации событий)Устанавливает, какие события папки Offline Files должны регистрироваться в журнале событий.
Subfolders always available offline (Сделать подпапки всегда доступными в автономном режиме)Делает все подпапки доступными в случае доступности основной папки в автономном режиме.
Encrypt the Offline Files cache (Шифровать кэш автономных файлов)Шифрует автономные файлы, хранящиеся в кэше.
Prohibit "Make Available Offline" for these files and foldersПозволяет администраторам назначать папки и файлы, которые не могут быть доступны в режиме офлайн.
Configure slow link speed (Настроить скорость медленного подключения)Устанавливает скорость соединения, которую Offline Files будет считать слишком низкой, ограничивая объем трафика для сохранения скорости соединения.

Некоторые из настроек таблицы 12.1 актуальны только для компьютеров, а некоторые - только для пользователей. Однако если один и тот же вид настроек конфигурируется как для компьютера, так и для пользователя, то в первую очередь создается конфигурация для компьютера.

Шифрование

Система EFS (Encrypting File System) может быть использована и в ваших автономных файлах для сохранения их секретности. Пока автономные файлы находятся на диске формата NTFS, их можно зашифровывать. Для включения шифрования автономных файлов в диалоговом окне Folder Options (Свойства папки) щелкните на вкладке Offline Files (Автономные файлы), а затем отметьте флажок Encrypt offline files to secure data (Шифровать автономные файлы для защиты данных), как это показано на рис. 12.6.

Шифрование автономных файлов


Рис. 12.6.  Шифрование автономных файлов

Для группы пользователей эта настройка может быть реализована посредством групповой политики, как показано в предыдущем разделе. Используя оснастку Group policy (Групповая политика), включите настройку Encrypt the Offline Files cash (Шифровать кэш автономных файлов). Так как эту настройку инициирует администратор для группы пользователей, то она не может быть отменена отдельным пользователем на локальном компьютере.

Печать в автономном режиме

Две наиболее вероятные причины, по которым вы прибегаете к использованию автономных файлов, заключаются в том, что вы работаете с переносным компьютером либо по какой-то причине потеряли связь с сетевым ресурсом. Если вы используете сетевой принтер, то не сможете напечатать свои файлы, пока связь с сетью не будет восстановлена.

В зависимости от того, насколько срочно необходимо напечатать документ, вы либо будете ждать своей очереди, либо начнете искать принтер, которым можно в данный момент воспользоваться. Давайте рассмотрим оба этих сценария и поведение Windows XP Professional в соответствии с ними.

Печать без принтера

Если на компьютере установлен принтер, но в данный момент не соединен с ним, то воспользуйтесь опцией задержки печати Windows XP Professional. Она позволяет дать команду на печать, но задание будет сохраняться на жестком диске, до тех пор пока ни будет установлено соединение с принтером. При восстановлении соединения (либо с сетевым, либо с локальным принтером) вы увидите сообщение о заданиях принтера, ждущих исполнения. На этом этапе можно напечатать или отменить эти задания.

Если после установки связи с принтером такое сообщение не появилось, то можно вручную заставить принтер начать выполнение задания, проделав следующие шаги.

  1. Выберите Start\Printers and Faxes (Пуск\Принтеры и факсы).
  2. Щелкните правой кнопкой мыши на принтере, находящемся в автономном режиме. Рядом с опцией Use Printer Offline (Работать автономно) в меню ярлыков должна появиться отметка.
  3. Снимите флажок Use Printer Offline - выполнится запуск заданий печати.

Если вы торопитесь напечатать файл, то можете установить соединение с другим принтером, которым обычно не пользуетесь.

Использование другого принтера

При наличии нужной программы можно временно сменить принтер, используемый компьютером Windows XP Professional. Наибольшая трудность при этом состоит в нахождении корректного драйвера для этого принтера. Если драйвер есть на установочном диске Windows XP Professional, то операционная система сможет найти его, так как она копирует большую часть драйверов на жесткий диск во время инсталляции. Возможно, придется воспользоваться дискетой или компакт-диском, на котором находится нужный драйвер. При наличии интернет-соединения можно зайти на сайт производителя принтера и скачать копию драйвера.

Допустим, что расположение планет было благоприятным, и вы получили необходимый драйвер. Проделайте следующие шаги, чтобы установить драйвер для временного использования нового принтера.

  1. Выберите Start\Printers and Faxes (Пуск\Принтеры и факсы).
  2. Откройте принтер по умолчанию (при наличии отложенных заданий печати они появятся в списке).
  3. Щелкните правой кнопкой мыши на окне принтера и выберите Properties (Свойства).
  4. В случае необходимости поменяйте порт соединения с принтером на вкладке Ports (Порты).
  5. Щелкните на вкладке Advanced (Дополнительно) и выберите нужный драйвер. Если временно используемый принтер не значится в списке, то щелкните на кнопке New Driver (Установить драйвер) и выберите тот тип принтера, который у вас имеется.
  6. Выйдите изо всех диалоговых окон. Система Windows XP Professional может попросить вставить установочный компакт-диск (хотя можно воспользоваться CAB-файлами для завершения инсталляции вместо использования установочного диска).

После возвращения в свое обычное рабочее окружение нужно проделать все эти шаги, чтобы переустановить обычный принтер в качестве принтера по умолчанию.

Инсталляция временного принтера проходит болезненно и требует соблюдения ряда условий. Во-первых, необходим доступ ко второму принтеру; во-вторых, у вас должен быть нужный драйвер, и , наконец, у вас должен быть установочный диск Windows XP Professional (или, по крайней мере, необходимые САВ-файлы). Во время поездки всего этого может и не оказаться.

Синхронизация

Когда компьютер восстанавливает соединение с сетью (например, работник, находящийся в отъезде, устанавливает связь с локальной сетью на своем портативном компьютере или те, кто автономно работал с файлами, пока сервер был отключен), то требуется синхронизация автономных файлов с их сетевыми оригиналами. Все это выполняется в Windows XP Professional с помощью Synchronization Manager (Диспетчера синхронизации).

Используя групповую политику, администраторы могут устанавливать время синхронизации автономных файлов в компьютере. Это делается в следующих ситуациях:

В этом разделе рассматриваются особенности синхронизации автономных файлов и настройки, необходимые для управления синхронизацией.

Синхронизация автономных файлов и папок

Как мы уже отмечали ранее, основное назначение автономных файлов состоит в создании возможности для пользователей отключать свои компьютеры от сети и продолжать пользоваться сетевыми файлами. Это делает любой ресурс, доступный в сети, доступным и в автономном режиме.

При восстановлении связи с сетью автономно использовавшиеся файлы следует скоординировать с файлами сетевого ресурса. Это выполняется посредством Synchronization Manager (Диспетчера синхронизации).

Диспетчер синхронизации

Диспетчер синхронизации (Synchronization Manager) сканирует систему и при обнаружении изменений автоматически обновляет файлы. Обновление только измененных файлов (а не всех автономных файлов) экономит время и ресурсы компьютера.

Использование диспетчера синхронизации позволяет синхронизировать файлы и веб-страницы одним из способов:

Помимо автоматической синхронизации в соответствии с установками диспетчера пользователь может проводить синхронизацию вручную. Более того, во время синхронизации можно дать команду Windows XP Professional на выполнение одного из типов синхронизации.

Например, для быстрой синхронизации допустим, что у вас есть файл размером 1 Мб, который называется Test.doc. При первой синхронизации компьютер-клиент будет постепенно загружать Test.doc, пока полностью его ни загрузит. Однако если что-то помешает полной загрузке файла Тest.doc в компьютер-клиент, то он не будет доступен в автономном режиме. Быстрая синхронизация используется для докачки таких файлов.

Полная синхронизация проводится по умолчанию при каждом выходе клиента из сети. Оснастка Group Policy (Групповая политика) используется для управления настройками синхронизации, и если вы решите отключить элемент настройки Synchronize all files before logging off (Синхронизировать все файлы перед выходом), то система будет автоматически выполнять быструю синхронизацию.

Во время синхронизации система Windows XP Professional сравнивает оригинальный файл, находящийся на сетевом ресурсе, с его версией в кэше локального компьютера. При обнаружении различий можно изучить оба файла и решить, какой из них следует оставить. При синхронизации появляется окно Resolve File Conflicts (Устранение конфликтов файлов), предоставляющее следующие возможности.

Конфигурирование синхронизации

Для синхронизации папки автономных файлов проделайте следующие шаги.

  1. Выберите Start\All Programs\Accessories\Synchronize (Пуск\Все программы\Стандартные\Синхронизация).
  2. В диалоговом окне Items to Synchronize (Синхронизируемые объекты) щелкните на Setup (Установка). Появится окно, показанное на рис. 12.7.

    Синхронизация файлов, используемых в автономном режиме


    Рис. 12.7.  Синхронизация файлов, используемых в автономном режиме

  3. В окне When I am using this network connection (При использовании данного сетевого подключения) выберите соединение, для которого вы хотите указать автономные веб-страницы и файлы, нуждающиеся в синхронизации.
  4. Все автономные страницы и файлы перечислены в окне Synchronize the following checked items (Синхронизировать все отмеченные элементы). Выберите элементы, которые вы хотите синхронизировать во время следующего входа в сеть.
  5. Повторяйте шаги 3 и 4, пока не сконфигурируете настройки синхронизации для каждого сетевого соединения.
  6. Укажите, желаете ли вы синхронизировать файлы во время входа или выхода из Windows или хотите получать уведомление перед проведением синхронизации.
  7. Нажмите на ОК.
  8. Щелкните на Synchronize, чтобы выполнить синхронизацию немедленно или нажмите на Close, чтобы закрыть диалоговое окно Items to Synchronize.
Синхронизация по расписанию

Вы можете указать для своих автономных файлов (и веб-страниц) определенное время, когда они должны синхронизироваться. Это удобно, если вы регулярно работаете в режиме оффлайн и должны синхронизировать свои файлы с сетевыми ресурсами. Для настройки синхронизации по расписанию выполните следующие шаги.

  1. Выберите Start\All Programs\Accessories\Synchronize\Setup (Пуск\ Все программы\Стандартные\Синхронизировать\Установка).
  2. Щелкните на вкладке Scheduled (Расписание).
  3. Щелкните на Add (Добавить). Будет запущен мастер расписания синхронизации (Scheduled Synchronization Wizard) (рис. 12.8).

    Мастер расписания синхронизации


    Рис. 12.8.  Мастер расписания синхронизации

  4. Выберите соединение, которое вы хотите использовать.
  5. Щелкните на Next (Далее).
  6. В ниспадающем списке щелкните на сетевом соединении, которое будет использоваться для синхронизации.
  7. Во вспомогательном окне On this connection, synchronize these items (Синхронизировать данные элементы при этом соединении) отметьте все флажки рядом с элементами, которые вы хотите синхронизировать. Если установление связи не гарантируется к моменту проведения синхронизации, то отметьте флажок If my computer is not connected when this scheduled synchronization begins, automatically connect for me (Если компьютер не подключен к интернету к началу запланированной синхронизации, подключаться автоматически).
  8. Щелкните на Next.
  9. Мастер позволяет устанавливать время для синхронизации по графику. Можно проводить синхронизацию ежедневно, еженедельно или каждые х дней. Кроме того, можно назначить дату начала синхронизации по графику.
  10. Щелкните на Next и дайте имя заданию.
  11. Щелкните на Finish (Готово) для завершения выполнения задания расписания по графику.

Для удаления или внесения изменений в существующий график синхронизации на шаге 3 выберите синхронизацию по графику и щелкните на кнопке Delete (Удалить) или Edit (Изменить).

Возможности синхронизации на переносном компьютере

Если пользователь работает с автономными файлами на переносном компьютере, то некоторые настройки могут оказаться полезными при выполнении (или планировании) синхронизации. В следующих разделах речь пойдет о различных приемах, которыми можно воспользоваться для оптимизации процесса синхронизации на портативном компьютере, в особенности, если он работает от батареек.

В ждущем режиме

Когда переносной компьютер находится в состоянии бездействия и работает от батареек, синхронизация не выполняется. Такая установка дается по умолчанию для экономии энергии батареек. Если вы хотите отключить этот вид настройки, то выполните следующие действия.

  1. Выберите Start\All Programs\Accessories\Synchronize\Setup (Пуск\ Все программы\Стандартные\Синхронизировать\Установка).
  2. В появившемся диалоговом окне Synchronization Settings (Параметры синхронизации) щелкните на вкладке On Idle (При простое), а затем щелкните на Advanced (Дополнительно).
  3. В появившемся диалоговом окне Idle Settings (Параметры синхронизации при простое) (рис. 12.9) очистите флажок Prevent synchronization when me computer is running on battery power (Запретить синхронизацию при питании компьютера от батарей).

Как показано на рис. 12.9, проведение синхронизации можно настроить на определенные периоды времени, во время которых ваш компьютер отдыхает.

Включение или отключение синхронизации на бездействующем переносном компьютере, работающем от батареек


Рис. 12.9.  Включение или отключение синхронизации на бездействующем переносном компьютере, работающем от батареек

Отмена синхронизации по расписанию

Если график проведения синхронизации уже установлен, возможно, вам захочется отключить такую синхронизацию, в особенности, если компьютер работает на батарейках, или когда батарейки садятся.

При работе от батареек. Можно не начинать процесс синхронизации, так как он истощает заряд батарей. Для отмены синхронизации проделайте следующие шаги.

  1. Выберите Start\All Programs\Accessories\Synchronize\Setup (Пуск\ Все программы\Стандартные\Синхронизировать\Установка).
  2. В диалоговом окне Synchronization Settings (Параметры синхронизации) щелкните на вкладке Scheduled (Расписание)
  3. Выберите задание составления графика и щелкните на Edit (Изменить).
  4. Щелкните на вкладке Settings (рис. 12.10). В разделе Power Management (Управление электропитанием) отметьте флажок Don't start the task if the computer is running on batteries (Не выполнять задание, если компьютер работает от батарей).

При разряженных батареях. Если батареи в компьютере уже в значительной степени израсходованы, то выполнение предписанной по графику синхронизации может быть нежелательным. Для ее отмены проделайте следующее.

  1. Выберите Start\All Programs\Accessories\Synchronize\Setup (Пуск\ Все программы\Стандартные\Синхронизировать\Установка).
  2. В диалоговом окне Synchronization Settings (Параметры синхронизации) щелкните на вкладке Scheduled (Расписание)
  3. Выберите задание составления графика и щелкните на Edit.
  4. Щелкните на вкладке Settings (Настройка). В разделе Power Management отметьте флажок Stop the task if battery mode begins (Отменить выполнение задания в режиме работы от батарей).

Управление настройками синхронизации по графику


Рис. 12.10.  Управление настройками синхронизации по графику

Портфель Windows

Другой способ координирования автономных файлов состоит в использовании инструмента Windows Briefcase (Портфель Windows). В то время как автономные файлы удобно использовать при работе с сетевыми файлами на настольном или переносном компьютере, инструмент Windows Briefcase особенно хорош, когда требуется взять файл из одного компьютера (например, из вашего настольного компьютера) и пользоваться им на другом компьютере, например на переносном. При возвращении к настольному компьютеру используется Windows Briefcase для синхронизации двух файлов, что позволяет иметь самую новую версию файла, где бы вы ни работали.

Этот инструмент во время работы создает портфели - папки, содержащие файлы и подкаталоги, которые вы перемещаете между своим стационарным и переносным компьютерами. Для управления перемещением этих файлов вы просто устанавливаете соединение переносного компьютера с сетью и осуществляете перенос файлов. Вам, возможно, не удастся повторно связаться с сетью со своего стационарного компьютера. Тем не менее, можно синхронизировать файлы, используя дискету. В зависимости от размеров портфеля может потребоваться несколько дискет для размещения всех файлов.

Значок портфеля расположен на рабочем столе компьютера (на рабочих столах системы Windows он находится со времен Windows 95). Если значка нет, то можно создать его, щелкнув правой кнопкой мыши на рабочем столе и выбрав New\Briefcase (Создать\Портфель). Можно создать несколько портфелей и рассортировать файлы, используемые в автономном режиме так, как удобно.

При создании нового портфеля система Windows XP Professional показывает диалоговое окно приглашения (см. рис. 12.11). Вам надо прочитать все рекомендации и щелкнуть на Finish (Готово).

Создание нового портфеля


Рис. 12.11.  Создание нового портфеля

После создания нового портфеля просто "перетащите" туда файлы, с которыми собираетесь работать (рис. 12.12).

Портфель, содержащий несколько файлов


Рис. 12.12.  Портфель, содержащий несколько файлов

Использование портфеля

Использование Windows Briefcase (Портфель Windows) включает в себя следующие действия:

  1. Перенос нужных файлов в портфель.
  2. Создание копии портфеля на переносном компьютере посредством сетевого соединения, дискеты или другим способом.
  3. Использование файлов.
  4. Перед тем как перенести свои файлы обратно на стационарный компьютер, следует щелкнуть на значке Update All (Обновить все) или на значке Update Selection (Обновить выделенные объекты) в строке меню.

Эти действия будут различаться в зависимости от способа транспортировки портфеля (посредством LAN-соединения или на дискетах). Используя дискеты, вы переносите файлы с дисковода А: компьютера. Используя соединение с локальной сетью, вы переносите файлы с рабочего стола в портфель переносного компьютера. Эти действия более подробно рассматриваются в следующих разделах лекциях.

Перенос файлов в портфель

Сначала нужно перенести файлы в портфель на рабочем столе компьютера. Это можно сделать, определяя их местонахождение с помощью Windows Explorer и "перетаскивая" в портфель на рабочем столе.

Примечание. Вы можете перетаскивать файлы либо на значок портфеля, либо в открытое окно Briefcase (Портфель).

Также можно выбрать один или несколько файлов, щелкнуть на них правой кнопкой мыши и выбрать Send To\My Briefcase (Отправить\Мой портфель) в меню ярлыков.

При использовании LAN просто найдите файлы в сети и перетащите их в портфель переносного компьютера. В этом случае нет необходимости сначала помещать их в портфель стационарного компьютера. При использовании дискеты создайте портфель на стационарном компьютере, переместите туда файлы, а затем перенесите портфель на дискету. Либо щелкните правой кнопкой мыши на портфеле, выберите действие Send To\Floppy (Отправить\Диск 3,5). Если размер портфеля больше 1,44 Мб, то компьютер попросит дополнительные дискеты.

Копирование портфеля в переносной компьютер

После размещения файлов на своем настольном компьютере (или на дискетах) вам следует перенести их в переносной компьютер. Этот этап можно пропустить, если вы используете LAN-соединение, так как на портативном компьютере уже установлен портфель. Однако если вы переносите его с дискет, то проделайте следующие шаги.

  1. Вставьте первую дискету в дисковод переносного компьютера.
  2. Откройте ее в Проводнике Windows.
  3. Перетащите портфель на рабочий стол переносного компьютера.

Теперь, когда портфель находится на рабочем столе, все файлы в нем легко доступны.

Использование файлов, находящихся в портфеле

Если файлы находятся в автономном режиме, то работать с ними надо, пока они находятся в портфеле. Для этого щелкните на значке портфеля дважды и выберите файлы так, как делаете это для всех остальных файлов.

По желанию можно воспользоваться командой Open. В этом случае, дав команду Open, войдите в портфель и выберите файлы по списку. При сохранении файлов убедитесь в том, что они сохраняются в портфеле.

Предупреждение. Если сохранить файлы не в портфеле, то, связавшись с сетью, вы не сможете их синхронизировать.

Одним из недостатков Windows Briefcase является то, что нельзя синхронизировать файлы, которые были обновлены как в сети, так и на переносном компьютере. Например, если человек, находящийся в пути, редактирует файл в текстовом редакторе Word, а другой пользователь в это время отредактировал или добавил данные в оригинал, то Windows Briefcase не сможет синхронизировать эти файлы. У вас будет возможность сохранить один из этих файлов, но не объединить их.

Windows Briefcase позволяет управлять свойствами автономных файлов. Например, можно проверить обновление статуса каждого файла в разделе Status портфеля. Статус определенного элемента можно проверить, выбрав этот элемент в окне портфеля, щелкнув правой кнопкой мыши на нужном файле, выбрав Properties (Свойства) в меню ярлыков и щелкнув на вкладке Update Status (Обновить состояние) (см. рис. 12.13).

Исходная копия файла, находящаяся в портфеле, может быть найдена в окне свойств файла на вкладке Update Status с последующим нажатием кнопки Find Original (Найти оригинал). Система Windows XP Professional покажет папку, в которой находится оригинал файла.

Если при работе с файлом портфеля вы считаете, что файл изменился так сильно, что его не следует синхронизировать с оригиналом, то можете сохранить этот файл отдельно. Для этого укажите файл в окне портфеля и выберите в меню Briefcase\Split From Original (Портфель\ Отделить от оригинала). Это задание можно выполнить на вкладке Update Status (Обновить состояние), нажав на кнопку Split From Original.

Вкладка Update Status (Обновить состояние) окна свойств


Рис. 12.13.  Вкладка Update Status (Обновить состояние) окна свойств

Синхронизация портфеля

Основной целью этого раздела является показ того, как управлять автономными файлами с помощью Windows Briefcase. Когда наступает время синхронизации переносного компьютера с настольным, проделайте следующие шаги.

  1. Установите соединение переносного компьютера с сетевым или настольным компьютером. Если для переноса файлов используется дискета, то перенесите портфель с портативного компьютера на дискету, вставьте дискету в дисковод настольного компьютера и перенесите портфель на рабочий стол компьютера.
  2. Откройте портфель. Статус каждого файла отображается в колонке Status (Состояние) и указывает одно из следующих состояний:
    • Orphan (Нет пары). Файл существует только в портфеле и больше нигде на исходном компьютере. Его могли удалить или перенести за время работы с портфелем.
    • Up-To-Date (Последняя версия). Файл не отличается от своей копии на исходном компьютере.
    • Needs Updating (Требует обновления). Файл в портфеле отличается от файла на компьютере и нуждается в обновлении.
  3. В панели инструментов портфеля нажмите на кнопку Update All (Обновить все). Появится диалоговое окно (рис. 12.14), в котором показано, как следует обновлять каждый из файлов. Существует три способа обновления файла.
    • Replace (Заменить) (стрелка указывает направо). Портфель заменит оригинальный файл его копией из портфеля.
    • Replace (Заменить) (стрелка указывает налево). Копия файла в портфеле будет заменена файлом из исходного компьютера.
    • Skip (both changed) (Пропустить - оба изменены). Оба файла были изменены, и портфель не может решить, какой из них следует использовать. В данном случае вы сами должны принять решение, какой из файлов является более актуальным.

    Обновление файлов в портфеле


    Рис. 12.14.  Обновление файлов в портфеле

  4. Если показанные методы вас не устраивают, то щелкните правой кнопкой мыши на файле и выберите метод из появившегося меню ярлыков.
  5. Щелкните на кнопке Update и проведите обновление файлов.

Если в вашем портфеле есть файлы, которые не нужно синхронизировать, то вместо щелчка на значке Update All (Обновить все) щелкните на значке Update Selection (Обновить выделенные объекты).

Решение проблем, связанных с автономными файлами

Если вы вспомните все настройки групповой политики из таблицы 12.1, то не удивитесь тому, что, несмотря на высокую функциональность, средство Offline Files (Автономные файлы) имеет множество брешей, сквозь которые могут проникнуть проблемы. Последний раздел этой лекции призван помочь вам справиться с трудностями, которые могут возникнуть при работе с автономными файлами и при проведении синхронизации.

Невозможно сделать папку автономной

Если пользователь щелкает правой кнопкой мыши на файле или папке, но не видит опции Make Available Offline (Сделать доступным автономно), то надо проверить следующие пункты.

Файлы, доступные в режиме онлайн, недоступны в автономном режиме

Если пользователь пытается получить доступ к файлам, которые ранее были доступны в режиме онлайн, но не обнаруживаются в папке автономных файлов, то проверьте следующее.

  1. На сервере, где находится нужный файл, воспользуйтесь Проводником Windows для перехода к этому файлу.
  2. Щелкните правой кнопкой мыши на папке общего доступа и выберите Properties (Свойства).
  3. Щелкните на вкладке Sharing (Общий доступ) и затем щелкните на Caching (Кэширование).
  4. Убедитесь в том, что отмечен флажок Allow caching of files in this shared folder (Разрешить кэширование файлов в этой общей папке).
  5. Выберите либо Automatic Caching for Documents (Автоматическое кэширование документов), либо Automatic Caching for Programs (Автоматическое кэширование программ) в зависимости от того, что содержится в папке: документы или приложения.

Включение опции Fast User Switching (Быстрая смена пользователя)

Если включена опция быстрой смена пользователя, то вы не можете пользоваться автономными файлами. Даже если вы попробуете это сделать, то получите сообщение, показанное на рис. 12.15.

Вы не можете использовать автономные файлы, если включена опция Fast User Switching (Быстрая смена пользователей)


Рис. 12.15.  Вы не можете использовать автономные файлы, если включена опция Fast User Switching (Быстрая смена пользователей)

Если вы не можете получить доступ к своим автономным файлам, то сначала надо отключить опцию Fast User Switching(Быстрая смена пользователя). Для этого проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск\Панель управления).
  2. В окне Category (Категория) щелкните на User Accounts (Учетные записи пользователя).
  3. Выберите Change the way users log on or off (Смена пользователя при входе или выходе из системы).
  4. Снимите флажок Use Fast User Switching (Использовать быструю смену пользователя) и щелкните на Apply Options (Применить).
  5. Нажмите ОК для того, чтобы закрыть все окна.

Появляется сообщение Resolve File Conflicts (Устранение конфликтов файлов)

Если при попытке синхронизировать автономные файлы вы получаете сообщение о конфликте файлов, то, скорее всего, были изменены как онлайновая, так и автономная копии документа, и система Windows XP Professional не знает, как синхронизировать файлы. Для решения этой проблемы выберите метод резолюции файла и щелкните на ОК.

Если имеется несколько онлайновых и автономных файлов, в которые были внесены изменения после вашего последнего входа в сеть, и вы хотите применить к ним один и тот же метод синхронизации, то отметьте флажок Do this for all conflicts (Сделать это для всех конфликтов).

Невозможно синхронизировать автономные файлы

Если пользователь не может синхронизировать свои автономные файлы и папки, то следует проверить следующее.

Большинство проблем, с которыми сталкиваются пользователи автономных файлов, решается посредством проверки настроек групповой политики. При наличии более чем двух десятков различных настроек можно легко допустить ошибку (или что-то упустить), что скажется на пользователях, работающих и синхронизирующих файлы в автономном режиме.

Лекция 13. Удаленный рабочий стол и удаленный помощник

В Windows XP Professional есть две новые функции: Remote Desktop (Удаленный рабочий стол) и Remote Assistance (Удаленный помощник). В данной лекции рассказывается о возможностях этих нововведений и методах работы с ними.

Уже многие годы работники технической поддержки используют программы, позволяющие им видеть и настраивать компьютеры пользователей без необходимости приходить к ним в офис. Такие программы, как Carbon Copy и pcAnywhere позволяют осуществлять удаленное управление и оказывать помощь непосредственно с компьютеров работников технической поддержки. В систему Windows XP Professional компания Microsoft интегрировала свою версию удаленного доступа.

В Windows XP Professional есть два инструмента для удаленного доступа и оказания технической поддержки. Первый из них называется Remote Desktop (Удаленный рабочий стол) и позволяет другому лицу пользоваться вашим компьютером посредством сетевого или dial-up-соединения. Инструмент Remote Assistance (Удаленный помощник) ориентирован больше на оказание помощи и используется при возникновении проблем с работой компьютера или приложения.

В этой лекции мы рассмотрим оба инструмента. Сначала мы обсудим рабочие качества Remote Desktop, а также установку и работу с этим инструментом. Затем мы обратимся к Remote Assistance и исследуем его работу, а также возможность его использования для помощи себе или другу.

Инструмент Remote Desktop (Удаленный рабочий стол)

Инструмент Remote Desktop позволяет вам, находясь на одном компьютере, удаленно управлять другим. Например, если вам нужно зайти в свой компьютер, находящийся в офисе, из дома (предположим, что вы заблаговременно настроили свой рабочий компьютер), то вы можете с помощью инструмента Remote Desktop получить доступ ко всем данным, находящимся на рабочем компьютере, включая файлы, приложения и сетевые соединения. Вы даже можете слышать звук, с которым открываются файлы.

Фактически Remote Desktop позволяет не только получать доступ к файлам удаленного компьютера, но и на самом деле видеть рабочий стол таким, какой он есть на удаленном компьютере. Более того, если удаленный компьютер работает в операционной системе Windows 2000 или .NET Server, то на нем могут удаленно работать несколько пользователей одновременно.

Работа инструмента Remote Desktop основана на технологии Terminal Services (Службы терминалов). Это значит, что удаленный рабочий стол позволяет запускать приложения на удаленном компьютере с операционной системой Windows XP Professional с любого компьютера-клиента, работающего в среде Windows.

Далее мы увидим, что технология Terminal Services является основой для работы удаленного помощника, который позволяет вашему другу или работнику технической поддержки устанавливать соединение с вашим компьютером, видеть ваш рабочий стол и управлять компьютером.

Для соединения инструмент Remote Desktop использует LAN, виртуальную частную сеть (VPN) или интернет-соединение. Как и следовало ожидать, работа удаленного рабочего стола сильно зависит от скорости установленного соединения.

В состав Remote Desktop соединения входят два компонента.

При необходимости можно пользоваться двумя различными версиями Remote Desktop.

Характеристики

Remote Desktop обладает набором характеристик, которые делают работу с ним плодотворной и функциональной. К ним относятся: безопасность консоли, поддержка цвета и переадресация ресурсов.

Безопасность консоли

При использовании Remote Desktop вы можете не волноваться, что кто-то, сидя за удаленным компьютером, будет наблюдать за всеми вашими действиями. Remote Desktop использует безопасность консоли. Это означает, что во время сеанса связи с помощью Remote Desktop этот сеанс не отображается на экране компьютера-клиента и сервера. Более того, Windows XP Professional отключает дисплей удаленного компьютера, не допуская отслеживания ваших действий.

Поддержка цвета

Remote Desktop поддерживает 24-битные цвета. Это значит, что изображение на дисплее одинаково как для клиента, так и для сервера. Количество и глубину цветов пользователь может настраивать так, как ему необходимо.

Переадресация ресурсов

Важной частью всякой Remote Desktop-сессии является возможность фактически использовать компоненты удаленного компьютера. Remote Desktop применяет переадресацию ресурсов, позволяя удаленному пользователю работать, как если бы он сидел непосредственно за удаленным компьютером. Переадресация ресурсов обращается к некоторым свойствам активов удаленного компьютера, включая возможность использовать файловую систему удаленного компьютера в качестве общедоступного сетевого ресурса.

Переадресация звуков позволяет компьютеру-клиенту воспроизводить звуки, которые генерируются на компьютере-сервере. Если звуки воспроизводятся двумя приложениями, два потока сигналов объединяются. При проигрывании звуков Remote Desktop также учитывает пропускную способность полосы частот. Вместо того чтобы перегружать соединение звуковым сигналом при изменении пропускной способности, Remote Desktop меняет качество звука.

Протокол Remote Desktop

Удаленный рабочий стол использует для связи протокол RDP (Remote Desktop Protocol). RDP - это протокол представления, позволяющий Windows-клиенту обмениваться информацией с компьютером, работающим в операционной системе Windows XP Professional. RDP работает во всех TCP/IP-соединениях, что делает его идеальным для использования в широком диапазоне соединений.

В Windows XP Professional используется версия RDP v.5.1. Любой клиент, пользующийся RDP 5.1, может работать со следующими атрибутами другого компьютера, тоже использующего протокол RDP 5.1.

Вопросы безопасности

Разумеется, вопрос обеспечения безопасности является очень важным для Remote Desktop. Не только в связи с возможностью неавторизованного доступа к вашему компьютеру, но также в связи с необходимостью устанавливать, каким авторизованным пользователям разрешено иметь доступ к компьютеру, а каким - нет.

Управлять безопасностью Remote Desktop можно несколькими способами. В следующих разделах рассказывается о том, как обеспечить разные уровни безопасности своей системы, используя Remote Desktop. Эти настройки делаются в секции Terminal Services (Службы терминала) оснастки Group Policy (Групповая политика).

Найти Terminal Services (Службы терминала) можно, активировав ММС с оснасткой Group Policy и дважды щелкнув на Computer Configuration (Конфигурация компьютера). Затем следует щелкнуть на Administrative Templates (Административные шаблоны), далее - на Windows Components (Компоненты Windows) и, наконец, на Terminal Services (Службы терминала). Этот инструмент показан на рис. 13.1.

Раздел Terminal Services (Службы терминала) в оснастке Group Policy (Групповая политика)


Рис. 13.1.  Раздел Terminal Services (Службы терминала) в оснастке Group Policy (Групповая политика)

Шифрование

Используя настройки служб терминала групповой политики, вы можете установить и управлять различными уровнями шифрования сообщений, которыми обмениваются между собой Remote Desktop-клиент и сервер. Как видно из рис. 13.2, на выбор представлено два уровня шифрования.

Если настройки шифрования несовместимы, например на вашем сервере установлен 128-битный уровень, а клиент может поддерживать только 56-битный уровень, то соединение не будет установлено.

Настройка уровней шифрования для удаленного рабочего стола


Рис. 13.2.  Настройка уровней шифрования для удаленного рабочего стола

Применение пароля при аутентификации

Вместо автоматического ввода пароля при входе клиента в систему хорошей практикой считается попросить пользователя ввести свой пароль. В настройках Terminal Services это выполняется с помощью указания Always prompt client for password (Всегда запрашивать пользователя о вводе пароля).

Отключение буфера

Если вы хотите запретить совместное использование буфера обмена между Remote Desktop-клиентом и сервером, то это можно осуществить в настройках Terminal Services с помощью опции Do not allow clipboard redirection (Не разрешать перенаправление буфера обмена).

Отключение принтера

Отключение принтера тоже возможно, и в целях безопасности вы можете это сделать. Для отмены использования переадресации сервера в настройках Terminal Services примените опцию Do not allow printer redirection (Не разрешать перенаправление на принтер).

Отключение файлов

Если вы не хотите, чтобы удаленные пользователи просматривали файловую систему, связанную с Remote Desktop-сервером, в настройках Terminal Serviced включите опцию Do not allow drive redirection (Не разрешать перенаправление дисков).

Использование Remote Desktop

Если вы решили использовать Remote Desktop, то убедитесь, что сервер правильно сконфигурирован для удаленного доступа. Также хорошо было бы протестировать соединение и убедиться, что все работает нормально. Ведь когда вы окажетесь вдали от сервера, некому будет войти в компьютер и отрегулировать настройки. Правильная настройка и тестирование необходимы независимо от того, что вы используете: Remote Desktop или Remote Web Connection.

Конфигурирование сервера для Remote Desktop

Теперь, когда вы получили общее представление об инструменте Remote Desktop, давайте поговорим о том, как настроить Remote Desktop-сервер. Как упоминалось выше, есть два способа установить удаленное соединение. Первый представляет собой LAN-соединение, а второй - веб-соединение. В следующих разделах мы рассмотрим по отдельности каждый из способов.

LAN-соединение

При конфигурировании Remote Desktop-сервера вы указываете учетные записи пользователей, которым будет разрешено устанавливать удаленное соединение с сервером. Эти учетные записи должны содержать пароли, необходимые для исключения входа посторонних лиц в систему. Если обычно вы не пользовались паролем, то система Windows XP Professional потребует создания пароля для Remote Desktop.

В процессе создания конфигурации сервера нужно ввести имя учетной записи пользователя, когда Windows XP Professional попросит ввести Object Name (Имя объекта) в диалоговом окне Select Users (Выбор пользователей). Для конфигурирования Remote Desktop-сервера проделайте следующие шаги.

  1. Выберите Start\Control Panel (Пуск\Панель управления). Затем щелкните на Performance and Maintenance (Производительность и обслуживание) и выберите System (Система).
  2. Щелкните на вкладке Remote (Удаленное использование).
  3. В диалоговом окне в разделе Remote Desktop (Дистанционное управление рабочим столом) отметьте флажок Allow users to connect remotely to this computer (Разрешить удаленный доступ к этому компьютеру). Вы можете получить сообщение о том, что учетным записям пользователей нужны пароли. Если это так, то нажмите на ОК.
  4. Щелкните на кнопке Select Remote User (Выбрать удаленных пользователей). Появится диалоговое окно Remote Desktop users (Пользователи удаленного рабочего стола), в котором вы будете добавлять пользователей, имеющих доступ к этому компьютеру. Учетные записи администраторов получают доступ автоматически.
  5. Щелкните на Add (Добавить). Появится диалоговое окно Select Users (Выбор пользователей), показанное на рис. 13.3. Учетные записи пользователей имеют три компонента идентификации: тип объекта, место расположения и имя.

    Добавление пользователя Remote Desktop-сервера


    Рис. 13.3.  Добавление пользователя Remote Desktop-сервера

  6. Если вы хотите разместить учетную запись пользователя с Remote Desktop-сервера, то убедитесь в том, что для опции Select this object type (Выберите тип объекта) установлено значение Users (Пользователи) и введите имя учетной записи в окне Enter the object names to select (Введите имена выбираемых объектов). Если вы хотите ввести пользователя с другого компьютера локальной сети с Active Directory, то щелкните на кнопке Locations (Размещение) и выберите домен, а затем введите учетную запись пользователя.
  7. Щелкните на Check Names (Проверить имена). Это позволит системе Windows XP Professional ввести имя в формате computername\ username.
  8. Нажмите ОК. Пользователь, которого вы только что указали, будет добавлен в список пользователей, которым разрешен удаленный доступ к Remote Desktop серверу. Для добавления других пользователей повторите шаги 5 - 8.
  9. Нажмите ОК два раза, чтобы закрыть все диалоговые окна.
  10. Если ваш Remote Desktop-сервер защищен межсетевым экраном, то убедитесь в том, что последний разрешает трафик удаленного соединения.
Интернет-соединение

Чтобы зайти на Remote Desktop-сервер из интернета, необходимо установить на сервере программу Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу). Этот инструмент является частью информационных служб интернета (Internet Information Services, IIS) компании Microsoft, которыми укомплектована система Windows XP Professional. Хорошая новость состоит в том, что любой клиент, использующий Internet Explorer 4.0 или более позднюю версию, может получить доступ к удаленному серверу.

Примечание. Более подробную информацию о IIS можно найти в лекции 7.

Когда установлены службы IIS, файлы копируются в папку C:\Windows\Web\TSWeb. Для использования интернет-подключения к удаленному рабочему столу проделайте следующие шаги, которые гарантируют установку инструмента на Remote Desktop сервере.

Примечание. Эти шаги выполняются пользователем, который входит в систему под учетной записью администратора.

  1. Выберите Start\Control Panel (Пуск\Панель управления).
  2. Выберите Add or Remove Programs (Установка и удаление программ).
  3. Из списка доступных компонентов Windows выберите Internet Information Services и щелкните на Details (Состав).
  4. Выберите World Wide Web Service (Службы WWW) и щелкните на Details.
  5. Выберите Remote Desktop Web Connection и World Wide Web Service, как это показано на рис. 13.4.
  6. Нажмите ОК, чтобы закрыть диалоговые окна, и вернитесь к мастеру установки компонентов Windows.
  7. В окне мастера щелкните на Next (Далее) - запустится процесс инсталляции. Во время проведения инсталляции может потребоваться установочный компакт-диск Windows XP Professional.

    Инсталляция интернет-подключения к удаленному рабочему столу


    Рис. 13.4.  Инсталляция интернет-подключения к удаленному рабочему столу

  8. После окончания инсталляции щелкните на Finish (Готово), чтобы закрыть окно мастера.
  9. Закройте окно Add or Remove Programs.
  10. Щелкните на Start (Пуск), затем щелкните правой кнопкой мыши на My Computer (Мой компьютер) и выберите Manage (Управление).
  11. Щелкните на знаке "+" слева от элемента Services and Applications (Службы и приложения) в левой части окна Computer Management (Управление компьютером).
  12. Щелкните на знаке "+" слева от Internet Information Services. Продолжайте нажимать знак "+", пока не дойдете до Internet Information Services\Web Sites\TSWeb.
  13. Щелкните правой кнопкой мыши на папке TSWeb и выберите Properties (Свойства). Появится окно свойств TSWeb.
  14. Щелкните на вкладке Directory Security (Безопасность каталога).
  15. В разделе Anonymous Access and Authentication Control (Анонимный доступ и управление аутентификацией) диалогового окна щелкните на кнопке Edit (Изменить). Откроется диалоговое окно Authentication Methods (Методы проверки подлинности).
  16. Отметьте флажок Anonymous Access (Анонимный доступ).
  17. Нажмите ОК.

Можете отдышаться! Microsoft не утруждает себя облегчением ваших усилий, не так ли? Итогом этих 17 шагов явилась установка Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу) на вашем компьютере, и теперь вы можете заходить в него из интернета. Будете вы это делать из LAN или из интернета, решайте сами, но следующим шагом является конфигурирование Remote Desktop-клиента.

Конфигурирование клиента для использования Remote Desktop

Как мы упоминали ранее, если вы хотите использовать интернет-подключение к удаленному рабочему столу, то все, что вам требуется - это Internet Explorer на компьютере клиенте. Однако если нужно использовать Remote Desktop (вариант для LAN), то Remote Desktop-клиент должен установить у себя инструмент Remote Desktop Connection (Подключение к удаленному рабочему столу).

Инструмент Remote Desktop Connection (Подключение к удаленному рабочему столу)

Обычно инструмент Remote Desktop Connection устанавливается по умолчанию. Если вы раньше не пользовались им, то убедитесь, что он установлен, перед тем как настраивать Remote Desktop-сервер, упаковывать переносной компьютер и отправляться в филиал своего офиса. Выберите Start\All Programs\Accessories\Communications\Remote Desktop Connections (Пуск\Все программы\Стандартные\Подключения\ Подключение к удаленному рабочему столу). Когда программа запустится, на экране появится то, что изображено на рис. 13.5.

Инструмент Remote Desktop Connection (Подключение к удаленному рабочему столу)


Рис. 13.5.  Инструмент Remote Desktop Connection (Подключение к удаленному рабочему столу)

Если почему-либо инструмент Remote Desktop Connection не установлен (например, во время миграции в операционную систему Windows XP Professional администратор решил не включать его в качестве элемента обновления), то его можно установить с диска Windows XP Professional. Когда появится приглашение, щелкните на Perform Additional Tasks (Выполнение иных задач). Затем выберите Set Up Remote Desktop Connection (Установка удаленного управления рабочим столом). После этого запустится мастер установки управления рабочим столом (Remote Desktop Connection InstallShield Wizard).

Эта программа позволяет выбирать пользователей, которым разрешено пользоваться удаленным соединением:

После окончания инсталляции просто закройте программу.

Если вы используете Remote Desktop посредством интернет-соединения, то единственным требованием будет наличие протокола TCP/IP и браузера Internet Explorer 4.0 или выше (Windows XP Professional укомплектована браузером Internet Explorer 6.0).

Remote Desktop-клиент более старых версий Windows

Хотя мы обсуждаем Remote Desktop-соединения, использующие Windows XP Professional, на машинах с более старыми версиями операционной системы (Windows 95, Windows 98 и 98, Second Edition, Windows Me, Windows NT 4.0 и Windows 2000) может быть установлена бесплатная версия Remote Desktop-клиента. Этот файл имеет размер 3,4 Мб, и его можно скачать на сайте http://www.microsoft.com/windowsxp/pro/downloads/rdclientdl.asp. После инсталляции клиент позволяет более старым версиям Windows устанавливать соединение с Windows XP Professional-сервером.

Remote Desktop-соединения

После установки Remote Desktop-сервера и Remote Desktop-клиента следует проверить соединение. Во-первых, убедитесь в том, что Remote Desktop-сервер находится во включенном состоянии и связан с сетью (LAN или интернет). Remote Desktop-сервер способен устанавливать множественные удаленные соединения. Однако никто не может войти в компьютер локально.

Если кто-то зарегистрируется локально, то вы увидите сообщение о том, что для установки соединения локальный пользователь сначала должен разорвать соединение. Далее зарегистрированный локально пользователь получит сообщение, разрешающее ему не проводить сеанс Remote Desktop. Если пользователь не ответит на сообщение в течение заранее установленного промежутка времени, то его связь будет прервана и установлено Remote Desktop-соединение.

Затем включите Remote Desktop-клиента. В последующих двух разделах поясняются шаги, которые требуется выполнить для установки Remote Desktop-соединения или Remote Desktop Web Connection (Интернет-подключения к удаленному рабочему столу).

LAN-соединение

Если вы хотите установить соединение с Remote Desktop-сервером, находящимся в локальной сети (LAN), то проделайте следующие шаги.

  1. Выберите Start\All Programs\Accessories\Communications\Remote Desktop Connection (Пуск\Все программы\Стандартные\Подключение к удаленному рабочему столу).
  2. Из ниспадающего списка Computer (Компьютер) выберите имя компьютера-сервера или введите его IP-адрес. Если в списке нет имен компьютеров, то щелкните на Browse For More (Поиск других), чтобы увидеть компьютеры, доступные в домене или рабочей группе. В списке будут перечислены только компьютеры, оснащенные программой Remote Desktop.

    Примечание. Если вы не знаете IP-адрес компьютера, то можете найти его, выбрав Start\My Network Places (Пуск\Сетевое окружение), а затем щелкнув на View Network Connections (Отобразить сетевые подключения). Щелкните правой кнопкой мыши на LAN- или интернет-соединении, выберите Status (Состояние) и щелкните на вкладке Support (Поддержка).

  3. Щелкните на Connect (Подключение).
  4. В окне Log On To Windows (Вход в Windows) введите имя пользователя и пароль для доступа к Remote Desktop-серверу.
  5. Нажмите ОК.
  6. Соединение установлено, и вы видите рабочий стол удаленного компьютера (рис. 13.6).

Remote Desktop-соединение в локальной сети


Рис. 13.6.  Remote Desktop-соединение в локальной сети

Вы, без сомнения, заметили, что рабочий стол выглядит так, как если бы вы сидели за тем компьютером и использовали его непосредственно на месте. В верхней части рабочего стола расположена специальная панель инструментов. Ее можно использовать для уменьшения, увеличения или закрытия Remote Desktop. Например, если вы хотите работать на своем компьютере-клиенте, то нажимаете на кнопку, уменьшающую вид. Для возвращения к Remote desktop-соединению надо щелкнуть на кнопке, делающей окно максимальным по размеру. Значок кнопки заставляет меню оставаться на одном и том же месте.

Интернет-соединение

Для установки связи с Remote Desktop-сервером с помощью Remote Desktop Web Connection (Интернет-подключения к удаленному рабочему столу) подойдет любой компьютер, имеющий доступ в интернет, и на котором установлен Internet Explorer 4.0 или более поздней версии. Установить связь с компьютером сервера можно с помощью следующих шагов.

  1. Откройте Internet Explorer.
  2. В строку адреса введите адрес Remote Desktop-компьютера. Обычно URL имеет следующий формат http://computeraddress/path. Для computeraddress используйте адрес своего Remote Desktop-сервера - это может быть либо его имя в локальной сети, либо IP-адрес. Для значения path используйте путь, содержащий Remote Desktop-файлы. По умолчанию Remote Desktop-файлы находятся на C:\TSWeb.
  3. Нажмите на ENTER. Откроется страница Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу), показанная на рис. 13.7.

    Установка соединения с помощью интернет-подключения к удаленному рабочему столу


    Рис. 13.7.  Установка соединения с помощью интернет-подключения к удаленному рабочему столу

  4. Введите в окно Server (Сервер) имя компьютера или его IP-адрес.
  5. Выберите размер окна удаленного рабочего стола.
  6. Щелкните на кнопке установки связи.
  7. При первом использовании интернет-подключения к удаленному рабочему столу система Windows XP Professional выдаст запрос на инсталляцию программы Microsoft Terminal Services Control. Если такое сообщение появится, то нажмите на Yes. Откроется диалоговое окно Remote Desktop Connection Security Warning (Безопасность подключения удаленного рабочего стола).
  8. По желанию отметьте следующие опции:
    • Connect your local disk drives to the remote computer (Подключите локальные диски к удаленному компьютеру). Позволяет дисководам компьютера-клиента быть доступными с удаленного компьютера. Вы сможете видеть не только жесткие диски на своем сервере, но и на компьютере-клиенте.
    • Connect your local port to the remote computer (Подключить локальный порт к удаленному компьютеру). Позволяет портам компьютера-клиента быть доступными для компьютера-сервера, например видеть и использовать любой локально установленный принтер и другое периферийное оборудование в окне Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу).
  9. Введите имя пользователя и пароль, необходимые для работы с Remote Desktop-сервером.

Если вы выберите для доступа на Remote Desktop-сервер полноэкранный вид, то увидите картинку, аналогичную изображенной на рис. 13.8. Если вы выберите другой размер окна, то рабочий стол будет выглядеть так, как это показано на рис. 13.9. Вы можете управлять размером и размещением окна, как при работе с любым другим Windows-приложением. По окончании Remote Desktop-сессии закройте окно Internet Explorer.

Работа с Remote Desktop

Теперь, когда установлено Remote Desktop-соединение (или Remote Desktop Web-соединение), можно использовать компьютер сервера локально, как если бы вы непосредственно сидели перед ним. Если вы проводите Remote Desktop-сессию, то вам может потребоваться перенести некоторые документы с одного компьютера на другой. Например, включить электронную таблицу, находящуюся на Remote Desktop-сервере, в документ, хранящийся на Remote Desktop-клиенте.

Инструмент Remote Desktop предоставляет несколько способов взаимодействия Remote Desktop-клиента с Remote Desktop-сервером.

Полноэкранный вид удаленного рабочего стола


Рис. 13.8.  Полноэкранный вид удаленного рабочего стола

Размер и расположение окна удаленного рабочего стола можно менять


Рис. 13.9.  Размер и расположение окна удаленного рабочего стола можно менять

Другие настройки Remote Desktop

При установке связи с удаленным рабочим столом сервера появляется диалоговое окно Remote Desktop Connection (Подключение к удаленному рабочему столу). Кроме имени пользователя и пароля, в нем можно настроить и другие опции, щелкнув на кнопке Options (Параметры) (см. рис. 13.10).

Настройка опций Remote Desktop


Рис. 13.10.  Настройка опций Remote Desktop

В таблице 13.1 перечислены вкладки, настройки и их описания.

Таблица 13.1. Опции удаленного рабочего стола
ВкладкаОпцияОписание
General (Общие)Save my passwordУстанавливает, будет ли пароль сохраняться в компьютере, или его нужно вводить при каждом соединении с удаленным рабочим столом.
Display (Экран)Remote desktop size and colorsУстанавливает размер и цвета экрана удаленного рабочего стола.
Local Resources (Локальные ресурсы)Remote computer soundУказывает на то, что Remote Desktop-клиент будет воспроизводить такие же звуки, что и Remote Desktop-сервер.
KeyboardУказывает на то, применяется ли комбинация ALT+клавиша к Remote Desktop-серверу или Remote Desktop-клиенту
Local devicesУказывает устройства, для которых можно устанавливать соединение с Remote Desktop-сервером.
Programs (Программы)Start the following program on connectionАвтоматически запускает указанную программу при установке связи с Remote Desktop-сервером.
Experience (Дополнительно)Allow the following (Desktop background, Show contents of window while dragging, Menu and window animation, Themes, Bitmap caching)Указывает элементы, которые должны появляться в окне Remote Desktop-сервера. Вы можете выбирать и отменять выбор элементов по желанию.

После установки нужных опций их можно сохранить под определенным именем. Это бывает нужно, когда вы используете несколько Remote Desktop-серверов, для каждого из которых существуют свои настройки. Настройки сохраняются с помощью щелчка на кнопке Save As (Сохранить как) на вкладке General (Общие) диалогового окна Remote Desktop Connection.

Инструмент Remote Assistance (Удаленный помощник)

В первой части этой лекции речь шла об инструменте Remote Desktop, удобном инструменте для доступа к удаленным компьютерам. Remote Assistance (Удаленный помощник) обладает аналогичными свойствами, но находит им другое применение.

Во-первых, инструмент Remote Assistance можно вызывать, когда пользователю нужна помощь при работе на компьютере. Инструмент Remote Desktop, в свою очередь, применяется, если пользователю нужен доступ к ресурсам удаленного устройства. Другие важные различия между Remote Desktop и Remote Assistance перечислены ниже.

В этом разделе работа с инструментом Remote Assistance рассматривается более подробно. Кроме того, мы расскажем о том, каким образом следует устанавливать соединения.

Свойства

Remote Assistance обладает рядом свойств, позволяющих обнаруживать причины неполадок и устранять их. Приятель и эксперт теперь могут не только войти в ваш компьютер, но и оказать помощь, пользуясь целым рядом инструментов, способных устранить проблемы.

Управление рабочим столом

Remote Assistance позволяет пригласить друга или эксперта для удаленного и интерактивного оказания помощи в решении проблем, связанных с работой Windows XP Professional-компьютера. Этот инструмент применяется в следующих ситуациях.

Инструменты для устранения неполадок

Помимо предоставления возможности другу или специалисту помочь в диагностике и решении проблемы, Remote Assistance также имеет в своем распоряжении следующие инструменты, которые могут быть весьма полезны в затруднительных ситуациях.

Вопросы обеспечения безопасности

Естественно, предоставляя свой компьютер другу или специалисту для оказания помощи, вы рассчитываете на избавление от проблем, а не на создание новых. Поэтому есть несколько моментов, касающихся безопасности, о которых следует подумать при использовании Remote Assistance.

Во-первых, когда специалист получает удаленный доступ к вашему компьютеру, то все операции происходят на уровне безопасности компьютера пользователя, а не того, кто оказывает помощь. Следовательно, если сетевой администратор пытается помочь пользователю, то последний не сможет воспользоваться разрешениями, которые выданы администратору. Ему придется ограничиться своими правами пользователя.

Во-вторых, если вы хотите, чтобы вам помогли, подключившись к компьютеру из интернета, то лучше воспользоваться VPN-соединением. Это безопасный способ, так как в нем используется межсетевой экран организации, который не пропустит трафик, способный пробить брешь в системе безопасности сети.

Примечание. В лекции 14 содержится информация о том, как установить VPN-соединение.

Использование Remote Assistance

Применяя Remote Assistance, вы приглашаете человека (друга или работника технической поддержки) для управления своим компьютером. Приглашение можно послать посредством Windows Messenger или по электронной почте. Если помощник принял приглашение, то он получает контроль над мышью и возможность записи, как если бы он сидел за вашим компьютером. К тому же Remote Assistance позволяет обмениваться информацией либо путем заметок, либо при помощи микрофона.

Конфигурирование Remote Assistance

Одним из первых шагов в использовании Удаленного помощника является проверка его установки на компьютере. Для этого откройте Панель управления и щелкните на System (Система). На вкладке Remote (Удаленный) (рис. 13.11) в разделе Remote Assistance (Удаленный помощник) отметьте флажок Allow Remote Assistance invitations to be sent from this computer (Разрешить посылку приглашений Remote Assistance с этого компьютера). Нажмите ОК.

Подключение Remote Assistance (Удаленного помощника)


Рис. 13.11.  Подключение Remote Assistance (Удаленного помощника)

Отправка приглашений

Чтобы кто-нибудь пришел к вам на помощь, надо послать приглашение. Существует два способа отправки приглашений: при помощи обычной электронной почты или посредством Windows Messenger.

Самым простым способом инициировать Remote Assistance является отправка приглашения. Возможен и обратный процесс, то есть человек может сам предложить помощь, не дожидаясь приглашения.

Для отправки приглашения выполните следующие шаги.

  1. Выберите Start\Help and Support, чтобы открыть окно Help and Support Center (Центр справки и поддержки).
  2. В панели инструментов щелкните на Support (Поддержка), затем щелкните в появившемся списке заданий на Ask a friend to help (Запросить поддержку у друга).
  3. В следующем окне щелкните на Invite someone to help you (Послать приглашение о помощи).
  4. Далее (см. рис. 13.12) выберите способ отправки приглашения: по электронной почте или посредством Windows Messenger. Укажите, от кого вы хотите получить помощь, и нажмите на Invite (Приглашение).

    Приглашение друга для оказания удаленной помощи


    Рис. 13.12.  Приглашение друга для оказания удаленной помощи

  5. В процессе отправки приглашения вы можете пояснить в сообщении суть проблемы или добавить другую информацию. Можете установить, как долго приглашение будет оставаться открытым, с помощью окна Set the invitation to expire.
  6. Также желательно отметить флажок Require the recipient to use a password (Обязательное использование пароля получателем). В противном случае каждый, к кому попадет это приглашение, может начать контролировать ваш компьютер. Вам придется ввести пароль, который получатель должен будет вписывать для получения доступа.
  7. Щелкните на Send Invitation (Послать приглашение).
  8. Если вы пользуетесь почтовой программой, которая позволяет узнавать, когда другое приложение отправляет сообщение, то вы получите уведомление о том, что письмо отправлено. Нажмите на Send (Отправить).
  9. Позвоните своему другу и сообщите о том, что приглашение отправлено. В это время можно сообщить ему пароль.
  10. Когда помощник получит приглашение и введет пароль для доступа к пригласительному билету, появится диалоговое окно с вопросом "Do you want to let this person view your screen and chat with you" (Вы хотите, чтобы данное лицо видело экран вашего компьютера и общалось с вами?). Нажмите на Yes.
  11. Появится окно Remote Assitance (Удаленный помощник) (рис. 13.13). Вы можете общаться со своим помощником в левой части окна.

    Удаленный помощник в рабочем состоянии


    Рис. 13.13.  Удаленный помощник в рабочем состоянии

  12. Если вы еще не объяснили, в чем заключается проблема, то укажите специфические детали в области Message Entry в нижнем левом углу окна Remote Assitance.

Когда ваш помощник начнет сессию Remote Assistance, вам будут доступны следующие действия.

По окончании сессии вы или помощник должен щелкнуть на кнопке Disconnect (Отключение).

Ограничения, связанные с приглашением

Когда друг или специалист получают приглашение для оказания помощи, то им надо ответить и воспользоваться пригласительным билетом (который можно использовать несколько раз). Однако пригласительный билет действителен при двух условиях.

Предложение удаленной помощи

Обычно сессию Remote Assistance с другом или специалистом инициирует пользователь. Однако Windows XP Professional предлагает еще одну возможность, повышающую функциональность Удаленного помощника. Опция Offer Remote Assistance (Предложение удаленную помощь) позволяет любому обладателю прав администратора инициировать сессию Remote Assistance, не ожидая приглашения.

Активизация опции Offer Remote Assistance. Опция отключена по умолчанию, но ее можно активизировать следующим образом.

Примечание. Offer Remote Assistance (Разрешить предложение удаленной помощи) можно использовать только в рамках локальной сети, но не через интернет.

  1. Откройте оснастку Group Policy (Групповая политика) консоли ММС.
  2. Разверните Local Computer Policy (Политика локального компьютера).
  3. Разверните Computer Configuration (Конфигурация компьютера).
  4. Разверните Administrative Template (Административные шаблоны).
  5. Разверните System (Система).
  6. Разверните Remote Assistance (Удаленный помощник).
  7. Щелкните дважды на Offer Remote Assistance (Разрешить предложение удаленной помощи).
  8. Щелкните на ОК.

Посредством этих действий администратор получает право на использование опции Offer Assistance. Однако и другие члены организации могут получить эти права. Проделайте следующие действия, чтобы присвоить это право другим лицам.

  1. Откройте оснастку Group Policy (Групповая политика) консоли ММС.
  2. Разверните Local Computer Policy (Политика локального компьютера).
  3. Разверните Computer Configuration (Конфигурация компьютера).
  4. Разверните Administrative Template (Административные шаблоны).
  5. Разверните System (Система).
  6. Разверните Remote Assistance (Удаленный помощник).
  7. Щелкните дважды на Offer Remote Assistance (Разрешить предложение удаленной помощи).
  8. Щелкните на Enabled (Включить).
  9. Щелкните на Show (Показать) и затем на Add (Добавить).
  10. В диалоговом окне Add Item (Добавление элемента) введите имя пользователя или группы, которым нужно присвоить это право. При вводе имени следует использовать один из следующих форматов: domain\username или domain\groupname.
  11. Щелкните на ОК.

Предложение помощи. После того как вы задействовали Offer Remote Assistance, первым делом сообщите пользователю о том, что вы предлагаете ему свою помощь. Затем проделайте следующие шаги.

  1. Щелкните на Start (Пуск).
  2. Выберите Help and Support Center (Центр справки и поддержки).
  3. Щелкните на Pick a Task (Выберите задание).
  4. Щелкните на Use Tools (Сервис) и затем на Offer Remote Assistance (Разрешить предложение удаленной помощи).
  5. Введите имя или IP-адрес компьютера, с которым нужно установить соединение.
  6. На экране компьютера пользователя появится сообщение, информирующее его о попытке установить соединение, о том, кто устанавливает соединение, и запрашивающее согласие пользователя на разрешение этого соединения. Если пользователь нажмет на Yes, то сессия будет инициирована.

Примечание. Пользователь должен находится за своим компьютером, чтобы дать согласие на соединение. Помните, что Remote Assistance требует взаимных усилий.

Вы принимаете приглашение

В предыдущем разделе мы обсуждали шаги, предпринимаемые для запуска Remote Assistance-сессии. Здесь мы поговорим о том, что надо сделать, когда кто-то другой попросит вас о помощи.

Если вы получили письмо с просьбой о помощи, то он должно включать в себя следующий текст.

Роберт Элзенпетер просит помочь.
Персональное сообщение может быть оставлено ниже.
Вы без труда можете оказать помощь со своего компьютера, следуя инструкциям, изложенным здесь.
http://windows.microsoft.com/RemoteAssitance/RE.asp
Предостережение.
Принимайте приглашения только от людей, которых вы знаете и которым доверяете.
Почтовые отправления могут содержать в себе вирусы или другие опасные вложения.
Перед тем как открыть вложение, прочтите о мерах предосторожности по адресу, указанному выше.
Персональное сообщение:
Помогите, пожалуйста!
Листинг 13.1. (html, txt)

К сообщению будет прикреплен файл (с именем rcBuddy.MsRcIncident - первая часть может отличаться), в котором находится пригласительный билет. При необходимости щелкните на ссылке внутри сообщения, которая откроет веб-страницу с пояснениями к работе Remote Assistance.

Если вы решили принять приглашение и у вас есть для этого пароль, то проделайте следующие шаги.

  1. Убедитесь в том, что установлено интернет- или LAN-соединение.
  2. Откройте прикрепленный файл. Появится диалоговое окно Remote Assistance (Удаленный помощник).
  3. Введите пароль и щелкните на Yes для установки соединения. Remote Assitance будет управлять мелкими деталями при создании соединения в локальной сети или интернете. В результате появится окно, показанное на рис. 13.14.

    Прием приглашения Remote Assistance


    Рис. 13.14.  Прием приглашения Remote Assistance

  4. В области Message Entry (Запись сообщения) в левой нижней части экрана можно составить текстовое сообщение, которое будет прочитано на другом компьютере. После ввода сообщения щелкните на Send для его отправки.

После того как сессия Remote Assitance будет инициирована, можно выполнять следующие действия.

При завершении сессии любая сторона может щелкнуть на Disconnect (Отключение), чтобы прервать соединение.

Инструменты Remote Assistance и Remote Desktop призваны повышать продуктивность работы. Но это не повод настаивать на том, чтобы устанавливать их заранее, опасаясь, что если сделать это потом, их возможности будут ограничены.

Лекция 14. Удаленный доступ и VPN

Windows XP Professional поддерживает удаленный доступ и VPN-соединения. В данной лекции рассказывается об удаленном доступе (т.е. о возможности "дозвона" на компьютер Windows XP Professional) и VPN-функциональности в Windows XP Professional.

Операционная система Windows XP Professional предоставляет ряд способов для создания удаленного соединения с компьютером. В предыдущей лекции говорилось о том, как использовать переносной или стационарный компьютер для прямого доступа и управления другим компьютером. Remote Desktop и Remote Assistance являются полезными инструментами, но вам может и не потребоваться дистанционно использовать другой компьютер. Вам просто нужно установить доступ к нему или к локальной компьютерной сети (LAN).

В этом разделе рассматриваются инструменты, которыми вы, скорее всего, воспользуетесь в подобных случаях. С помощью первого инструмента вы получаете удаленный доступ к компьютеру или своей локальной сети с помощью dial-in-соединения. Вторым инструментом является VPN (Виртуальная частная сеть), которая для безопасной сетевой связи использует не dial-in-соединение, а инфраструктуру интернета.

Удаленный доступ

Первым делом мы обсудим механизм удаленного доступа. С его помощью Windows XP Professional может послать вызов в сеть (или локальный компьютер) и получить к ним доступ, как если бы она была клиентом локальной сети. В этом разделе мы будем говорить об основах установления удаленного доступа с помощью Windows XP Professional, а затем покажем, как конфигурировать сервер удаленного доступа или клиент удаленного доступа.

Что такое удаленный доступ

Термин "удаленный доступ" звучит достаточно понятно и означает, что некто получает доступ к компьютеру или локальной сети из отдаленного места. Это можно осуществить несколькими способами. Скорее всего, вы воспользуетесь dial-in-технологиями.

Как и в отношении других аспектов сетевой работы компьютера, и здесь нельзя забывать об обеспечении безопасности. К нему следует отнести меры по пресечению доступа к удаленному ресурсу неавторизованных пользователей и защиту соединений от проникновения хакеров.

Соединение наборного доступа

Одним из простейших способов установить связь с удаленным компьютером является использование dial-in-модема. Так как большинство людей используют свои модемы для исходящих звонков (dial out), вы можете изумиться, узнав, что модем может принимать и входящие вызовы (incoming calls). Система Windows XP Professional облегчает прием входящих сигналов в ваш компьютер.

Dial-in-модемы имеют один недостаток. Они создают очень медленные соединения, скорость которых значительно ниже обычной скорости локальных сетей. С другой стороны, повсеместное наличие телефонов делает это способ соединения чрезвычайно полезным.

ISDN

ISDN является еще одной технологией, используемой для удаленного доступа. В этом способе также используется dial-up-соединение, но клиенту удаленного доступа и серверу требуется специальное ISDN-оборудование. Также и линия связи устанавливается специально для ISDN. В связи с ограниченным применением линий ISDN этот способ плохо подходит для тех, кто работает в пути.

Хотя ISDN-соединение является более скоростным, чем dial-up-модем (128 Кбит/c против 56 Кбит/с), доступность ISDN-линии связи и ее оборудования могут быть проблематичны. Использовать такую линию лучше всего в филиале офиса, где можно установить выделенную ISDN-линию, закупив необходимое оборудование.

Безопасность

Вы проделали большую работу для создания надежной политики безопасности своей сети. Настройка и выдача разрешений пользователям, наряду с политикой применения паролей, "одевают" на вашу сеть прочный "бронежилет". Соединения удаленного доступа создают, однако, новую лазейку для злоумышленников. Точки входа dial-in часто называют черным ходом в сеть, и они представляют собой постоянную проблему для персонала по безопасности. В системе Windows XP Professional для dial-in-соединений и каналов VPN можно настроить усиленную аутентификацию.

Данными типами разрешений и учетных записей можно управлять с помощью оснастки Group Policy (Групповая политика) консоли ММС. Более подробную информацию по этому вопросу можно найти в лекции 9.

Конфигурирование компьютера для приема удаленных вызовов

Задолго до появления интернета, но уже немного позже освоения пользования огнем, изобретения колеса и туалета в доме, люди устанавливали связь с электронными досками объявлений с помощью своих модемов, как и в наши дни, дозваниваясь до ISP-провайдеров. Операторы электронных досок объявлений конфигурировали свои компьютеры для ответа на телефонные звонки и соединения пользователей посредством телефонной линии с содержимым электронной доски объявления.

Сейчас такая практика используется все реже. Если вы хотите что-то разместить в сети, то просто создаете веб-страницу и отправляете ее на сервер своего ISP. Однако, все еще можно (а, по ряду причин, даже необходимо) настроить конфигурацию своего компьютера таким образом, чтобы он мог общаться с другими компьютерами через модем. Например, компания находит более удобным связываться с работниками, находящимися в разъездах, с помощью dial-up-соединения, а не через интернет. Возможно, вы работаете в маленькой компании, которой не нужна служба удаленного доступа через интернет, а подходит простое dial-in-соединение.

Dial-in-соединение позволяет пользоваться ресурсами компьютера, до которого вы дозваниваетесь. Например, находясь в командировке, вы используете свой переносной компьютер для связи со своим стационарным компьютером и получения доступа к своему жесткому диску, принтеру и локальной сети (если ваш компьютер с ней соединен).

Аналогично настройке удаленного рабочего стола, о которой шла речь в лекции 13, удаленный доступ состоит из двух компонентов.

Примечание. Несмотря на то что в качестве удаленного узла вы технически являетесь частью локальной сети, не забывайте, что вы соединяетесь посредством телефонной линии и скорость этого соединения далека от скоростей Ethernet- или WiFi-соединений.

Разумеется, для образования dial-up-соединений компьютерам нужны модемы и телефонные линии.

Настройка сервера

Процесс настройки удаленного клиента достаточно прост, так как это задание сводится, по большому счету, к созданию конфигурации "клиент-сервер". Создание конфигурации удаленного сервера, напротив, несколько сложнее. К счастью, Windows XP Professional в значительной степени упрощает этот процесс, используя мастер новых подключений (New Connection Wizard).

По существу, на удаленном сервере надо сконфигурировать входящее dial-in-соединение. Когда такое соединение имеется, то оно дает команду Windows XP Professional отвечать на телефонные звонки и устанавливает соединение клиента с компьютером. Для настройки удаленного сервера проделайте следующие шаги.

  1. Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
  2. Щелкните на Create a New Connection (Создание нового подключения) для активизации мастера новых подключений (New Connection Wizard).
  3. Щелкните на Next (Далее).
  4. Выберите Set up an advanced connection (Установить прямое подключение к другому компьютеру) и щелкните на Next.
  5. Выберите Accept incoming connections (Принимать входящие подключения) и щелкните на Next.
  6. В появившемся диалоговом окне (рис. 14.1) показан список устройств для входящих соединений.

    Выберите dial-in-модем в диалоговом окне Devices for Incoming Connections (Устройства для входящих подключений)


    Рис. 14.1.  Выберите dial-in-модем в диалоговом окне Devices for Incoming Connections (Устройства для входящих подключений)

  7. Выберите в этом списке модем. Если на компьютере установлено более одного модема, то можно выбрать несколько устройств из списка.
  8. Затем появится окно Virtual Private Network (VPN) Connection (Подключение к виртуальной частной сети). Независимо от того, выберете ли вы VPN, нажмите на Next.
  9. В следующем окне (рис. 14.2) выберите пользователей, которым разрешается удаленно соединяться с этим сервером. Нажмите на Next.
  10. Далее вам представляется список рекомендованных компанией Microsoft сетевых компонентов. Очистите флажки рядом с теми компонентами, которыми вы не будете пользоваться. Следует сказать, что лучше ничего не убирать из этого списка.
  11. Закройте New Connection Wizard, щелкнув на Finish (Готово).

Выберите пользователей, которым разрешается использовать удаленный доступ на этом компьютере


Рис. 14.2.  Выберите пользователей, которым разрешается использовать удаленный доступ на этом компьютере

После выполнения всех этих шагов в окне Network Connections (Сетевые подключения) появится новый значок Incoming Connections (Входящие подключения).

Примечание. Если значок Incoming Connections уже есть (или вы пытаетесь добавить еще один), то свойства этого значка изменяются, объединяя старый и новый.

Соединения перемещаемого компьютера

Удаленный доступ очень нужен пользователям, которым приходится отсоединять свои компьютеры от сети и отправляться в путешествие. Так как у них нет постоянной связи с сетью, то им нужен какой-нибудь способ получения доступа к сетевым ресурсам.

Windows XP Professional предоставляет таким путешественникам ряд средств для подключения к сетевым ресурсам. Как мы уже знаем, они могут использовать Offline Files (Автономные файлы), Windows Briefcase (Портфель) и Remote Desktop (Удаленный рабочий стол).

Чтобы сконфигурировать переносной компьютер для работы в качестве удаленного клиента, следует выполнить ряд шагов. Windows XP Professional предоставляет расширенные возможности, к которым имеют доступ администраторы, чтобы сделать удаленный доступ более полезным.

Применение мастера нового подключения (New Connection Wizard) на удаленном клиенте

Настройка клиента для вызова удаленного сервера идентична процессу по созданию dial-up-соединения c ISP. Это задание активизирует мастер New Connection Wizard (см. гл. 4). Для создания dial-up-соединения с удаленным сервером выполните следующие шаги.

  1. Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
  2. В окне заданий щелкните на Create a New Connection (Создание нового подключения). Запустится мастер нового подключения (New Connection Wizard).
  3. Щелкните на Next (Далее).
  4. Выберите Connect to the Network at my workplace (Подключить к сети на рабочем месте) и щелкните на Next.
  5. Выберите Dial-up connection (Подключение удаленного доступа) и щелкните на Next.
  6. Выберите устройство, с помощью которого вы будете осуществлять доступ к удаленному серверу - в данном случае модем.
  7. Введите имя для идентификации этого соединения и нажмите на Next.
  8. Введите телефонный номер для установки связи с удаленным сервером (рис. 14.3).

    Ввод телефонного номера соединения удаленного доступа


    Рис. 14.3.  Ввод телефонного номера соединения удаленного доступа

  9. Если нужно устанавливать это соединение с помощью ярлыка на рабочем столе, выберите это и нажмите на Next.

При двойном щелчке на соединении (на ярлыке на рабочем столе или в окне сетевого окружения) система Windows XP Professional будет набирать телефонный номер и ждать ответа удаленного сервера для установки соединения.

Если имеется несколько удаленных серверов, с которыми устанавливаются соединения, то повторите все перечисленные шаги и создайте несколько разных dial-in-соединений. Если удаленный сервер получит новый телефонный номер или потребуется изменить его имя или любую другую конфигурационную информацию, щелкните правой кнопкой мыши на ярлыке, выберите Properties (Свойства) и внесите изменения в настройки.

Расширенные настройки

Конфигурирование удаленного сервера и клиента достаточно просто. Компания Microsoft включила в этот процесс несколько дополнительных свойств, которые могут оказаться полезными для вашей организации. Эти настройки обеспечивают добавочные уровни безопасности и функциональности. Они находятся в папке Network Connections (Сетевые подключения). Щелкните на Dial-up Preferences (Настройка удаленного доступа) в меню Advanced (Дополнительно) (см. рис. 14.4).

Диалоговое окно Dial-up Preferences (Настройка удаленного доступа)


Рис. 14.4.  Диалоговое окно Dial-up Preferences (Настройка удаленного доступа)

Примечание. Настройку удаленного доступа можно включать и отключать на клиентских компьютерах в оснастке Group Policy (Групповая политика) консоли ММС. Это делается с помощью отметки флажка Enable the Dial-up Preferences в меню Advanced.

Автонабор. Вкладка Autodial (Автонабор) используется для создания возможности автонабора номера соединения. Она содержит список сетевых адресов и соответствующих им соединений, что позволяет автоматически набирать номер выбранного соединения, когда оно появляется в поле зрения.

Например, если приложение содержит сетевые ссылки, при щелчке на одной из ссылок вам приходится входить в интернет. Система Windows XP Professional задаст вопрос, какое соединение использовать для связи с ISP. В следующий раз при щелчке на этой ссылке Windows XP Professional вспомнит ваш выбор и автоматически наберет номер.

Включить или отключить автонабор не труднее, чем отметить или убрать флажок рядом с соединением. Автонабором можно пользоваться только при наличии включенного Диспетчера автоматических подключений удаленного доступа (Remote Access Auto Connection Manager). По умолчанию эта функция включена на клиентских компьютерах, работающих в среде Windows XP Professional и не являющихся частью домена. Для активизации диспетчера проделайте следующие шаги.

  1. Щелкните правой кнопкой мыши на My Computer (Мой компьютер) и щелкните на Manage (Управление) в появляющемся меню.
  2. Щелкните дважды на Services and Applications (Службы и приложения) и затем щелкните на Services (Службы) (рис. 14.5).

    Активизация Диспетчера автоматических подключений удаленного доступа


    Рис. 14.5.  Активизация Диспетчера автоматических подключений удаленного доступа

  3. Щелкните правой кнопкой мыши на Remote Access Auto Connection Manager (Диспетчер автоматических подключений удаленного доступа) и нажмите на Start (Пуск).

Обратный вызов (Callback). Если вы когда-нибудь дозванивались из номера отеля, то знаете, что эти звонки преступно дороги. Одним из способов для человека в поездке дозвониться до удаленного сервера, ничем при этом не рискуя, является создание возможности для ответного звонка на удаленном сервере. В этом случае звонящий регистрируется на удаленном сервере и, если его логин принят, сервер разрывает соединение и сам дозванивается до удаленного клиента.

Обратный вызов реализуется при помощи следующих действий.

  1. Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
  2. Дважды щелкните на значке Incoming Connections (Входящие подключения), чтобы открыть окно свойств подключений.
  3. Щелкните на вкладке Users (Пользователи).
  4. Выберите пользователя, для которого нужно реализовать эту функцию.
  5. Щелкните на Properties (Свойства).
  6. Щелкните на вкладке Callback (Обратный вызов) (рис. 14.6).

    Реализация обратного вызова


    Рис. 14.6.  Реализация обратного вызова

  7. Выберите либо Allow the caller to set the callback number (Звонящий может выбрать номер ответного вызова) либо Always use the following callback number (Только этот номер для ответного вызова), а затем не забудьте ввести нужный телефонный номер.
  8. Щелкните на ОК.

Реализация обратного вызова зависит от настроек клиента удаленного доступа и сервера удаленного доступа. В таблице 14.1 показаны различные виды поведения при обратном вызове.

Таблица 14.1. Действия при обратном вызове, основанные на настройках клиента и сервера
Настройки удаленного клиентаНастройки удаленного сервераДействие обратного вызова
Do not allow callback (Не разрешать обратного вызоваNo callback (Нет обратного вызова)Соединение сохраняется.
Do not allow callback (Не разрешать обратного вызоваSet by caller (Устанавливается вызывающим)Сервер предлагает сделать обратный вызов, клиент отклоняет это предложение, и соединение сохраняется.
Do not allow callback (Не разрешать обратного вызоваAlways callback to (Всегда делать обратный вызов)Сервер предлагает сделать обратный вызов, клиент отклоняет это предложение и соединение разрывается.
Ask me during dialing when server offers (Выдавать запрос при подключении к серверу)No callback (Нет обратного вызова)Соединение сохраняется.
Ask me during dialing when server offers (Выдавать запрос при подключении к серверу)Set by caller (Устанавливается вызывающим)Появляется диалоговое окно для ввода номера обратного вызова. Введите номер и подождите, пока соединение прервется, и сервер сделает обратный вызов. Для сохранения соединения нажмите клавишу ESC. Процедура обратного вызова будет отменена.
Ask me during dialing when server offers (Выдавать запрос при подключении к серверу)Always callback to (Всегда по этому номеру)Удаленный сервер прервет соединение и сделает обратный вызов по номеру, указанному в сетевых подключениях.
Always call me back at the number(s) below (Всегда делать обратный вызов по указанным номерамNo callback (Нет обратного вызова)Соединение сохраняется.
Always call me back at the number(s) below (Всегда делать обратный вызов по указанным номерам)Set by caller (Устанавливается вызывающим)Сервер прерывает соединение и делает обратный вызов номеров, указанных в сетевых подключениях.
Always call me back at the number(s) below (Всегда делать обратный вызов по указанным номерам)Always callback to (Всегда по этому номеру)Сервер прерывает соединение и делает обратный вызов номеров, указанных в сетевых подключениях.

Хотя обратный вызов удобен не только для снижения оплаты за пользование телефоном, но в еще большей степени он полезен как мера обеспечения безопасности. При требовании от клиентов делать ответный звонок по определенному номеру в сеть входят только пользователи, знающие правильный номер телефона. При разрыве соединения и обратном звонке с сервера до клиента обмануть сервер становится гораздо труднее.

VPN-соединения

Если вам надо дистанционно устанавливать связь с офисом или любым другим компьютером, то однажды обнаружится, что сеансы dial-up-соединений вредны для вашего кошелька. В связи с тем, что dial-up-соединения устанавливаются по каналам обычной телефонной связи, оплата счетов за междугородные телефонные разговоры становится суровой правдой жизни. Эту неприятность можно легко обойти, воспользовавшись уже существующей инфраструктурой - интернетом. Используя виртуальную частную сеть (VPN), можно установить через интернет связь компьютера-клиента с локальной сетью (LAN). Для формирования безопасного соединения VPN прокладывает туннель в интернете к вашей LAN.

В этом разделе рассматривается процесс конфигурирования VPN и способ соединения клиентов с локальной сетью через интернет. Первое, о чем стоит подумать при установлении связи с локальной сетью, защищенной межсетевым экраном, что межсетевой экран организации должен поддерживать протокол PPTP. Протокол PPTP позволяет VPN устанавливать соединение с локальной сетью через межсетевой экран. Кроме того, VPN-сервер должен быть сконфигурирован для работы с входящими соединениями. VPN-сервер - это приложение, предоставляющее протокол PPTP. Как VPN-сервер, так и VPN-клиент должны иметь действующее интернет-соединение.

Если в организации уже установлен VPN-сервер, то для обустройства Windows XP Professional-клиентов не надо создавать никакой дополнительной конфигурации. Вам требуется только сообщить IP-адрес VPN-сервера своим VPN-клиентам. Если VPN-серверу и VPN-клиенту требуется настройка, то об этом речь пойдет ниже.

В любом случае, VPN-сервер должен иметь маршрутизируемый (routable) IP-адрес. Это значит, что IP-адрес должен находиться в интернете. Если VPN-сервер входит в интернет по коллективному каналу или находится за межсетевым экраном, то у такого сервера нет маршрутизируемого IP-адреса. Однако выйти из этого положения можно, сконфигурировав межсетевой экран с маршрутизируемым адресом. Межсетевой экран затем получает указание направлять VPN-трафик на сервер.

Что такое виртуальные частные сети

Перед тем как погрузиться в особенности реализации VPN-соединения, давайте более внимательно рассмотрим, из каких компонентов оно состоит.

VPN создает безопасный канал связи между LAN и компьютером, находящимся где-то во внешнем мире (см. рис. 14.7). Такое соединение позволяет пользователю в Массачусетсе работать в локальной сети LAN, расположенной в Айдахо, как если бы он сам со своим компьютером находился в Айдахо.

VPN создает в интернете безопасный туннель


Рис. 14.7.  VPN создает в интернете безопасный туннель

VPN - это частное соединение между двумя точками. Это соединение шифруется, создавая туннель, проходящий сквозь интернет. Протокол удаленного доступа PPP зашифровывает данные, передающиеся по каналу VPN. После того как информация зашифрована, она пересылается посредством соединения удаленного доступа или LAN-соединения.

IPSec

IPSec - это набор протоколов, с помощью которого поддерживается безопасный обмен информационными пакетами на IP-уровне. Так как IPSec работает на сетевом уровне, то он предоставляет безопасное средство передачи данных, способное поддерживать любое приложение, использующее IP.

IPSec предоставляет три способа обеспечения безопасности при передаче информации в сети.

IPSec работает в двух режимах: транспортировочном и в режиме туннелирования.

В транспортировочном режиме ESP (Encapsulation Security Protocol) и AHs (Authentication Headers) находятся в исходном IP-пакете между IP заголовком и расширенной информацией заголовка верхнего уровня. Например, в Windows XP IPSec использует режим транспортировки для обеспечения безопасности двухточечного соединения, такого как соединение между Windows XP Professional-клиентом и Windows 2000-сервером.

В режиме туннелирования IPSec помещает исходный IP-пакет в новый IP-пакет и вставляет AH и ESP между IP-заголовком нового пакета и исходным IP-пакетом. Новый IP-пакет указывает направление к конечной точке туннеля, а исходный IP-пакет указывает пункт назначения пакета. Вы можете использовать режим туннелирования между двумя безопасными шлюзами, такими как серверы туннелирования, маршрутизаторы или межсетевые экраны.

IPSec-туннелирование является распространенным режимом. Оно работает следующим образом.

  1. Стандартный IP-пакет посылается на IPSec-устройство, где он должен быть зашифрован и направлен в конечную систему по локальной сети.
  2. Первое IPSec-устройство, которым в данном случае оказывается межсетевой экран или маршрутизатор, проводит аутентификацию принимающего устройства.
  3. Два IPSec-устройства договариваются о шифре и алгоритме аутентификации, которыми будут пользоваться.
  4. Отправляющее IPSec-устройство шифрует IP-пакет с информацией и помещает его в другой пакет с AH.
  5. Пакет пересылается по TCP/IP-сети.
  6. Принимающее IPSec-устройство читает IP-пакет, проверяет его подлинность и извлекает зашифрованное вложение для расшифровки.
  7. Принимающее устройство отправляет исходный пакет в пункт его назначения.
Протокол PPTP

Протокол туннелирования от точки к точке (Point-to-Point Tunneling Protocol, PPTP) осуществляет безопасную пересылку данных от удаленного клиента на сервер организации. PPTP поддерживает многочисленные сетевые протоколы, включая IP, IPX и NetBEUI. Вы можете использовать протокол PPTP для создания безопасной виртуальной сети, в которой применяются dial-up-соединения, в рамках локальной сети LAN, WAN или в интернете и других сетях, в основе которых лежит протокол TCP/IP. Для создания PPTP-VPN необходим PPTP-сервер и PPTP-клиент. Пакет программ Windows XP Professional включает в себя необходимые параметры для конфигурирования PPTP-соединений.

Протокол L2TP (Layer Two Tunneling Protocol)

PPTP является технологией компании Microsoft для создания виртуальных каналов связи внутри коллективной сети. PPTP вместе с системами шифрования и аутентификации создает частную безопасную сеть. Компания Cisco Systems разработала протокол, аналогичный PPTP, под названием Layer Two Forwarding (L2F), но для его поддержки требуется оборудование Cisco на обоих концах соединения. Тогда Microsoft и Cisco объединили лучшие качества протоколов PPTP и L2F и разработали протокол L2TP. Как и PPTP, L2TP позволяет пользователям создать в интернете PPP-линию связи, соединяющую ISP и корпоративный сайт.

Безопасность

Размещая свои сетевые ресурсы в интернете, вы, возможно, переживаете из-за того, что хакер может взломать вашу сеть и получить информацию, защищенную правом собственности, не говоря уже о распространении разрушительного вируса. Но понятие безопасности относится не только к интернет-мародерам. Политика безопасности должна быть на должном уровне и внутри организации. Разумеется, при настройке удаленного доступа следует убедиться, что VPN- или dial-in соединения максимально безопасны.

При конфигурировании VPN-или dial-in-сервера для приема входящих соединений вы распахиваете двери не только авторизованным пользователям, но и неавторизованным тоже. Что можно предпринять в этой ситуации?

Если вы не ждете входящих вызовов на своем VPN- или dial-in-сервере, то лучше отключить соединение. Для этого проделайте следующие шаги.

  1. Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
  2. Щелкните дважды на значке Incoming Connections (Входящие подключения), чтобы открыть окно свойств входящих подключений.
  3. Для отключения dial-in-соединений отмените выбор модема, очистив флажок Device (Устройство). Для отключения VPN-соединения отмените выбор опции Virtual Private Network.
  4. Щелкните на ОК.

Чтобы снова подключить модем или VPN, проделайте эти же шаги, но выберите модем или VPN-соединение.

Естественно, что при использовании dial-in или VPN-соединений их приходится держать в рабочем состоянии. Примите меры, повышающие безопасность сети. Например, не размещайте телефонный номер модема на своем корпоративном веб-сайте или в списке телефонов компании. Храните его в секрете. Чаще меняйте пароли. И, наконец, пользуйтесь обратным вызовом.

Создание VPN-соединения

Для создания конфигурации VPN-клиента используется мастер нового подключения (New Connection Wizard). Конфигурация создается с помощью следующих шагов.

  1. Убедитесь в наличии связи с интернетом.
  2. Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
  3. Щелкните на Create a New Connection (Создание нового подключения). Запустится мастер создания нового подключения (New Connection Wizard).
  4. Щелкните на Next (Далее).
  5. Выберите Virtual Private Network Connection (Подключение к виртуальной частной сети).
  6. Щелкните на Next.
  7. Дайте соединению уникальное имя, чтобы его легче было найти.
  8. Щелкните на Next.
  9. В окне Public Network (Публичная сеть) (рис. 14.8) укажите соединение, которое следует использовать для входа в интернет. Windows XP Professional позволяет устанавливать связь автоматически или вручную. Если вы предпочитаете делать это вручную, то выберите Do not dial the initial connection (Не набирать номер для предварительного подключения.).
  10. Щелкните на Next.
  11. В окне VPN Server Selection (Выбор VPN-сервера) (рис. 14.9) введите имя или IP-адрес VPN-сервера (например, pptp.widgetech.com).
  12. Щелкните на Next.
  13. Можно разместить ярлык этого соединения на своем рабочем столе. Сделайте выбор и затем щелкните на Finish (Готово).

    Выбор интернет-соединения, которым будет пользоваться VPN-клиент


    Рис. 14.8.  Выбор интернет-соединения, которым будет пользоваться VPN-клиент

    Введите имя или IP-адрес VPN-сервера


    Рис. 14.9.  Введите имя или IP-адрес VPN-сервера

  14. В окне Network Connections (Сетевые подключения) появилась новая секция - Virtual Private Network (Виртуальная частная сеть). В этой секции размещается VPN-соединение, которое вы только что сконфигурировали.
  15. Если потребуется установить соединение посредством VPN, то нужно дважды щелкнуть на ярлыке, и система Windows XP professional войдет в интернет и установит связь с VPN-сервером. При установке связи с интернетом вручную сначала надо войти в интернет, а затем щелкнуть на ярлыке VPN.

Примечание. Если VPN-сервер устанавливает с интернетом соединение удаленного доступа и имеет IP-адрес, динамически выдаваемый службой ISP, то нужно изменить IP-адрес в диалоговом окне свойств VPN-клиента до того, как предпринять попытку соединения.

Прием VPN-соединения

VPN-соединения можно устанавливать с серверами различного типа. Например, в крупной корпорации может возникнуть потребность в увеличении количества VPN-серверов. Эти серверы будут заниматься только обработкой входящего VPN-трафика и, возможно, будут использовать систему Windows 2000 или .NET Server. С другой стороны, в маленькой организации может быть один VPN-сервер для периодической связи с VPN-клиентом.

Так как мы имеем дело с системой Windows XP Professional, давайте поговорим о том, как конфигурируются эти типы серверов для работы с удаленными пользователями.

Конфигурирование VPN-сервера

Для работы компьютера в качестве VPN-сервера в папке Network Connections (Сетевые подключения) должен находиться ярлык Incoming Connections (Входящие подключения). Если такой ярлык имеется (допустим, уже сконфигурирован удаленный доступ), щелкните на нем дважды. Появится диалоговое окно свойств входящих подключений. Проверьте, отмечен ли флажок Allow others to make private connections to my computer by tunneling through the Internet or other network (Разрешить устанавливать частные соединения с моим компьютером путем туннелирования интернета или других сетей).

Если ярлык Incoming Connections в папке сетевых подключений отсутствует, то проделайте следующие шаги.

  1. Щелкните на Start\Connect To\Show all connections (Пуск\Подключение\Отобразить все подключения).
  2. Щелкните на Create a New Connection (Создание нового подключения). Запустится мастер создания нового подключения (New Connection Wizard).
  3. Щелкните на Next (Далее).
  4. Выберите Set up an advanced connection (Установить прямое подключение к другому компьютеру) и щелкните на Next.
  5. Выберите Accept incoming connections (Принимать входящие подключения) и щелкните на Next.
  6. В появившемся диалоговом окне показан список устройств для входящих соединений.
  7. Отмените выбор всех модемов в этом списке, так как вы будете принимать входящие вызовы только через интернет-соединение.
  8. Выберите Allow virtual private connections (Разрешить виртуальные частные подключения) и щелкните на Next.
  9. В следующем окне выберите пользователей, которым разрешается удаленный доступ на сервер. Сделайте выбор и нажмите на Next.
  10. Далее появляется список рекомендованных компанией Microsoft сетевых компонентов. Очистите флажок рядом с каждым компонентом, который не хотите использовать. (А лучше вообще ничего не меняйте.)
  11. Закончите работу программы New Connections Wizard, щелкнув на Finish (Готово).

Теперь в окне сетевых подключений должен появиться ярлык Incoming Connections (Входящие подключения). Если такой ярлык уже был, то существующее соединение будет отредактировано в соответствии с новыми настройками.

Конфигурация VPN-соединения

Со временем вы поймете, что настройки VPN нужно уточнить или изменить. Например, если IP-адрес VPN-сервера приписывается динамически, то придется менять эту настройку VPN-клиента всякий раз, когда VPN-сервер устанавливает связь с интернетом.

Для внесения изменений в VPN-соединения перейдите в окно Network Connections (Сетевые подключения), щелкните правой кнопкой мыши на VPN или на значке Incoming Connections (Входящие подключения) и выберите в ниспадающем меню Properties (Свойства). В зависимости от того, является ли компьютер сервером или клиентом, там будут представлены различные опции.

Диалоговое окно свойств для VPN-клиента показано на рис. 14.10. Диалоговое окно свойств для VPN-сервера показано на рис. 14.11.

В VPN-клиенте опции на вкладке General (Общие) применяются для управления именем хоста или IP-адресом VPN-сервера или интернет-соединения, которое будет использоваться. Опции на вкладке Advanced (Дополнительно) применяются для управления Internet Connection Firewall и для совместного использования VPN-соединения.

В VPN-сервере можно изменять настройки, установленные во время работы мастера нового подключения: включать или отключать VPN, размещать значок в панели заданий во время соединения или указывать пользователей, которые имеют право использовать VPN-соединение.

Диалоговое окно свойств VPN-клиента


Рис. 14.10.  Диалоговое окно свойств VPN-клиента

Диалоговое окно свойств VPN-сервера


Рис. 14.11.  Диалоговое окно свойств VPN-сервера

Решение проблем, связанных с VPN-соединениями

Какой бы простой ни была настройка VPN-соединения в системе Windows XP Professional, вы все же можете столкнуться с некоторыми трудностями. Найти источник проблемы в VPN-соединении достаточно сложно, так как эта головоломка состоит из множества фрагментов. Заключается ли проблема в клиенте? Или в соединении сервера с ISP? Или неверна конфигурация сервера? Может быть, проблема кроется в маршрутизаторе или в межсетевом экране?

До сих пор мы обсуждали VPN при работе с Windows XP Professional-клиентами. VPN-клиентом является не только Windows XP Professional-компьютер, но и VPN-сервер. Скорее всего, окончанием виртуальной частной сети является маршрутизатор или межсетевой экран, а VPN-сервер обычно располагается на Windows 2000, NT или .NET Server.

Для установки VPN-соединения VPN-клиент посылает вызов ISP, применяя протокол PPP. На этом этапе ISP выдает клиенту TCP/IP-адрес, адрес DNS-сервера и шлюз по умолчанию.

Когда клиент, используя протокол PPTP, пытается установить VPN-соединение, создается вторая TCP/IP-сессия. Эта сессия является туннельной частью VPN-соединения. Она содержится внутри первой TCP/IP-сессии и обеспечивает шифрование и инкапсуляцию пакетов. Когда клиент успешно устанавливает соединение с VPN-сервером, то сервер выдает второй IP-адрес, второй адрес DNS-сервера и новый шлюз. На каждом из этих этапов могут возникнуть неполадки, которые вызовут проблемы в работе соединения.

Несколько слов о сервере

Хотя это выходит за рамки вопросов, рассматривающихся в этом курсе, но есть несколько моментов, касающихся сервера, о которых следует помнить при построении VPN-сети.

Проблемы клиента

Другим местом возникновения проблемы является VPN-клиент. Процесс соединения VPN-клиента с VPN-сервером проходит в несколько этапов. Сначала в VPN-клиенте надо создать два набора настроек TCP/IP для его правильного функционирования. Один набор используется для установки связи с ISP и интернетом, а другой - в VPN-соединении. Кроме того, в таблице маршрутизации VPN-клиента должны быть записаны два маршрута: один направляет пакеты из локальной сети к ISP для дальнейшей отправки в интернет, а другой посылает пакеты на VPN-сервер для использования в локальной сети.

Наиболее распространенные проблемы VPN соединений, связанные с клиентами, перечислены ниже.

Невозможно установить связь с сервером. Если VPN-клиент не может установить связь с VPN-сервером, следует проверить ряд настроек. Убедитесь в том, что сервер подключен к интернету. Для этого с компьютера-клиента выполните пингование (ping) сервера по его IP-адресу. Межсетевой экран может блокировать пинг, но если вы получите сообщение "request timed out", то можете быть уверены в том, что сервер работает некорректно. Если сервер получает свой IP-адрес динамически (при использовании соединения удаленного доступа), убедитесь, что вы изменили IP-адрес VPN-сервера в ярлыке VPN в окне Network Connections (Сетевые подключения).

Если VPN-сервер отвечает на пинг своего IP-адреса, то проверьте пингом имя сервера. Если имя не прозванивается, то, возможно, имя сервера не зарегистрировано в домене, или DNS-сервер интернет-провайдера не в порядке.

Проверьте PPTP-фильтрацию. Если на сервере активизирована PPTP-фильтрация, то вы можете увидеть сообщение об ошибке с указанием, что сервер не отвечает. Отключите PPTP-фильтрацию на сервере и попробуйте создать нефильтруемое соединение.

Если удается установить связь при отключенном фильтровании, проверьте, включены ли на сервере UDР-порты 137 и 138, а также TCP-порт 139. Если они не работают, то подключите их, так как NetBIOS-пакеты не могут пересылаться по сети без этих портов. Эти порты следует активизировать на всех маршрутизаторах и межсетевых экранах, находящихся между VPN-сервером и клиентом.

Если вы проделали все указанные шаги, но все равно не можете установить связь с сервером, то проверьте все промежуточные маршрутизаторы на предмет задержки ими GRE (generic routing encapsulating) пакетов. Эту проверку полезно провести вместе с ISP, так как они зачастую используют GRE непосредственно для управления маршрутизацией.

Клиент устанавливает связь, но не может войти в сеть. Другой проблемой является возможность клиента установить связь с сервером, но невозможность войти в сеть. Если VPN-сервер сконфигурирован как контроллер домена, убедитесь в наличии у пользователя учетной записи, которая разрешает удаленный доступ. Если сервер не является контроллером домена, убедитесь в наличии у пользователя соответствующих прав на доступ к серверу.

Winsock прокси-клиент. Если Winsock прокси-клиент активен, то VPN-соединение не может быть установлено. Winsock-прокси переадресовывает пакеты на прокси-сервер до того, как они могут быть инкапсулированы для отправки по каналу VPN. Убедитесь в том, что Winsock прокси-клиент отключен.

Разрешение имени. Если вы подозреваете, что проблема связана с разрешением имени, то пользуйтесь полными именами доменов и IP-адресами при установке связи.

Другие места, которые можно проверить

Другие источники проблем выходят за рамки того, что пользователь может или должен проверить. Если неполадки нельзя связать с работой клиента или сервера, то их причина заключается в общих условиях работы компьютерной сети.

Преобразование сетевых адресов. Если VPN-клиент находится в области действия устройства, выполняющего преобразование сетевых адресов (Network Address Translation, NAT ), то сессия протокола L2TP не происходит из-за того, что зашифрованные IPSec ESP-пакеты могут быть повреждены. С другой стороны, если VPN-клиент находится на одном компьютере с Internet Connection Sharing или NAT, то он в состоянии установить L2TP-соединение. Это происходит потому, что NAT не выполняет никакой трансляции IP-адреса или порта в пакетах, исходящих из его собственного узла.

ESP. Другим источником проблем является ESP. ESP может блокироваться, если перед клиентом размещается NAT или маршрутизаторы находятся перед VPN. В этом случае сервер может не пропускать ESP. Возможность исходящего ESP-трафика сохраняется, но входящие пакеты ESP из шлюза поступать не будут. Кроме того, ESP может быть модифицирован. Это происходит, когда NAT повреждает пакеты. Пакеты могут быть повреждены сетевым интерфейсом, который способен выгружать IPSec. Для проверки введите в командную строку следующее:

Netsh int ip show offload

Если вы подозреваете, что способность сетевого адаптера выгружать IPSec является причиной неполадок, то запустите Network Monitor и используйте IPSec Monitor для анализа каждой попытки установить соединение. Проверьте счетчик Confidential Bytes Received (Получено секретных байт), чтобы узнать, теряются ли байты при их получении. Отключите автоматическую политику IPSec и проверьте, не поможет ли это установить соединение.

Windows XP Professional разрешает устанавливать связь с LAN или локальным компьютером различными способами. Если вы хотите устанавливать удаленное соединение через интернет, то VPN позволяет сделать это безопасным способом. Можно настроить сервер или локальный компьютер, чтобы они отвечали на поступающие вызовы, позволяя пользователям устанавливать удаленный доступ по каналу телефонной связи. Какой способ вы ни выберете, эти средства дистанционной связи обеспечивают широкие возможности для сетевой работы пользователей.

Лекция 15. Качество обслуживания

Сетевые приложения и их пользователи все в большей степени используют сетевые соединения, и постоянное обновление сетевого оборудования может оказаться неприемлемым для организации с точки зрения финансовых затрат. Windows XP Professional содержит программный компонент, позволяющий определять качество и класс услуг, предоставляемых пользователям (Quality of Service, QoS). В данной лекции рассказывается о том, как настраивать и управлять XP QoS.

По мере того как сети продолжают расти, и для работы приложений требуется все большая пропускная способность каналов связи, становится очевидной необходимость механизма, который обеспечивал бы быстрое и беспрепятственное прохождение важного сетевого трафика. Качество службы (Quality of Service, QoS) является таким механизмом. Он гарантирует для сетей наличие необходимых ресурсов без увеличения полосы частот каналов связи.

В этой лекции QoS рассматривается с разных позиций. Сначала мы поговорим об основах QoS, чтобы вы лучше поняли, что это такое и как работает. Затем мы обсудим применение QoS в системе Windows XP Professional. В конце лекции мы рассмотрим, как реализовать QoS в своей сетевой работе.

Что такое QoS

Сети, работающие с протоколом IP, предоставляют свои ресурсы пользователям по принципу "первым пришел - первым получил". То есть важные пакеты пересылаются по сети с такой же скоростью и очередностью, что и пакеты какого-нибудь вновь прибывшего пользователя. Из-за этого организации вынуждены примиряться с потерянными пакетами и медленной работой сети.

Может показаться, что эта проблема связана с самим устройством интернета. Но дело в том, что он был построен по этому принципу намеренно. При проектировании интернета его архитекторы знали, что сеть должна быть простой настолько, чтобы ею можно было пользоваться на глобальном уровне. Таким они его и сделали.

Сейчас интернет во много раз превосходит свои первоначальные скромные размеры. Причем изменился не только его размер, но и характер. По всем этим причинам QoS имеет такое большое значение.

В этой лекции мы познакомимся с QoS, его необходимостью и способами реализации.

Пропускная способность - это еще не все

Кажется, что решить проблему перегрузки интернета достаточно просто: нужно увеличить пропускную способность каналов связи. В начале этот принцип работал. С ростом пропускной способности чувство удовлетворения у пользователей сети тоже возрастало. Однако сейчас проблемой становится не количество информации, пересылаемой по сети. Чтобы качество обслуживания можно было считать приемлемым, не меньшую важность имеют своевременность и координация.

Приложениям нужна не только пропускная способность, но и своевременность доставки пакетов данных. Рассмотрим, например, голосовое общение по сети (VoIP). Разумеется, для него требуется достаточная пропускная способность канала, но, кроме этого, такой вид связи предъявляет функциональное требование к IP-сетям - пакеты данных должны поступать в очередности, соответствующей порядку их отправления. Кроме того, они должны приниматься своевременно. Если при таком виде связи возникает задержка доставки пакетов, то общение становится невразумительным.

Задержка доставки пакетов, при которой сигнал перестает поступать вовремя, хорошо известна как флуктуация сигнала (jitter). При голосовом общении посредством VoIP флуктуация сигнала считается неприемлемой.



Флуктуация сигнала имеет значение для работы только тех приложений, для которых важны скорость и своевременность, например для VoIP или потоковых аудио- и видеоданных. С другой стороны, приложения типа электронной почты, сетевых браузеров и FTP не страдают от флуктуации сигнала. Если пакеты приходят в неверной последовательности и с полусекундными задержками, то это не беспокоит конечного пользователя. Эти службы не чувствительны к вопросам своевременности.

Создание более широкого канала связи для приложений типа VoIP не считается решением проблемы, так как неожиданный всплеск трафика может вызвать несвоевременность поступления сигнала. Чем более чувствителен сигнал приложения к отсрочке доставки, тем большие трудности он испытывает в связи со схемой доставки наилучшим способом. В таблице 15.1 представлены различные типы трафиков и их чувствительность к задержке пакетов и флуктуации сигнала.

Таблица 15.1. Чувствительность трафика к задержке пакетов и флуктуации сигнала
Толерантность по отношению к задержкеТип трафикаВлияние задержки пакетов на сетевое приложение
Очень толерантноАсинхронныйЗадержка пакетов не оказывает влияния.
СинхронныйЗадержка пакетов оказывает небольшое влияние, выражающееся в медленной работе.
Умеренно толерантноИнтерактивныйЗадержка раздражает пользователя, но приложение еще работает.
ИзохронныйПриложение функционирует частично.
Не толерантноДля решения критически важных задачПриложение не может работать.

Большая часть приложений интернета являются асинхронными и толерантными к флуктуации сигнала. Например, пользователю может не нравиться, что сайт загружается в течение 15 секунд, но с точки зрения функционирования с браузером все в порядке. С другой стороны, приложения, пакеты которых должны доставляться быстро и в нужной последовательности, не будут столь снисходительны к медленному соединению.

Чтобы интернет мог эволюционировать до своего следующего уровня, IP следует усовершенствовать так, чтобы он обеспечивал более надежный уровень сетевого обслуживания.

Концепции QoS

Существуют два основных типа уровней обслуживания, которые резко отличаются друг от друга.



Сравнение и противопоставление

Основное различие этих двух типов стратегии QoS состоит в разном управлении пакетами. Установление приоритетности требует от передающего сервера или другого сетевого устройства создания очередности отправки пакетов. Пакеты отправляются по очереди в соответствии со своей важностью. Протокол RSVP, напротив, требует, чтобы маршрутизаторы, находящиеся между отправителем и получателем, динамически конфигурировались, чтобы более важные пакеты получали преимущество над остальными пакетами, поступающими в маршрутизатор.

В пакетно-приоритетных сетях при изменении рабочих условий, связанных с поступлением пакетов другого потока на тот же самый маршрутизатор, очередность отправки пакетов первого потока уточняется.

С другой стороны, в сетях с протоколом RVSP резервирование полосы частот требует, чтобы все устройства на пути следования прибывали на QoS-уровень. Как вы можете догадаться, это создает большие проблемы с ресурсами, особенно, когда различным потокам требуются различные уровни обслуживания. Более того, старые маршрутизаторы, в которых не заложены возможности QoS, являются слабым звеном в соединении, сводя на нет все усилия QoS.

Если стратегия QoS заложена в самих информационных пакетах, нет необходимости устанавливать и отслеживать потоки, проходящие через маршрутизаторы, области трассирования и границы автономных систем.

Примечание. Автономной системой называются несколько маршрутизаторов, подчиняющихся одному администратору и использующих общий внутренний протокол шлюзовой маршрутизации.

Потоки и соединения

Потоком называется движение информационных пакетов между двумя IP-адресами, которые определяются номером порта сетевого TCP- или UDP-приложения. Поток пакетов, перемещающийся между этими же хостами, но в противоположном направлении, является отдельным потоком. Это вполне нормально, когда несколько потоков перемещаются между двумя хостами. Например, если пользователь открыл несколько окон сетевого браузера, то каждая из этих сессий имеет свой поток. Эти потоки остаются разделенными благодаря использованию различных номеров порта.



Потоки составляют основу QoS, так как каждый поток получает информацию о направлении (путь, соединяющий два хоста), о времени (последовательность и направленность соединения) и о причине (работающее приложение). Потоки идентифицируются с помощью некоторых элементов информации пакета.

Любая комбинация вышеназванных критериев определения потока называется кортежем (tuple). В QoS кортежи используются для идентификации различных потоков. Когда между двумя хостами группируются потоки, то образовывается соединение. Соединение упрощает управление различными уровнями обслуживания, снижая количество инструкций по управлению потоком. Другим названием соединения является сессия. Этот термин часто употребляется в контексте с людьми, использующими соединение.

Идентификация потоков является одной из основных функций QoS, так как она используется сетевыми устройствами для определения соединения, которому принадлежит пакет. Это позволяет применять к этому пакету соответствующий уровень обслуживания.

RSVP

Протокол резервирования ресурсов RSVP обеспечивает качество обслуживания каждому потоку. Как следует из его названия, RSVP резервирует ресурсы полосы пропускания на линии, соединяющей исходное и конечное устройства, чтобы обеспечить хотя бы минимальный уровень QoS. Приложения, работающие на конечных IP-устройствах, используют протокол RSVP для указания характера потока пакетов, который они хотят получить, резервируя полосу пропускания, которая может поддерживать требуемое качество обслуживания. Это делается с помощью указания таких параметров, как минимальная пропускная способность, максимальная задержка при пульсации сигнала и пр.

RSVP является механизмом обеспечения качества обслуживания в Windows 2000. Мы обсуждаем его здесь на случай, если Windows XP Professional клиенты будут устанавливать соединения с Windows 2000-сервером, который использует RSVP. К тому же, Windows XP Professional включает в себя инструменты, которые могут отслеживать атрибуты RSVP в System Monitor, о чем речь пойдет ниже.

RSVP является протоколом, который применяется в архитектуре комплексных услуг (integrated services) QoS, сокращенно IntServ. Составляющая "комплексные" происходит от того, что все устройства связаны одним сервисным режимом для поддержки нужного уровня обслуживания потока в обоих направлениях.

Протокол RSVP работает комплексно. Он определяет хосты отправителя и получателя для каждого потока. Хост-отправитель посылает на хост-получатель сообщение PATH, в котором по пути следования формируется список всех устройств. Получив сообщение PATH, хост-получатель отправляет в ответ сообщение RESV, которое идет по тому же пути следования. В сообщении RESV указываются параметры характеристик нужного канала связи. После того как все промежуточные устройства настраиваются на нужный уровень обслуживания, сессия может начинаться. Когда связь прекращается, то применяется специальный прерывающий механизм, который освобождает ресурсы зарезервированных устройств. RSVP-процесс показан на рис. 15.1.

RSVP использует сложную, изолированную систему отправки сообщений для резервирования полосы частот


Рис. 15.1.  RSVP использует сложную, изолированную систему отправки сообщений для резервирования полосы частот

Для полной гарантии резервирования каждый переход между сетевыми устройствами должен поддерживать резервирование и на физическом уровне предоставлять необходимую пропускную способность.

Если резервирование отвергается, то программа получает ответное сообщение, что сеть не может поддерживать такой тип и объем пропускной способности или необходимый уровень обслуживания. Программа решает, отсылать ли данные в настоящий момент, используя best-effort доставку (доставку с максимальными усилиями), или подождать и послать новый запрос позже.

RSVP представляет собой гибкий (soft-state) протокол, который требуется периодически обновлять. Информация о резервировании или состояние резервирования кэшируется на каждом переходе. Если сетевой протокол маршрутизации изменяет путь прохождения данных, то RSVP автоматически устанавливает состояние резервирования на новом маршруте. Если сообщения об обновлении не получены, то время резервирования истекает и аннулируется, а зарезервированный канал связи освобождается.

Примечание. Многие старые маршрутизаторы и коммутаторы не подчиняются протоколу RSVP. В таких случаях сообщения о резервировании отправляются на каждом этапе. Гарантия прямой доставки и малой задержки для запрашиваемого уровня обслуживания не достижима.

Группирование маршрутов частично снижает сложности и дополнительные расходы, связанные с применением RSVP. Например, если тысячи RSVP хостов-получателей должны получить, скажем, видеоклип, то RESV-сообщения будут свертываться и собираться в точках группирования. И наоборот, только один поток будет посылаться от источника, передающего видео, копироваться в точках группирования и "растекаться" по всем конечным пунктам.

RSVP-сообщения

Мы уже говорили о RSVP-сообщениях в последнем разделе, но давайте более подробно рассмотрим специальные сообщения, которые использует протокол RSVP для создания и поддерживания зарезервированного канала для QoS-трафика в подсети.

RSVP может быть на удивление сложным. Некоторые эксперты даже сомневаются в применимости RSVP в свете огромного количества использующихся в нем переменных величин и тех затрат, которые неизбежны при установке и управлении каналом связи, зарезервированным подобным образом.

DiffServ

Лучшей моделью установления приоритетности является Differentiated Services (Дифференцированные службы), или DiffServ. DiffServ предлагает относительно грубый, но простой способ установки приоритетов в трафике. DiffServ переопределяет биты исходного поля типа обслуживания IP Type of Service (ToS) (см. рис. 15.2) по своей собственной схеме, в которой два из восьми ToS-бит используются для уведомления о перегрузке, а оставшиеся 6 бит - для маркировки пакетов. В этой схеме реализуются так называемые кодовые точки (code points) внутри шестибитного пространства маркировки. При входе в DiffServ QoS сеть пакеты имеют маркировку DiffServ-класса.

DiffServ пытается контролировать поведение только на каждом отдельном этапе. Другими словами, политика определяется локально, а DiffServ как механизм работает в устройстве, чтобы оказывать влияние, когда пакеты переходят к новому этапу следования. Так как политика устанавливается без учета топологии, то все происходит внутри устройства. DiffServ поддерживает два уровня обслуживания (трафик двух классов):

ToS-биты используются для установки уровня приоритета пакетов


Рис. 15.2.  ToS-биты используются для установки уровня приоритета пакетов

QoS в Windows XP

В Windows XP Professional QoS используется для формирования трафика, сглаживания пиков и падений трафика до состояния равномерного потока. Маркировка пакетов (802.1p маркировка для второго уровня и DSCP-маркировка для третьего уровня) используется для формирования трафика. Планировщик пакетов внедряет применение QoS-правил для потока данных. Он извлекает пакеты из очередей и пересылает их в соответствии с установленными правилами QoS. Маркированные пакеты получают приоритет над немаркированными, будучи обслуживаемыми такими устройствами, как коммутаторы и маршрутизаторы, на пути своего следования.

В Windows XP Professional уровнем обслуживания можно управлять несколькими способами. Во-первых, QoS надо установить и сконфигурировать. Установка выполняется посредством обычной инсталляции. Конфигурирование и управление QoS производится посредством QoS Packet Scheduler (Планировщик пакетов QoS).

После установки необходимого уровня обслуживания воспользуйтесь мощным инструментом System Monitor (Системный монитор) для отслеживания различных ветвей TCP-соединения или RSVP-сессией, если у вас установлено соединение с Windows 2000 Server. Здесь мы рассмотрим эти инструменты для установки, использования и управления уровнями обслуживания в Windows XP Professional.

Использование в Windows XP

В Windows XP Professional QoS используется в целом ряде случаев. Ваши индивидуальные потребности могут изменяться, однако ниже дано несколько сценариев, в которых QoS может быть особенно полезным в работе сетей Windows XP Professional.

Применение QoS с ICS

Общий доступ к подключению к интернету (Internet Connection Sharing, ICS) является средством соединения нескольких компьютеров с интернетом посредством одной линии, обычно dial-up или DSL. Это удобный способ для выхода нескольких компьютеров в интернет, но он создает проблему, связанную с задержкой трафика. Эта задержка возникает из-за разницы скоростей, доступных для ICS-клиентов и канала связи ICS-сервера с интернетом.

Примечание. Для того чтобы освежить представление о ICS, вернитесь к гл. 5.

Например, если сетевое соединение ICS-клиента является быстрым (100 Mбит/с) и устанавливает связь с интернетом через ICS-сервер, связанный посредством удаленного доступа с быстрой сетью, то здесь появляется узкое место. В этой схеме окно получения информации ICS-клиента настроено на высокое значение, основанное на скорости линии, с которой оно соединено. ICS-сервер передает данные на низкой скорости, но если пакеты не теряются, то скорость возрастает.

Наконец, это может оказывать влияние на работу других TCP-соединений, проходящих в этой сети, так как их пакеты будут все дольше и дольше ждать своей очереди пересылки в локальной сети. Если пакеты теряются, то их надо отправлять повторно, что еще больше перегружает линию.

Чтобы выйти из этого положения, ICS-сервер должен настроить свое окно получения информации на меньший размер, более подходящий для медленной связи. Так можно обойти особенности скорости связи у получателя. В результате все это выглядит так, как если бы ICS-клиент был непосредственно подключен к медленной линии. Эта QoS настройка должна выполняться на ICS-сервере.

QoS с модемами и удаленным доступом

В небольшом офисе или в домашних условиях выход в интернет или связь с удаленной локальной сетью часто осуществляется с помощью dial-up-модемов. Хотя в этом случае соединение бывает очень медленным по сравнению с LAN или DSL-каналами, пользователи все же имеют возможность работать быстрее за счет некоторых приложений, которые одновременно используют эту линию. Например, они могут открыть веб-браузер, свою электронную почту, программу сетевого чата, еще один браузер и т. д. Все эти программы используют для транспортировки данных протокол TCP, и каждая программа формирует свое собственное соединение.

Программа, использующая dial-in-соединение, имеет эксклюзивное право на его использование. При запуске следующего приложения оно вынуждено пользоваться более медленным алгоритмом. Этот алгоритм ограничивает объем передачи новой информации, и пересылка пакетов будет происходить гораздо медленнее.

При одновременной работе нескольких TCP-приложений Windows XP Professional использует схему под названием deficit round robin (DRR) при работе на медленной линии связи. DRR назначает несколько информационных потоков и приписывает новые потоки данных к существующим. Потоки имеют тенденцию к циклическому перемещению, что обеспечивает улучшенную ответную реакцию и производительность. Так как все выполняется автоматически, пользователю не надо ничего конфигурировать вручную.

Примечание. DRR входит в пакет программ Windows 2000, но в Windows XP Professional эта опция отключена по умолчанию.

Установка

QoS Packet Scheduler является инструментом, который используется для установки уровней обслуживания в Windows XP Professional. По умолчанию этот инструмент не инсталлируется вместе с Windows XP Professional - его добавляют позже. Для инсталляции QoS Packet Scheduler (Планировщик пакетов QoS) проделайте следующие шаги.

  1. В окне Network Connections (Сетевые подключения) щелкните правой кнопкой мыши на выбранном сетевом соединении.
  2. В появляющемся окне выберите Properties (Свойства).
  3. Щелкните на вкладке Networking (Сеть).
  4. Щелкните на Install (Установить).
  5. Выберите Service (службы) и щелкните на Add (Добавить).
  6. Выберите QoS Packet Scheduler и щелкните на ОК.
  7. Вы вернетесь в окно свойств выбранного соединения и можете получить предложение перезагрузить компьютер.

Кроме того, Windows XP Professional QoS опирается на протокол 802.1p. Он должен быть задействован на всех сетевых адаптерах, на которых вы собираетесь использовать QoS. Для того чтобы сконфигурировать адаптер для использования QoS в окне свойств сетевого адаптера (находящемся в Диспетчере устройств) выберите опцию поддержки QoS, как это показано на рис. 15.3. Кроме того, сетевой адаптер должен быть совместимым с 802.11p.

Подключение QoS (802.1p) на сетевом адаптере


Рис. 15.3.  Подключение QoS (802.1p) на сетевом адаптере

Примечание. IEEE 802.1p метод сигнализации используется для установки уровней приоритетности трафика на втором уровне модели OSI. Он реализуется в сетевых адаптерах и коммутаторах для работы по принципу "сделать как можно лучше, но без гарантии" (best-effort) и не требует резервирования ресурсов.

Управление

Установка и управление уровнями QoS выполняется с помощью оснастки Group Policy (Групповая политика) консоли ММС.

Примечание. Вы можете либо добавить Group Policy в ММС, либо ввести команду gpedit.msc в окне команд.

После открытия оснастки групповой политики найти QoS Packet Scheduler (Планировщик пакетов QoS) можно следующим образом.

  1. Разверните Computer Configuration (Настройка компьютера).
  2. Разверните Administrative Templates (Админстративные шаблоны).
  3. Разверните Network (Сеть).
  4. Щелкните на QoS Packet Scheduler.

Главная страница QoS Packet Scheduler показана на рис. 15.4.

Планировщик пакетов QoS


Рис. 15.4.  Планировщик пакетов QoS

Главный вид

На этом виде имеются 6 элементов. Более подробно папки (DSCP-значение соответствующих пакетов, DSCP-значение для несоответствующих пакетов и значение приоритетности второго уровня) будут обсуждаться далее в этом разделе.

Примечание. Для всех этих настроек значения, указанные в реестре, заменяют настройки, сделанные в оснастке Group Policy.

Каждая из настроек, содержащихся в Планировщике пакетов QoS, позволяет устанавливать для каждого типа пакетов определенный уровень приоритетности. Например, в зависимости от критерия отбора (трафик определенного адреса или порта, пакеты, принадлежащие определенному пользователю или приложению и т. д.) пакетам присваиваются различные уровни приоритетности. Чем ниже уровень приоритетности, тем дальше стоит пакет в очереди на отправку.

Помимо упомянутых выше папок, существует три вида управляемых настроек, о которых речь пойдет ниже.

Limit Reservable Bandwidth (Ограничить резервируемую пропускную способность). Эта настройка применяется для определения части (в процентах) пропускной способности соединения, которую может зарезервировать система. По умолчанию настройка равна 20 %. Эта величина может быть увеличена или уменьшена в зависимости от необходимого уровня обслуживания. Если настройка отключена или не задействована, то система по умолчанию использует 20 % пропускной способности канала связи.

Limit Outstanding Packets (Ограничение ожидающих обработки пакетов). Ожидающие обработки пакеты - это те пакеты, которые Планировщик пакетов направил на сетевой адаптер для передачи, но которые еще не отправлены. Эта настройка применяется для задания максимального числа пакетов, ждущих своей отправки, которое система может разрешить. Когда количество таких пакетов достигает порогового значения, Packet Scheduler задерживает отправку всей исходящей информации на сетевых адаптерах, до тех пор пока это значение не опустится ниже порогового. Включение настройки позволяет ограничивать количество ожидающих обработки пакетов. Подключение или отключение этой опции не влияет на работу системы.

Set Timer Resolution (Задать разрешение таймера). Настройка используется для установки наименьшего интервала времени, в течении которого Packet Scheduler составляет график передачи пакетов. Packet Scheduler не может отсылать пакеты быстрее, чем позволяет этот промежуток времени. Использование этой настройки позволяет управлять скоростью передачи пакетов с точностью до 10 мс. Включение или отключение настройки не влияет на работу системы.

Значение DSCP для соответствующих пакетов

Ключом использования DiffServ QoS является код указателя дифференцированных служб (Differentiated Services Code Point, DSCP). По существу, когда трафик поступает на входящий сетевой интерфейс, он классифицируется и подчиняется заранее сконфигурированному процессу входа, а затем формируется, чтобы отвечать требованиям политики, установленной в организации. Затем потоку данных предписывается определенное поведение. DSCP-величина инициирует специальное PHB-поведение в сетевых устройствах и классифицирует пакеты по уровню обслуживания.

Папка DSCP Value of Conforming Packets внутри планировщика пакетов содержит следующие настройки (применимые на третьем уровне модели OSI), которые используются для изменения DSCP-значения различных атрибутов соответствующих пакетов. Соответствующие пакеты - это те пакеты, которые удовлетворяют спецификации потока.

QoS в системе Windows XP Professional использует пять типов обслуживания.

Негарантированный тип обслуживания. Пакетам, которым предписан уровень обслуживания Best Effort, дается альтернативное (чередующееся) DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию для негарантированного типа обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.

Тип обслуживания "контролируемая загрузка". Пакеты, которым предписан такой тип обслуживания, получают альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию для этого типа обслуживания. Если эта настройка отключена, то значение по умолчанию равно 24.

Гарантированный тип обслуживания. Пакеты с гарантированным типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование установки позволяет изменять DSCP-значение, данное по умолчанию для этого типа обслуживания. Если эта настройка отключена, то значение по умолчанию равно 40.

Тип обслуживания "контролируемый сетью". Пакеты с таким типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию для этого типа обслуживания. Если эта настройка отключена, то значение по умолчанию равно 48.

Качественный тип обслуживания. Пакеты с таким типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию для этого типа обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.

DSCP-значение несоответствующих пакетов

Следующие настройки совершенно аналогичны описанным в предыдущем разделе. Однако их отличие состоит в том, что значения по умолчанию для всех настроек одинаковы и равны 0. Эти настройки применяются только в отношении пакетов, не соответствующих спецификации потока.

Best Effort. Пакеты с таким уровнем обслуживания могут получить альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию в связи с подобным типом обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.

Controlled Load. Пакеты с таким типом обслуживания могут получить альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию в связи с подобным типом обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.

Guaranteed. Пакеты с гарантированным типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию в связи с подобным типом обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.

Network Control. Пакеты с таким типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию в связи с подобным типом обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.

Qualitative. Пакеты с таким типом обслуживания получают с помощью этой настройки альтернативное DSCP-значение. Планировщик пакетов QoS вкладывает уточненное DSCP-значение в IP-заголовок пакетов. Использование этой установки позволяет изменять DSCP-значение, данное по умолчанию в связи с подобным типом обслуживания. Если эта настройка отключена, то значение по умолчанию равно 0.

Значение приоритета второго уровня

Атрибуты этого раздела применяются для управления значениями приоритетности второго уровня для различных типов пакетов. QoS Packet Scheduler вкладывает соответствующее приоритетности значение в заголовки второго уровня.

Nonconforming Packets (Несоответствующие пакеты). Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, не соответствующих спецификации потока (другие типы обслуживания применяются к пакетам, которые соответствуют спецификации потока). При использовании этой настройки для несоответствующих пакетов применяется значение приоритетности, данное по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 1.

Best Effort. Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, которым предписан негарантированный тип обслуживания в соответствии со спецификацией потока. При использовании этой настройки для негарантированных пакетов используется значение по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 0.

Controlled Load. Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, которым предписан тип обслуживания с контролируемой загрузкой в соответствии со спецификацией потока. При использовании этой настройки для Controlled Load-пакетов используется значение по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 4.

Guaranteed. Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, которым предписан гарантированный тип обслуживания в соответствии со спецификацией потока. При использовании этой настройки для гарантированных пакетов используется значение по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 5.

Network Control. Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, которым предписан контролируемый сетью тип обслуживания в соответствии со спецификацией потока. При использовании этой настройки для Network Control-пакетов используется значение по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 7.

Qualitative. Эта настройка устанавливает альтернативное значение на уровне связи для пакетов, которым предписан качественный тип обслуживания в соответствии со спецификацией потока. При использовании этой настройки для Qualitative-пакетов используется значение по умолчанию. Если эта настройка отключена, то значение по умолчанию равно 0.

Мониторинг QoS

Для проведения мониторинга QoS системы используется инструмент System Monitor (PERFMON.EXE) и добавляется TCP к списку объектов наблюдения.

Примечание. System Monitor (Системный монитор) (ранее известный как Performance Monitor в Windows NT) является очень мощным инструментом, который отслеживает сотни событий системы. Более подробно о System Monitor рассказывается в лекции 17.

Запустив System Monitor (рис. 15.5), вы добавляете выполняющие объекты, щелкая на знаке "+" в ряду ярлыков справа. Появляющееся в результате диалоговое окно показано на рис. 15.6.

Название


Рис. 15.5.  Название

Название


Рис. 15.6.  Название

Если Windows XP Professional-клиент имеет соединение с Windows 2000-сервером или другим сервером, использующим RSVP для QoS, то в System Monitor можно добавить следующие объекты:

Эти объекты отслеживают следующие RSVP-элементы:

При использовании QoS-механизма на базе DiffServ следующие объекты могут быть добавлены в System Monitor:

Кроме того, для детального мониторинга работы TCP/IP-сети можно использовать ICMP и UDP счетчики объектов. Выполняющий ICMP-объект включает в себя счетчики, которые считают скорость отправки и получения ICMP-сообщений. Кроме того, он включает счетчики, отслеживающие ошибки протокола ICMP.

Выполняющий UDP-объект состоит из счетчиков, которые измеряют скорость отправки и получения UDP-дейтаграмм, а также счетчиков для подсчета UDP-ошибок.

Примечание. Более подробную информацию о System Monitor вы найдете в лекции 17.

Мы надеемся, что необходимость и польза от применения QoS после прочтения этой лекции стали для вас очевидными. К счастью, компания Microsoft отказалась от использования RSVP QoS в Windows XP Professional и решила использовать QoS на базе DiffServ. Это решение превратило QoS из простого понятия в то, что можно практически применять в работе Windows XP Professional-сетей.

Лекция 16. Совместимость с другими системами

Windows XP Professional предназначена для работы в сети Windows, однако Windows XP также может устанавливать соединения с другими компьютерными системами. В данной лекции обсуждается совместимость сетевых соединений с другими системами.

Компьютерные сети в основном являются гетерогенными. Несмотря на то что большая часть компьютеров-клиентов работает в системе Windows и устанавливает соединения с другими Windows-серверами, существуют и серверы, работающие с другими операционными системами, и с этими серверами клиентам надо устанавливать соединения. Двумя наиболее распространенными системами являются Novell NetWare и Unix.

В этой лекции мы обсудим, как Windows XP Professional-клиенты могут устанавливать соединения с другими операционными системами. Мы рассмотрим различные сетевые схемы, в которых используется Windows XP Professional на машинах-клиентах, устанавливающих соединения с серверами, работающих с системами Windows 2000 Server, UNIX или NetWare.

NetWare-соединения

Система Windows XP Professional оснащена встроенными инструментами для соединения с Novell NetWare-ресурсами. Первым инструментом, который мы обсудим, является Служба клиента для NetWare (Client Service for NetWare, CSNW). Она позволяет Windows XP Professional-клиентам получать доступ к NetWare-серверам и является хорошим механизмом для небольших сетей или сценариев, в которых надо часто устанавливать связь между системами Windows XP Professional и NetWare.

Другой инструмент, обеспечивающий взаимодействие систем Windows - NetWare -находится на Windows 2000/.NET Server и называется Служба шлюза для NetWare (Gateway Service for NetWare, GSNW). Этот инструмент служит посредником между Windows XP Professional-клиентом и NetWare-сервером.

CSNW

Для доступа к NetWare-ресурсам в системе Windows XP Professional имеется инструмент под названием Служба клиента для NetWare(Client Service for NetWare). Она позволяет получать доступ к файлам и принтерам NetWare-серверов, работающих с Novel Directory Services (NDS), NetWare 3.x, 4.x и привязками безопасности Windows XP Professional-клиента.

Примечание. CSNW не поддерживает протокол IP, имеющийся в NetWare 5.x и более поздних версиях. Для установки соединения с помощью CSNW на NetWare 5.x-сервере надо загрузить протокол IPX.

  1. Откройте Network Connections (Сетевые подключения).
  2. Щелкните правой кнопкой мыши на нужном локальном соединении и щелкните на Properties (Свойства).
  3. Щелкните на вкладке General (Общие) и затем щелкните на Install (Установить).
  4. Появится диалоговое окно Select Network Component Type (Выбор типа сетевого компонента). Щелкните на Protocol (Протокол), затем щелкните на Add (Добавить).
  5. В диалоговом окне Select Network Protocol (Выбор сетевого протокола) (рис. 16.1) щелкните на NWLink IPX/SPX/NetBIOS Compatible Transport Protocol (NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол). Затем нажмите ОК.

Инсталляция NWLink IPX/SPX/NetBIOS-совместимого транспортного протокола


Рис. 16.1.  Инсталляция NWLink IPX/SPX/NetBIOS-совместимого транспортного протокола

После того как нужные протоколы установлены, можно инсталлировать инструмент CSNW. Это выполняется следующим образом.

  1. Откройте Network Connections (Сетевые подключения).
  2. Щелкните правой кнопкой мыши на нужном локальном соединении, в котором вы хотите применить инструмент CSNW, и затем щелкните на Properties (Свойства).
  3. Щелкните на вкладке General (Общие) и затем щелкните на Install (Установить).
  4. Появится диалоговое окно Select Network Component Type (Выбор типа сетевого компонента). Щелкните на Client (Клиент) и затем щелкните на Add (Добавить).
  5. В диалоговом окне Select Network Client (Выбор сетевого клиента) (рис. 16.2) щелкните на Client Service for NetWare (Служба клиента для NetWare) и затем щелкните на ОК.

Инсталляция службы клиента для NetWare


Рис. 16.2.  Инсталляция службы клиента для NetWare

После того как протокол NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол установлен, нужно его сконфигурировать. Это выполняется следующим образом.

  1. Откройте Network Connections (Сетевые подключения).
  2. Щелкните правой кнопкой мыши на нужном локальном соединении и щелкните на Properties (Свойства).
  3. Щелкните на вкладке General (Общие), щелкните на NWLink IPX/SPX/NetBIOS Compatible Transport Protocol (NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол), затем щелкните на Properties (Свойства) (см. рис. 16.3).
  4. Введите значение внутреннего сетевого номера или оставьте значение по умолчанию, равное 00000000.
  5. Затем следует установить тип кадров (фреймов) для этого соединения. Это можно сделать автоматически, щелкнув на Auto Detect и затем - на ОК, или щелкнув на типе кадра, введя сетевой номер и щелкнув на ОК.
  6. Щелкните на ОК, для того чтобы сохранить настройки.

Конфигурирование инструмента CSNW


Рис. 16.3.  Конфигурирование инструмента CSNW

Служба шлюза для NetWare

Ранее в этой лекции мы рассмотрели инструмент Служба клиента для NetWare (CSNW) для Windows XP Professional (на самом деле он включен во все версии Windows). Однако, исходя из интересов своей сети или компании, вы можете посчитать, что его лучше не инсталлировать на свои клиентские компьютеры, а вместо этого установить шлюз. Шлюз является посредником между клиентами организации и NetWare-серверами (см. рис. 16.4). Скорее всего, CSNW не будет устанавливаться в организации, серверам которой доступны более изощренные инструменты.

Примечание. При соединении с ресурсами NetWare используйте инструмент CSNW для более частых соединений, а GSNW - для более редких. Если вы используете GSNW для создания шлюза к NetWarе-ресурсам, то не надо инсталлировать NWLink IPX/SPX/NetBIOS Compatible Transport Protocol на клиентах или подключать IPX на сетевом оборудовании.

В следующих разделах обсуждаются инструменты NetWare-интеграции, доступные в Windows 2000, которые можно использовать в сочетании с Windows XP Professional-клиентами. Перед тем как перейти к этим инструментам, важно отметить, что вы должны быть готовы использовать любые патчи, разработанные как Novell, так и Microsoft. Эти патчи важны в сетях смешанного типа, так как облегчают возможность устанавливать соединения и повышают производительность работы.

В сети шлюз размещается между клиентом и сервером.


Рис. 16.4.  В сети шлюз размещается между клиентом и сервером.

Служба шлюза для NetWare в Windows 2000

Система Windows 2000 включает в себя Службу шлюза для NetWare, позволяя Windows 2000-серверу устанавливать связь с компьютерами, работающими в системах NetWare 3.x и 4.x. GSNW используется администратором для создания шлюза между компьютером-клиентом (типа Windows XP Professional) и файловыми ресурсами и ресурсами печати. Все эти функции присутствуют на Windows 2000-сервере, и не надо вносить никаких изменений в NetWare-сервер или Windows XP Professional-клиентов.

Создание шлюза. Для создания шлюза в системе Windows 2000 следует выполнить несколько требований. Во-первых, у NetWare-сервера должна быть группа под названием NTGATEWAY. Во-вторых, нужно иметь учетную запись как в сети NetWare, так и в группе NTGATEWAY, а также разрешения доступа.

Для установки службы шлюза для NetWare проделайте следующие шаги.

  1. Откройте Network and Dial-up Connections (Сеть и удаленный доступ к сети), выбрав Start\Settings\Network and Dial-up Connections (Пуск\ Настройка\Сеть и удаленный доступ к сети).
  2. Щелкните правой кнопкой мыши на локальном соединении и выберите Properties (Свойства).
  3. На вкладке General (Общие) щелкните на Install (Установить).
  4. В диалоговом окне Select Network Component Type (Выбор типа сетевого компонента) щелкните на Client (Клиент) и затем щелкните на Add (Добавить).
  5. В диалоговом окне Select Network Client (Выбор сетевого клиента) щелкните на Gateway Services for NetWare (Служба шлюза для NetWare) и затем щелкните на ОК.

Включение службы шлюза. После того как службы шлюза установлены в системе Windows 2000, их надо активизировать. Это выполняется с помощью следующих шагов.

  1. Откройте Gateway Services for NetWare (Служба шлюза для NetWare), выбрав Start\Control Panel (Пуск\Панель управления) и щелкнув дважды на GSNW.
  2. Щелкните на Gateway (Шлюз) и выберите окно Enable Gateway (Включить шлюз).
  3. В Gateway Account (Учетная запись шлюза) введите имя своей учетной записи для шлюза.
  4. В Password (Пароль) и Confirm Password (Подтверждение пароля) введите пароль учетной записи шлюза.
Активизация шлюза принтера и файлов

Для получения доступа к NetWare-файлам и принтерам шлюз каждого из них должен быть активизирован. Активизация шлюза создает ресурс, которым могут пользоваться Windows XP Professional-клиенты.

Активизация шлюза к файлам. Для активизации шлюза к файлу проделайте следующее.

  1. Откройте службы шлюза для NetWare, выбрав Start\Control Panel (Пуск\Панель управления) и щелкнув дважды на GSNW.
  2. Выберите Gateway (Шлюз) и затем отметьте флажок Enable Gateway (Включить шлюз).
  3. Щелкните на Add (Добавить). В поле Share Name (Сетевое имя) введите имя ресурса, которое будут использовать клиенты для доступа к ресурсу.
  4. В поле Network Path (Сетевой путь) введите сетевой путь к NetWare-каталогу, который будет совместно использоваться.
  5. В Use Drive (Диск) введите диск, который будет использоваться по умолчанию.
  6. Щелкните на Unlimited (Без ограничений) и щелкните на ОК.

Активизация шлюза к принтерам. Для активизации шлюза к принтерам проделайте следующее.

  1. Выберите Start\Printers (Пуск\Принтеры).
  2. Выберите Add Printer (Установить принтер) и затем щелкните на Next.
  3. Выберите Network Printer (Сетевой принтер) и щелкните на Next.
  4. В поле Name введите имя принтера в следующем формате: \\servername\sharename.
  5. Если надо найти NetWare-принтер в Shared Printers (Общие принтеры), щелкните на Next.
  6. Следуйте инструкциям мастера для завершения процесса.
  7. Выберите принтер, который вы только что создали, и в меню File (Файл) щелкните на Properties (Свойства).
  8. На вкладке Sharing (Общий доступ) выберите Shared (Общий ресурс). В поле Shared as введите имя принтера.
Назначение разрешений для NetWare-ресурсов

После того как GSNW проинсталлирована и активизирована, можно управлять доступностью сетевых NetWare-ресурсов c помощью разрешений.

Устанавливать разрешения на сервере Windows 2000 можно следующим образом.

  1. Откройте службы шлюза для NetWare, выбрав Start\Control Panel (Пуск\Панель управления) и щелкнув дважды на GSNW.
  2. Выберите Gateway (Шлюз).
  3. Выберите ресурс, для которого вы хотите установить разрешения, и щелкните на Permissions (Разрешения).
  4. Для добавления пользователей или групп щелкните на Add (Добавить). В поле Names (Имя) выберите пользователя или группу и затем выберите Add. В поле Type of Access (Тип доступа) щелкните на разрешении для этого пользователя или группы.
  5. Для удаления пользователей или групп выберите пользователя или группу в списке допущенных пользователей и затем щелкните на Remove (Удалить).
  6. Для изменения разрешений пользователей или групп выберите пользователя или группу и затем выберите уровень доступа в поле Type of Access (Тип доступа).

Доступ к ресурсам NetWare

После установки GSNW используется для доступа к ресурсам, находящимся на NetWare-сервере. Вы можете получить доступ к NetWare ресурсам двумя способами: через интерфейс Windows или с помощью ввода команды.

Интерфейс Windows

Доступ к ресурсу NetWare с Windows XP Professional-компьютера, оснащенного GSNW, похож на обнаружение ресурса в Windows-сети. Для установки соединения с NetWare-ресурсом посредством графического пользовательского интерфейса Windows проделайте следующие шаги.

  1. Откройте My Network Places (Сетевое окружение).
  2. Далее выполните одно из действий:
    • щелкните дважды на NetWare or Compatible Network (Сеть NetWare или совместимая);
    • щелкните дважды на Entire Network (Вся сеть), а затем щелкните дважды на NetWare or Compatible Network Сеть NetWare или совместимая).
  3. После этого появится дерево Novell Directory Services, которое вы можете выбрать.
  4. Щелкните дважды на выбранном дереве или томе, затем - на содержимом для дальнейшего просмотра.

В конце концов, когда вы найдете папку или том, к которым нужно получить доступ, щелкните дважды и раскройте их. Если требуется отобразить локальный диск для папки или тома, щелкните на папке или томе и затем в меню Tools (Сервис) щелкните на Map Network Drive (Подключение сетевого диска). Это инициирует мастер подключения сетевого диска (Map Network Drive Wizard) (рис. 16.5), использование которого рассматривалось в лекции 11.

Подключение NetWare-ресурса


Рис. 16.5.  Подключение NetWare-ресурса

Ввод команды

Если вы предпочитаете использовать команду, то существует несколько способов управления NetWare-ресурсами с Windows XP Professional компьютера-клиента.

Доступ к NetWare-тому. Для выполнения многих заданий используется команда NET USE. Если нужно получить доступ к определенному NetWare-тому, введите следующее:

Net use drive: [UNCname \ NetWareName]

Чтобы использовать формат UNC для переадресации диска H в каталог \plans\getoffisland на томе Minnow на сервере Castaway, введите следующее:

Net use H: \\castaway\minnow\plans\getoffisland

Вход в систему. В зависимости от настроек безопасности NetWare-сервера вам могут потребоваться пароль и имя пользователя для получения доступа к ресурсу. Чтобы войти на NetWare сервер с помощью команды, введите пароль и имя пользователя следующим образом:

/user: UserName Password

Для доступа к защищенному ресурсу эта команда может применяться в сочетании с другими командами. Например, если пользователю Gilligan с паролем littlebuddy надо войти в каталог \plans\getoffisland на томе Minnow сервера Castaway на диске Н, то он должен ввести следующее:

Net use H: \\castaway\minnow\plans\getoffisland /user: gilligan littlebuddy

Соединение с NDS-деревом. Соединение Windows XP Professional-клиента с NDS-деревом выполняется с помощью следующей команды:

Net use drive: \\TreeName\volume.OrgName.OrgName 
[/u:UserName.OrgName.OrgName [password]

В таблице 16.1 перечислены компоненты команды входа.

Таблица 16.1. Компоненты команды соединения с NDS-деревом
КомпонентОписание
TreeNameИмя дерева.
OrgNameМесто, с которым нужно установить соединение.
UseName.OrgName.OrgNameИмя пользователя и контекст этого дерева.

Отображение NetWare-серверов. Чтобы посмотреть, к каким NetWare-серверам Windows XP Professional-клиент имеет доступ, воспользуйтесь следующей командой:

Net view/ network:nw

Показ томов на NetWare-сервере. Чтобы увидеть тома определенного NetWare-сервера, воспользуйтесь следующей командой:

Net view \\ NWServerName /network:nw

Показ содержания каталога. Чтобы просмотреть содержание данного каталога, воспользуйтесь следующей командой:

Dir \\DirectoryPath

Просмотр содержания NetWare-сервера, использующего NDS. Чтобы просмотреть содержание NetWare-сервера, использующего NDS, следует заключить путь к каталогу в кавычки. Например:

Dir "\\NDSTree\volume.unit.group"

Печать

После установки соединения Windows XP Professional-клиента с NetWare-сервером соединение с принтером сервера выполняется так же, как при установке принтера, подключенного к Windows-серверу. Проще всего запустить мастер установки принтера (Add a New Printer Wizard).

Переадресация входных данных порта в очередь на принтер

Для переадресации выходных данных из порта на очередь принтера воспользуйтесь следующей командой:

Net use SeverName \\PrintQueue

Например, для переадресации выходных данных порта LPT1 в очередь NetWare-принтера под именем Printing on the GroupA введите команду:

Net use lpt1\\groupa\printing
Пересылка файлов, не требующих форматирования, в LPT1

Если надо напечатать файлы, не требующие форматирования (нет специальных шрифтов, пробелов или особой разметки), то сначала переадресуйте выходные данные с помощью команды NET USE (как описано в разделе "Переадресация входных данных порта в очередь на принтер"), а затем введите следующую команду:

Copy FileName ServerName
Копирование файла в очередь на принтер

Если нужно скопировать файл в очередь на принтер, сначала переадресуйте его командой NET USE, а затем введите следующую команду:

Copy FileName \\PrintQueue
Соединение принтера с деревом NDS

Для установки соединения принтера с деревом NDS используется команда, аналогичная команде для доступа к любому ресурсу NDS-дерева:

Net use drive: \\TreeName\printer.OrgName.OrgName
[/u:UserName.OrgName.OrgName [password] ]

В таблице 16.2 перечислены компоненты команды соединения

Соединения LINUX/UNIX

В первой половине этой лекции рассматривались NetWare-соединения, которые можно устанавливать с помощью инструментов CSNW и GCNW, входящих в пакет программ системы Windows XP Professional и Windows 2000 Server. Однако для соединений Windows XP Professional - UNIX нет инструмента, входящего в состав Windows. Вам придется купить этот инструмент как дополнение. Для взаимодействия систем Windows XP Professional и UNIX компания Microsoft предлагает инструмент Services for UNIX 3.0.

Таблица 16.2. Компоненты команды соединения NDS-дерева с принтером
КомпонентОписание
TreeNameИмя дерева.
OrgNameМесто в дереве, с которым нужно установить соединение.
UserName.OrgName.OrgNameИмя пользователя и контекст дерева.

Microsoft и UNIX используют разные протоколы для доступа клиентов к файлам и принтерам. Windows XP Professional использует протокол CIFS для обслуживания файлов и принтеров, в то время как UNIX - протокол NFS для обслуживания файлов и протокол LPR/LPD для обслуживания печати.

Службы для UNIX 3.0

Windows Services for Unix (SFU) - это инструмент, который позволяет Windows XP Professional взаимодействовать с Solaris 2.7, HP-UX 11, AIX 4.3.3 и Red Hat Linux 7.0 (инструмент специально разработан для этих платформ, но Microsoft утверждает, что он будет работать и с другими UNIX-платформами и версиями). SFU предлагает ряд межплатформенных сервисов, которые позволяют Windows-клиентам интегрироваться в UNIX-окружение.

Примечание. Пробную версию SFU 3.0 можно заказать в Microsoft по адресу http://www.microsoft.com/windows/sfu/productinfo/trial/default.asp.

Interix

Предшествующие версии SFU нужно было использовать вместе с приложением Interix. Interix позволяет запускать UNIX-приложения и скрипты в системах Windows XP Professional и Windows 2000 Server. В SFU компания Microsoft объединила два инструмента. Это единственное большое изменение SFU 3.0, так как он включает в себя не только подсистему Interix, но и 300 ее инструментов и набор программ для разработчиков. Технология подсистемы Interix создает условия, когда в одной системе работают как Windows-, так и UNIX-приложения. Подсистема Interix работает поверх ядра Windows, позволяя UNIX приложениям и скриптам выполняться в родственной среде на Windows-платформах параллельно с Windows-приложениями. Подсистема Interix и ее утилиты заменила более раннюю подсистему Korn Shell, являющуюся частью предыдущей версии SFU. На рис. 16.6 показан один из инструментов Interix.

Инструмент Interix


Рис. 16.6.  Инструмент Interix

Подсистема Interix является полностью интегрированной POSIX-подсистемой, которая естественным образом работает в системах Windows XP Professional и Windows 2000. Эта подсистема осуществляет необходимую поддержку для компиляции и запуска UNIX-приложений в Windows.

Interix предоставляет Korn Shell и C Shell, которые ведут точно так же, как в среде UNIX. Преимущество версии SFU 3.0 состоит в том, что оба инструмента имеют общую корневую файловую систему. Это означает, что больше нет необходимости конвертировать шрифты для поддержки алфавита диска. Это изменение облегчает перенос скриптов из UNIX в Windows XP Professional в связи с наличием единой корневой системы файлов, так же как и в UNIX знак двоеточия сохраняет свое значение разделителя полей.

Другим качеством подсистемы Interix является ее более дружественное отношение к пользователю, чем в предыдущих версиях. В ранних версиях Interix насильственным путем вводилась чувствительность к регистру (case sensitivity). Это делало написание скриптов затруднительным для тех, кто не знал точного регистра Windows-утилиты. В SFU 3.0 это изменено, как и необходимость добавления расширений к исполняющим программам.

Системные требования

В таблице 16.3 перечислены минимальные системные требования, необходимые SFU 3.0.

Таблица 16.3. Минимальные требования для SFU 3.0
КомпонентМинимальные требования
Оперативная память16 Мб
Жесткий диск184 Мб
БраузерInternet Explorer 5 или более поздний
Другие компонентыСетевой адаптер и дисковод для чтения компакт-дисков
Компоненты сетевой файловой системы

SFU 3.0 использует три компонента сетевой файловой системы:

В последних версиях SFU 3.0 все они имеют дополнительные усовершенствования, в основном имеющие отношение к исполнению и интернационализации.

Примечание. Все три компонента NFS поддерживают корейский и китайский алфавиты

Клиент NFS. Клиент NFS позволяет Windows-компьютерам вести себя подобно клиентам для получения доступа к файлам на NFS-сервере. Для подключения компонента Client for NFS (Клиент для NFS) его надо проинсталлировать в каждой Windows XP Professional системе, которой требуется доступ к NFS-файлам.



В SFU 3.0 изменения, внесенные в Client for NFS (Клиент для NFS), делают работу клиента более быстрой и эффективной в смешанной среде. Улучшения включают в себя следующее:

Клиент для NFS работает эффективнее благодаря кэшированию каталога на компьютере-клиенте. На рис. 16.7 приведен пример SFU 3.0 клиента для NFS.

Клиент SFU 3.0 для NFS


Рис. 16.7.  Клиент SFU 3.0 для NFS

Сервер для NFS. Сервер для NFS позволяет Windows-компьютерам работать в качестве NFS-серверов. Компьютеры, на которых работают программы NFS-клиента (в операционных системах Windows или UNIX) могут получать доступ к файлам на NFS-сервере. Для подключения компонента Server for NFS (Сервер для NFS) его надо проинсталлировать на Windows XP Professional-компьютере.



В SFU 3.0 раздел Server for NFS (Сервер для NFS ) был усовершенствован, что улучшает работу отдельных серверов.

Система безопасности тоже стала совершеннее, так как была улучшена трансляция Windows 2000-разрешений в UNIX- или NFS-ресурсы, что поддерживает согласованность с моделями безопасности, присутствующими в Windows 2000- и .NET-серверах.

Шлюз для NFS. Шлюз для NFS позволяет Windows XP Professional-компьютеру работать в качестве шлюза, через который Windows-компьютеры, не оснащенные программами NFS-клиента, могут получать доступ к NFS-файлам и принтерам. Шлюз работает как промежуточное звено между протоколом SMB и протоколом UNIX NFS. При использовании Gateway for NFS (Шлюза для NFS) процесс протекает медленнее, чем при работе с клиентом для NFS. Если необходим частый доступ к NFS-ресурсам, то лучше использовать клиент для NFS.



В SFU 3.0 шлюз для NFS стал более совершенным; он включает улучшенную командную строку и систему административного контроля GUI, а также поддержку нескольких алфавитов и улучшение поддержки кластеров.

SAMBA

Программы Services for UNIX 3.0 продаются за 99 долларов. Это не так дорого, но если вы не собираетесь тратиться на установку соединения своих UNIX-устройств с Windows-сетью, то вам поможет бесплатный пакет программ SAMBA.

Пакет программ для сервера SAMBA является очень популярным средством предоставления Windows-клиентам доступа к UNIX-ресурсам. SAMBA существует уже достаточно давно и широко использовалась как в академических институтах (где ее и разработали), так и на нескольких крупных корпоративных сайтах.

В основе SAMBA лежит протокол SMB (Server Message Block), который в Windows используется для совместного доступа к файлам. SAMBA создает поддержку для UNIX протокола SMB. Когда Windows XP Professional-клиенты посылают SMB-запросы, то демон SAMBA становится сервером, отвечающим на эти запросы.

Важно отметить то, что SAMBA устанавливается и работает только на UNIX-системах, а на Windows XP Professional-клиенте не надо устанавливать никаких дополнительных программ. Хотя это и делает часть установки, относящуюся к Windows, проще, администратор UNIX-системы должен установить SAMBA-сервер. Учитывая бесконечное множество версий UNIX, приятно узнать, что SAMBA совмещается со всеми основными (такими как Apollo, HP, DEC, NeXT, SCO, Sun и SGI).

Примечание. Для того чтобы узнать о SAMBA больше, посетите сайт http://samba.anu.edu.au/samba/.

Требования к клиенту Windows-сети

Несмотря на отсутствие SAMBA-файлов для клиентов, которые нужно устанавливать на Windows XP Professional-машинах, на этих компьютерах должны быть установлены соответствующие сетевые протоколы и сервисы. Для этого требуются некоторые протоколы из набора протоколов TCP/IP и DNS-сервисы.

Примечание. Если DNS недоступен, то DNS-имена и IP-адреса UNIX-машин можно размещать в файле HOSTS, находящемся в каталоге %Systemroot%\System32\drivers\etc.

Конфигурация UNIX

На UNIX-машине конфигурирование выполняется в файле SMB.CONF. Это текстовый файл, который похож на Windows-файл SYSTEM.INI, и имеет такую же структуру. Файл поделен на несколько секций, каждая из которых отвечает за работу отдельных ресурсов, создаваемых для настройки действительных пользователей, разрешения на чтение и запись, общего доступа. Далее следует пример файла SMB.CONF.

[global]
workgroup = ACCOUNTING
server string = Accounting Department's SAMBA Server
encrypt passwords = True
security = user
smb passwd file = /etc/smbpasswd
log file = /var/log/samba/log.%m
socket options = IPTOS_LOWDELAY TCP_NODELAY
domain master = Yes
local master = Yes
preferred master = Yes
os level = 65
dns proxy = No
name resolve order = lmhosts host bcast
bind interfaces only = True
interfaces = eth0 192.168.1.1
hosts deny = ALL
hosts allow = 192.168.1.4 127.0.0.1
debug level = 1
create mask = 0644
directory mask = 0755
level2 oplocks = True
read raw = no
write cache size = 262144
[homes]
comment = Home Directories
browseable = no
read only = no
invalid users = root bin daemon nobody named sys tty disk mem kmem users
[tmp]
comment = Temporary File Space
path = /tmp
read only = No
valid users = admin
invalid users = root bin daemon nobody named sys tty disk mem kmem users
Листинг 16.1. (html, txt)

В этом файле есть две секции, которые очень важны для использования в организациях с большим количеством клиентов. Секция [homes] автоматически позволяет пользователям, у которых уже есть учетные записи в системе UNIX, устанавливать связь со своими домашними каталогами без необходимости создавать индивидуальные ресурсы (shares) для каждой учетной записи. Секция [global] устанавливает несколько свойств сервера. Наиболее важными являются опции системы безопасности, определяющие метод аутентификации пользователя. В секции [global] можно указать три модели защиты в security=entries

Примечание. Это имя будет NetBIOS-именем сервера. Для того чтобы найти эту машину, его надо добавить в /etc/hosts файл UNIX-системы.

Недостатком SAMBA является то, что эту программу могут использовать только клиенты, работающие по протоколу SMB. К ним относятся Windows 9X, 2000, XP и NT, но не NetWare или Macintosh-клиенты.

NFS-серверы

Другой подход к Windows-UNIX доступу к файлам был разработан в Sun Microsystems, Inc. NFS отличается от других межплатформенных инструментов тем, что не использует протоколов SMB, а вместо этого осуществляет доступ к файлам двумя другими способами.

Использовать SAMBA или NFS - это решает конечный пользователь. В обоих случаях UNIX-ресурсы являются доступными для просмотра, и данные можно считывать или вносить в UNIX-ресурсы (при условии, что на это есть разрешение). Разница заключается в размещении приложения трансляции (перевода).

Конфигурация XP-клиента

При использовании SAMBA, как вы помните, клиенту не требуется специального программного обеспечения. При использовании NFS, напротив, требуется клиентская программа, которая предоставляет сервисы для совместного использования файлов. Это происходит, потому что протоколы RPC и XDR не являются частью платформы Windows, как SMB.

Инсталляцию программы NFS-клиента можно считать выгодным делом, так как она открывает путь к другим операционным системам. Например, существуют NFS для Macintosh и NFS-шлюзы для NetWare. Так происходит потому, что большее количество платформ поддерживает NFS, чем SAMBA.

Аутентификация NFS-клиента проводится на Windows XP Professional-компьютере посредством окна для входа в систему, в которое вводятся имя пользователя и пароль, проверяющиеся по базе данных учетных записей в системе UNIX. Если аутентификация прошла успешно, то можно выполнить загрузку UNIX-ресурсов (обычно такие загрузки заранее конфигурируются самим пользователем). Это похоже на опцию Reconnect At Logon (Восстанавливать при входе в систему) на сетевых дисках, работающих в системе Windows XP Professional. Если обнаруживаются новые ресурсы, то имя пользователя и пароль, введенные при входе в систему, проверяются на наличие разрешенного доступа к этим ресурсам. NFS-ресурсы обозначены буквой (как новый диск) в окне Диспетчера файлов или Проводника, как и любые Windows-ресурсы.

NFS-демон UNIX может перестать работать. Когда это случается, Windows XP Professional клиент не может просматривать файлы UNIX, но не всегда понятно, является ли причиной разрыва соединения клиент или сервер. Было принято возлагать вину за неудачное соединение на клиента, если он запрашивал ресурсы, но в последних версиях программ NFS-клиента это может и не подтвердиться. Когда не удается установить соединение, убедитесь, что NFS-демон работает, и что ресурсы были экспортированы сервером, о чем пойдет речь в следующем разделе.

Конфигурация UNIX

Самое главное совпадение NFS и SAMBA заключается в том, что объем работы системного администратора уменьшается. Так происходит потому, что NFS является стандартным методом переноса файлов в UNIX-системах. Для того чтобы UNIX ресурсы можно было использовать совместно, UNIX-администратор должен их сконфигурировать. К этому процессу надо отнестись вдумчиво, так как достаточно легко создать хаотично организованную систему NFS, которая приведет к частым сбоям.

Большинство UNIX-систем спланированы так, что NFS-сервер появляется в линии после загрузки UNIX-машины, если сервер сконфигурирован для обеспечения экспорта. Экспортом являются ресурсы, физически находящиеся на одном или нескольких компьютерах в файле /etc/exports.

Основным условием доступности UNIX-ресурса является создание корректного входа в файл /etc/exports. После того как этот шаг выполнен, следует ввести команду, которая активизирует экспорт (точная форма команды может быть разной в различных UNIX-системах). Содержание файла etc/exports включает в себя путь к совместно используемому ресурсу, а также содержит информацию, касающуюся разрешений на доступ к ресурсу ("только чтение" и т.д.).

Учитывая разнообразие операционных систем, работающих в современных организациях, важно, чтобы существовал механизм, позволяющий получать доступ к ресурсам, содержащимся на разных машинах. К счастью, компания Microsoft сочла нужным создать такой механизм для NetWare ресурсов и еще один, за дополнительную плату, для взаимодействия с UNIX. Если вам требуется доступ к UNIX ресурсам, то не плохо было бы исследовать SAMBA или NFS на предмет применимости этого инструмента в вашей организации.

Лекция 17. Мониторинг работы сети XP

Производительность сети является важным аспектом любой сети. В данной лекции рассказывается о том, как проверить компьютеры Windows XP Professional и сеть и выяснить, какие могут возникнуть проблемы по части производительности сети, а также разработать план по их устранению.

После того как вы построили сеть, запустили ее и создали правильную конфигурацию, может показаться, что работа закончена. Повремените со вздохом облегчения. Для вас начинается каждодневная работа по поддержанию и отладке работы сети, наряду с составлением плана неизбежного расширения в будущем, которое наступит раньше, чем вы его ожидаете.

Эта лекция поможет вам поддерживать в рабочем состоянии и настраивать Windows XP Professional-сеть, а также подготовиться к расширению. Сначала будет сделан общий обзор работы сети, включающий в себя несколько советов о том, как сделать ее работу более гладкой. Затем мы поговорим о наиболее полезном инструменте системы Windows XP Professional, который называется System Monitor. Этот инструмент отслеживает тысячи процессов, протекающих в компьютере и сети. Затем мы подготовим вас к размышлениям о будущем сети, поговорив о расширении ее возможностей. И, наконец, предложим несколько полезных инструментов сторонних разработчиков.

Общий обзор работы сети

Для гарантии максимально производительной работы сети надо прилагать усилия в нескольких направлениях. Это не вопрос настройки всего оборудования или программного обеспечения, а сбалансированная совместная работа того и другого плюс управление использованием сети в организации.

Управление работой сети похоже на владение гоночной машиной. Если вы хотите выигрывать гонки, то, помимо быстрого автомобиля, вам нужен умелый водитель и экипаж, хорошо знающий свое дело. Иначе не выиграть. То же относится и к Windows XP Professional-сети. У вас может быть прекрасное оборудование, но плохая конфигурация или недобросовестные пользователи сведут на нет ваши усилия и материальные затраты.

Основные принципы

Большая часть этой лекции посвящена инструментам и техническим приемам, используемым для оптимизации работы и мониторинга системы. Однако существует несколько основных моментов, о которых следует помнить при проектировании, настройке и поддержании рабочего состояния компьютерной сети.

Знайте свою сеть

Во-первых, очень важно иметь точную схему и документацию сети. У вас должны быть текущая топологическая схема цепи и подробная информация обо всем сетевом оборудовании, его конфигурациях и использующихся протоколах, IP-адресах, каналах связи WAN, серверах и сегментах пользовательских локальных сетей. Без этой всеобъемлющей информации трудно будет понять, что следует изменить или что изменилось в результате перехода от одной сетевой конфигурации к другой.

Базовая линия

При внесении изменений в сеть важно знать и уметь оценивать работу сети в текущий момент. Создание базовой линии - это запись всех параметров работы сети, чтобы сравнивать параметры работы сети после внесения изменений и делать выводы о положительном или отрицательном влиянии внесенных изменений. Вы можете создать базовую линию своей сети с помощью инструмента System Monitor (о котором мы поговорим позже). После сбора всех необходимых данных вы получите представление о рабочих возможностях сети.

Избегайте крайностей

При настройке сети не забывайте о том, что все вносимые изменения должны быть обоснованными и находиться в рамках разумных параметров. Особенно в организациях с сотнями или тысячами компьютеров, где множество людей втягивается в процесс настройки и поддержания работы сети. Также следует позаботиться о том, чтобы все изменения сети были тщательно задокументированы.

Поддерживайте простую топологию сети

Когда сеть растет и развивается, воздержитесь от попыток создавать скопления концентраторов или маршрутизаторов, так как, будучи плохо документированными, они представляют собой точки возможных сбоев в работе сети, и ими трудно управлять. В сетях со слишком сложной топологией больше времени тратится на поиск причин возникающих проблем и меньше времени остается на конструктивное планирование того, как лучше удовлетворить потребности пользователей. Также не следует забывать и об обеспечении безопасности. Не внесенный в документацию маршрутизатор в удаленной части сети может позволить проникнуть в сеть неавторизованным личностям.

Снижайте административный трафик

В Windows XP Professional предпочтение отдается протоколу IP. IP является наиболее распространенным сетевым протоколом, который используется в наши дни на многих платформах. Так что старайтесь придерживаться этого протокола. Разумеется, если вы устанавливаете связь между компьютерами разного типа (Novell NetWare старого образца и IBM, например), то избежать применения различных протоколов трудно. Но все же постарайтесь свести число используемых протоколов к минимуму. Также отслеживайте административный трафик, к которому относятся WINS-копирование, трансферы между зонами DNS, и другие типы трафика, которым обмениваются серверы. Так вы сможете определить и отрегулировать подходящий вам трафик. Например, если серверы проводят синхронизацию каждые полчаса, а сеть перегружена, то, возможно, изменение настроек синхронизации через каждый час повысит эффективность работы сети.

Отслеживайте пользователей

Перегрузка сети или другие проблемы часто происходят из-за злоупотреблений пользователей. Например, пользователь может скачивать ресурсы для своих собственных нужд, не имеющих отношения к работе. Когда интернет находится на рабочем столе у каждого, такие злоупотребления весьма вероятны. Если работник в часы пиковой нагрузки скачивает МР3 или играет на игровом сервере, то это влияет на работу всей сети, так как пакеты начинают поступать с задержками из-за перегрузки трафика. Управлять пользователями можно с помощью жесткой политики разрешения доступа в интернет, а также с помощью установки прокси-сервера или фильтров, ограничивающих вход пользователей в интернет.

Но политика твердой руки и подавления не обязательно является решением всех проблем. Сетевому администратору не следует превращаться в людоеда. Поддерживая атмосферу открытости и общения между собой и пользователями, вы сможете узнать о наличии проблем, связанных с работой сети, раньше, чем они станут критическими.

Построение сети

Ранее мы говорили о некоторых основных правилах, которые имеют большое значение для нормальной работы сети. Нет сомнения в том, чт